La IA està simplificant tota mena de tasques, i no sempre per millorar: els ciberdelinqüents també l’estan adoptant.

En el seu informe d’intel·ligència sobre les amenaces per al primer trimestre del 2024, l’empresa de consultoria de riscos i finances Kroll va revelar que, com a gairebé qualsevol altra sector, els ciberdelinqüents estan fent servir la intel·ligència artificial (IA) per avançar en els seus objectius. Tàctiques conegudes com les utilitzades per comprometre correu electrònic empresarial (BEC) estan sent millorades amb la IA.

I, a més, va afegir, els controls de seguretat dissenyats per reduir l’èxit dels atacs BEC, com el requisit d’autenticació verbal de les sol·licituds dels executius de C-suite, estan essent eludits fent servir la IA per clonar les veus dels executius i crear missatges hipertrucats que aproven les transaccions fraudulentes.

«L’enginyeria social va ser el vector més probable per als incidents que impliquen comprometre el correu electrònic», va assenyalar l’informe. «Kroll va observar que en el primer trimestre, tot i que l’enginyeria social era típicament sinònim d’un missatge de correu electrònic, els actors continuaven evolucionant tàctiques i introduint-ne d’altres, com ara pesca per  SMS i enginyeria social per veu, que semblen estar guanyant popularitat.»

«El programari de segrest, per altra banda, va protagonitzar un descens fins a un 16 %, des del 23 % d’incidents en el trimestre anterior», va assenyalar Kroll, possiblement a causa de les intervencions de les forces de seguretat contra organitzacions de programari de segrest com ara LockBit i BlackCat.

Amenaces internes majoritàriament malicioses

Les amenaces internes, va dir l’informe, estan afectant més els serveis professionals, i representen el 23 % dels incidents, amb serveis financers (14 %) i tecnologia i telecomunicacions (11 %) al darrere. Però, va observar, els incidents que involucraven tecnologia i telecomunicacions eren els més propensos a ser amenaces internes.

«Atès que la majoria de proveïdors de tecnologia treballen amb múltiples clients a la seva cadena de subministrament, un insider amb accés a múltiples proveïdors de tecnologia podria tenir la capacitat de transmetre activitat maliciosa als clients, i plantejar el risc d’un atac a la cadena de subministrament», va dir. I, pràcticament, tots els incidents d’amenaça interna, el 90 % d’ells, de fet, es van considerar intencionats, i per tant maliciosos. Kroll va dir, «Això destaca la importància de no passar per alt l’amenaça interna com a tipus d’incident de seguretat per les empreses.»

Amenaces de dia zero i CVE

Tot i que l’enginyeria social va continuar sent el mètode més comú per a l’accés inicial, amb un 39 % dels incidents, els atacs llançats mitjançant l’enginyeria social van saltar del 6 % en el quart trimestre del 2023 al 20 % en el primer trimestre del 2024. L’explotació de vulnerabilitats de dia zero i fallades documentades per CVE també van protagonitzar un petit increment, passant del 6 % en el quart trimestre del 2023 al 7 % en el primer trimestre d’enguany. Segons l’informe, aquests atacs eren més propensos per provocar un incident de programari de segrest.

No obstant això, va assenyalar, els atacants estan explotant les vulnerabilitats de Common Vulnerabilities and Exposures (CVE) més ràpidament que mai després de la seva publicació. CVE és un estàndard per identificar, definir i catalogar vulnerabilitats de ciberseguretat publicades; cada vulnerabilitat es descriu en detall i té un identificador CVE únic.

Quina rapidesa tenen?

El 19 de febrer, l’empresa de programari ConnectWise va notificar als seus clients dues vulnerabilitats (CVE-2024-1708 i CVE-2024-1709) que afectaven la seva eina de gestió remota, ScreenConnect. Kroll posteriorment va ajudar diversos clients les xarxes dels quals van ser atacades aprofitant les fallades, i va descriure el que va veure.

«La majoria dels casos de ScreenConnect tenien una data d’accés inicial del 21 de febrer, cosa que indicava que els actors estaven explotant la vulnerabilitat en menys de 48 hores després de l’anunci original», va afirmar l’informe. «Basat en una revisió d’aquests casos, Kroll va observar una àmplia gamma d’actors d’amenaça que van fer servir la vulnerabilitat. A la revisió de Kroll, els casos que van succeir dins dels primers cinc dies de la publicació eren més propensos a estar associats amb grups d’actors d’amenaça de gran escala. Tres setmanes després de la data de publicació, es van observar menys casos, probablement a causa de l’aplicació generalitzada de pedaços. Els casos observats durant aquest període eren més propensos a estar associats amb actors solitaris o grups d’actors d’amenaça menys sofisticats.»

WebDAV

El primer trimestre també va veure un augment de l’activitat per part d’atacants que feien servir el WebDAV, un protocol que permet que els usuaris es comuniquin a través d’HTTP per crear, modificar i moure documents, per obtenir accés remot a arxius de Windows. Vulnerabilitats en el programari Microsoft SmartScreen permetien que els atacants enviessin un accés directe a Internet amb un URL maliciós incrustat que eludia els controls de seguretat, tot permetent la descàrrega de programari maliciós.

A causa dels problemes de seguretat de WebDAV, Kroll recomana que les empreses bloquegin el trànsit WebDAV al perímetre sempre que sigui possible.

Recomanacions per mitigar hipertrucatges

L’informe va concloure amb recomanacions que podrien ajudar a mitigar les amenaces creixents que impliquen hipertrucatges. La detecció d’hipertrucatges i atacs habilitats per IA hauria de formar part de la formació de l’equip de seguretat, va dir.

Kroll va oferir aquests consells per ajudar a determinar si s’està utilitzant un hipertrucatge:

Per als hipertrucatges preenregistrats:

• Revisar l’adreça del remitent del vídeo; la d’un remitent d’hipertrucatge sovint està falsificada o és desconeguda.
• Les cerques inverses d’imatges poden sovint ser utilitzades per detectar vídeos hipertrucats de menor qualitat i producció massiva.

Per als hipertrucatges en directe:

• Es pot demanar a l’individu en pantalla que faci moviments extensius. Observar la decoloració, formes corporals anormals, extremitats distorsionades i parpelleig irregular dels cabells.
• Establir una política on els protocols de moviment estàndard s’hagin de seguir per evitar escenaris d’hipertrucatge com a part dels procediments de compliment normals i regulars.

Per als hipertrucatges habilitats per IA:

• Entrenar models de detecció en individus, en lloc d’intentar identificar hipertrucatges de manera genèrica.
• Assegurar tota la superfície d’atac

«Enfrontades al repte creixent de la IA, les organitzacions ja no poden arriscar-se a dependre només d’enfocaments defensius o unidimensionals de seguretat,» va concloure l’informe. «En canvi, han d’assegurar-se que la seva vigilància es tradueixi en una estratègia que abordi proactivament totes les capes de la superfície d’atac.»