Este audio se genera automáticamente. Por favor háganos saber si tiene comentario.
Resumen de buceo:
- La proporción de ciberataques que se basaron en la explotación de vulnerabilidades como medio de acceso inicial cayó en el cuarto trimestre de 2025, aunque aún se mantuvo alta, según investigadores del equipo de inteligencia de amenazas Talos de Cisco. dijo en una publicación de blog publicado el jueves.
- Casi el 40% de los incidentes a los que Cisco respondió en el cuarto trimestre comenzaron con la explotación de servicios de red públicos, en comparación con el 62% en el tercer trimestre.
- Cisco también experimentó menos ataques de ransomware en el cuarto trimestre (13 % de todos los incidentes) en comparación con el tercer trimestre (cuando fue del 20 %) y la primera mitad del año (cuando fue casi el 50 % tanto en el primer como en el segundo trimestre).
- En particular, Cisco dijo que «no respondió a ninguna variante de ransomware nunca antes vista».
Información de buceo:
Si bien la explotación de vulnerabilidades se mantuvo alta en el cuarto trimestre, no hubo campañas de explotación importantes que representaran la mayor parte de la actividad, dijo Cisco, una desviación del tercer trimestre, cuando la campaña ToolShell desató una ola de ataques. Aún así, hubo múltiples ataques dirigidos una falla en la E-Business Suite de Oracle y una vulnerabilidad en los componentes del servidor React.
Un actor de amenazas aprovechó la falla de Oracle en un ataque que, según Cisco, estaba «probablemente relacionado con una campaña a gran escala destinada a extorsionar a los ejecutivos». Otro actor de amenazas aprovechó la falla de React para implementar malware de minería de criptomonedas. Cisco dijo que la criptominería era «uno de los muchos tipos de operaciones que esperamos ver a medida que los actores de amenazas compiten para capitalizar rápidamente los sistemas sin parches».
El phishing ocupó el segundo lugar detrás de la explotación en la lista de métodos de acceso inicial más comunes que observó Cisco, y la compañía describió una campaña dirigida a una comunidad de víctimas que rara vez aparece en los informes de inteligencia sobre amenazas: las organizaciones tribales de nativos americanos.
En un caso, los analistas de Cisco observaron que un actor de amenazas utilizaba cuentas de correo electrónico y sitios web comprometidos para distribuir malware en mensajes creíbles. «Si bien no se pudo confirmar ningún movimiento lateral más allá del abuso de cuentas de correo electrónico», escribieron los investigadores, «la exposición de cuentas adicionales dentro del entorno de la víctima y de destinatarios externos indica el potencial de un impacto más amplio».
Cisco también observó una segunda campaña de phishing contra organizaciones tribales que compartían características (incluidos indicadores de compromiso) con los ataques anteriores.
En el frente del ransomware, Cisco dijo que la banda de ransomware Qilin «sigue siendo dominante y se observó en la mayoría de los ataques de ransomware», aunque los investigadores también respondieron a los ataques utilizando el ransomware DragonForce, que la compañía dijo que no había visto «en más de un año».
Las agencias gubernamentales fueron el sector más afectado por los compromisos de respuesta a incidentes del cuarto trimestre de Cisco (una continuación de la tendencia del tercer trimestre), seguidos por las telecomunicaciones, la educación y la atención médica.
Con base en sus hallazgos de respuesta a incidentes, Cisco recomendó que las organizaciones parcheen rutinariamente los sistemas, habiliten un registro sólido, practiquen una respuesta rápida e “implementen detecciones para identificar el abuso de MFA y [enable] fuertes políticas de ayuda macrofinanciera”.
Fuente