Los ciberdelincuentes explotan las nuevas vulnerabilidades un 43% más rápido que en periodos anteriores

Fortinet® (NASDAQ: FTNT) ha anunciado la publicación de su informe Global de Amenazas, realizado por su equipo de inteligencia de amenazas, FortiGuard Labs. El último informe semestral es un análisis del panorama de las amenazas activas y destaca las tendencias de julio a diciembre de 2023, incluyendo el análisis de la velocidad con la que los ciberatacantes están capitalizando los nuevos exploits identificados en toda la industria de la ciberseguridad y el aumento del ransomware dirigido y la actividad del malware wiper contra el sector industrial y OT.
 
Derek Manky, Chief Security Strategist & Global VP Threat Intelligence en FortiGuard Labs, ha declarado: “El informe Global Threat Landscape Report 2H 2023 de FortiGuard Labs sigue poniendo de manifiesto la rapidez con la que los actores de las amenazas se aprovechan de las nuevas vulnerabilidades reveladas. En estas circunstancias, tanto los proveedores como los clientes tienen un papel que desempeñar. Los fabricantes deben introducir un control de seguridad robusto en todas las etapas del ciclo de vida de desarrollo del producto y comprometerse con una transparencia total y responsable en la divulgación de vulnerabilidades. Con más de 26.447 vulnerabilidades detectadas en más de 2.000 proveedores en 2023, según cita el NIST, también es fundamental que los clientes mantengan un estricto régimen de aplicación de parches para reducir el riesgo de explotación”.

Las principales conclusiones del informe incluyen:

Los ataques comenzaron una media de 4,76 días después de que se divulgaran públicamente los nuevos exploits: al igual que en el Informe sobre el panorama global de las amenazas del primer semestre de 2023, FortiGuard Labs trató de determinar cuánto tiempo tarda una vulnerabilidad en pasar de la publicación inicial a la explotación, si las vulnerabilidades con una puntuación alta en el sistema de puntuación de predicción de exploits (EPSS) se explotan más rápido y si podía predecir el tiempo medio de explotación utilizando los datos del EPSS. Según este análisis, en el segundo semestre de 2023 los agresores aumentaron la velocidad con la que aprovechaban las vulnerabilidades recién publicadas (un 43% más rápido que en el primer semestre de 2023). Este dato pone en evidencia la necesidad de que los proveedores dediquen esfuerzos a descubrir internamente las vulnerabilidades y desarrollar un parche antes de que pueda producirse la explotación (mitigar los casos de vulnerabilidades 0-Day). También refuerza el hecho de que los proveedores deben revelar las vulnerabilidades a los clientes de forma proactiva y transparente para garantizar que disponen de la información necesaria para proteger eficazmente sus activos antes de que los ciberadversarios puedan explotar las vulnerabilidades N-Day.

Algunas vulnerabilidades N-Day se mantienen sin parches durante más de 15 años: no son sólo las vulnerabilidades recién identificadas las que deben preocupar a los CISO y a los equipos de seguridad. La telemetría de Fortinet reveló que el 41% de las organizaciones detectaron exploits a partir de firmas con menos de un mes de antigüedad y casi todas las organizaciones (98%) detectaron vulnerabilidades N-Day que existen desde hace al menos cinco años. FortiGuard Labs también sigue observando actores de amenazas que explotan vulnerabilidades que tienen más de 15 años de antigüedad, lo que refuerza la necesidad de permanecer atentos a la higiene de la seguridad y un impulso continuo para que las organizaciones actúen rápidamente a través de un programa consistente de parches y actualizaciones, empleando las mejores prácticas y la asesoría de organizaciones como la Network Resilience Coalition para mejorar la seguridad general de las redes.

 Menos del 9% de todas las vulnerabilidades de endpoints conocidas fueron objeto de ataques: En 2022, FortiGuard Labs introdujo el concepto de "zona roja", que ayuda a los usuarios a entender mejor la probabilidad de que los actores de amenazas exploten vulnerabilidades específicas. Para ilustrar este punto, los últimos tres Informes Globales de Amenazas han analizado el número total de vulnerabilidades dirigidas a endpoints. En el segundo semestre de 2023, la investigación descubrió que el 0,7% de todos los CVE observados en los endpoints están siendo atacados, lo que revela una superficie de ataque activa mucho menor en la que los equipos de seguridad deben centrarse y priorizar los esfuerzos de corrección.   

