Ataques desde todos los ángulos: Resumen de ciberseguridad de mediados del año 2021

14 de septiembre de 2021









Ataques desde todos los ángulos: Resumen de ciberseguridad de mediados del año 2021 Descargar Ataques desde todos los ángulos: Resumen de ciberseguridad de mediados del año 2021

En la primera mitad de este año, las fortalezas de ciberseguridad estaban rodeadas de cibercriminales esperando a lanzarse a por la más mínima grieta en las defensas para hacer estragos entre los valiosos activos.

Pronto surgieron amenazas y riesgos desde todos los ángulos, trayendo consigo tácticas actualizadas y una mayor motivación con las que atacar las industrias. Estos problemas de seguridad incluyen modernos ataques de ransomware de alto perfil, campañas activas, vulnerabilidades críticas, estafas relacionadas con la Covid-19 y otras amenazas, sin mencionar el desarrollo de amenazas en la nube y el internet de las cosas (IoT).

Los investigamos en nuestro informe de resumen de mediados de año llamado «Ataques desde todos los ángulos: Resumen de ciberseguridad de mediados del año 2021».

Para prepararnos mejor para el futuro, volvamos sobre nuestros pasos en lo que va de año acerca del volátil panorama de ciberseguridad.

¿Por dónde le gustaría empezar?



01

Ransomware

El ransomware continuó evolucionando como una de las amenazas cibernéticas más peligrosas, acumulando más de 7 millones de detecciones combinadas de amenazas por email, URL y archivos. Los agentes de amenazas se movieron de forma rápida y agresiva con ataques a sectores críticos como la banca, el gobierno y la manufactura.

Banca
15,537
Gobierno
10,225
Manufactura
4,957
Servicios sanitarios
4,802
Comida y bebida
2,330

Las cinco industrias principales afectadas por el ransomware en la primera mitad del 2021.

Si bien algunas de las estrategias de los operadores, como su propensión a atacar a industrias esenciales, se mantuvieron constantes, muchas de sus tácticas evolucionaron de forma rápida y drástica. Las variantes destacadas de ransomware aumentaron los desafíos a medida que las nuevas familias agravaron los riesgos. Algunos agentes de amenazas se apresuraron a aprovechar la oportunidad y fingieron ser bandas de ransomware, como en el caso de una falsa campaña de DarkSide.

Familias de ransomware importantes


DarkSide

DarkSide lanzó una serie de ataques de alto perfil, incluido el ataque a Colonial Pipeline.

También ha estado actualizando activamente su técnica, como con una variante de DarkSide para Linux dirigida a servidores VMware ESXi.


REvil
(también conocido como Sodinokibi)

REvil estuvo implicado en un ataque reciente contra el principal proveedor de carne JBS.

En la primera mitad del 2021, las detecciones de archivos de Trend Micro para REvil también se duplicaron en comparación con el mismo período del año pasado.


Hello

Hello, una nueva variante de ransomware, aprovecha la vulnerabilidad de Microsoft SharePoint CVE-2019-0604.

También descubrimos que implementó el shell web de China Chopper para ejecutar comandos de PowerShell.

Estos incidentes provocaron debates sobre los delicados temas de los pagos de los rescates, el seguro cibernético y la posible legislación. Las autoridades y los investigadores de seguridad también han realizado notables esfuerzos para acabar con las bandas de ransomware, que han dado lugar a una serie de detenciones de alto perfil, como en los casos de las medidas tomadas contra los operadores de Egregor y Clop.

Técnicas perfeccionadas

Los operadores de ransomware expandieron su uso de herramientas legítimas. También subieron la apuesta inicial de sus técnicas de extorsión, desde el cifrado y la exposición de datos robados, hasta la incorporación de ataque de denegación de servicio distribuido (DDoS) y el acoso directo a los clientes y partes interesadas de las organizaciones víctimas.

Técnicas de extorsión múltiple de ransomware



02

Amenazas persistentes avanzadas (APT)

Las APT también estuvieron activas, ya que se lanzaron varias campañas en el primer semestre de este año.

Los grupos de amenazas detrás de estas APT presumieron tanto de técnicas probadas como de tácticas innovadoras. El primero incluyó el uso de scripts maliciosos e emails de spear phishing, mientras que este último involucró nuevas plataformas legítimas, variantes de malware y herramientas de acceso remoto (RAT) como el cargador PlugX.

APT más importantes


TeamTNT

TeamTNT está activo nuevamente, esta vez atacando credenciales de Amazon Web Services (AWS) y clústeres de Kubernetes. Estos ataques también están relacionados con la minería de criptomonedas.

Para este último, China y EE. UU. constituyen la mayoría de las direcciones IP comprometidas.


Water Pamola

Hemos visto algunos cambios en las tácticas de Water Pamola. Estos consisten principalmente en una vuelta de tuerca para centrarse principalmente en objetivos localizados en Japón. Además, en lugar de usar spam, los ataques se lanzan aprovechando una vulnerabilidad de secuencias de comandos de sitios cruzados (XSS) en el portal de administración online de una tienda.


