La Agencia de Ciberseguridad de la Unión Europea (ENISA) ha revelado que se han identificado siete amenazas importantes a la ciberseguridad en 2024. Las amenazas a la disponibilidad encabezan la lista, seguidas del ransomware y las amenazas a los datos. Este informe destaca los hallazgos sobre el panorama de las amenazas a la ciberseguridad durante un año de intensas tensiones geopolíticas, analizando miles de incidentes y eventos de ciberseguridad disponibles públicamente para brindar una visión profunda de cada amenaza que estoy investigando. La publicación del informe anual ENISA Threat Landscape 2024 coincidió con la conferencia “Threathunt 2030” sobre previsión de amenazas a la ciberseguridad en Atenas.
“Desde finales de 2023 hasta principios de 2024, hubo un aumento significativo de los ataques a la ciberseguridad, estableciendo nuevos estándares tanto en el tipo como en el número de incidentes y sus consecuencias”, dijo ENISA en su ENISA Threat Landscape 2024 de 131 páginas. informe titulado. “Los conflictos regionales en curso siguen siendo un factor clave que da forma al panorama de la ciberseguridad. El fenómeno del hacktivismo está creciendo constantemente, y los acontecimientos importantes (como las elecciones europeas) conducen a una mayor actividad hacktivista”.
Nos centramos en el panorama de amenazas e identificamos siete amenazas importantes a la ciberseguridad. Las amenazas a la disponibilidad encabezan la lista, seguidas del ransomware y las amenazas a los datos. El informe analiza miles de incidentes y eventos de ciberseguridad disponibles públicamente, incluidos ransomware, malware, ingeniería social, amenazas a los datos, denegación de servicio, amenazas a la disponibilidad, incluida la manipulación e interferencia de la información, y ataques a la cadena de suministro.
También se observó que, nuevamente el año pasado, los ataques distribuidos de denegación de servicio (DDoS) y ransomware encabezaron la clasificación como los tipos de ataques más comúnmente reportados, representando más de la mitad de los eventos observados. Vale la pena señalar que, en comparación con los hallazgos del año pasado, las clasificaciones se han invertido, con los ataques DDoS subiendo al primer lugar y el ransomware cayendo al segundo lugar. El Panorama de Amenazas 2024 de ENISA se basa en un total de más de 11.000 incidentes. Un análisis sectorial realizado reveló que los sectores más afectados fueron la administración pública con un 19%, seguida del transporte con un 11%.
El informe ENISA Threat Landscape 2024 incluye un análisis detallado del panorama de vulnerabilidades en 2023 y 2024, y cuatro actores de amenazas diferentes: actores relacionados con el estado, actores cibercriminales, actores patrocinados por piratas informáticos, actores de ataques del sector privado (PSOA) y hacktivistas. complementado con un análisis detallado de las categorías.
“La previsión es clave en la planificación estratégica de la ciberseguridad, especialmente para 2024”, subrayó Juhan Repasar, director general de la Agencia de Ciberseguridad de la UE, en un comunicado de prensa. “Dada la evolución de la tecnología, la situación geopolítica actual y el panorama de la ciberseguridad, debemos estar preparados para desafíos y amenazas anticipados e imprevistos”.
El Informe sobre el panorama de amenazas de 2024 de ENISA indica que se observaron 11.079 incidentes, incluidos 322 incidentes dirigidos específicamente a dos o más estados miembros de la UE, y el informe incluye una cronología de los eventos reportados. Además, vemos que el ransomware y los DDoS siguen siendo las dos principales amenazas para la UE en esta iteración del panorama de amenazas 2024.
El informe afirma que se ha demostrado que los “sitios locales confiables” (LOTS, por sus siglas en inglés) significan que los ciberatacantes están extendiendo sus técnicas sigilosas a la nube, utilizando sitios confiables y servicios legítimos para evadir la detección, para disfrazar las comunicaciones de comando y control (C2). como tráfico regular o mensajes benignos en plataformas como Slack y Telegram. Y si bien la geopolítica sigue siendo un fuerte impulsor de la actividad cibernética maliciosa, los avances en las técnicas de evasión de defensa están facilitando que los grupos de delitos cibernéticos, en particular los operadores de ransomware, se mezclen con sus entornos y oculten sus actividades maliciosas LOTL (Living Off The Land). tecnología para evitar la detección. Los incidentes de compromiso del correo electrónico empresarial (BEC) están aumentando.
Los datos también muestran que los requisitos de divulgación se están utilizando como arma para la extorsión, lo que obliga a las empresas a cumplir con las demandas de extorsión antes de los plazos de presentación de informes. Los ataques de ransomware parecen haberse estabilizado en cifras significativamente más altas en comparación con el período del informe anterior debido a operaciones policiales cada vez más impactantes, como la Operación Chronos y la Operación Endgame. Y cuando se trata de herramientas de inteligencia artificial para ciberdelincuentes, los ciberpiratas utilizan herramientas como FraudGPT y modelos de lenguaje a gran escala para ser coautores de correos electrónicos fraudulentos y generar scripts de PowerShell maliciosos. Se identificaron 19.754 vulnerabilidades, de las cuales el 9,3 por ciento se clasificaron como “graves” y el 21,8 por ciento como “altas”.
