Los piratas informáticos están utilizando ransomware para acelerar el cronograma de los ciberataques, moviéndose en promedio cuatro veces más rápido que hace apenas un año. según un informe de respuesta a incidentes publicado el martes por Palo Alto Networks.
La IA se utiliza para reconocimiento, phishing y scripting, así como para ejecución operativa en muchos casos. En los ataques más eficientes, los grupos extraen datos sólo 72 minutos después del acceso inicial.
La identidad es un elemento principal en los ataques y aparece en el 90% de los casos de respuesta a incidentes. Los grupos de amenazas utilizan cada vez más identidades y tokens robados para acceder sin activar advertencias de seguridad.
«Una vez que un atacante tiene credenciales legítimas, no ingresa, sino que inicia sesión», dijo a Cybersecurity Dive Sam Rubin, vicepresidente senior de la Unidad 42 de Palo Alto Networks. «Cuando un adversario se mezcla con el tráfico normal, la detección se vuelve increíblemente desafiante incluso para los defensores maduros».
El El informe se basa en el análisis de más de 750 casos de respuesta a incidentes. en todo el mundo que involucraron a analistas e investigadores de la Unidad 42.
El informe analizó cómo los grupos de amenazas están utilizando la IA para operar con una velocidad y escala sin precedentes, ejecutando ataques simultáneos y aprovechando fallas de software conocidas para perseguir objetivos vulnerables antes de que las víctimas puedan tomar medidas preventivas.
Por ejemplo, los atacantes ahora atacan vulnerabilidades dentro de los 15 minutos posteriores a la divulgación de un CVE.
Los piratas informáticos también utilizan la IA para realizar reconocimientos e intentos de acceso inicial contra cientos de objetivos al mismo tiempo.
El informe muestra que los atacantes están abusar de integraciones confiables para lanzar ataques contra aplicaciones de software como servicio. Casi una cuarta parte de los incidentes involucraron este tipo de ataques durante el año pasado.
Estas integraciones brindan acceso legítimo y privilegiado, lo que hace que la explotación de estas conexiones confiables sea más difícil de defender.
«Este es un cambio estructural en el riesgo de la cadena de suministro que va más allá del código vulnerable al abuso de enlaces confiables», dijo Rubin.
Fuente