Imagen (en adelante): Trend Micro
Oficinas en el hogar como puntos de apoyo criminales
El rápido éxodo de empleados para trabajar de forma remota debido a la pandemia ha traído muchas consecuencias. Uno de ellos fue la desaparición de la frontera entre el trabajo y lo personal, porque la conexión a la red interna de la oficina ahora se realiza a través de proveedores de Internet "minoristas", y los enrutadores domésticos más simples se utilizan como dispositivo.
La red doméstica puede contener computadoras de otros miembros de la familia. Estos últimos pueden conectarse a los servidores de otras organizaciones, estudiar de forma remota o jugar, pero en cualquier caso, sus dispositivos crean riesgos adicionales. No es raro que los miembros de la familia compartan la misma computadora para trabajar en varias organizaciones.
En teoría, usar una VPN protege la conexión a las redes de la oficina, pero no debe relajarse demasiado aquí, porque las VPN también encuentran errores, por ejemplo:
El nuevo formato para el uso de redes domésticas conducirá inevitablemente al hecho de que se convertirán en un trampolín para los ciberdelincuentes que buscan infiltrarse en las redes corporativas. Hackear una red doméstica y acceder a la computadora personal de un empleado es mucho más fácil.
Luego, puede navegar de un sistema a otro utilizando, por ejemplo, malware que explota vulnerabilidades con potencial de gusano, como la vulnerabilidad RCE recientemente descubierta en Microsoft Teams , que ni siquiera requiere la interacción del usuario para explotar.
El uso de redes domésticas como recurso básico para lanzar ataques a redes corporativas también se generalizará en los ataques a la cadena de suministro. Se prestará especial atención a los empleados que tienen acceso remoto a información confidencial y crítica, por ejemplo, empleados del departamento de ventas, departamento de personal y soporte técnico.
Y dado que las redes domésticas generalmente carecen de sistemas de detección de intrusos y otras soluciones de seguridad de nivel empresarial, los atacantes pueden afianzarse permanentemente en las redes domésticas e infiltrarse en todas las organizaciones a las que tienen acceso los miembros de la red doméstica.
Una continuación lógica del negocio del ciberdelincuente que utiliza redes domésticas será el crecimiento de las ofertas de acceso a enrutadores domésticos comprometidos. El costo de dicho "servicio" dependerá del nivel de acceso del propietario del dispositivo doméstico comprometido. Por ejemplo, un enrutador pirateado de un administrador de TI o un ejecutivo de la empresa costará más que un enrutador de un empleado común con los privilegios mínimos necesarios en la red corporativa.
La pandemia seguirá siendo un caldo de cultivo para las campañas de malware
Los ciberdelincuentes utilizan cualquier fuente de noticias importante para crear campañas fraudulentas y la pandemia de coronavirus simplemente no podía pasar desapercibida. COVID-19 crea problemas para los negocios globales, tanto en forma de bloqueos y restricciones, como en forma de amenazas a la ciberseguridad.
La segunda ola trajo nuevas restricciones y preparó el escenario para nuevas campañas fraudulentas. El crimen organizado intentará infiltrarse en la logística a medida que las compras en línea continúen creciendo y el número de paquetes entregados aumente. Es probable que aumente el número de tiendas que venden productos falsificados y diversos productos ilegales.
Esperamos un aumento significativo de los ataques a las instalaciones sanitarias, especialmente las relacionadas con la producción de vacunas y los servicios de telemedicina. El beneficio potencial del sabotaje de laboratorios y la extorsión, así como la capacidad de vender secretos médicos de forma rentable, atraerá a un gran número de ciberdelincuentes.
Aún más generalizadas serán las campañas de desinformación de los usuarios construidas en torno a una amplia variedad de vacunas contra el coronavirus. Los delincuentes atraerán a los visitantes a recursos fraudulentos ofreciendo vacunas sin colas, vacunas mejoradas y otros cebos para obtener información confidencial y detalles de tarjetas bancarias de sus víctimas.
Los desafíos de la gestión híbrida
El teletrabajo ya se ha convertido en algo común y el número de trabajos remotos solo crecerá en 2021. El uso de computadoras domésticas para trabajar en una red de oficina creará un entorno híbrido en el que el trabajo y los datos personales se mezclan en el mismo dispositivo.
Esto plantea un problema grave para las organizaciones que están perdiendo el control sobre las acciones de los empleados, ya que establecer restricciones en los dispositivos personales puede hacer que sea imposible completar las tareas personales. Y si una computadora se infecta con malware, ¿quién realizará la recuperación y cómo se tendrán en cuenta los datos personales del empleado?
El seguimiento de impresiones o exportaciones de datos desde dispositivos personales es igualmente un desafío.
Para abordar estos desafíos en 2021, se aplicará ampliamente el modelo de confianza cero, en el que cualquier usuario es considerado un delincuente hasta que se demuestre lo contrario. En base a esto, los usuarios reciben los derechos mínimos necesarios para realizar el trabajo, que son controlados sistemáticamente, y toda su actividad es registrada y analizada.
