Amenazas evasivas, efectos persistentes
Evasivas,
Efectos
Persistentes
. . .
INFORME COMPLETO
Los primeros seis meses de 2019 han sido testigos de cómo las organizaciones hacían frente a una amplia gama de amenazas entrantes y, con mayor urgencia, abordaban amenazas que ya se habían introducido en sus sistemas. Ha habido una prevalencia del malware que “vivía de la tierra” o que se había aprovechado de herramientas admitidas y legítimas para llevar a cabo acciones maliciosas. Se ha visto cómo el ransomware, una vieja amenaza, se ha reorientado hacia objetivos específicos. El phishing, otro peligro constante, utilizó nuevas plataformas para atrapar víctimas. Llamó la atención el número de vulnerabilidades de alto impacto reveladas y se hizo evidente la necesidad de una mejor comprensión de los riesgos del mundo real a los que se enfrentan los sistemas empresariales.
Nuestro resumen de seguridad de mediados de año destaca estas y otras amenazas que dejaron huella en la primera mitad de 2019, y proporciona información sobre seguridad para ayudar a usuarios y organizaciones a determinar las soluciones y estrategias de defensa más adecuadas para hacerles frente.
. . .
Ransomware
Incidentes más destacados
En la primera mitad de 2019, los cibercriminales fueron más selectivos en sus objetivos de ransomware, se concentraron principalmente en empresas multinacionales y nacionales, e incluso en organizaciones gubernamentales. Su modus operandi consistía en el envío de correos electrónicos dirigidos a empleados, explotando las brechas de seguridad para obtener acceso a su red y, posteriormente, moverse por la misma de forma lateral.
El ransomware LockerGoga, por ejemplo, atacó a una empresa de fabricación noruega y suspendió la producción en varias de sus plantas en marzo, ocasionando alrededor de 55 millones de dólares en pérdidas financieras. Y la ciudad de Baltimore, Maryland, tuvo que afrontar unos 5,3 millones de dólares en costes de recuperación después de que sus sistemas se infectasen con el ransomware RobbinHood en mayo.
Algunas organizaciones municipales sufrieron presiones directas para que pagaran un rescate con la esperanza de que se restablecieran cuanto antes los sistemas afectados que utilizan para ofrecer sus servicios públicos. Destacaron especialmente los distintos ataques de ransomware que sufrieron tres ayuntamientos de Florida a lo largo de varias semanas: Riviera Beach, por una variante de ransomware no identificada, y Lake City y Key Biscayne, ambos por el famoso ransomware Ryuk.
Riviera Beach
600 000 $29 de mayo
Lake City
460 000 $10 de junio
Key Biscayne
No se informó de pago23 de junio
Estos ataques de perfil alto y los elevados pagos estaban en consonancia con el considerable aumento de nuestras detecciones de ransomware en total desde la segunda mitad de 2018 hasta la primera mitad de 2019, aunque el número de nuevas familias de ransomware ha disminuido.
Rutinas complejas
También observamos rutinas destructivas más allá del cifrado de archivos. Algunas variantes de ransomware, incluidos los ejemplos a continuación, se diseñaron con características destacables que reducían las posibilidades de las víctimas para recuperar archivos y sistemas.
- Ryuk- Llega a través de spam
- Puede hacer que los sistemas infectados no se puedan arrancar - LockerGoga- Llega a través de credenciales comprometidas
- Modifica las contraseñas de las cuentas de usuario de los sistemas infectados, evita que los sistemas infectados se reinicien - RobbinHood- Llega a través de escritorios remotos no seguros o troyanos
- Cifra cada archivo con una clave única - BitPaymer- Llega a través de cuentas comprometidas y correos electrónicos que contienen Dridex
- Aprovecha la herramienta PsExec - MegaCortex- Llega a través de controladores comprometidos
- Deshabilita determinados procesos - Nozelesn- Llega a través de spam
- Su descargador de troyanos, Nymaim, utiliza técnicas sin archivos para cargar el ransomware.
