El informe de cacería de amenazas de Crowdstrike (Threat Hunting Report 2024) está basado en la inteligencia sobre amenazas (obtenida a partir de la plataforma Crowdstrike Falcon) reunida en los últimos doce meses (desde el 1 de julio de 2023 hasta el 30 de junio de 2024), junto con el expertise del equipo de expertos Overwatch del vendor. En esta ocasión, el reporte indica que los adversarios siguen innovando sus tácticas y ampliando el uso de técnicas probadas. Para desafiar aún más a los defensores, los adversarios están ampliando el alcance de su ataque y navegando a través de múltiples dominios, incluidos la identidad, la nube y el endpoint, lo que hace que su actividad sea cada vez más difícil de detectar.
En este orden , Adam Meyers, SVP de Operaciones Contra Adversarios en Crowdstrike, comentó: “Esto significa que los actores de ciberamenazas miran al objetivo de forma más integral. No se centran sólo en el endpoint. Esto significa, desde el punto de vista defensivo, que debemos inmunizar distintos dominios para identificar estos ataques de forma más eficaz”.
Sumado a lo anterior, Meyers destacó otra estadística relevante: “Hicimos un mapa de calor con todas las tácticas MITRE que hemos visto en el último año, y la mitad se basaba en identidad. Eso significa que los actores de ciberamenazas realmente adoptaron los ataques basados en identidad para aumentar sus capacidades y evitar ser detectados”.
“Desde el punto de vista sectorial aparece un aumento generalizado –destacó Meyers–. Aquí vemos que en casi todas las verticales que rastreamos aumentó la frecuencia de los ataques en el último año. La vertical Tecnología es número uno por séptimo año consecutivo en lo referente a la cantidad de ataques (aumentaron un 60%)”. Otro sector altamente vulnerable es Salud. Las intrusiones interactivas relacionadas con el crimen electrónico contra el sector sanitario aumentaron un 75%. La abundancia de información financiera y sanitaria confidencial hace que el sector Salud sea un objetivo cada vez más popular para el actor de ciberamenazas.
“Las intrusiones selectivas, en particular en el sector de Consultoría y Servicios Profesionales, se han incrementado en un 141%. La explicación es que estos actores buscan realmente maximizar el retorno de la inversión. Al atacar a una organización de servicios profesionales o consultoría pueden explotar la relación de confianza que tienen éstas con sus clientes”, precisó Meyers.
Otros hallazgos el informe indican:
- Las intrusiones interactivas aumentaron un 55%. Durante las intrusiones interactivas, los actores de ciberamenazas realizan actividades con accesos interactivos para ejecutar comandos en el entorno de la víctima. Las intrusiones interactivas suelen ser más sofisticadas y difíciles de detectar en comparación con los ataques automatizados.
- El 86% de todas las intrusiones interactivas se atribuyeron a la actividad del crimen electrónico. Esto pone de manifiesto el aumento de la amenaza que supone el actor de ciberamenazas, que busca obtener beneficios económicos.
- El uso de herramientas de monitoreo y administración remotas (RMM, por sus siglas en inglés) por parte de los adversarios aumentó un 70%, y el 27% de todas las intrusiones interactivas utilizaron las herramientas de RMM. ConnectWise ScreenConnect superó a AnyDesk y se convirtió en la herramienta de RMM más utilizada.
