A medida que los actores de amenazas adaptan continuamente sus TTP en el panorama de amenazas actual, usted también debe hacerlo
A principios de este año, los investigadores de amenazas de Cybersixgill publicaron el informe anual, El estado de la clandestinidad del ciberdelito. La investigación se deriva de un análisis de los elementos de inteligencia recopilados por Cybersixgill a lo largo de 2022, recopilados de la red profunda, oscura y clara. El informe examina la evolución continua de las tácticas, herramientas y procedimientos (TTP) de los actores de amenazas en la era digital, y cómo las organizaciones pueden adaptarse para reducir el riesgo y mantener la resiliencia empresarial.
Este artículo resume algunos de los hallazgos del informe, incluidas las tendencias en el fraude con tarjetas de crédito, las observaciones sobre las criptomonedas, los desarrollos de IA y cómo están reduciendo las barreras de entrada al delito cibernético y el aumento de las actividades «como servicio» de los ciberdelincuentes. Más adelante, también analizo la necesidad de un nuevo enfoque de seguridad, que combine la gestión de la superficie de ataque (ASM) y la inteligencia de amenazas cibernéticas (CTI) para combatir los métodos en constante cambio de los actores de amenazas. El El informe completo de Cybersixgill está disponible aquí.
1 — El fraude con tarjetas de crédito está (en su mayoría) en declive
El fraude con tarjetas de crédito ha sido una amenaza común y frecuente utilizada por los ciberdelincuentes clandestinos durante muchos años. Pero varios desarrollos recientes están ralentizando la marea y reduciendo significativamente los incidentes de fraude con tarjetas de crédito. Más recientemente, hemos visto una disminución significativa en las tarjetas de crédito comprometidas para la venta en mercados clandestinos ilícitos. Por ejemplo, en 2019, los mercados de la web oscura pusieron a la venta aproximadamente 140 millones de tarjetas comprometidas. El número disminuyó a alrededor de 102 millones en 2020 y se desplomó nuevamente en otro 60% a casi 42 millones de tarjetas en 2021. Finalmente, en 2022, este total volvió a caer a solo 9 millones de tarjetas. La disminución significativa en el fraude con tarjetas de crédito se debe principalmente a lo siguiente:
- Mejoras en la autenticación y la prevención del fraude: los bancos y las instituciones financieras están utilizando métodos avanzados de autenticación y «sin contraseña» que hacen que sea más difícil comprometer una tarjeta, como la autenticación biométrica (p. ej., huellas dactilares y reconocimiento facial), así como PIN, chips EMV, y autenticación multifactor (MFA).
- Detección de fraude en tiempo real: implementado principalmente por compañías de tarjetas de crédito, los sistemas de detección de fraude en tiempo real que utilizan algoritmos de aprendizaje automático para analizar el comportamiento del usuario, los patrones de gasto y los datos de geolocalización pueden identificar anomalías o actividades sospechosas. Una vez que una transacción se marca como sospechosa, el emisor puede exigir tipos adicionales de verificación, como hacer una pregunta de seguridad o enviar una verificación por SMS, lo que hace que sea más difícil para los estafadores usar tarjetas robadas.
- Mejoras en la seguridad del comercio electrónico: desde 2021, los sitios de comercio electrónico han estado utilizando medidas de seguridad más sólidas, como la autenticación de dos factores (2FA), los sistemas de verificación de direcciones y los sistemas de pago seguros que se adhieren a PCI DSS, lo que dificulta las amenazas cibernéticas. actores para robar datos de tarjetas de crédito de los consumidores.
2 — Criptomoneda: una herramienta y un objetivo
Un sello distintivo de la criptomoneda es que está descentralizada, lo que permite a los usuarios el anonimato y la privacidad. No sorprende, entonces, que las criptomonedas sean el método de pago elegido por los ciberdelincuentes para comprar bienes y servicios ilícitos, lavar las ganancias de los ataques cibernéticos y recibir pagos de ransomware. A medida que la criptomoneda ha ganado una adopción más amplia para fines legítimos, también se ha convertido en un objetivo para los actores de amenazas, presentando nuevas oportunidades para el «cripto-jacking», adquisiciones de billeteras digitales, cripto-minería y desvío de activos digitales de los intercambios de criptomonedas.
Incluso con las consecuencias del colapso de las criptomonedas de 2022, el valor de las criptomonedas entre los ciberdelincuentes no ha hecho más que aumentar. Como se revela en nuestro informe, vimos un aumento del 79 % en los ataques de apropiación de cuentas criptográficas en 2022. (En última instancia, los ciberdelincuentes usan criptografía para mover dinero, no para ganar dinero. Si bien las transacciones clandestinas se consuman en criptomonedas, los precios se enumeran en dólares). .) Sin embargo, los actores de amenazas pueden finalmente abandonar las criptomonedas si los inversores continúan retirándose debido a la volatilidad del mercado, ya que menos usuarios de criptomonedas facilitan que las fuerzas del orden público rastreen las transacciones ilícitas y que los legisladores apliquen una regulación más estricta. Seguimos observando este espacio para ver cómo evoluciona.
