Una continua incertidumbre: Informe anual de ciberseguridad 2020 de Trend Micro

23 de febrero de 2021

Una continua incertidumbre

Informe anual de ciberseguridad 2020 de Trend Micro

$2$ Descargue Una continua incertidumbre: Informe anual de ciberseguridad 2020 de Trend Micro

2020 fue el año que desafío a las organizaciones y las puso a prueba llevándolas al límite. Los incidentes con gran impacto, los cambios a estructuras de trabajo remoto y otros cambios significativos desde lo familiar y conocido impulsaron una renovación de la consciencia y una reevaluación en las organizaciones. Los desafíos a los que se enfrentaron prepararon el camino hacia soluciones alternativas y adaptativas que tenían en cuenta tanto las perspectivas tecnológicas como las humanas.

Sin embargo, para los cibercriminales, el año supuso un hervidero de nuevas oportunidades para las actividades maliciosas. Aprovecharon importantes eventos en sus sistemas para convertirlos en beneficios ilícitos. Mediante el uso de nuevas y viejas técnicas aprovecharon vulnerabilidades, configuraciones erróneas y otras brechas en seguridad a la vez que empresas y particulares avanzaban a contrarreloj para adoptar tecnologías con el fin de adaptarse a los nuevos desafíos.

Echando la vista atrás a un año completamente sin precedentes, nuestro informe anual de ciberseguridad indaga en las preocupaciones de seguridad más importantes y cruciales que emergieron y persistieron en 2020, a la vez que proporciona a usuarios y organizaciones información sobre cómo pueden abordar un panorama de amenazas en drástica evolución.

Ataques dirigidos

¿Qué sectores sufrieron los mayores ataques de ransomware?

Gobiernos, banca, empresas de fabricación y sector sanitario contabilizaron aproximadamente 90 000 detecciones en total.

¿Cuál fue el principal ransomware en lo que respecta a detecciones?

WannaCry tuvo el mayor número de detecciones: 220,166.

Ryuk fue el más activo en octubre, con más de 2000 detecciones, tras cinco meses de inactividad desde abril a agosto.

Egregor y DoppelPaymer, pertenecientes a dos familias relativamente nuevas de ransomware, se posicionaron entre los 10 principales en lo que respecta a detecciones.

Ransomware

Los operadores de ransomware aumentaron sus beneficios gracias a un doble impacto. Además de exigir dinero para la restauración del acceso de sus víctimas a los datos cifrados (e incluso aumentando la cuantía del rescate cuando vencía el plazo dado), amenazaron con filtrar información sensible si las víctimas no desembolsaban el dinero. Dado el riesgo de exposición pública, las organizaciones víctimas se enfrentaban a la posibilidad de daño a su reputación así como a la pérdida de datos. La esencialidad de las funciones de los objetivos frecuentes de los ataques de ransomware, incluidas agencias y compañías gubernamentales, banca, empresas de fabricación y sector sanitario, solo incrementó la urgencia de ceder ante las exigencias de los operadores de ransomware.

127

2019

2020

Comparación del número total de nuevas familias de ransomware en 2019 y 2020

Gobierno

31,906

Banca

22,082

Fabricación

17,071

Servicios sanitarios

15,701

Finanzas

4,917

Educación

4,578

Tecnología

4,216

Comida y bebida

3,702

Gas y petróleo

2,281

Seguros

2,002

Los 10 principales sectores atacados con ransomware en 2020

El reciente Egregor, el cual destacó en los últimos meses del año, empleó especialmente la técnica de doble extorsión dado que atacó objetivos de perfil alto, incluidas grandes organizaciones de venta minorista, juego y recursos humanos.

La técnica de doble extorsión utilizada por Egregor.

Ataques a la cadena de suministro

Si bien es posible que las organizaciones hayan mejorado su seguridad, los agentes maliciosos siguen encontrando maneras de colarse en sus sistemas comprometiendo sus partners localizados en su cadena de suministro. Al provecharse de relaciones estables y de confianza entre la organización atacada y sus partners, los atacantes de la cadena de suministro podían hacerse un hueco en los sistemas de la organización.

