La nube y las amenazas Informe 2024

Este Informe explora la evolución de los entornos empresariales en la nube y el panorama de las amenazas, destacando las tendencias predominantes en 2023 y ofreciendo predicciones sobre cuáles continuarán en 2024.

Netskope Threat Labs2024

Resumen ejecutivo Hechos destacados del informe About this report Netskope Threat Labs Aumenta el uso de aplicaciones en la nube y SaaS Aplicaciones de IA generativa en aumento Ingeniería social

Troyanos Phishing

Perfiles y objetivos del adversario

TA551 Araña maga TA505 APT41 Tierra Lusca

Recomendaciones

22 min de lectura

Resumen ejecutivo

El Informe sobre Nube y Amenazas de Netskope tiene como objetivo proporcionar inteligencia estratégica y procesable sobre las últimas tendencias en computación en nube y amenazas a la ciberseguridad que afectan a la Organización en todo el mundo. En esta edición, echamos un vistazo a las principales tendencias de 2023, prestando especial atención a aquellas que esperamos que continúen en 2024 y más allá.

A lo largo de 2023, la adopción de la nube y de SaaS siguió aumentando en los entornos empresariales, con los usuarios adoptando constantemente nuevas aplicaciones y aumentando el uso de las ya existentes. Las suites de aplicaciones de Microsoft y Google siguen dominando en todos los sectores y geografías del mundo a medida que las aplicaciones de estos proveedores se arraigan aún más en los procesos empresariales críticos.

Los adversarios, reconociendo esta tendencia, están abusando y apuntando a aplicaciones populares en sus operaciones con mayor frecuencia. La ingeniería social se ha convertido en el método más común que utilizan los adversarios para acceder a los entornos de las víctimas. Los adversarios tienen cada vez más éxito en engañar a las víctimas para que descarguen troyanos alojándolos en aplicaciones SaaS populares y en engañar a las víctimas para que hagan clic en cebos de phishing diseñados para robar credenciales de aplicaciones SaaS.

La mayor parte de la actividad de los adversarios dirigida a los clientes de Netskope en 2023 tuvo una motivación financiera. Cuando un adversario motivado financieramente obtiene acceso inicial al entorno de una víctima, generalmente instala un implante (generalmente Cobalt Strike) para mantener la persistencia. En última instancia, intentan extorsionar a la víctima Organización desplegando Ransomware, infostealers y wipers, amenazando con exponer públicamente los datos sensibles o sabotear el entorno de la víctima si no paga. Incluso los adversarios con motivaciones geopolíticas, cuyo objetivo principal ha sido históricamente el espionaje cibernético, también están participando en actividades de extorsión similares.

Este informe destaca éstas y otras tendencias predominantes en 2023 y ofrece predicciones sobre cuáles continuarán en 2024.

test answer

Hechos destacados del informe

Las aplicaciones de IA generativa son un pilar de la empresa
Las aplicaciones de IA generativa, prácticamente inexistentes en la empresa hace un año, son ahora un pilar, con más del 10% de los usuarios accediendo a aplicaciones de IA generativa basadas en la nube cada mes y con el 25% de los usuarios aumentando exponencialmente el uso de estas aplicaciones.

La mayoría de los troyanos se descargan de aplicaciones populares en la nube
Los atacantes tienen más éxito a la hora de engañar a las víctimas para que descarguen troyanos cuando éstos se alojan en aplicaciones populares en la nube, siendo las aplicaciones más populares de Google y Microsoft las que encabezan las descargas de Malware.

Los adversarios criminales amplían su manual de extorsión
La actividad de los adversarios criminales dominó el panorama de las amenazas en 2023, con múltiples grupos de adversarios que confiaron en gran medida en Cobalt Strike para mantener la permanencia y desplegar Ransomware, infostealers, wipers y otros programas maliciosos para extorsionar a sus víctimas.

sdofjsfojefgejelosij

About this report

Netskope Threat Labs publica anualmente un Informe sobre Nube y Amenazas para proporcionar inteligencia estratégica y procesable sobre las últimas tendencias en computación en nube y amenazas a la ciberseguridad que afectan a la Organización en todo el mundo. La información presentada en este Informe se basa en datos de uso anonimizados recopilados por la Netskope Security Cloud Plataforma relativos a un subconjunto de clientes de Netskope con autorización previa. Netskope proporciona protección contra amenazas y datos a millones de usuarios en todo el mundo. Este Informe contiene información sobre las detecciones realizadas por Netskope's Next Generation Secure Web Gateway (SWG), sin tener en cuenta la importancia del impacto de cada amenaza individual. Las estadísticas presentadas en este Informe son un reflejo tanto de la actividad de los adversarios como del comportamiento de los usuarios. Las estadísticas de este Informe se basan en el periodo comprendido entre el 1 de diciembre de 2021 y el 30 de noviembre de 2023.

