Los ataques de ransomware y de compromiso de correo electrónico empresarial (BEC) representaron el 60% de todos los incidentes en el segundo trimestre de 2024, según un informe de Cisco Talos. La tecnología fue el sector más atacado en este período, representando el 24% de los incidentes, un aumento del 30% con respecto al trimestre anterior. Los investigadores dijeron que los atacantes pueden ver a las empresas de tecnología como una puerta de entrada a otras industrias y organizaciones, dado su papel en el servicio a una variedad de otras industrias, incluida la infraestructura crítica. Los siguientes sectores más atacados en el segundo trimestre fueron el comercio minorista, la atención médica, los productos farmacéuticos y la educación. El método de acceso inicial más común fue el uso de credenciales comprometidas en cuentas válidas, lo que representa el 60% de los ataques. Esto representa un aumento del 25% con respecto al trimestre anterior. Las debilidades de seguridad más observadas en conjunto por Cisco Talos en el segundo trimestre de 2024 fueron los sistemas vulnerables o mal configurados y la falta de una implementación adecuada de MFA, ambos un 46% más que el trimestre anterior. Tendencias de ransomware El ransomware representó el 30% de la participación del equipo de Cisco Talos Incident Response (Talos IR) durante este período, lo que representa un aumento del 22% en comparación con el primer trimestre de 2024. El informe detalla las respuestas a los ataques llevados a cabo por una variedad de grupos de ransomware, muchos de los cuales implementaron tácticas novedosas para comprometer los objetivos, incluido el uso de herramientas válidas para mantener la persistencia y buscar el movimiento lateral. Estos incluyeron: Equipo Underground: En este incidente, el actor de amenazas aprovechó Secure Shell (SSH) para moverse lateralmente en el entorno y reactivó estratégicamente ciertas cuentas de usuario de Active Directory que habían sido deshabilitadas previamente. Durante la participación, los atacantes enviaron mensajes de acoso a los correos electrónicos personales de los empleados, como un medio para obligar a las víctimas a responder a sus demandas. BlackSuit: Este actor de amenazas obtuvo acceso con credenciales válidas a través de una VPN que no estaba protegida por MFA. La persistencia se estableció implementando la herramienta de administración remota AnyDesk en el entorno, así como Cobalt Strike. Los atacantes también aprovecharon binarios living-off-the-land (LoLBins) como PsExec y la línea de comandos de Instrumental de administración de Windows (WMIC) para moverse lateralmente a través de la red. Black Basta: En este caso, los adversarios obtuvieron acceso inicial utilizando credenciales comprometidas en una cuenta RDP válida que no estaba protegida con MFA. Los atacantes utilizaron la ejecución remota de PowerShell para iniciar un shell en sistemas remotos y aprovecharon la herramienta de línea de comandos de código abierto Rclone para facilitar la exfiltración de datos. Leer ahora: Los grupos de ransomware priorizan la evasión de defensa para la exfiltración de datos Cisco Talos señaló que en el 80% de los compromisos de ransomware en el segundo trimestre de 2024, faltaba la implementación adecuada de MFA en sistemas críticos, como las VPN, lo que facilitaba el acceso inicial. Tendencias de BEC Los ataques BEC también representaron el 30% de los incidentes con los que se enfrentó Cisco Talos entre abril y junio de 2024. Esto marca una caída con respecto al primer trimestre de 2024, cuando representó el 50% de los ataques. Los ataques BEC implican que los actores de amenazas comprometan cuentas de correo electrónico comerciales legítimas y las usen para enviar correos electrónicos de phishing para obtener información confidencial, como credenciales de cuenta, y enviar correos electrónicos con solicitudes financieras fraudulentas. Los investigadores observaron una variedad de técnicas utilizadas para comprometer cuentas de correo electrónico comerciales y lanzar ataques BEC. Estos incluyeron: Ataques de smishing, donde los atacantes enviaron a los objetivos mensajes de texto fraudulentos para engañar a los destinatarios para que compartan información personal o hagan clic en enlaces maliciosos para comprometer sus credenciales de inicio de sesión En un caso, se envió un correo electrónico de phishing a la dirección de correo electrónico personal de un empleado, redirigiéndolos a una página de inicio de sesión falsa. El usuario recibió una notificación push de MFA y la aceptó, otorgando acceso a los atacantes En otro grupo de actividad, después de acceder a la cuenta de correo electrónico de un usuario, los atacantes crearon reglas de buzón de Microsoft Outlook para enviar correos electrónicos a una carpeta llamada «eliminado» antes de usar la cuenta comprometida para enviar más de mil correos electrónicos de phishing a destinatarios internos y externos.