Uno de los ataques a la cadena de suministro más difundidos recientemente apareció en diciembre bajo la forma del ataque que implicaba a Orion, un software de sistema de gestión de red ampliamente utilizado y desarrollado por SolarWinds. Los agentes maliciosos detrás del ataque insertaron una vulnerabilidad en determinadas compilaciones de Orion que permitían a los atacantes comprometer los servidores que ejecutaban el software. Una vez que la actualización pertinente pasó a los clientes, los atacantes pudieron implementar puertas traseras que les dieron total acceso a las redes afectadas y les permitieron realizar numerosas actividades maliciosas. Dada la naturaleza de algunos de los objetivos, incluidas las principales agencias gubernamentales de EE. UU., el ataque podría haber tenido graves consecuencias.

Amenazas surgidas de la pandemia

¿Cuántas de las amenazas detectadas estaban relacionadas con la COVID-19?

Se detectaron más de 16 millones de amenazas relacionadas con la COVID-19.

¿Qué tipo de amenaza supuso la mayoría de las detecciones relacionadas con la COVID-19?

Aproximadamente el 90 % de las amenazas relacionadas con la COVID-19 fueron spam maliciosos.

A pesar de ser relativamente nueva, la vulnerabilidad de VPN CVE-2019-11510 contabilizó aproximadamente 800 000 detecciones solo en 2020.

Más del 60 % de las detecciones de amenazas relacionadas con la COVID-19 procedieron de EE. UU., Alemania y Francia.

Estafas de COVID-19

Mientras la COVID-19 sigue cobrándose la vida de personas de todo el mundo, los agentes maliciosos aprovechan la inquietud y la incertidumbre surgidas como consecuencia de la pandemia para ampliar métodos ilegales. La gran mayoría de nuestras detecciones de amenazas relacionadas a la COVID-19 procedieron de emails de spam maliciosos, incluidas aquellos destinadas a hacerse con información financiera y personal, y la mayoría de ellas procedieron de EE. UU., Alemania y Francia, los cuales también están entre los países más golpeados por la pandemia. Los estafadores detrás de estas amenazas les otorgaron un sentido de urgencia y actualidad personalizándolas con referencias a cuestiones importantes como paquetes de estímulos frente a la COVID-19 y lanzamiento de vacunas. Los estafadores mediante ataques Business email compromise (BEC) también contaron con la pandemia: los asuntos de la mayor parte de las muestras de BEC que detectamos mencionaron la COVID-19.

88,5 % - Spam

11,3 % - URLs

0,2 % - Malware

TOTAL: 16,393,564

Distribución de detecciones de amenazas relacionadas con la COVID-19 en 2020 según el tipo.

38,4 % - EE. UU.

14,6 % - Alemania

9,2 % - Francia

4,7 % - Australia

4,1 % - Reino Unido

29,0 % - Otros

TOTAL: 16,393,564

Distribución de detecciones de amenazas relacionadas con la COVID-19 en 2020 según el país.

Desafíos del trabajo remoto

A medida que las organizaciones implementaban estructuras de trabajo remoto como respuesta a la pandemia, las redes privadas virtuales (VPN) se convirtieron en valiosas herramientas en la protección de conexiones de red frente a amenazas externas. No obstante, como ocurre con cualquier software, las soluciones de VPN también pueden albergar vulnerabilidades, las cuales, si se aprovechan, podrían permitir a los atacantes robar información patentada y llevar a cabo una vigilancia de los sistemas de sus objetivos. Una vulnerabilidad de VPN, CVE-2019-11510, contabilizó casi 800 000 detecciones en 2020 solo y participó en ataques en 2020 donde se utilizó para enviar ransomware. Los agentes maliciosos también encontraron otras formas de incorporar la VPN en sus ataques: en septiembre, descubrimos una instancia donde un atacante empaquetó un instalador de VPN con una puerta trasera a Bladabindi, el cual se podía utilizar para recopilar información procedentes de los equipos infectados.

El auge del trabajo remoto también se tradujo en un aumento del uso de herramientas de comunicación como Zoom, Slack y Discord. A cambio, esto produjo un incremento de los ataques que aprovechaban estas aplicaciones: desde las bromas de «Zoombombing» e instaladores maliciosos de Zoom hasta una variante de ransomware que utilizaba webhooks de Slack y una campaña de email de spam que utilizaba Discord para entregar malware.

413,641

784,063

130

21,652

CVE-2018-13379

CVE-2019-11510

CVE-2019-11539

CVE-2019-19781

Recuento de detecciones de vulnerabilidades importantes de VPN en 2020.