Netskope Threat Labs

Integrado por los investigadores más destacados del sector en materia de amenazas a la nube y Malware, Netskope Threat Labs descubre, analiza y diseña defensas contra las últimas amenazas a Web, la nube y los datos que afectan a las empresas. Nuestros investigadores son presentadores y voluntarios habituales en las principales conferencias de seguridad, como DEF CON, Black Hat y RSAC.

Aumenta el uso de aplicaciones en la nube y SaaS

La transición empresarial de las aplicaciones tradicionales on-prem a las aplicaciones en la nube y SaaS está lejos de haber terminado. La mayoría de las organizaciones ya han migrado a suites de productividad basadas en la nube, y la migración se ha desplazado a aplicaciones más especializadas. El número de aplicaciones utilizadas por el usuario medio ha aumentado de 14 a 20 en los últimos dos años, lo que supone un aumento medio del 19% al año. Actualmente, la mitad de todos los usuarios empresariales interactúan con entre 11 y 33 aplicaciones cada mes, y el 1% de los usuarios interactúa con más de 96 aplicaciones al mes.

Al mismo tiempo, las interacciones de las personas con las aplicaciones en la nube y SaaS están aumentando a un ritmo aún más rápido -un 35% anual-, pasando de poco más de 1.000 actividades al mes hace dos años a casi 2.000 actividades al mes en la actualidad. La mitad de todos los usuarios empresariales generan entre 600 y 5.000 actividades al mes, y el 1% de los usuarios más ricos genera más de 50.000 actividades al mes. Una actividad es una interacción central entre un usuario y una aplicación, siendo las actividades más comunes:

Descargar o cargar un archivo
Edición de un documento
Publicar un mensaje
Visualización de un archivo o un mensaje

Las aplicaciones más populares de la empresa no han cambiado significativamente en el último año. Entre las 20 aplicaciones más populares, la popularidad año tras año varió en puntos porcentuales de un solo dígito, con algunos temas destacados.

Google y Microsoft reinan
Los componentes principales de las suites de productividad de Microsoft 365 y Google Workspaces estuvieron entre las mejores aplicaciones tanto en 2022 como en 2023. Productos de Microsoft OneDrive, Sharepoint, Teams, Azure Blob Storage, Outlook.com, Forms y GitHub, junto con los productos de Google Google Drive, Google Cloud Storage, Gmail y Calendar, representaron la mayoría de los 10 principales. Las aplicaciones de estos proveedores se han convertido en pilares del ecosistema empresarial en todas las geografías y en todos los sectores, y seguirán ocupando los primeros puestos en un futuro previsible.

Cambios en las redes sociales
Aunque su popularidad relativa se mantuvo prácticamente sin cambios de un año a otro, se produjeron algunos cambios en la popularidad de varias plataformas de medios sociales entre los usuarios empresariales. Facebook sigue siendo la plataforma de medios sociales más popular, a pesar de que su popularidad ha descendido 6 puntos. A pesar de todo lo que se habla de un éxodo de Twitter tras la compra por parte de Elon Musk, los usuarios empresariales siguen utilizándolo aproximadamente al mismo ritmo. La red social profesional Plataforma LinkedIn ganó 4 puntos, la mayor ganancia de todas las redes sociales Plataforma y la tercera mayor de todas las aplicaciones. TikTok e Instagram se mantuvieron prácticamente sin cambios.

Outlook supera a Gmail
Outlook.com saltó por encima de Google Gmail en 2023, ya que los usuarios de Outlook siguen abandonando el uso de la aplicación nativa de Outlook en favor de la aplicación Web. Sumando más de 6 puntos de popularidad, Outlook.com tuvo el segundo mayor aumento de cualquier aplicación en la nube o SaaS en 2023.

Aplicaciones de IA generativa en aumento

2023 fue el año de la IA generativa. Todo comenzó con el bombo en torno a OpenAI y su producto estrella, ChatGPT. Aunque no entró en el top 20 de las aplicaciones más populares de 2023, ChatGPT sumó más usuarios que cualquier otra aplicación, y su popularidad aumentó del 0% a casi el 7% de todos los usuarios empresariales a finales de año. A medida que ChatGPT crecía en popularidad, otras empresas comenzaron a crear chatbots competidores, e incluso más empresas comenzaron a crear productos de nicho para aprovechar el poder de estos grandes modelos de lenguaje (LLM). La idea de un asistente impulsado por IA para ayudar en tareas como escribir, programar e incluso operaciones de seguridad despegó. Al mismo tiempo, también se lanzaron aplicaciones para generar imágenes, videos y audio.