Nuestros datos mostraron que numerosas familias de ransomware estaban activas en la primera mitad del año. Sin embargo, el tristemente célebre WannaCry permaneció como la familia de ransomware más detectada, con cifras que superaban ampliamente a las de otras familias de ransomware combinadas.
Comparación mensual entre detecciones de WannaCry y las detecciones combinadas de otras familias de ransomware en la primera mitad de 2019
. . .
Amenazas que
‘viven de la tierra’
Eventos sin archivos
Comparación semestral del bloqueo de eventos sin archivos.
Tal y como habíamos previsto, los actores de amenaza han aumentado su método de “vivir de la tierra” o se han aprovechado de la administración legítima de sistemas y de herramientas para pruebas de penetración con el fin de esconder sus actividades maliciosas. Sus amenazas llamadas «sin archivos» no son tan visibles como el malware tradicional, ya que estas por lo general no escriben en el disco, sino que suelen ejecutarse en una memoria del sistema, residen en el registro o realizan un uso indebido de herramientas que suelen estar permitidas como PowerShell, PsExec o del Instrumental de administración de Windows.
A continuación, se mencionan algunas de las amenazas más destacadas que hemos detectado y que utilizaron técnicas sin archivos:
Troyanos bancariosEstas amenazas tenían algo en común: se aprovechaban de PowerShell. Si bien es una práctica herramienta para los administradores de sistemas, los cibercriminales pueden utilizar PowerShell para iniciar rutinas sin tener que escribir o ejecutar un archivo en la memoria local de un sistema afectado.
Malware de macro
El malware de macro ha disminuido ligeramente respecto a la última mitad de 2018. La mayoría de nuestras detecciones de amenazas basadas en macro se debieron a Powload, principalmente en correos electrónicos de spam. Powload ha evolucionado con los años: diversificando las rutinas que introduce, empleando esteganografíae incluso utilizando marcas o vocabulario específicos de la región. También vimos cómo otras familias de malware de macro se utilizaban en campañas de spam e introducían ladrones de información como Trickbot y se utilizaban para ciberespionaje.
Comparaciones de mitad de año de las detecciones de malware de macro no relacionados con Powload y malware de macro relacionados con Powload.
Kits de explotación
Nuestros datos mostraron que el acceso bloqueado a los sitios relacionados con kits de explotación aumentó ligeramente respecto a la segunda mitad de 2018, aunque el número del primer semestre de 2019 estaba aún muy lejos de cuando los kits de explotación estaban en su máximo apogeo. Los kits de explotación aprovechan cada oportunidad que pueden, utilizando vulnerabilidades antiguas, pero que aún funcionan, así como diferentes rutinas, las cuales adaptan a sus necesidades específicas.
Comparación de mitad de año de instancias de acceso bloqueado a URL que albergaban kits de explotación.
Uno de los kits de explotación destacados de la primera mitad de 2019 fue Greenflash Sundown, el cual se utilizó en la campaña de ShadowGate mediante una versión mejorada capaz de vivir de la tierra, es decir, utilizando un cargador de PowerShell para ejecutar la rutina sin archivos. La última actividad destacada de ShadowGate fue en abril de 2018, cuando utilizó Greenflash Sundown para propagar un malware de minería de criptomonedas en el este asiático.
. . .
Amenazas de mensajes
Fraudes de phishing
Las actividades de phishing disminuyeron en el primer semestre de 2019. Nuestros datos mostraron un descenso del 18 % en el número de veces que bloqueamos el acceso a un sitio de phishing mediante una dirección IP de cliente única. Son varios los factores que estarían detrás de esta disminución, incluido un aumento del conocimiento de los usuarios acerca del fraude de phishing. Sin embargo, es interesante cómo, en el mismo periodo de tiempo, notamos un considerable aumento del 76 % en el número de URL de phishing únicas bloqueadas que falseaban Microsoft Office 365, especialmente Outlook.
