Trend Micro Incorporated presentó su reporte anual de amenazas 2023 en el que se destacan los principales ataques que cubren ransomware, nube y empresa, el panorama de riesgos y las amenazas persistentes avanzadas (APT). Así mismo, ha revelado un aumento anual del 10 % en el total de amenazas bloqueadas en 2023 y advierte que los atacantes utilizan métodos más avanzados apuntando a menos víctimas para enfocarse en empresas de alto perfil con el potencial de obtener mayores beneficios económicos.
Trend Micro bloqueó 161.000 millones de amenazas en general en 2023, en comparación con los 82.000 millones de amenazas de hace cinco años. En 2023, las amenazas bloqueadas por correo electrónico y reputación web disminuyeron anualmente un 47 % y un 2 %, respectivamente. También disminuyeron las amenazas bloqueadas por el Servicio de Reputación de Aplicaciones Móviles de Trend (-2 %), la Red Doméstica Inteligente (-12 %) y el Servicio de Reputación de Internet de las Cosas (-64%). Sin embargo, se produjo un aumento anual del 35 % en las amenazas bloqueadas por el Servicio de Reputación de Archivos (FRS) de Trend.
Esto podría indicar que los autores de amenazas están eligiendo sus objetivos con más cuidado. En lugar de lanzar ataques a un mayor número de usuarios y confiar en que las víctimas hagan clic en enlaces maliciosos de sitios web y correos electrónicos, se dirigen a un número más reducido de víctimas de alto perfil con ataques más sofisticados. Esto podría permitirles eludir las primeras capas de detección, como los filtros de red y de correo electrónico, lo que explicaría el aumento de las detecciones de archivos maliciosos en los endpoints.
Jon Clay, vicepresidente de inteligencia de amenazas de Trend, declaró: «Estamos bloqueando más amenazas que nunca para nuestros clientes, pero entendemos que los adversarios mostraron una variedad y sofisticación de TTPs en sus ataques, especialmente en la evasión de la defensa. Como demuestra nuestro informe, los defensores de la red deben seguir gestionando proactivamente el riesgo en toda la superficie de ataque actual. Comprender las estrategias preferidas por nuestros adversarios es la base de una defensa eficaz”.
Otras tendencias observadas en el informe son:
- La detección de malware en el correo electrónico aumentó un 349 % interanual, mientras que las detecciones de URL maliciosas y de phishing disminuyeron un 27 % interanual, lo que pone de manifiesto una vez más la tendencia a utilizar más archivos adjuntos maliciosos en sus ataques.
- Las detecciones de correos electrónicos de negocio comprometidos (BEC) aumentaron un 16 % interanual.
- Las detecciones de ransomware descendieron un 14 % interanual, ataques en los cuales se optimizaron técnicas como el cifrado remoto e intermitente, así como la elusión de EDR mediante el abuso de máquinas virtuales.
- Los ataques de ransomware contra Linux y MacOS representaron el 8 % del total de ransomware detectado.
- Las principales familias de ransomware detectadas durante 2023 fueron: LockBit, StopCrypt y BlackCat.
- Tailandia y Estados Unidos fueron los dos países con más víctimas de ransomware, siendo la banca el sector más afectado.
- Las principales detecciones de MITRE ATT&CK fueron evasión de la defensa, comando y control, acceso inicial, persistencia e impacto.
- El acceso a aplicaciones en la nube fue el principal evento de riesgo detectado por la gestión de riesgos de la superficie de ataque (ASRM) de Trend, registrado casi 83.000 millones de veces.
- Zero Day Initiative de Trend descubrió y divulgó de forma responsable 1914 días cero, un 12% más que el año anterior. Entre ellos se incluyen 111 errores de Adobe Acrobat y Reader.
- Las aplicaciones de Windows fueron las 3 principales vulnerabilidades explotadas a través de detecciones de nuestros parches virtuales.
- Mimikatz (utilizado en la recopilación de datos) y Cobalt Strike (utilizado en Comando y Control) siguieron siendo las herramientas legítimas preferidas para abusar de ellas como ayuda a la actividad delictiva.
Trend Micro recomienda a los defensores de red trabajar con proveedores de seguridad de confianza con un enfoque de plataforma de ciberseguridad para garantizar que los recursos no solo estén protegidos sino también supervisados de manera continua en busca de nuevas vulnerabilidades, dar prioridad a la eficiencia del SOC monitorizando las aplicaciones en la nube a medida que se integran de forma estrecha en las operaciones diarias, asegurar la aplicación con los últimos parches/actualizaciones a los sistemas operativos y las aplicaciones, y utilizar protocolos de seguridad exhaustivos para protegerse contra las vulnerabilidades presentes en las superficies de ataque digital.