La comunidad de ciberseguridad empresarial hizo lo que suele hacer cuando una nueva tecnología con tanto bombo y platillo llega al mercado: Determinar rápidamente si estas aplicaciones sirven a un propósito empresarial legítimo y, para el caso en que sí lo hagan, averiguar cómo habilitar su uso de forma segura. Para muchas Organizaciones, esto significaba echar el freno, bloqueando las aplicaciones hasta que pudieran pasar por una revisión de seguridad adecuada. En general, esto significó que estas aplicaciones de IA generativa ganaron popularidad en la empresa más lentamente que en el mercado de consumo.

Pero su popularidad creció. El siguiente gráfico muestra un aumento en la popularidad de las aplicaciones de IA que se asemejan a un sigmoide, pasando de poco más del 2% de todos los usuarios empresariales que accedían al menos a una aplicación de IA por mes hace un año a más del 10% que lo hace en la actualidad. La mayor parte de ese crecimiento se produjo en el primer semestre de 2023 y se enfrió hacia finales de año.

Un gráfico del crecimiento de las tres principales aplicaciones de IA generativa proporciona más información sobre la forma del gráfico de popularidad general anterior. ChatGPT fue la aplicación más popular por un amplio margen, con el asistente de escritura Grammarly en segundo lugar, seguido del chatbot Google Bard en tercer lugar. El siguiente gráfico proporciona un desglose detallado del crecimiento de estas tres aplicaciones. ChatGPT fue el principal impulsor del patrón de crecimiento sigmoidal en la primera mitad del año, pasando de casi el 0% al 7% de la población de usuarios empresariales muy rápidamente. Google Bard tuvo una forma similar a su crecimiento más tarde en el año cuando estuvo disponible para el público en general, pero su adopción palideció en comparación con ChatGPT. Grammarly comenzó el año como la aplicación de IA más popular debido a su base de usuarios preexistente, y aunque no experimentó un crecimiento tan agresivo como ChatGPT, su popularidad continúa con una tendencia al alza. En el próximo año, Netskope Threat Labs predice que Grammarly seguirá aumentando su popularidad y reducirá la distancia que le separa de ChatGPT, pero seguirá estando por detrás del chatbot polivalente.

La mayoría de los usuarios solo interactúan con aplicaciones de IA generativa unas pocas veces al mes. En el transcurso del año pasado, el usuario promedio aumentó de 5 actividades por mes a 14 actividades por mes, donde una actividad es más comúnmente un mensaje publicado en un chatbot. El cuartil superior de usuarios de aplicaciones de IA mostró un aumento más significativo, de 15 a 85 actividades a lo largo del año. Esto indica que una cuarta parte de la población de usuarios de IA son usuarios avanzados que están aumentando cada vez más rápidamente su uso de aplicaciones de IA generativa. Netskope Threat Labs espera que ambas tendencias se mantengan en 2024: el número total de usuarios que acceden a las aplicaciones de IA en la empresa seguirá aumentando sólo modestamente, mientras que la cantidad de actividad de los usuarios avanzados aumentará significativamente a medida que la población de superusuarios encuentre nuevas formas de exprimir el valor adicional de estas tecnologías.

Una mirada más cercana a las diez principales aplicaciones de IA generativa a medida que 2023 llega a su fin revela tres tendencias notables que esperamos que continúen en 2024.

Los chatbots reinan
ChatGPT, el primer chatbot de IA generativa en ganar popularidad, sigue en la cima a finales de año, con un 6,7% de los usuarios empresariales que interactúan con el chatbot al menos una vez al mes. Google Bard, la alternativa a ChatGPT de Google, es el segundo chatbot más popular, pero tiene poco más de una décima parte de la base de usuarios. ChatGPT y Google Bard son de uso general y se pueden usar para respaldar funciones comerciales, como ayudar con tareas de escritura y programación o recuperación de información, o para entretenimiento. Su versatilidad es una de las principales razones de su popularidad. Otros chatbots de interacción con el cliente más especializados, ChatBase y Blip, también se encuentran entre los diez primeros, pero con aún menos usuarios.