Earth Vetala

Earth Vetala - MuddyWater lanzaron campañas contra organizaciones en el Medio Oriente y regiones circundantes. Aprovecharon las herramientas legítimas de administración remota, como ScreenConnect y RemoteUtilities, para distribuir rutinas.


Iron Tiger

Iron Tiger, que es conocido por atacar a empresas de juegos de azar en el sudeste asiático, actualizó su conjunto de herramientas con una variante de malware evolucionada de SysUpdate. El grupo ahora también usa cinco archivos (en lugar de tres) en su rutina de infección.


Earth Wendigo

Trend Micro descubrió que una APT ha estado atacando a organizaciones en Taiwán desde 2019. Denominamos a los agentes de amenazas como Earth Wendigo. Los ataques utilizan emails de spear phishing con JavaScript malicioso inyectado en un sistema de correo web ampliamente utilizado.

APT más importantes en el primer semestre del 2021.

El flujo de ataque de la operación de Earth Wendigo



03

Vulnerabilidades

Las principales vulnerabilidades llegaron a los titulares a la vez que los investigadores se apresuraban en parchear los sistemas afectados antes de que estas fallas pudieran representar peligros e interrumpir las configuraciones de trabajo, incluidas las remotas.

ProxyLogon

Un incidente de hackeo atribuido al grupo Hafnium condujo al exploit de cuatro vulnerabilidades de día cero en las versiones on premise de Microsoft Exchange Server. Estas vulnerabilidades son CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, denominadas colectivamente como ProxyLogon.

Vulnerabilidades de Microsoft SharePoint

Cinco vulnerabilidades importantes de ejecución remota de código (RCE) también afectaron a Microsoft SharePoint, una plataforma de almacenamiento y gestión de documentos online que también se puede utilizar en configuraciones de trabajo remoto.

CVE-2021-24066Vulnerabilidad de ejecución remota de código de deserialización de flujo de trabajo de datos no confiables
CVE-2021-27076Vulnerabilidad de ejecución remota de código de deserialización de lista de InfoPath de datos no confiables
CVE-2021-31181Vulnerabilidad de ejecución remota de código en conflicto de interpretación de WebPart
CVE-2021-28474Vulnerabilidad de ejecución remota de código en conflicto de interpretación del control del lado del servidor
CVE-2021-26420Vulnerabilidad de ejecución remota de código de función peligrosa expuesta de WorkflowCompilerInternal

Vulnerabilidades de Microsoft SharePoint RCE en la primera mitad del 2021.

Vulnerabilidades de VPN

A medida que persisten las configuraciones de trabajo desde casa, las redes privadas virtuales (VPN) siguen siendo una herramienta vital para garantizar la seguridad. Las detecciones de estas vulnerabilidades continuaron proliferando, con algunos picos en comparación con el mismo período del año pasado.

Fortinet

Pulse Secure

Citrix Systems

CVE-2018-13379

CVE-2019-11510

CVE-2019-11539

CVE-2019-19781

2020

Ene

15,834

88,506

9

 

856

287

 

Feb

9,864

66,164

12

 

52

19

 

Mar

14,910

63,716

115

 

118

18

 

Abr

18,312

62,862

69

 

2,703

1

 

May

20,897

60,791

60

 

2,921

7

 

Jun

27,110

39,994

123

 

2,783

5

2021

Ene

113,330

45,937

787

 

1,388

3

 

Feb

77,853

15,627

488

 

579

761

 

Mar

75,785

27,876

566

1

713

158

 

Abr

68,651

21,440

956

 

988

5

 

May

70,083

15,230

508

 

650

5

 

Jun

61,467

9,558

301

11

418

15

Detecciones de vulnerabilidades de VPN en el primer semestre del 2020 y en el primer semestre del 2021.

PrintNightmare

«PrintNightmare» es el nombre atribuido a CVE-2021-1675, una vulnerabilidad crítica de Windows Print Spooler que permite la ejecución de código arbitrario con privilegios de nivel de sistema. La filtración accidental de un código de exploit de prueba de concepto provocó una carrera para corregir esta vulnerabilidad lo antes posible.

Con todo, el número de detecciones de vulnerabilidades mostró una pequeña disminución, con una importante disminución de las vulnerabilidades críticas.

GravedadRecuento del primer semestre de 2021Recuento del primer semestre de 2020
Crítica16121
Alta553547
Media10776
Baja9442
Total770786

Comparación semestral del desglose de la gravedad, basada en el CVSS de las vulnerabilidades reveladas a través de nuestro programa Zero Day Initiative (ZDI).
Fuente: Programa ZDI de Trend Micro



04

Estafas y otras amenazas relacionadas con la Covid-19

Incluso en medio de una pandemia, el negocio es normal para muchos agentes de amenazas, ya que continúan desplegando nuevas amenazas o renovando las ya existentes. Algunos cibercriminales se aprovecharon directamente de la pandemia, utilizando la incertidumbre y la angustia provocada por la situación como argumento de ingeniería social en la elaboración de sus estafas.