Aprovechándose aún más de la confianza de las personas en marcas y herramientas conocidas, los cibercriminales también utilizaron amenazas de ingeniería social multiplataforma para phishing.
Las aplicaciones de fotografía de Android se utilizaron en un esquema de phishing centrado en robar imágenes.
Una campaña de phishing utilizó la táctica abrevadero para robar credenciales de usuario.
Los phishers aprovecharon una extensión del navegador llamada SingleFile para camuflar páginas de inicio de sesión fraudulentas.
Esquemas comprometidos
El ataque Business email compromise (BEC) es un fraude sencillo, pero cada vez más costoso y del que las empresas deberían tener cuidado. Los estafadores de BEC utilizan distintas técnicas de ingeniería social, normalmente se hacen pasar por director ejecutivo y otros ejecutivos, para engañar a empleados que, sin saberlo, transfieren fondos a sus cuentas.
Los BEC han sido parte del panorama de amenazas durante años y los estafadores han ido desarrollando nuevas maneras de aprovecharse de sus víctimas. Como consecuencia, también han ido comprometiendo las cuentas de correo electrónico personales y de proveedores y falseando cuentas de correo electrónico de abogados. También han habido instancias que apoyaban nuestra previsión de que los estafadores de BEC atacarían empleados de más bajo nivel en la jerarquía de la empresa.
También ha habido un auge de la extorsión sexual, una amenaza de mensajes centradas en el daño personal y en el deterioro de la reputación. Nuestros datos mostraron que los esquemas de extorsión sexual a través de spam en el primer semestre de 2019 se ha más que cuadriplicado respecto a la segunda mitad de 2018, lo que coincide con la trayectoria que habíamos pronosticado el año pasado. Esto no fue una sorpresa dado que la extorsión sexual representó la mayoría de las denuncias relacionadas con extorsión que ha recibido el FBI en 2018.
Debido a la naturaleza confidencial y personal de los fraudes de extorsión sexual, las víctimas posiblemente se ven forzadas a acceder a las demandas de los extorsionadores. Un ejemplo específico en abril nos lleva a agentes maliciosos intentando extorsionar económicamente a usuarios nativos de Italia amenazándoles con publicar vídeos comprometedores.
Comparación de mitad de año de las detecciones de correo electrónicos de spam relacionados con extorsión sexual.
. . .
Vulnerabilidades
Fallos en el nivel de hardware
El descubrimiento de Meltdown y Spectre a comienzos de 2018 abrió una nueva clase de desafíos en la mitigación y la aplicación de parches de vulnerabilidades. En la primera mitad de 2019, se han revelado más vulnerabilidades en el nivel de hardware.
En febrero, los investigadores revelaron una prueba de concepto que mostraba cómo los hackers podrían utilizar indebidamente enclaves diseñados para proteger y acceder a los datos en el Software Guard Extensions (SGX) de Intel, un conjunto de instrucciones que se encuentran en los procesadores Xeon y Core de Intel.
En mayo, los investigadores revelaron varias vulnerabilidades de muestreo de datos de microarquitectura en procesadores modernos de Intel. Su impacto quedó patente mediante los ataques de canal lateral ZombieLoad,Fallout y Rogue In-Flight Data Load (RIDL), con métodos similares a los de Meltdown y Spectre. Estos ataques de canal lateral podían permitir a los hackers ejecutar código o extraer datos.
Errores de alto impacto
Prevalecieron las vulnerabilidades de riesgo en el panorama de amenazas en el primer semestre de 2019. La mayoría de las vulnerabilidades informadas mediante nuestro programa Zero Day Initiative (ZDI) se calificaron como «altas» en gravedad, una señal de su impacto generalizado.
107BAJA
101MEDIA
335ALTA
40CRÍTICA
Aquí hay unas cuantas vulnerabilidades famosas vistas en la primera mitad de 2019 y los peligros que representan para las empresas:
CVE-2019-0708
Puede proporcionar capacidades de propagación extrema de malware.