Los asistentes de IA se están poniendo al día
Uno de los usos más populares de la tecnología de IA generativa en la empresa hasta ahora es como asistente de escritura. Grammarly, la segunda aplicación de IA generativa más popular, es utilizada por el 3,1% de los usuarios empresariales, y las alternativas QuillBot y Wordtune también se encuentran entre las diez primeras. Tabnine es un asistente de programación que ayuda a los programadores a escribir código de manera más eficiente. Netskope Threat Labs prevé que los asistentes de IA, especialmente los de escritura y programación, seguirán ganando popularidad en 2024. Su integración en conjuntos de herramientas de uso común para escribir y programar, y el hecho de que estén diseñados y ajustados específicamente para esas tareas, impulsarán el crecimiento de su popularidad. El hecho de que no se puedan utilizar con fines de entretenimiento también eliminará probablemente las barreras para su adopción en la empresa, mientras que otras aplicaciones, como los chatbots de propósito general, pueden sufrir.

Los generadores de arte de IA se están trasladando a la empresa
Los generadores de arte de IA, específicamente aquellos que pueden generar imágenes, se abrieron camino en los puestos número 9 y 10 de las aplicaciones de IA generativa más populares en la empresa. Al igual que los chatbots, los generadores de arte de IA son herramientas polivalentes que pueden utilizarse para el entretenimiento o para apoyar las funciones empresariales, lo que influye en su popularidad en la empresa. Debido a sus usos de entretenimiento, especialmente su capacidad para generar contenido que no es seguro para el trabajo, es probable que permanezcan en la parte inferior de la lista de popularidad en entornos empresariales en el futuro previsible.

Ingeniería social

El método más común por el cual los adversarios obtuvieron acceso inicial a los sistemas de sus víctimas en 2023 fue a través de la ingeniería social. La ingeniería social suele ser la forma más fácil para que los adversarios obtengan acceso a sistemas empresariales reforzados donde el acceso remoto es limitado y los parches contra vulnerabilidades de seguridad conocidas se aplican de manera oportuna. La ingeniería social se dirige a las personas que tienen acceso a los sistemas, en lugar de a los sistemas en sí mismos. Entre las diversas tácticas y técnicas de ingeniería social utilizadas por los adversarios para atacar a las empresas en 2023, se destacaron dos:

Engañar a las víctimas para que descarguen y ejecuten troyanos
Usar el phishing para engañar a las víctimas para que compartan credenciales confidenciales

El resto de esta sección proporciona una inmersión más profunda en cada una de estas técnicas.

Troyanos

Los usuarios empresariales son constantemente atacados por troyanos desde muchos ángulos diferentes. Los adversarios están elaborando continuamente nuevos troyanos con una variedad de cebos diferentes para engañar a los usuarios para que los descarguen y ejecuten. En 2023, una media de 8 de cada 10k usuarios descargaron una media de 11 troyanos al mes. A lo largo del año, una Organización con 10k usuarios habría tenido una media de 132 troyanos descargados por los usuarios de su red. Netskope Threat Labs espera que ambas cifras se mantengan relativamente constantes a lo largo de 2024.

Uno de los ángulos que los adversarios utilizan cada vez más para engañar a los usuarios para que descarguen troyanos es alojarlos en aplicaciones SaaS populares. En el último año, el porcentaje de descargas HTTP y HTTPS Malware procedentes de aplicaciones SaaS se ha mantenido constantemente por encima del 50%, una tendencia que Netskope Threat Labs espera que continúe hasta 2024 a medida que se acerque al 60%.

Las aplicaciones específicas en las que los adversarios tienen más éxito en engañar a sus víctimas para que descarguen troyanos son, como era de esperar, también algunas de las aplicaciones más populares de la empresa. En la siguiente figura se desglosan las 20 aplicaciones principales, incluida una comparación interanual. A continuación, destacamos cuatro temas principales de esta trama.

Microsoft OneDrive mantiene su liderazgo
Como se ha comentado anteriormente en este Informe, Microsoft OneDrive está omnipresente en la empresa. Es la aplicación SaaS más popular por un amplio margen, con casi dos tercios de todos los usuarios empresariales accediendo a contenidos en OneDrive cada mes. Por ello, no es de extrañar que también lidere las descargas en Malware. Los adversarios pueden crear fácilmente sus propias cuentas de OneDrive para alojar Malware, que comparten con sus víctimas. Además, debido a que dos tercios de los usuarios usan OneDrive regularmente, están acostumbrados a hacer clic en los vínculos de OneDrive y, por lo tanto, es más probable que lo hagan cuando un adversario comparte uno.

Microsoft Sharepoint tiene matices
Microsoft aprovecha SharePoint en una variedad de otros servicios, incluido Microsoft Teams. El aumento interanual de las descargas de Malware procedentes de SharePoint se debe principalmente al incremento de troyanos que se comparten con las víctimas a través de Microsoft Teams, que aparecen como descargas de Microsoft SharePoint en la plataforma Netskope.