El modelo de confianza cero se integrará con los perímetros de la nube de las organizaciones, lo que permitirá a los equipos de seguridad realizar un seguimiento de todo el tráfico entrante y saliente.
Aumento del uso delictivo de datos médicos
Debido a la pandemia, todos los países comenzaron a monitorear la salud de los ciudadanos. El nivel de recopilación de datos de salud personal no tiene precedentes, y la prisa por implementar estas medidas ha llevado al hecho de que las filtraciones se han convertido en algo común.
Por ejemplo, a principios de diciembre se supo de la filtración de datos personales de 300 mil moscovitas que se habían recuperado del coronavirus . La información contiene el nombre completo, direcciones de residencia y registro, así como toda la información sobre el curso de la enfermedad y los análisis. Además, hay datos en los servidores 1C y claves para conectarse al sistema de registro de pacientes COVID-19.
A veces, las fuentes de las fugas serán los propios trabajadores sanitarios, como sucedió con los trabajadores sanitarios, quién ingresó los datos para conectarse al sistema de información en la barra de búsqueda de Yandex . Yandex indexó obedientemente esta información y se la ofreció a todos.
El acceso rápido a los datos puede ser fundamental para combatir un brote, pero mitigar las medidas de privacidad de los datos es problemático en sí mismo. Grandes bases de datos de datos confidenciales, junto con una implementación apresurada, proporcionarán un terreno fértil para los atacantes que buscan comprometer los datos recopilados y almacenados. Los grupos de ciberdelincuentes pueden abusar de esto de diversas formas, como usarlo para revender o crear campañas de estafa específicas.
Inyección rápida de vulnerabilidades conocidas
Las vulnerabilidades de día cero (día cero) son muy eficaces, pero las posibilidades de su uso están limitadas por una serie de dificultades: los expertos que las descubrieron tienden a vender su descubrimiento a un precio más alto y, por lo general, hay muy poca documentación sobre cómo utilizarlas.
Al mismo tiempo, las vulnerabilidades conocidas o las vulnerabilidades en n-day están bien documentadas, hay ejemplos de código publicados con una demostración del trabajo, y todo esto está disponible de forma gratuita.
Esperamos que en 2021 la comunidad de ciberdelincuentes se mueva hacia la implementación rápida de vulnerabilidades y exploits de n días lanzados por la comunidad de investigación. Por ejemplo, durante la Operación Poisoned News, los atacantes explotaron el código PoC de varias vulnerabilidades de escalada de privilegios.lanzado como parte de Google Project Zero. El grupo de hackers Earth Kitsune modificó los exploits lanzados por Project Zero y Trend Micro Zero Day Initiative (ZDI) para su uso en ataques .
Los mercados clandestinos ofrecerán herramientas basadas en vulnerabilidades de n días que los delincuentes pueden comprar y utilizar sin conocimientos técnicos.
Usar API vulnerables como vectores de ataque
Muchas empresas utilizan interfaces de programación de aplicaciones (API) para proporcionar acceso a sistemas internos e interactuar con los clientes a través de aplicaciones. El problema es que estas API pueden ser explotadas por delincuentes que buscan un punto de entrada a la red de una organización. A medida que las API se utilizan cada vez más en el espacio corporativo, también aumentarán los ataques contra las API.
Es alarmante que, si bien las API son omnipresentes, su seguridad aún está en pañales. Debido a esto, pueden convertirse en fuentes de fuga de datos en aplicaciones corporativas.
Ataques al software industrial y en la nube
Esperamos un aumento en el número de ataques a los programas y servicios más populares para organizar el trabajo remoto. La mayor cantidad de investigación conducirá a la publicación de vulnerabilidades reveladas, lo que significa que los expertos tendrán que monitorear de cerca los errores de clase críticos y problemas similares en el software empresarial remoto.
Continuando con la tendencia en 2020, los ciberdelincuentes continuarán buscando y explotando vulnerabilidades en la nube. Y dado el movimiento de datos y todo el entorno de trabajo a las nubes, esto creará riesgos adicionales para las empresas.
Otro vector de ataques a entornos de nube es la introducción de imágenes de contenedores maliciosos en el repositorio, lo que permitirá atacar a los usuarios mediante servicios de contenedorización de software.
Nuestras recomendaciones
Recomendamos que los profesionales de la seguridad pasen de responder a las amenazas a prevenirlas. Proponemos considerar las siguientes como principales áreas de enfoque para 2021:
-
Educar y capacitar a los usuarios Los delincuentes seguirán explotando el miedo que rodea a COVID-19, por lo que es esencial educar a los usuarios y capacitarlos para contrarrestar los ataques cibernéticos. Las organizaciones deben fortalecer su conocimiento de las amenazas y difundir las contramedidas corporativas más efectivas a los teletrabajadores. Una parte obligatoria de esta información son las instrucciones sobre cómo utilizar de forma segura sus dispositivos personales. -
, , , . : . -
, . -
, «» , , , . , , .