Fortinet® (NASDAQ: FTNT), líder global de ciberseguridad que impulsa la convergencia de redes y seguridad, ha presentado el último Índice Global de amenazas semestral, elaborado por FortiGuard Labs. En el mismo se desprende, que en la primera mitad de 2023, se observó un descenso en las organizaciones que detectan ransomware, una actividad significativa entre los grupos de amenazas persistentes avanzadas (APT) y se registró un cambio en las técnicas ATT&CK de MITRE utilizadas por los atacantes, entre otras. Además de los aspectos más destacados que figuran a continuación, se puede encontrar el análisis completo en el Índice Global de Amenazas sobre el panorama mundial de las amenazas del primer semestre de 2023.
Derek Manky, Chief Security Strategist & Global VP Threat Intelligence en FortiGuard Labs, ha declarado: “La lucha contra la ciberdelincuencia es un esfuerzo global que implica establecer relaciones sólidas y de confianza y la colaboración entre los sectores público y privado, así como la inversión en servicios de seguridad impulsados por IA que pueden ayudar a los desbordados equipos de seguridad a coordinar la inteligencia de amenazas procesable en tiempo real en toda su organización. Los equipos de seguridad no pueden permitirse el lujo de quedarse de brazos cruzados ante el aumento sin precedentes de las amenazas dirigidas. FortiGuard Labs de Fortinet sigue proporcionando inteligencia innovadora y procesable, como la Zona Roja y el nuevo análisis Exploit Prediction Scoring System, para ayudar a los equipos de seguridad a priorizar proactivamente los esfuerzos de actualización de parches y responder a las amenazas con más rapidez que nunca”.
Mientras que las organizaciones siguen encontrándose en una posición reactiva debido a la creciente sofisticación de los actores maliciosos y la escalada de los ataques dirigidos, el análisis continuo del Índice de amenazas del primer semestre de 2023 ayuda a proporcionar inteligencia valiosa que puede servir como un sistema de alerta temprana sobre la actividad potencial de amenazas y ayudar a los responsables de seguridad a priorizar su estrategia de seguridad y los esfuerzos de actualización de parches. A continuación, se presentan los aspectos más destacados del informe:
- Disminuye el número de organizaciones que detectan ransomware : FortiGuard Labs ha documentado picos sustanciales en el crecimiento de variantes de ransomware en los últimos años, impulsados en gran medida por la adopción de Ransomware-as-a-Service (RaaS). Sin embargo, FortiGuard Labs ha descubierto que se ha reducido el porcentaje de organizaciones que detectaron ransomware en la primera mitad de 2023 (13%) en comparación con este mismo periodo hace cinco años (22%). A pesar del descenso general, las organizaciones deben mantener la guardia alta. Esto respalda la tendencia que FortiGuard Labs ha observado en los últimos dos años, que muestra que el ransomware y otros ataques son cada vez más selectivos gracias a la creciente sofisticación de los atacantes y al deseo de aumentar el retorno de la inversión (ROI) por ataque. La investigación también descubrió que el volumen de detecciones de ransomware sigue siendo volátil, concretamente 13 veces más alto en este semestre que a finales de 2022, pero con una tendencia general a la baja cuando se realiza una comparación interanual.
- Los cibercriminales se dirigen a las vulnerabilidades más conocidas: Los actores maliciosos son 327 veces más propensos a atacar las principales vulnerabilidades del EPSS (índice que cuantifica la probabilidad de que una determinada vulnerabilidad sea explotada en los próximos 30 días), en un plazo de siete días en comparación con el resto de CVEs (sistema de catalogación pública que identifica y enumera las vulnerabilidades de seguridad conocidas en productos software y hardware).