Las aplicaciones que ofrecen alojamiento gratuito son las líderes
La mayoría de las aplicaciones de las 20 principales son aplicaciones que brindan servicios gratuitos de alojamiento de archivos. Esto incluye aplicaciones de almacenamiento en la nube (Microsoft OneDrive, Google Drive, Azure Blob Storage, Amazon S3, Box, Dropbox, Google Cloud Storage), aplicaciones gratuitas de alojamiento Web (Weebly, Squarespace), servicios gratuitos de intercambio de archivos (DocPlayer, MediaFire, WeTransfer) y aplicaciones gratuitas de alojamiento de código fuente (GitHub, SourceForge). Dado que todas estas aplicaciones proporcionan alojamiento de archivos a bajo coste o sin coste alguno, Netskope Threat Labs espera que tanto ellas como otras similares sigan siendo utilizadas de forma abusiva para el envío de Malware y phishing en un futuro previsible.

Phishing

Los adversarios suelen tener más éxito a la hora de engañar a las víctimas para que hagan clic en los enlaces de phishing que a la hora de engañarlas para que descarguen Malware. En promedio, 29 de cada 10k usuarios empresariales hicieron clic en un enlace de phishing cada mes en 2023, más de tres veces la tasa de usuarios que descargaron troyanos. A lo largo del año, una Organización con 10.000 usuarios habría tenido una media de 348 usuarios haciendo clic en enlaces de phishing.

Los atacantes suplantan credenciales y otra información confidencial para una variedad de objetivos diferentes. Los 10 principales objetivos del phishing en 2023 incluían aplicaciones populares en la nube y SaaS, sitios de compras y portales bancarios. Las aplicaciones SaaS y los sitios de compras estuvieron entre los principales objetivos a lo largo del año, mientras que los portales bancarios, las redes sociales y los objetivos gubernamentales experimentaron un aumento constante a lo largo del año. Mientras que algunos adversarios hacen phishing para obtener credenciales y datos que ellos mismos utilizarán, otros sirven como intermediarios de acceso inicial, vendiendo las credenciales robadas, la información bancaria y otros datos en el mercado negro. Netskope Threat Labs predice que las aplicaciones en la nube y SaaS, aunque seguirán figurando entre los principales objetivos del phishing, serán desplazadas por los portales bancarios como principal objetivo a principios de 2024.

Entre las principales categorías de objetivos de phishing, se destacaron algunas más:

Gobierno
El objetivo gubernamental más común fue el Servicio de Impuestos Internos de los Estados Unidos, donde los atacantes crearon páginas de phishing para robar datos financieros de sus víctimas.

Redes Sociales
Facebook, la aplicación de medios sociales más popular en la empresa, sigue siendo la Plataforma de medios sociales más seleccionada por un amplio margen. Los adversarios utilizan cuentas de redes sociales comprometidas para realizar estafas, difundir Malware, propagar información errónea y otras actividades ilícitas.

Compras
Los gigantes de las compras Amazon y Ebay siguen siendo los principales objetivos de compra.

Juego
La plataforma de juegos Steam fue la más seleccionada por un amplio margen. Los adversarios suelen utilizar la información de pago adjunta a la cuenta para realizar compras y también intentan utilizar la cuenta para poner en peligro cuentas adicionales.

Consumer
El servicio de streaming de vídeo Netflix mantuvo su liderazgo como el servicio más víctima de phishing en la categoría de consumo en 2023. Aquí, el objetivo principal es el robo: las cuentas robadas se venden en un mercado negro a personas que buscan una suscripción barata a Netflix.

Entre las aplicaciones en la nube y SaaS objetivo de los adversarios en las campañas de phishing en 2023, un ecosistema de aplicaciones destaca por encima de todos los demás: Microsoft. La popularidad de Microsoft entre los usuarios empresariales significa que las credenciales de Microsoft son un objetivo lucrativo para los atacantes y que los usuarios estarán más acostumbrados a hacer clic en los enlaces de los servicios de Microsoft. A medida que más usuarios sigan utilizando los servicios de Microsoft, éste seguirá siendo un objetivo principal de los adversarios, que pueden aprovechar el acceso a la cuenta de Microsoft de su víctima para comprometer su negocio Correo electrónico, robar datos confidenciales y pasar a otras aplicaciones conectadas. Por estas razones, Netskope Threat Labs espera que Microsoft siga siendo el principal objetivo del phishing en la nube en 2024, aumentando aún más su ventaja sobre otras aplicaciones.

