SpyCloud revela una escala masiva de exposición de identidad, lo que pone de relieve la necesidad de medidas de seguridad avanzadas

AUSTIN, TX, 18 de septiembre de 2024/CyberNewsWire/--La investigación indica que una infección de malware de robo de información suele ser un precursor de un ataque de ransomware SpyCloud, el líder en análisis de delitos cibernéticos, anunció hoy una nueva investigación de ciberseguridad que destaca la creciente y alarmante amenaza de los ladrones de información, un tipo de malware diseñado para exfiltrar datos de identidad digital, credenciales de inicio de sesión y cookies de sesión de los dispositivos infectados.

Los últimos hallazgos de SpyCloud revelan la asombrosa escala de exposición de identidad causada por los ladrones de información, la influencia que este tipo de malware ha tenido en el aumento de incidentes de ransomware y las profundas implicaciones para las empresas de todo el mundo.

La exposición masiva de la identidad crea nuevos riesgos

Según SpyCloud, el 61% de todas las violaciones de datos del año pasado estuvieron relacionadas con malware, y los ladrones de información fueron responsables del robo de 343,78 millones de credenciales.

Estas credenciales robadas luego se venden en comunidades criminales para utilizarlas en ataques posteriores.

La investigación también encontró que una de cada cinco personas ha sido víctima de una infección por robo de información.

Cada infección, en promedio, expone entre 10 y 25 credenciales de aplicaciones comerciales de terceros, lo que crea un terreno fértil para un mayor acceso y explotación, en particular por parte de operadores de ransomware.

“Nuestros últimos hallazgos revelan un cambio crítico en el panorama de la ciberseguridad”, afirmó Damon Fleury, director de productos de SpyCloud.

“Los ladrones de información se han convertido en la herramienta preferida de los cibercriminales, con su capacidad de extraer datos valiosos en cuestión de segundos, creando una pista para ciberataques como el ransomware a partir de las grandes cantidades de acceso robado a SSO, VPN, paneles de administración y otras aplicaciones críticas”.

Infostealers: el precursor de los ataques de ransomware

El vínculo entre los ladrones de información y el ransomware es cada vez más evidente.

A través de un análisis profundo de los registros de robo de información recuperados, SpyCloud descubrió una tendencia preocupante: las empresas con empleados y contratistas infectados con malware de robo de información tienen significativamente más probabilidades de sufrir un ataque de ransomware.

De hecho, casi un tercio de las empresas que sufrieron un ataque de ransomware el año pasado habían sufrido previamente una infección por robo de información.

Según el informe, esto se basa en incidentes conocidos públicamente y eventos de ransomware confirmados. La exposición real es potencialmente incluso mayor, ya que no todos los incidentes de ransomware se hacen públicos.

“La correlación entre las infecciones causadas por ladrones de información y los posteriores ataques de ransomware es una llamada de atención para las empresas”, afirmó Trevor Hilligoss, vicepresidente de SpyCloud Labs, SpyCloud.

“Sin embargo, este campo es increíblemente complejo y evoluciona rápidamente. Este año, estamos viendo nuevas familias de ladrones de información que hacen uso de capacidades ampliadas, como el cifrado avanzado para permanecer ocultos o la capacidad de restaurar cookies de autenticación vencidas para un acceso más persistente”.

El auge del malware como servicio y los ataques de apropiación de cuentas

La amenaza de los ladrones de información se ve exacerbada aún más por el auge del malware como servicio (MaaS). Este modelo estándar permite que incluso los cibercriminales poco cualificados adquieran e implementen malware sofisticado, incluidos los ladrones de información, con facilidad.

A través de MaaS, estos delincuentes pueden adquirir datos de identidad nuevos y precisos en masa, alimentando el ciclo del cibercrimen.

Los hallazgos de SpyCloud también arrojan luz sobre la evolución de los ataques de apropiación de cuentas (ATO), impulsados por ladrones de información.

A diferencia del ATO tradicional, que se basa en credenciales robadas (combinaciones de nombre de usuario y contraseña), el ATO de próxima generación aprovecha las cookies de sesión robadas para eludir los métodos de autenticación tradicionales en lo que se conoce como secuestro de sesión.

Al tomar el control de estas sesiones ya autenticadas, los ciberdelincuentes pueden imitar a usuarios legítimos e infiltrarse en las redes sin ser detectados.