Amenazas relacionadas con la Covid-19

A medida que los programas de vacunación continúan implementándose en todo el mundo, también proliferan las amenazas relacionadas con las vacunas para la Covid-19. Estas incluyen archivos maliciosos, emails, mensajes de texto, sitios de información errónea y páginas de phishing. Los objetivos habituales son los sectores de telecomunicaciones, banca, comercio minorista, gobierno y finanzas.

Estados Unidos
1,584,337
Alemania
832,750
Colombia
462,005
Italia
131,197
España
111,663
Otros
1,287,440

Los principales países afectados por las amenazas relacionadas con la Covid-19 en la primera mitad del 2021.

Amenazas activas

XCSSET

XCSSET se dirige a los usuarios de Mac e infecta los proyectos de Xcode. A los pocos meses del año, los agentes de amenazas actualizaron XCSSET con características que permiten que se adapte tanto a ARM64 como a Mac x86_x64. El malware también obtuvo la capacidad de recopilar información confidencial de ciertos sitios web, incluidas las plataformas de comercio de criptomonedas.

PandaStealer

PandaStealer es un nuevo ladrón de información que puede recopilar información confidencial como claves privadas y registros de transacciones pasadas de las carteras de moneda digital de un objetivo. También puede recopilar credenciales de otras aplicaciones, realizar capturas de pantalla y extraer datos de los navegadores. Se propaga principalmente a través de emails de spam que solicitan cotizaciones comerciales.



05

Nube e Internet de las cosas (IoT)

Las circunstancias provocadas por la pandemia catalizaron la adopción de sistemas online impulsados por tecnologías como la nube y el IoT. Sin embargo, estos dominios vienen con sus propios conjuntos de amenazas y riesgos.

Nube

Algunas amenazas destacadas de este año incluyen los ataques de TeamTNT. A principios de año, descubrimos que los agentes de amenazas detrás de TeamTNT apuntaban a ciertos sistemas de nube:

  • Credenciales de AWS. TeamTNT robó credenciales de AWS a través de un binario que contenía un script de shell codificado. Más de 4000 instancias se vieron comprometidas.
  • Clústeres de Kubernetes. TeamTNT comprometió los clústeres de Kubernetes de libre circulación. Casi 50 000 direcciones IP se vieron afectadas en varios clústeres.

El IoT

Descubrimos riesgos en varias facetas del IoT, incluida la red de área extendida de largo alcance (LoRaWAN), 5G y enrutadores.

LoRaWAN

Si bien son útiles en empresas y ciudades inteligentes, los dispositivos LoRaWAN no son inmunes al compromiso. Después de encontrar vulnerabilidades expuestas en estos dispositivos, creamos la herramienta LoRaPWN para evaluar la seguridad de las comunicaciones de LoRaWAN.

5G

El establecimiento de redes de campus 4G/5G para empresas conlleva riesgos. Para estudiar estos peligros, identificamos varios escenarios de ataque, incluido el secuestro de DNS, el secuestro de MQTT, el secuestro de Modbus/TCP, la descarga o el restablecimiento de controladores lógicos programables (PLC) desprotegidos, el escritorio remoto y el intercambio de SIM.

Enrutadores

Los enrutadores siempre han estado plagados de problemas de seguridad. Analizamos las infecciones de enrutadores y encontramos que VPNFilter, un botnet de IoT, era una de las amenazas más importantes. Para comprometer los enrutadores y los dispositivos de almacenamiento, VPNFilter utiliza cuentas de puerta trasera y varios exploits.



06

Panorama
de amenazas

40,956,909,973

Número total de amenazas bloqueadas durante el primer semestre del 2021.



Amenazas por email bloqueadas

Primer trimestre
16,089,334,070
Segundo trimestre
17,226,781,018

Archivos maliciosos bloqueados

Primer trimestre
2,343,479,304
Segundo trimestre
3,997,341,419

Direcciones URL maliciosas bloqueadas

Primer trimestre
535,451,111
Segundo trimestre
764,523,051

Consultas de reputación de email

Primer trimestre
20,910,330,826
Segundo trimestre
22,075,108,541

Consultas de reputación de archivos

Primer trimestre
442,384,974,451
Segundo trimestre
517,455,645,611

Consultas de reputación de URL

Primer trimestre
848,818,567,862
Segundo trimestre
796,857,859,588

Descargue nuestro informe completo para obtener información sobre las ciberamenazas y los riesgos urgentes que plagaron la primera mitad del 2021 y para obtener más información sobre las recomendaciones de nuestros expertos en seguridad para usuarios y empresas.









HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.

Publicado en Roundup, Threat Reports, Ransomware, Vulnerabilities, Advanced Persistent Threats, COVID-19, Cloud Computing, Internet of Things

Nosotros recomendamos