Una estrategia de suplantación de identidad menos común pero cada vez más extendida consiste en utilizar adjuntos de suplantación de identidad en lugar de enlaces de suplantación de identidad en el correo electrónico. Los archivos adjuntos de phishing están pensados para eludir los controles antiphishing que sólo inspeccionan los enlaces incrustados directamente en el propio Correo electrónico. El tipo más común de archivo adjunto de phishing es un documento PDF que aparenta ser una factura y que dirige a las víctimas para que llamen a un número de teléfono o visiten un enlace si necesitan corregir algo en la factura. Los archivos adjuntos de phishing eran bastante raros a principios de 2022, se dispararon a mediados de año, disminuyeron y volvieron a aumentar a finales de 2023. A pesar del aumento, un usuario empresarial que descarga un archivo adjunto de phishing es menos común que un usuario que hace clic en un enlace de phishing o descarga un troyano. Netskope Threat Labs espera que los archivos adjuntos de phishing sean aún más comunes en 2024.

Perfiles y objetivos del adversario

Hasta ahora en este Informe, hemos destacado que las aplicaciones en la nube y SaaS siguen ganando popularidad en la empresa, ganando más usuarios y más interacciones por usuario cada año. También destacamos que la ingeniería social era la técnica de infiltración más común en 2023, y que el phishing y los troyanos alojados en aplicaciones SaaS y dirigidos a ellas figuraban entre las principales técnicas. Pero, ¿quiénes eran los adversarios que empleaban estas técnicas? ¿Cuáles eran sus motivaciones y objetivos? ¿Qué riesgo representaban para la Organización a la que se dirigían? Esta sección explora las respuestas a estas tres preguntas.

Netskope Threat Labs rastrea a los adversarios que atacan activamente a los clientes de Netskope para comprender mejor sus motivaciones, tácticas y técnicas, de modo que podamos construir mejores defensas contra ellos. Por lo general, categorizamos las motivaciones del adversario como criminales o geopolíticas.

Adversarios criminales
El objetivo principal de un grupo criminal adversario es la ganancia financiera, lo que recientemente ha significado un fuerte enfoque en la extorsión. La extorsión ha sido un negocio extremadamente rentable para los ciberdelincuentes, con un estimado de 457 millones de dólares en pagos de rescate realizados en 2022. En estos días, los adversarios criminales han ampliado su cartera de técnicas de extorsión para ayudar a aumentar la probabilidad de éxito. Estas técnicas incluyen:

Despliegue de Ransomware. El objetivo es detener las operaciones y los sistemas de la víctima cifrando todos sus datos. La táctica de negociación inicial es prometer descifrar sus datos si pagan el rescate. Algunos adversarios incluso van tan lejos como para afirmar que están ayudando a la víctima: la víctima tiene tanta suerte que el adversario benévolo solo quiere dinero para descifrar los archivos y no quiere hacer ningún daño real. ¡Imagínese si alguien con intenciones más nefastas hubiera obtenido acceso al entorno de la víctima!
Implementación de un ladrón de información. Un ladrón de información roba datos confidenciales de la víctima, generalmente comprimiendo y exfiltrando los datos a través de HTTP o HTTPS para mezclarlos con otro tráfico. Los datos robados se utilizan como palanca para convencer a la víctima de que pague el rescate. Por ejemplo, si la víctima puede restaurar fácilmente a partir de copias de seguridad y reanudar las operaciones normales, no estaría particularmente motivada para pagar. Tal vez la amenaza de exponer datos confidenciales públicamente podría hacerles cambiar de opinión.
Sabotaje de sistemas. Los limpiaparabrisas son cada vez más utilizados por la Organización criminal como táctica final para ayudar a motivar el pago. Los adversarios comenzarán a destruir datos y a desconectar los sistemas cuanto más tiempo continúen las negociaciones de extorsión, con la expectativa de que esto pueda motivar aún más a la víctima a pagar.

Aunque intentamos etiquetar a cada grupo criminal adversario según el país en el que operan, muchos grupos trabajan a nivel transnacional. Además, muchos ahora operan en un modelo de afiliados, lo que hace que sus operaciones sean aún más dispersas. Como resultado, normalmente asociamos un grupo con el país o la región de la que se cree que provienen sus miembros principales.

Adversarios geopolíticos
Los grupos adversarios geopolíticos suelen ser Estados-nación o sus representantes, y sus actividades suelen reflejar conflictos políticos, económicos, militares o sociales más amplios. Los grupos geopolíticos suelen participar en operaciones cibernéticas contra otros Estados-nación como una estrategia moderna de relaciones internacionales. Las líneas entre adversarios geopolíticos y criminales pueden difuminarse, y algunos grupos geopolíticos también participan en actividades motivadas financieramente. Las operaciones cibernéticas específicas emprendidas por los adversarios geopolíticos varían, entre ellas:

Espionaje cibernético
Sabotaje de infraestructuras críticas
Guerra de la información
Difusión de propaganda
Manipulación de la opinión pública
Influir en las elecciones

Atribución
Atribuir actividad a un grupo adversario específico puede ser un desafío. Los adversarios intentan ocultar sus verdaderas identidades o incluso lanzan intencionadamente operaciones de falsa bandera en las que intentan hacer que sus ataques parezcan provenir de otro grupo. Varios grupos a menudo usan las mismas tácticas y técnicas, algunos van tan lejos como para usar las mismas herramientas o infraestructura. Incluso definir grupos adversarios puede ser un desafío, ya que los grupos evolucionan o los miembros se mueven entre grupos. Las atribuciones de los adversarios son difusas y están sujetas a cambios y evoluciones a medida que sale a la luz nueva información.