El 44% de todas las muestras de ransomware y de malware wiper tenían como objetivo los sectores industriales: En todos los sensores de Fortinet, las detecciones de ransomware cayeron un 70% en comparación con el primer semestre de 2023. La ralentización observada en el ransomware durante el año pasado puede atribuirse a que los atacantes se alejaron de la estrategia tradicional de "rociar y rezar" para adoptar un enfoque más específico, dirigido principalmente a los sectores de energía, sanidad, fabricación, transporte y logística, y automoción.

Las redes de bots mostraron una increíble resistencia, tardando una media de 85 días en detener las comunicaciones de mando y control (C2) tras la primera detección: Mientras que el tráfico de bots se mantuvo estable en relación con la primera mitad de 2023, FortiGuard Labs continuó viendo las botnets más prominentes de los últimos años, como Gh0st, Mirai y ZeroAccess, pero tres nuevas botnets surgieron en la segunda mitad de 2023, incluyendo: AndroxGh0st, Prometei y DarkGate.  

 38 de los 143 grupos de amenazas persistentes avanzadas (APT) enumerados por MITRE permanecieron activos durante el segundo semestre de 2023: La inteligencia de FortiRecon, el servicio de protección contra riesgos digitales de Fortinet, indica que 38 de los 143 Grupos que MITRE rastrea estuvieron activos en la segunda mitad de 2023. De ellos, Lazarus Group, Kimusky, APT28, APT29, Andariel y OilRig fueron los más activos. Dada la naturaleza selectiva y las campañas relativamente efímeras de los APT y los grupos cibernéticos de estados-nación en comparación con las campañas de larga duración y prolongadas de los ciberdelincuentes, la evolución y el volumen de actividad en esta área es algo que FortiGuard Labs rastreará de forma continua.


Discurso en la Dark Web

El informe Global de Amenazas 2H 2023 también incluye hallazgos de FortiRecon, que dan una idea del discurso entre actores de amenazas en foros de la Dark Web, mercados, canales de Telegram y otras fuentes. Algunas de las conclusiones son:

Los actores de amenazas hablaban de dirigirse a organizaciones del sector financiero con mayor frecuencia, seguidos por los sectores de servicios empresariales y educación.

• Se compartieron más de 3.000 violaciones de datos en destacados foros de la dark web.
• En la darknet se habló activamente de 221 vulnerabilidades, mientras que en los canales de Telegram de 237.
• Se pusieron a la venta más de 850.000 tarjetas de pago.

Invertir la tendencia contra la ciberdelincuencia

Con la superficie de ataque en constante expansión y la escasez de competencias en ciberseguridad en todo el sector, es más difícil que nunca para las empresas gestionar adecuadamente una infraestructura compleja compuesta por soluciones dispares, por no hablar de seguir el ritmo del volumen de alertas de productos puntuales y las diversas tácticas, técnicas y procedimientos que los actores de amenazas utilizan para comprometer a sus víctimas.

Invertir la tendencia de la ciberdelincuencia exige una cultura de colaboración, transparencia y responsabilidad a mayor escala que la de las organizaciones individuales en el espacio de la ciberseguridad. Cada organización tiene un lugar en la cadena para combatir las ciberamenazas. La colaboración con organizaciones de alto perfil y muy respetadas, tanto del sector público como privado, incluyendo CERTs, entidades gubernamentales y académicas, es un aspecto fundamental del compromiso de Fortinet para mejorar la ciberresiliencia a nivel global.

La colaboración y la innovación tecnológica constante entre sectores y grupos de trabajo, como Cyber Threat Alliance, Network Resilience Coalition, Interpol, World Economic Forum (WEF)  Partnership Against Cybercrime y WEF Cybercrime Atlas mejorarán colectivamente las protecciones y ayudarán en la lucha contra la ciberdelincuencia en todo el mundo.