El informe 'Paisaje de amenazas 2024' de ENISA también detalla que los actores de amenazas continúan utilizando ladrones de información con frecuencia debido a la popularidad de los IAB (Initial Access Brokers) y los descargadores. Los ladrones de información son ahora una parte integral de las cadenas de ataque. Además, las actividades de los hacktivistas se superponen con las de los actores vinculados al Estado, y una tendencia notable es la creciente similitud entre las actividades de los actores vinculados al Estado y los hacktivistas. Los sitios de violación de datos están empezando a considerarse poco confiables. Muchas de las filtraciones de datos publicadas son duplicados de ataques anteriores o se atribuyen erróneamente al grupo de ransomware Lockbit. Esto se produce tras la interrupción de las actividades del grupo por la Operación Chronos.
El informe también señala la reciente proliferación de troyanos bancarios móviles y la consiguiente complejidad de los vectores de ataque. Los servicios MaaS (Malware-as-a-Service) siguen planteando una amenaza importante y en rápida evolución, especialmente a partir de mediados de 2023. Las violaciones de la cadena de suministro también se están produciendo a través de la ingeniería social. Por ejemplo, en marzo de 2024, se introdujo un código de puerta trasera en el proyecto de código abierto XZ Utils, un conjunto de herramientas y bibliotecas utilizadas para la compresión de datos.
Las violaciones de datos aumentaron de 2023 a 2024. Las violaciones de datos aumentaron durante 2021 y, si bien esta tendencia se mantuvo relativamente estable en 2022, comenzó a aumentar nuevamente en 2023, y hay señales de que esta tendencia continuará en 2024. DDoS-for-Hire permite a usuarios no cualificados con acceso a servicios DDoS lanzar ataques a gran escala. Si bien las operaciones de información siguen siendo un elemento clave de la guerra de agresión de Rusia en Ucrania, estamos viendo esfuerzos para localizar aún más el contenido y globalizar su presencia al mismo tiempo. La manipulación de información en respuesta a noticias específicas también parece estar en aumento, tal vez porque el año 2024 estuvo marcado por muchos acontecimientos importantes, como las elecciones.
El Informe sobre el panorama de amenazas 2024 de ENISA señala que se han identificado amenazas de manipulación de información basada en IA, pero su escala y evolución son limitadas. Por ejemplo, algunos actores de amenazas están experimentando con la IA para la manipulación de información y parecen estar evaluando cómo se puede explotar la IA en este contexto. Agregó que esta vulnerabilidad se considera crítica porque permite una fácil ejecución remota de código a través de SSH. Esto fue posible gracias a que un actor malintencionado se convirtió en el mantenedor del proyecto después de una larga campaña de ingeniería social.
El informe revela que el ransomware se dirigió indiscriminadamente a varios sectores durante el período del informe, y los servicios empresariales se vieron afectados en el 18% de los eventos de ransomware, seguidos por la fabricación (el ransomware (17% de los eventos de ransomware) y la atención médica (8% de los eventos de ransomware) son los más afectados. Las amenazas relacionadas con los datos se dirigen a todos los sectores, siendo los sectores que contienen información personal los más afectados.
Entre los eventos relacionados con datos, los civiles (15%), el gobierno (12%), la infraestructura digital (10%), las finanzas (9%) y los servicios empresariales (8%) se vieron afectados. Además, el 29% de los eventos relacionados con malware afectaron al público en general, seguido de infecciones de malware en infraestructura digital (25%) y gobierno (11%). El 9% de los eventos de malware observados afectan a todos los sectores.
Además, el 28 por ciento de los eventos observados relacionados con la ingeniería social estaban dirigidos al público en general, seguido por los sectores de infraestructura digital (15 por ciento), gobierno (10 por ciento) y financiero (10 por ciento). Del mismo modo, en la mayoría de los eventos recopilados, las campañas de manipulación de información estaban dirigidas al público en general.
En el contexto europeo, cabe destacar que el ransomware LockBit ha vuelto a emerger como el grupo dominante de ransomware como servicio (RaaS), y representa más de la mitad de los incidentes de ransomware registrados durante el período del informe. Además, otros dos grupos de ransomware, 8Base y Cl0p, también desempeñan un papel importante en este panorama de ciberseguridad, contribuyendo a la complejidad y diversidad de los ataques de ransomware en toda la UE.
En abril, el Centro Común de Investigación (JRC) de la Comisión Europea y la Agencia de Ciberseguridad de la Unión Europea (ENISA) publicaron el Informe de mapeo de estándares de requisitos de la Ley de Resiliencia Cibernética. Este documento tiene como objetivo alinear los esfuerzos existentes de estandarización de vulnerabilidades y ciberseguridad con las calificaciones requeridas para los productos que contienen elementos digitales según la Ley de Resiliencia Cibernética.
Ana Ribeiro
Editor de noticias cibernéticas industriales. Anna Ribeiro es periodista freelance con más de 14 años de experiencia en seguridad, almacenamiento de datos, virtualización e IoT.
https://industrialcyber.co/reports/enisa-threat-landscape-2024-identifies-availability-ransomware-data-attacks-as-key-cybersecurity-threats/