La mayor parte de la actividad de los adversarios dirigida contra los clientes de Netskope en 2023 tuvo una motivación criminal, siendo los adversarios geopolíticos los más activos contra los usuarios de Asia y América Latina. Dentro de Asia, la mayor concentración de actividad de adversarios geopolíticos se centró en las víctimas de la India y Singapur, y en América Latina se centró en las víctimas de Brasil.

En general, la mayor parte de la actividad del adversario se atribuyó a grupos criminales con sede en Rusia (objetivos en todo el mundo), seguidos de grupos geopolíticos en China (dirigidos principalmente a víctimas en Asia, especialmente en Singapur). Los grupos adversarios ubicados en otras regiones representaron menos de una cuarta parte de toda la actividad adversaria rastreada por Netskope Threat Labs en 2023. En el resto de esta sección, proporcionamos un perfil de adversario para los cinco grupos de adversarios más activos en 2023, destacando sus motivaciones, tácticas, técnicas y estrategias de orientación. Esta lista incluye tres grupos criminales con sede en Rusia y dos grupos geopolíticos con sede en China.

TA551

Ubicación: Rusia
Motivación: Criminal
Alias: CABAÑA DE ORO, Shathak

La actividad atribuida a TA551 provino principalmente de troyanos bancarios, específicamente variantes de Pinkslipbot, Ursnif y QakBot. El TA551 se dirigió a víctimas de todo el mundo y de múltiples verticales del sector, como la fabricación, los servicios financieros, la tecnología y la sanidad. Mientras que muchas organizaciones criminales se han pasado a una estrategia centrada en la extorsión, TA551 parece contentarse con seguir con su estrategia probada de robar información bancaria directamente a sus víctimas.

Araña maga

Ubicación: Rusia
Motivación: Criminal
Alias: UNC1878, TEMP. MixMaster, Grim Spider, FIN12, GOLD BLACKBURN, ITG23, Tempestad Bígara

Wizard Spider es quizás más infame por haber desarrollado el TrickBot Malware y desde entonces se ha dedicado a realizar operaciones en Ransomware. En 2023, Netskope rastreó la actividad asociada a Wizard Spider dirigida a víctimas de todo el mundo. En la mayoría de sus operaciones, utilizaron la popular herramienta del equipo rojo Cobalt Strike para establecer la persistencia en los entornos de las víctimas. El marco Cobalt Strike proporciona un ejecutable ligero que se implanta en el entorno de la víctima y se comunica con un servidor controlado por el atacante. Suele utilizarse para proporcionar acceso remoto y desplegar cargas útiles adicionales Malware (en este caso, principalmente Ransomware). La mayor parte de la actividad de Wizard Spider que rastreamos en 2023 siguió un patrón común: evitar las búsquedas de DNS comunicándose directamente con el servidor controlado por el atacante a través de su dirección IP a través de HTTP.

TA505

Ubicación: Rusia
Motivación: Criminal
Alias: Colmena0065

TA505 es otro grupo criminal ruso Ransomware y es responsable del Clop Ransomware. Al igual que Wizard Spider, también utilizaron en gran medida Cobalt Strike para la persistencia y para desplegar cargas útiles Ransomware. También utilizaron la red de bots Amaday para desplegar Ransomware y otras cargas útiles de Malware en los sistemas infectados. Al igual que Wizard Spider, sus implantes Cobalt Strike y Amadey tendían a comunicarse directamente con su infraestructura C2 a través de direcciones IP, evitando las búsquedas de DNS. A diferencia de Wizard Spider, que se dirigía a organizaciones de todo el mundo, las actividades de TA505 se concentraron en Asia y Europa.

APT41

Ubicación: China
Motivación: Geopolítico
Alias: Panda malvado

APT41 es un grupo de espionaje patrocinado por el Estado que también se dedica a los ataques con motivación financiera Ransomware. Aunque en el pasado sus actividades se extendieron por todo el mundo, en 2023 se centraron principalmente en Asia y Europa, sobre todo en la Organización de servicios financieros con sede en Singapur. Al igual que otros grupos, dependían en gran medida del marco Cobalt Strike para persistir y desplegar cargas útiles adicionales. También utilizaron la puerta trasera POISONPLUG, cuyas variantes utilizan las redes sociales Plataforma como canales de mando y control.

