Phishing a cuentahabientes podría culminar en un ataque de ransomware
- Los ataques de phishing contra los servicios financieros registró un incremento del 47% durante el segundo trimestre de 2022.
- El phishing es una de las herramientas más utilizadas por los atacantes quienes mayormente se dirigen a los clientes de las instituciones financieras más que a la institución como negocio.
- La microsegmentación interrumpe la cadena de ataque de ransomware en las fases más tempranas antes de que se produzcan los daños.
Los ataques de phishing en el sector financiero pueden representar pérdidas de hasta 17.700 dólares por minuto. Por otro lado, la gran recompensa económica de los ataques de phishing exitosos en los servicios financieros es una de las muchas razones por las Enemy at the Gates (Enemigo en Puerta), realizado por Akamai Technologies, la empresa de tecnologías en la nube que potencia y protege la vida en línea (que adquirió Guardicore recientemente).
Oswaldo Palacios, Senior Account Manager para Guardicore, ahora parte de Akamai, destacó que el alza en los ataques de phishing contra los servicios financieros sigue siendo muy preocupante, ya que de acuerdo con dicho estudio se presentó un aumento significativo del primero al segundo trimestre del 2022, pasando del 32% al 47%, además el directivo advirtió que un phishing exitoso puede culminar en un ataque de ransomware.
El phishing es una de las herramientas más utilizadas por los atacantes quienes mayormente se dirigen a los clientes de las instituciones financieras más que a la institución como negocio. Este informe indicó que un 80,7% de las campañas de ataques de phishing se dirigieron a consumidores en lugar de a cuentas de negocio (19,3%).
Dicha demanda se debe a las cuentas comprometidas de consumidores en la Dark Web que se utilizan para lanzar ataques de segunda fase relacionados con el fraude. Mientras que los ataques dirigidos a cuentas de negocio pueden hacer que la red de una empresa se vea comprometida con malware o ransomware, o que se filtre información confidencial.
Oswaldo Palacios resaltó que un ataque que comienza cuando un empleado hace clic en un enlace en un correo electrónico de phishing puede terminar con la empresa sufriendo importantes daños financieros y de reputación. El eslabón más débil en un sistema de seguridad no es un fallo oculto en el código informático, sino una persona que no comprueba la procedencia de un correo electrónico.
“Para la mayoría del ransomware, parece que el vector de infracción más común es el phishing, que hace que el usuario abra un correo electrónico o mensaje de texto haciéndose pasar por una institución de confianza para engañarle y hacer que comparta contraseñas, números de tarjeta de crédito, y otra información confidencial. Gracias a la venta de kits de phishing fácilmente disponibles en el mercado clandestino a precios económicos, los ciberdelincuentes pueden lanzar ataques a sus objetivos previstos”, explicó el especialista.
Otro dato revelador del informe Enemy at the Gates es que los ataques de phishing eluden la autenticación de dos factores (2FA). Kr3pto fue el kit de phishing más utilizado en el segundo trimestre de 2022 dirigido a instituciones financieras. Una vez comprometidas, las credenciales objetivo pueden dar lugar a un acceso no autorizado a redes seguras o actividades fraudulentas mediante la introducción de técnicas que esquivan las soluciones 2FA utilizando tokens de contraseña de un solo uso o notificaciones automáticas.
La investigación de Akamai reveló que las empresas requieren la adopción de protecciones multifactor más sólidas. FIDO2, por ejemplo, es el último estándar que ofrece una mejor seguridad, ya que no requiere contraseña y solicita que los usuarios se autentiquen localmente (usando biometría, por ejemplo) para visitar sitios web o realizar transacciones en línea. Debido a que ya no requiere ningún nombre de usuario o contraseña, no hay más credenciales para permitir ejecutar un ataque de phishing.
Microsegmentación, interrumpe la cadena de ataque
El ransomware es uno de los ataques más devastadores que los clientes y cualquier organización financiera podría sufrir y que afectaría la confianza del usuario. Es un vector de amenaza que debe ser rastreado y mitigado de cerca; de acuerdo con el estudio Enemy at the Gates, así es la cadena de ataque del ransomware:
1) Infección inicial: El hacker deberá primero vulnerar el perímetro, los entes maliciosos deben conseguir un punto de apoyo inicial.
2) Movimiento lateral: El ransomware también usa técnicas comunes de movimiento lateral para moverse a través de la red que cubre MITRE, como WMI, PsExec, tareas remotas programadas, RDP, WinRM y PsExec, así como exploits de día cero como EternalBlue y BlueKeep.
3) Exfiltración: Una vez que los ciberdelincuentes obtienen privilegios de nivel superior, el siguiente paso es robar nombres de cuenta y contraseñas. Las vulnerabilidades de día cero también son fundamentales durante esta etapa para obtener credenciales en la red.
4) Cifrado: Si el ransomware entra de alguna manera en un equipo de destino, una política de segmentación adecuada minimiza el daño.
5) Nota de ransomware: En la pantalla secuestrada aparecerá un texto y archivo txt pidiendo el rescate.
6) Ganancia monetaria para el atacante. Se recomienda no pagar.
Además de adoptar las mejores prácticas y procesos de la industria como Cyber KillChain, la arquitectura Zero Trust 800-207 de NIST y el estándar FIDO2 más reciente, Oswaldo Palacios destacó que la microsegmentación se está convirtiendo en una herramienta cada vez más importante para los equipos de TI que se enfrentan al reto de mantener las políticas de seguridad y el cumplimiento en consonancia con el rápido ritmo de cambio de los centros de datos dinámicos, y los entornos de nube y de nube híbrida actuales.
A decir de Palacios, la microsegmentación interrumpe la cadena de ataque de ransomware en las fases más tempranas antes de que se produzcan los daños. Además ofrece tres ventajas principales: 1.Una visibilidad completa del centro de datos a nivel de proceso; 2. Crear políticas que permitan tener un ambiente Zero Trust, y 3. Visualización y control en el proceso de comunicación.
Uno de los grandes obstáculos a los que se enfrentan muchas organizaciones es la falta de una visión clara de la actividad en todos los entornos locales y en la nube. “La microsegmentación recopila y muestra información granular sobre los usuarios, los sistemas y los flujos de comunicación, utilizando la inteligencia artificial y las integraciones con las fuentes de datos existentes para añadir contexto”, explicó Oswaldo Palacios.
Por último, el especialista reiteró que la combinación de visibilidad completa y la creación de políticas impulsadas por el contexto es lo que hace que una solución de microsegmentación aporte un gran valor a las instituciones financieras y ofrezca más oportunidades para interrumpir la cadena de ataques de ransomware en las fases más tempranas.