Desde su creación, Fortinet ha sido uno de los principales colaboradores del Exploit Prediction Scoring System (EPSS), aportando datos de actividad de explotación. Este proyecto tiene como objetivo aprovechar una gran cantidad de fuentes de datos para predecir la probabilidad y el momento en que una vulnerabilidad será explotada. Durante seis años, FortiGuard Labs analizó datos de más de 11.000 vulnerabilidades publicadas que habían sido explotadas y descubrió que las Vulnerabilidades y Exposiciones Comunes (CVEs) categorizadas con una puntuación EPSS alta (gravedad del 1% superior) tienen 327 veces más probabilidades de ser explotadas en un plazo de siete días que cualquier otra vulnerabilidad. Este análisis, el primero de su clase, puede servir como aviso a los CISO y a los equipos de seguridad de la existencia de ataques dirigidos contra sus organizaciones. Al igual que la Zona Roja, introducida en el último Índice Global de amenazas, esta información puede ayudar a los equipos de seguridad a priorizar sistemáticamente los esfuerzos de aplicación de parches para minimizar el riesgo de sus organizaciones.
- La Zona Roja continúa ayudando a los CISOs a priorizar los esfuerzos de parcheado: El análisis de FortiGuard Labs en torno a la explotación de EPSS en el entorno real amplía los esfuerzos para definir la Zona Roja, que ayuda a cuantificar la proporción de vulnerabilidades disponibles en endpoints que están siendo atacados activamente. En la segunda mitad de 2022, la Zona Roja se situó en torno al 8,9%, lo que significa que se observaron unos 1.500 CVEs bajo ataque de los más de 16.500 CVEs conocidos. En el primer semestre de 2023, esa cifra descendió ligeramente hasta el 8,3%. La diferencia entre ambos periodos es mínima y parece ser el momento más propicio para que los ciberdelincuentes ataquen las vulnerabilidades de los terminales. Aun así, es importante señalar que el número de vulnerabilidades descubiertas, presentes y explotadas fluctúa constantemente. Estas variables y la eficacia de la estrategia de gestión de parches de una organización podrían reducir drásticamente su superficie de Zona Roja. Al igual que el análisis EPSS anterior, FortiGuard Labs continúa invirtiendo en formas más efectivas para ayudar a las organizaciones a priorizar y cerrar más rápidamente las vulnerabilidades.
- Casi un tercio de los grupos APT estuvieron activos en el primer semestre de 2023: Por primera vez en la historia del Índice Global de Amenazas, FortiGuard Labs rastreó el número de actores de amenazas detrás de las tendencias. La investigación reveló que 41 (30%) de los 138 grupos de ciberamenazas que MITRE rastrea estuvieron activos en el primer semestre de 2023. De ellos, Turla, StrongPity, Winnti, OceanLotus y WildNeutron fueron los más activos según las detecciones de malware. Dada la naturaleza selectiva y las campañas relativamente efímeras de las APT y los grupos cibernéticos de estados-nación en comparación con las campañas de larga duración y prolongadas de los ciberdelincuentes, la evolución y el volumen de actividad en este ámbito será algo a lo que habrá que prestar atención en futuros informes.
Una comparación a cinco años revela una explosión de exploits únicos, variantes de malware y persistencia de botnets:
- Exploits únicos en aumento: En el primer semestre de 2023, FortiGuard Labs detectó más de 10.000 exploits únicos, un 68% más que hace cinco años. El aumento en las detecciones de exploits únicos pone de manifiesto el enorme volumen de ataques maliciosos que los equipos de seguridad deben tener en cuenta y cómo los ataques se han multiplicado y diversificado en un periodo de tiempo relativamente corto. El informe también muestra un descenso de más del 75% en los intentos de explotación por cada organización en un periodo de cinco años y una caída del 10% en las explotaciones graves, lo que sugiere que, aunque los conjuntos de herramientas de explotación de los actores maliciosos han crecido, los ataques son mucho más selectivos que hace cinco años.