Tierra Lusca

Ubicación: China
Motivación: Geopolítico
Alias: ETIQUETA-22

Earth Lusca está estrechamente relacionado con APT41 en el sentido de que utiliza herramientas muy similares. En 2023, utilizaron Cobalt Strike y POISONPLUG contra objetivos de todo el mundo que abarcaban múltiples sectores, incluidos los servicios financieros, la industria manufacturera, la sanidad, la tecnología y el SLED.

Recomendaciones

La complejidad de un entorno empresarial en el que los usuarios introducen constantemente nuevas aplicaciones en el redil al tiempo que las aplicaciones existentes se integran cada vez más en los procesos empresariales básicos puede hacer que dichos entornos sean difíciles de proteger. Netskope Threat Labs recomienda limitar el acceso a las aplicaciones únicamente a aquellas que sirvan a un propósito empresarial legítimo y crear un proceso de revisión y aprobación de las aplicaciones Nuevo. Para las aplicaciones muy utilizadas y muy integradas, Netskope recomienda implantar un proceso continuo de gestión de la postura para garantizar que las aplicaciones están configuradas para reducir el riesgo para la Organización. También recomendamos implementar un proceso de supervisión continua que alerte a los operadores de seguridad cuando las aplicaciones se utilicen indebidamente o se hayan visto comprometidas.

Ahora que las aplicaciones de IA generativa se han afianzado en la empresa, garantizar la habilitación y adopción seguras de las aplicaciones de IA debería ser una prioridad urgente para la mayoría de las Organizaciones. La habilitación segura implica la identificación de las aplicaciones permitidas y la aplicación de controles que permitan a los usuarios utilizarlas en todo su potencial, al tiempo que protegen a la Organización de los riesgos. Si desea información más detallada sobre cómo puede ayudarle Netskope, consulte el resumen de la solución ChatGPT y protección de datos de IA generativa.

A la luz del continuo aumento de la ingeniería social para el acceso inicial, Netskope Threat Labs recomienda seguir invirtiendo en la reducción del riesgo de ingeniería social, incluyendo la formación en concienciación de seguridad y la tecnología antiphishing. Debido al creciente interés de los adversarios por atacar y abusar de las aplicaciones en la nube y en SaaS, la Organización debe asegurarse de que sus soluciones de seguridad inspeccionan a fondo todo el tráfico de la red (incluido el tráfico hacia y desde las aplicaciones populares en la nube y en SaaS ) y de que supervisan activamente las aplicaciones gestionadas en busca de signos de abuso y compromiso.

Hay muchos puntos en común entre los grupos de adversarios activos, incluida la instalación de implantes como Cobalt Strike para permitir el acceso remoto clandestino; el despliegue de Ransomware, infostealers y wipers; y los subsiguientes intentos de extorsión. Bloquear el acceso remoto, parchear los sistemas contra exploits conocidos y reducir los riesgos de ingeniería social puede ayudar a prevenir el acceso inicial y, por lo tanto, también la actividad más significativa y costosa de los atacantes. Sin embargo, también se deben implementar capas adicionales de controles para atrapar a adversarios decididos que logren encontrar su camino más allá de las capas iniciales. Estas capas adicionales incluyen el despliegue de una seguridad de red y de Endpoint que pueda bloquear los intentos de intrusión, las comunicaciones de mando y control y la exfiltración maliciosa de datos. También incluyen el despliegue de herramientas de seguridad de red y Endpoint que puedan detectar la actividad inusual que suele producirse cuando un adversario se ha infiltrado en un sistema pero aún no ha desplegado Ransomware o exfiltrado datos. Detectar e interrumpir a un adversario en esta etapa aún puede evitar que un ataque se vuelva dañino o costoso.

Una estrategia de ciberseguridad de varios niveles centrada en la reducción de riesgos, el bloqueo de las actividades de los adversarios y la supervisión continua puede ayudar a proteger a la Organización de las asombrosas pérdidas causadas por un ciberataque con éxito.

Informes de nube y amenazas

El informe Netskope Cloud and Threat Report ofrece una visión única sobre la adopción de aplicaciones en la nube, los cambios en el panorama de las amenazas en la nube y los riesgos para los datos de la empresa.

Examinar informes

Tormenta con relámpagos sobre la ciudad por la noche

Acelere su estrategia de seguridad con el líder en SASE.

¡Empezar!