2023 fue un gran año para la inteligencia sobre amenazas. El gran volumen de amenazas y ataques revelados a través del análisis de Microsoft de 78 billones de señales de seguridad diarias indica un cambio en la forma en que los actores de amenazas están escalando y aprovechando el apoyo de los Estados-nación. Vimos más ataques que nunca y las cadenas de ataque se volvieron cada vez más complejas; los tiempos de permanencia se acortan; y las tácticas, técnicas y procedimientos (TTP) evolucionan para volverse más ágiles y evasivos.
Al mirar atrás a los detalles de Incidentes de seguridad clave en 2023, podemos comenzar a aislar patrones e identificar aprendizajes sobre cómo debemos responder a nuevas amenazas. Informados por las tendencias de TTP en todo el mundo en 2023, estos son algunos de los aspectos más destacados que debe tener en cuenta y monitorear en 2024.
- Lograr sigilo evitando herramientas personalizadas y malware: Una de las tendencias principales identificadas en 2023 es que los actores de amenazas están comenzando a evitar selectivamente el uso de malware personalizado. En cambio, pueden intentar pasar desapercibidos y pasar desapercibidos utilizando herramientas y procesos que ya existen en los dispositivos de sus víctimas. Esto permite a los adversarios ocultarse junto a otros actores de amenazas utilizando métodos similares para lanzar ataques.
Un ejemplo de esta tendencia se puede ver en Voltio tifónun actor patrocinado por el estado chino que fue noticia por atacar infraestructura crítica de Estados Unidos con técnicas de subsistencia de la tierra.
- Combinando operaciones cibernéticas y de influencia para un mayor impacto: El verano pasado, Microsoft observó que ciertos actores de estados-nación combinaban operaciones cibernéticas y métodos de operaciones de influencia (IO) en un nuevo híbrido conocido como “operaciones de influencia cibernéticas”. Los actores de amenazas suelen utilizar operaciones de influencia cibernéticas para impulsar, exagerar o compensar deficiencias en su acceso a la red o en sus capacidades de ciberataque.
Por ejemplo, Microsoft ha observado que múltiples actores iraníes intentan utilizar mensajería SMS masiva para mejorar la amplificación y los efectos psicológicos de sus operaciones de ciberinfluencia. También estamos viendo que más operaciones de influencia cibernéticas intentan hacerse pasar por organizaciones supuestamente víctimas, o figuras destacadas de esas organizaciones, para agregar credibilidad a los efectos del ciberataque o compromiso.
- Creación de redes encubiertas dirigidas a dispositivos perimetrales de red de pequeñas oficinas/oficinas domésticas: Otra tendencia clave es el abuso de los dispositivos de borde de red para pequeñas oficinas/oficinas domésticas (SOHO). Los actores de amenazas están ensamblando redes encubiertas a partir de estos dispositivos, como el enrutador en el consultorio de su dentista local o su cafetería favorita. Algunos adversarios incluso utilizarán programas para ayudar a localizar puntos finales vulnerables en todo el mundo para identificar el punto de partida para su próximo ataque. Esta técnica complica la atribución, haciendo que los ataques aparezcan prácticamente desde cualquier lugar.
- Aprovechar las operaciones de redes sociales para aumentar la participación de la audiencia: Las operaciones de influencia encubierta ahora han comenzado a interactuar exitosamente con audiencias objetivo en las redes sociales en mayor medida de lo observado anteriormente, lo que representa niveles más altos de sofisticación y cultivo de activos de IO en línea.
Por ejemplo, Microsoft y sus socios de la industria observaron cuentas de redes sociales afiliadas a China. hacerse pasar por votantes estadounidenses de cara a las elecciones intermedias de Estados Unidos de 2022, haciéndose pasar por estadounidenses de todo el espectro político y respondiendo a comentarios de usuarios auténticos.
- Priorizar la especialización dentro de la economía del ransomware: Operadores de ransomware en 2023 Tendencia a la especialización., eligiendo centrarse en una pequeña gama de capacidades y servicios. Este especialización tiene un efecto fragmentador, propagando componentes de un ataque de ransomware entre múltiples proveedores en una economía sumergida compleja. Las empresas ya no pueden pensar simplemente que los ataques de ransomware provienen de un actor o grupo de amenazas individual. En cambio, es posible que estén combatiendo toda la economía del ransomware como servicio (RaaS). En respuesta, Microsoft Threat Intelligence ahora rastrea a los proveedores de ransomware individualmente, observando qué grupos realizan tráfico en el acceso inicial y cuáles ofrecen otros servicios.
- Apuntar a la infraestructura para lograr la máxima disrupción: Finalmente, estamos viendo que algunos actores de amenazas apuntan a otros resultados más allá de la simple adquisición de datos. En cambio, algunos se están centrando en organizaciones de infraestructura como instalaciones de tratamiento de agua, operaciones marítimas, organizaciones de transporte y más por su valor disruptivo. Esta tendencia se puede ver en los ataques del Volt Typhoon contra organizaciones de infraestructura crítica en Guam y otras partes de Estados Unidos.
En lugar de aprovechar estos ataques para obtener datos valiosos o confidenciales, creemos Voltio tifón Puede estar tratando de desarrollar capacidades que podrían alterar la infraestructura de comunicaciones crítica entre Estados Unidos y la región de Asia durante futuras crisis.
A medida que avanzamos hacia 2024, es importante recordar continuamente las tendencias y las infracciones importantes de años pasados. Al analizar estos incidentes y los actores de amenazas detrás de ellos, podemos comprender mejor las personalidades de los diferentes adversarios y predecir su próximo movimiento. A aprende más Para conocer las últimas noticias e información sobre inteligencia de amenazas, visite Experto en seguridad de Microsoft y echa un vistazo El podcast de inteligencia sobre amenazas de Microsoft.