- Explosión de las familias y variantes de malware, un 135% y un 175% respectivamente: Además del significativo aumento de las familias y variantes de malware, otro hallazgo sorprendente es que el número de familias de malware que se propagan al menos al 10% de las organizaciones mundiales (un notable umbral de prevalencia) se ha duplicado en los últimos cinco años. Esta escalada en el volumen y la prevalencia del malware puede atribuirse a que más grupos de ciberdelincuentes y APT han ampliado sus operaciones y diversificado sus ataques en los últimos años. Un aspecto importante del último informe sobre el panorama mundial de las amenazas fue el aumento del malware wiper, vinculado en gran medida al conflicto entre Rusia y Ucrania. Ese aumento persistió a lo largo de 2022, pero se ralentizó durante la primera mitad de 2023. FortiGuard Labs sigue observando el uso de wipers por parte de actores de estados-nación, aunque la adopción de este tipo de malware por parte de los ciberdelincuentes sigue creciendo a medida que se dirigen a organizaciones de los sectores tecnológico, de fabricación, gubernamental, de telecomunicaciones y sanitario.
Las botnets permanecen en las redes más tiempo que nunca: Mientras que el informe encuentra más botnets activas (+27%) y una mayor tasa de incidencia entre las organizaciones en la última media década (+126%), uno de los hallazgos más impactantes es el aumento exponencial en el número total de «días activos», que FortiGuard Labs define como la cantidad de tiempo que transcurre entre el primer impacto de un intento de botnet en un sensor y el último. Durante los primeros seis meses de 2023, el tiempo medio que las redes de bots permanecieron activas antes de que cesaran las comunicaciones de mando y control fue de 83 días, lo que representa un aumento de más de 1.000 veces con respecto a hace cinco años. Este es otro ejemplo en el que es fundamental reducir el tiempo de respuesta, ya que cuanto más tiempo permitan las organizaciones que las redes de bots permanezcan, mayores serán los daños y los riesgos para su negocio.
Desarticular el Cibercrimen Requiere un Enfoque Integral
La contribución de FortiGuard Labs a la comunidad de inteligencia sobre amenazas durante la última década ha tenido un impacto significativo en todo el mundo, ayudando a mejorar la protección de clientes, socios y gobiernos en su lucha contra el cibercrimen. Romper silos y aumentar la calidad de la inteligencia sobre amenazas ayuda a las organizaciones a reducir riesgos y mejora la eficacia general del sector de la ciberseguridad. En la actualidad, los ciberdefensores tienen acceso a las herramientas, los conocimientos y el apoyo necesarios para empezar a alterar la economía de los actores maliciosos. Sin embargo, es el compromiso de todo el sector con la colaboración y el intercambio de inteligencia lo que, en última instancia, creará un ecosistema más amplio de disrupción y permitirá al sector ganar ventaja frente a los ciberadversarios.
Como líder en ciberseguridad empresarial e innovación en redes, Fortinet ayuda a proteger a más de medio millón de organizaciones en todo el mundo, incluyendo empresas globales, proveedores de servicios y organizaciones gubernamentales. Cabe destacar que el desarrollo continuo de Fortinet de inteligencia artificial (IA) aplicada a casos de uso de ciberseguridad, tanto en FortiGuard Labs como en su cartera de productos, está acelerando la prevención, detección y respuesta a amenazas conocidas y desconocidas.
En concreto, los FortiGuard AI-Powered Security Services son utilizados por los controles de seguridad desplegados a través de endpoints y aplicaciones, tanto a través de la red como de la infraestructura en la nube. Las tecnologías de detección y respuesta específicas que aprovechan los motores de IA y los análisis en la nube (incluidos EDR, NDR y otros) también se pueden implementar como extensiones integradas de dichos controles. Fortinet también ofrece herramientas de respuesta centralizadas, como XDR, SIEM, SOAR, DRPS y más, que aprovechan diferentes IA, automatización y orquestación para acelerar la solución. Todas ellas pueden interrumpir significativamente la ciberdelincuencia en toda la superficie de ataque y a lo largo de la cadena de muerte del ciberataque.