Riesgos del IoT y de la nube

¿Cuál fue el método más frecuente utilizado en los ataques de IoT?

La gran mayoría de los ataques entrantes y salientes utilizaron inicio de sesión forzado.

¿Qué servicios basados en la nube se están exhibiendo en la clandestinidad?

Los servicios basados en la nube ofertados en la clandestinidad varían desde sencillos servicios de alojamiento dedicado hasta más ofertas de nicho como espacios de trabajo móviles.

El malware botnet Mirai generó nuevas variantes que aprovecharon las vulnerabilidades de inyección de comandos e inyección de código remoto.

Los conjuntos de datos que se venden en la clandestinidad normalmente contienen información personal identificable y credenciales de usuario para diversos servicios de nube.

Amenazas en la nube

En 2020, la nube se convirtió en un componente incluso más integral de las operaciones de numerosas organizaciones. No obstante, la correcta configuración de los servicios y activos en la nube siguen siendo todo un desafío. En abril, por ejemplo, se tuvo conocimiento que atacantes habían introducido mineros de criptomoneda en los puertos API de daemon de Docker mediante el malware Kinsing. En octubre, se notificó un ataque en API de Docker expuestas que implicaron el uso de shellcode de Metasploit Framework (MSF) como carga, la primera vez que observamos el uso de esta técnica.

En 2020, también publicamos nuestros hallazgos sobre cómo los agentes maliciosos aprovechan la infraestructura de nube clandestina. En la clandestinidad, los cibercriminales realizan transacciones e interactúan regularmente entre ellos. En ocasiones, delegan tareas para los trabajos frecuentes, mercantilizando los servicios clandestinos. Algunos participantes clandestinos también venden acceso a colecciones de datos robados publicitados como «nubes de registros».

Cadena de infección del malware Kinsing.

Forma en la que el shellcode de MSP se utilizó para atacar API de contenedor mal configuradas.

Ataques de IoT

Los cibercriminales también tomaron nota del aumento de la resiliencia de organizaciones y empleados sobre el internet de las cosas (IoT). Este podría ser una gran preocupación dado que los atacantes podrían utilizar las redes y dispositivos domésticos para obtener acceso a redes corporativas a las que están conectados. Los routers son especialmente vulnerables, sobre todo porque la seguridad en el hogar del empleado no es tan sólida como lo es en un espacio de trabajo empresarial.

15.5%

de routers fueron posibles víctimas.

5.1%

de routers fueron posiblemente comprometidos.

En 2020, observamos un repunte en el número total de eventos de ataques entrantes, el cual fue más del triple del registro en 2019, y en el número total de eventos de ataques salientes, el cual se duplicó respecto a 2019.

929,084,564

2,878,216,479

2019

2020

Comparación del recuento de detecciones de posibles ataques entrantes en 2019 y 2020.

99,266,382

196,012,782

2019

2020

Comparación del recuento de detecciones de posibles ataques salientes en 2019 y 2020.

El panorama de las amenazas

62,637,731,995

amenazas bloqueadas en 2020

57,262,610,930

Amenazas por email bloqueadas

3,698,445,871‬

Archivos maliciosos bloqueados

1,676,675,194

Direcciones URL maliciosas bloqueadas

79,743,156,637‬

Consultas de reputación de email

1,523,957,334,514‬

Consultas de reputación de archivos

2,338,754,688,044

Consultas de reputación de URL

Comparación del número total de amenazas por email, archivos y URL bloqueadas y de consultas de reputación URL, archivo e email en la segunda mitad de 2020.

59,984,723

35,156,917

2019

2020

Comparación del número total de aplicaciones para Android maliciosas bloqueadas en 2019 y 2020.

88,121

73,093

2019

2020

Comparación del número total de intentos de ataque BEC detectados en 2019 y 2020.

Descargue nuestro informe completo para obtener más información sobre los problemas de ciberseguridad más importantes de 2020 y sobre las estrategias más efectivas frente a amenazas actuales y emergentes.

$2$ Descargue Una continua incertidumbre: Informe anual de ciberseguridad 2020 de Trend Micro

HIDE

Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.

Publicado en Roundup, Threat Reports, Ransomware, Spam, Vulnerabilities, Internet of Things, Cybersecurity