Este método aumenta significativamente la tasa de éxito de los ataques y representa una grave amenaza para la seguridad de la organización.

“La gran cantidad de credenciales y cookies de sesión que sustraen los ladrones de información es asombrosa”, afirmó Hilligoss.

“Solo en los últimos 90 días, SpyCloud ha recuperado más de 5.400 millones de registros de cookies robados, con un promedio de casi 2.000 registros expuestos por dispositivo infectado. Este vasto conjunto de datos es cada vez más utilizado por los operadores de ransomware y los intermediarios de acceso inicial para facilitar sus ataques, lo que pone de relieve la necesidad de estrategias de defensa avanzadas”.

Los antivirus, MFA y las defensas tradicionales ya no son suficientes

Al menos el 54% de los dispositivos infectados por ladrones de información en la primera mitad de 2024 tenían instaladas soluciones antivirus o de detección y respuesta de endpoints (EDR), lo que subraya las limitaciones de las medidas de ciberseguridad tradicionales para combatir las técnicas utilizadas por los ciberdelincuentes modernos.

Además, los ladrones de información y los ataques de secuestro de sesiones hacen que la autenticación multifactor (MFA) y los métodos de autenticación sin contraseña, como las claves de acceso, sean ineficaces.

Al secuestrar sesiones ya autenticadas, los ciberdelincuentes pueden hacerse pasar por usuarios legítimos y eludir incluso los métodos de autenticación más sólidos.

El llamado a la ciberseguridad de próxima generación

Los hallazgos de SpyCloud lo dejan claro: la mitigación tradicional de malware ya no es suficiente e ignorar el problema solo agrava el impacto en las empresas.

Las organizaciones deben ir más allá de simplemente eliminar infecciones y centrarse en remediar los riesgos a largo plazo que plantean los datos expuestos.

Esto incluye restablecer las credenciales de aplicaciones comprometidas e invalidar las cookies de sesión obtenidas por los ladrones de información.

Al comprender los riesgos que plantean los ladrones de información y trabajar para mitigar los datos que se han exfiltrado, las organizaciones pueden limitar la probabilidad de ciberataques devastadores, como ransomware, que se derivan de estos datos robados.

SpyCloud mantiene su compromiso de ayudar a las organizaciones a afrontar estos desafíos y proteger sus activos digitales.

Los lectores pueden descargar la versión completa Informe de defensa contra malware y ransomware de 2024 .

Para obtener más información sobre cómo SpyCloud ayuda a las organizaciones a defenderse del ransomware, los lectores pueden visitar https://spycloud.com/use-case/ransomware-prevention/ .

Acerca del informe de defensa contra malware y ransomware de SpyCloud 2024

Para esto cuarto informe anual SpyCloud encuestó a 510 personas que desempeñaban funciones activas de ciberseguridad en organizaciones de EE. UU. y el Reino Unido con al menos 500 empleados.

El informe examina las principales preocupaciones y los impactos reales del ransomware, incluidos los puntos de entrada más populares, los pagos de rescate y los costos acumulativos de estos ataques para la empresa.

También destaca las principales estrategias de prevención de amenazas cibernéticas y las futuras prioridades de seguridad identificadas por estos expertos.

Acerca de SpyCloud

Nube espía Transforma los datos recuperados de la darknet para frenar los delitos cibernéticos. Sus soluciones automatizadas de protección contra amenazas a la identidad aprovechan la analítica avanzada para prevenir de forma proactiva el ransomware y la apropiación de cuentas, proteger las cuentas de empleados y consumidores y acelerar las investigaciones de delitos cibernéticos.

Los datos de SpyCloud sobre violaciones, dispositivos infectados con malware y phishing exitosos también impulsan muchas ofertas populares de monitoreo de la dark web y protección contra el robo de identidad.

Los clientes incluyen más de la mitad de las empresas Fortune 10, junto con cientos de empresas globales, compañías medianas y agencias gubernamentales de todo el mundo.

Con sede en Austin, Texas, SpyCloud es el hogar de más de 200 expertos en ciberseguridad cuya misión es proteger a las empresas y a los consumidores de los datos de identidad robados que los delincuentes están usando para atacarlos ahora.

Para obtener más información y ver información sobre los datos expuestos de su empresa, los lectores pueden visitar nube espía

Contacto

Vicepresidente Ejecutivo de Relaciones Públicas

Katie Hanusik

REQ en nombre de SpyCloud

[email protected]