3 — Democratización de la IA
En menos de un año desde que apareció por primera vez en escena, los ciberdelincuentes continúan mostrando un gran entusiasmo por ChatGPT, así como por otras herramientas de IA recientemente lanzadas, y su promesa como un multiplicador de fuerza para el ciberdelito. Con su capacidad para emular el lenguaje humano para la ingeniería social e incluso automatizar el desarrollo de código de malware, con las indicaciones y orientación adecuadas, los actores de amenazas pueden optimizar toda la cadena de ataque. ChatGPT permite a los ciberdelincuentes novatos y menos sofisticados llevar a cabo actos maliciosos más rápido y con relativa facilidad. Como se discutió en nuestro informe, la tecnología de inteligencia artificial está haciendo que el delito cibernético sea más accesible y reduciendo la barrera de entrada al permitir que los actores de amenazas escriban rápidamente código malicioso y realicen otras actividades preparatorias «pre-ransomware».
4 — Comercialización del ciberdelito con ofertas como servicio
El modelo de negocio como servicio está aumentando, dada su capacidad para ayudar a los ciberdelincuentes a comercializar su experiencia y escalar operaciones. Al comprar sofisticados servicios, infraestructuras o herramientas de piratas informáticos, los actores de amenazas pueden subcontratar el trabajo de base necesario para lanzar un ataque cibernético con un esfuerzo mínimo. Especialmente preocupante es el aumento continuo de Ransomware-as-a-Service (RaaS). El modelo comercial de RaaS funciona de manera muy similar a un negocio moderno, en el que los desarrolladores y operadores de ransomware arriendan su tecnología e infraestructura de ransomware a una red de «afiliados» menos calificados para su distribución a cambio de una parte de las ganancias de la extorsión del rescate, escalando así sus operaciones. Esta oferta como servicio hace que el negocio de la extorsión sea accesible y rentable para un grupo más grande de ciberdelincuentes, lo que impulsa el rápido aumento de los ataques de ransomware año tras año.
ASM y CTI: una poderosa arma cibernética contra el ciberdelito clandestino
Cada activo conectado dentro de la superficie de ataque en expansión de una organización presenta a los ciberdelincuentes un punto de entrada potencial para el ataque. Hoy en día, proteger la superficie de ataque organizacional en expansión solo con inteligencia de amenazas cibernéticas para evaluar la exposición es una tarea casi imposible. La superficie de ataque moderna es cada vez más externa y se extiende más allá del perímetro de red conocido para incluir un vasto ecosistema de activos desconocidos de recursos basados en la nube, IP conectadas, aplicaciones SaaS y cadenas de suministro de terceros. Como resultado, la mayoría de las organizaciones sufren puntos ciegos importantes en su entorno de TI completamente expuesto a los atacantes, mientras luchan con cantidades abrumadoras de datos de inteligencia de ciberamenazas. Para defenderse eficazmente contra las amenazas cibernéticas, los equipos de seguridad necesitan una visibilidad completa de su superficie de ataque única y una visión en tiempo real de su exposición a amenazas.
Integrada con nuestra Cyber Threat Intelligence (CTI) nativa y líder en el mercado, la solución de gestión de superficie de ataque (ASM) de Cybersixgill elimina los puntos ciegos de visibilidad al automatizar el descubrimiento de lo que no se ve. Con esta solución combinada, continuamente descubrimos, mapeamos, analizamos y clasificamos activos en red desconocidos que podrían exponer a su organización a riesgos, monitoreando su inventario completo de activos en tiempo real a través de la web profunda, oscura y clara. La integración de ASM refina nuestra inteligencia de amenazas líder en el mercado para enfocarse en la superficie de ataque específica de cada organización, brindando las advertencias más tempranas posibles de amenazas emergentes dirigidas a su negocio. Con una visibilidad completa de la exposición a las amenazas de la organización, los equipos de seguridad pueden priorizar con confianza sus esfuerzos y recursos donde más se necesitan, acelerando drásticamente el tiempo medio de remediación (MTTR).
Dado el panorama de amenazas en constante expansión de la era digital, la capacidad de identificar los riesgos de mayor prioridad que enfrenta su organización y enfocar sus esfuerzos en consecuencia ofrece enormes beneficios para los equipos de seguridad con recursos limitados.
Para obtener más información, descargue El estado de la clandestinidad del ciberdelito.
Para programar una demostración, visite https://cybersixgill.com/book-a-demo.
Nota: Este artículo fue escrito por expertos y contribuido por Delilah Schwartz, estratega de seguridad en Cybersixgill.