Mencionaron el ataque del fin de semana del Día de la Madre en Colonial Pipeline, el ataque del fin de semana del Día de los Caídos contra el principal procesador de carne JBS, así como el ataque de Kaseya del 4 de julio.
CISA y el FBI emitieron una advertencia de posibles ataques cibernéticos que pueden ocurrir durante el próximo fin de semana del Día del Trabajo, y señalaron que en los últimos años los piratas informáticos han lanzado docenas de ataques devastadores durante los fines de semana largos.
Instaron a las organizaciones a tomar medidas para proteger sus sistemas, reducir su exposición y potencialmente “participar en la búsqueda preventiva de amenazas en sus redes para buscar señales de actores de amenazas”.
CISA dijo que no tiene inteligencia de amenazas específica que indique que los ataques son inminentes para el próximo fin de semana del Día del Trabajo, pero explicó que los actores de amenazas saben que los equipos de TI están limitados los fines de semana festivos y enumeraron muchos ataques durante los días festivos este año.
Eric Goldstein, subdirector ejecutivo de Ciberseguridad en CISA, dijo que el ransomware “sigue siendo una amenaza para la seguridad nacional”, pero señaló que los desafíos que presentan los posibles ataques “no son insuperables”.
“Con nuestros socios del FBI, continuamos colaborando a diario para asegurarnos de brindar avisos oportunos, útiles y procesables que ayuden a los socios de la industria y el gobierno de todos los tamaños a adoptar estrategias de red defendibles y fortalecer su capacidad de recuperación”, dijo Goldstein. “Todas las organizaciones deben seguir atentas a esta amenaza constante”.
Instó a las organizaciones a no pagar rescates en caso de un ataque de ransomware y dijo que se debe contactar a CISA o las oficinas de campo locales del FBI antes de tomar cualquier decisión.
CISA señaló que, en general, hay un aumento de “ataques de ransomware de gran impacto” que se producen en días festivos y fines de semana, y señaló el devastador ataque de Kaseya que tuvo lugar el 4 de julio.
Citaron el ataque del fin de semana del Día de la Madre en mayo por parte del grupo de ransomware DarkSide en Colonial Pipeline y el ataque del fin de semana del Día de los Caídos contra el principal procesador de carne JBS por parte del grupo de ransomware Sodinokibi / REvil. REvil luego golpeó a Kaseya el 4 de julio, continuando la tendencia de ataques navideños.
“El Centro de Quejas de Delitos en Internet del FBI, que proporciona al público una fuente confiable para reportar información sobre incidentes cibernéticos, recibió 791,790 quejas sobre todos los tipos de delitos en Internet – un número récord – del público estadounidense en 2020, con pérdidas reportadas que excedieron $ 4.1 mil millones “, dijo el aviso.
“Esto representa un aumento del 69% en el total de quejas desde 2019. La cantidad de incidentes de ransomware también continúa aumentando, con 2474 incidentes reportados en 2020, lo que representa un aumento del 20% en la cantidad de incidentes y un aumento del 225% en las demandas de rescate. De enero al 31 de julio de 2021, el IC3 ha recibido 2084 quejas de ransomware con más de $ 16,8 millones en pérdidas, un aumento del 62% en los informes y un aumento del 20% en las pérdidas informadas en comparación con el mismo período de tiempo; en 2020 “.
El FBI agregó que durante el último mes, los ataques reportados con mayor frecuencia involucraron a grupos de ransomware como Conti, PYSA, LockBit, RansomEXX / Defray777, Zeppelin y Crysis / Dharma / Phobos.
Según el aviso, más grupos de ransomware también están acoplando el cifrado de activos de TI con la extorsión secundaria de organizaciones con datos confidenciales o privados robados. CISA agregó que los grupos de ransomware eliminan cada vez más las copias de seguridad y agregan otras tácticas para hacer que los ataques sean más devastadores.
Los vectores de acceso inicial más comunes implican phishing y puntos finales de protocolo de escritorio remoto no seguros de fuerza bruta, según CISA. Las bandas de ransomware también están utilizando malware de cuentagotas, explotando vulnerabilidades y aprovechando las credenciales robadas.
A veces, los actores de ransomware pasan semanas dentro de un sistema antes de lanzar un ataque, generalmente los fines de semana o días festivos, por lo que CISA instó a los líderes de TI a buscar en sus sistemas posibles puntos de acceso de manera proactiva. Los patrones de tráfico sospechosos y las ubicaciones de acceso extrañas pueden ayudar a alertar a los equipos de TI de la posibilidad de un ataque, señaló CISA.
Los líderes de TI, como el vicepresidente de ThycoticCentrify, Bill O’Neill, dijeron que los actores maliciosos a menudo saben que los fines de semana largos significan que habrá una respuesta retrasada o un ‘equipo esquelético’ no preparado que simplemente no tiene los recursos para monitorear simultáneamente y disuadir las amenazas rápidamente. suficiente.
“O se monitorearán las amenazas, se activarán alertas automáticas y se harán cumplir ciertos bloqueos, pero a menudo esas amenazas aún requieren la acción humana para la mitigación y controles de seguridad adicionales”, dijo O’Neill.
“Y debido a que la mayoría de las organizaciones prefieren que sus datos se publiquen de inmediato en lugar de esperar la duración de un fin de semana festivo (e incurrir en un daño continuo a la reputación), también es más probable que negocien con los atacantes y paguen el rescate solicitado para minimizar el tiempo prolongado. plazo de los riesgos asociados con estos ataques “.
El gerente senior de Lookout, Hank Schless, agregó que los piratas informáticos saben que las personas pueden estar viajando y no pueden acceder a su computadora de trabajo o dispositivo móvil para ayudar a detener un ataque una vez que reciben una alerta de actividad sospechosa.
Los atacantes ya se han vuelto mucho más avanzados en la forma en que acceden a la infraestructura de una organización, incluso cuando los equipos cuentan con todo el personal y están trabajando, dijo Schless a ZDNet .
Jake Williams, director de tecnología de BreachQuest, explicó que la mayoría de los ataques de ransomware vistos hoy en día podrían descubrirse fácilmente antes del cifrado siguiendo las instrucciones de CISA.
“Esto es especialmente cierto para la revisión de registros. Los actores de amenazas ciertamente podrían realizar movimientos laterales mientras se mantienen fuera de los registros. Aún así, con la gran cantidad de víctimas potenciales con una higiene cibernética horrible, actualmente no hay necesidad de hacerlo”, dijo Williams, agregando que extremadamente Los niveles básicos de higiene y monitoreo de la ciberseguridad son suficientes para lograr la detección temprana de los adversarios del ransomware de hoy.
El vicepresidente de Tripwire, Tim Erlin, lo expresó de manera sucinta: “Los atacantes no se toman los fines de semana libres, ni tampoco su ciberseguridad”.
Fuente: Traducido de www.zdnet.com