Los dispositivos y dispositivos de seguridad perimetral comprometidos o vulnerables, especialmente las redes privadas virtuales (VPN), formaron el vector de acceso inicial en más de la mitad de los ataques de ransomware observados durante 2024, según datos publicados esta semana por la Coalición de Proveedores de Seguros Cyber de Seguridad en su último informe de amenazas anuales, que abarca 2024.
La coalición con sede en Estados Unidos, que comenzó a ofrecer sus llamadas pólizas de seguro activas en el Reino Unido en 2022, dijo que los ciberdelincuentes comprometieron dichos electrodomésticos en el 58% de las reclamaciones con las que trató durante 2024, con el segundo punto de acceso más generalizado que era productos de escritorio remotos, culpado en el 18% de las reclamaciones.
“Si bien el ransomware es una preocupación seria para todas las empresas, estas ideas demuestran que el libro de jugadas de ransomware de los actores de amenaza no ha evolucionado tanto: todavía persiguen las mismas tecnologías probadas y verdaderas con muchos de los mismos métodos”, dijo Alok Ojha, jefe de productos de seguridad en Coalición.
“Esto significa que las empresas también pueden tener un libro de jugadas confiable, y deberían centrarse en mitigar los problemas de seguridad más riesgosos primero para reducir la probabilidad de ransomware u otro ataque cibernético. El monitoreo continuo de la superficie de ataque para detectar estas tecnologías y mitigar las posibles vulnerabilidades podría significar la diferencia entre una amenaza y un incidente “.
Como era de esperar, los productos más comúnmente comprometidos fueron construidos por nombres de ‘hogares’ en la industria, incluidos Cisco, Fortinet, Microsoft, Palo Alto Networks y Sonicwall. Los vectores de acceso iniciales (IAV) más comunes fueron credenciales robadas, utilizadas en el 47% de tales intrusiones y las exploits de software, observadas en el 29% de los casos.
Los analistas de Coalition advirtieron que los inicios de sesión expuestos estaban rápidamente emergentes como un controlador subestimado y agudo de los riesgos de ransomware. Afirmaron que la organización detectó más de cinco millones de soluciones de gestión remota y decenas de miles de paneles de inicio de sesión expuestos a Internet público. Agregó que, según sus datos, la mayoría de los solicitantes de seguro cibernético (65%) tenían al menos un panel de inicio de sesión web expuesto a Internet, y asegurarlos es un requisito para comprar sus productos.
De estos, los paneles de inicio de sesión de administración más comúnmente expuestos relacionados con VPN de Cisco y SonicWall, que entre ellos representaron más del 19% de los paneles expuestos detectados, seguidos de los servicios de correo electrónico de Microsoft.
En 2024, la coalición también observó un número significativo de paneles citrix expuestos, que causaron pérdidas significativas, incluidas más de mil millones de dólares del infame incidente de atención médica en los EE. UU., En el que una pandilla de ransomware utilizó credenciales de citrix robadas y explotó una falta de autenticación multifactorial para acceder a los sistemas de víctimas.
CVE listo para saltar en 2025
Como parte del conjunto de servicios de la Coalición, envía alertas de día cero a sus clientes a medida que se descubren nuevas vulnerabilidades y monitorea constantemente nuevas vulnerabilidades.
Como tal, su informe anual también incluye datos sobre algunas de las vulnerabilidades y exposiciones comunes más generalizadas (CVE) que vio en 2024 – problemas con las redes Citrix, Fortinet, Ivanti y Palo Alto prominentes entre ellas.
Mirando hacia 2025, los analistas de Coalition dijeron que el número de vulnerabilidades publicadas probablemente aumentaría a más de 45,000, una tasa de casi 4,000 cada mes, un 15% más que en los primeros 10 meses de 2024.
Esto se alinea estrechamente con los datos publicados en febrero por el Foro de Equipos de Respuesta a Incidentes y Seguridad (primero), una organización sin fines de lucro, que sugirió que los volúmenes de CVE incluso pueden superar los 50,000 este año.
Una combinación de nuevos jugadores en el ecosistema CVE, la evolución de las prácticas de cumplimiento de la divulgación y una superficie de ataque en rápida expansión están probablemente detrás del creciente número de vulnerabilidades.
“El informe de este año se centra en los riesgos de seguridad más cruciales de que las organizaciones de recursos no tenían en cuenta calibrar mejor sus inversiones defensivas para reforzar la resiliencia”, dijo Daniel Woods, investigador senior de seguridad de Coalition.
“La calibración implica equilibrar la inversión de seguridad entre vulnerabilidades, configuraciones erróneas e inteligencia de amenazas, al tiempo que responde a las amenazas emergentes, como las vulnerabilidades de día cero explotadas en la naturaleza. Es por eso que la coalición emite alertas de día cero para ayudar a las empresas, especialmente a las PYME con recursos de seguridad limitados, mantenerse a la vanguardia de estas vulnerabilidades y reducir la fatiga alerta al priorizar a las que presentan el mayor riesgo “.