CVE-2019-1069
Puede permitir a los hackers acceder a archivos protegidos
CVE-2019-5736
Puede proporcionar a los hackers el control absoluto del host que ejecuta un contenedor afectado.
CVE-2019-1002101
Puede hacer que los usuarios descarguen imágenes de contenedores maliciosos.
CVE-2019-9580
Puede exponer servidores a accesos no autorizados.
. . .
Ataques al IoT y al IIoT
Robots y guerras de gusano
Tal y como habíamos pronosticado, los robots y los gusanos han estado luchando por el control de dispositivos expuestos conectados al internet de las cosas (IoT). Los diversos contendientes que intentaban superar y, literalmente, eliminar la competencia, incluidos Bashlite y las variantes de Mirai como Omni, Hakai y Yowai, tuvieron esta rutina en común: analizar los dispositivos IoT infectados en busca de competidores, eliminar el otro malware e integrar sus propias rutinas.
Ataques a las infraestructuras críticas
El internet industrial de las cosas (IIoT) ha transformado la manera en la que funcionan nuestras infraestructuras críticas y las instalaciones industriales, impulsando de manera inigualable la eficiencia y la visibilidad en las operaciones de la empresa. Sin embargo, la convergencia de la tecnología operativa (OT) y la tecnología de la información (TI) también han traído consigo nuevos riesgos de seguridad y han conllevado superficies de ataques más amplias.
Según una encuesta publicada en marzo, el 50 % de las organizaciones encuestadas ya habían experimentado un ataque en sus infraestructuras críticas en los dos últimos años. Y en 2019, los agentes maliciosos parece que han estado evaluando objetivos IIoT. Se ha visto al grupo de hackers Xenotime, que se cree que está detrás del malware Triton aka Trisis, realizando un sondeo de los sistemas de control industrial (ICS) de redes eléctricas en EE. UU. y en la región de Asia-Pacífico. El malware exploraba y registraba los portales de inicio de sesión remotos de sus objetivos y las vulnerabilidades en sus redes.
. . .
PANORAMA DE AMENAZAS
El bloqueo de amenazas por correo electrónico, archivo y URL disminuyeron ligeramente en el segundo trimestre del año: Comparación trimestral de amenazas por correo electrónico, archivos y URL bloqueadas y de consultas de reputación de correo electrónico, archivo y URL en la primera mitad de 2019.
Comparación trimestral de aplicaciones para Android maliciosas bloqueadas en la primera mitad de 2019.
Comparación trimestral de consultas de aplicaciones para Android en la primera mitad de 2019.
El PDF apenas superó al XLS como el tipo de archivo más frecuente en adjuntos de correo electrónico de spam: Distribución de los tipos de archivo utilizados como adjuntos en correos electrónicos de spam en la primera mitad de 2019.
Con medio camino recorrido, el 2019 ha visto muchas amenazas furtivas y persistentes, listas para encontrar y aprovechar vulnerabilidades en procesos, personas y tecnologías. No hay una respuesta sencilla para una defensa más completa, las empresas y los usuarios tienen que encontrar un enfoque multidimensional que pueda abordar sus brechas de seguridad específicas. Es necesaria la protección de gateways, redes, servidores y endpoints. Las empresas que se enfrenten a malware que utiliza técnicas sofisticadas, deben encontrar las soluciones necesarias que combinen la experiencia humana con las tecnologías de seguridad con el fin de detectar, correlacionar, responder y resolver mejor las amenazas.
Nuestro completo resumen de seguridad de mediados de año, “Amenazas evasivas, efectos persistentes ”, ofrece información exhaustiva de las amenazas más destacadas de la primera mitad del año 2019 y sus correspondientes soluciones.
. . .
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
MQTT and M2M: Do You Know Who Owns Your Machine’s Data?
Building Resilience: 2024 Security Predictions for the Cloud
Rise in Active RaaS Groups Parallel Growing Victim Counts: Ransomware in 2H 2023
Mitigating the Threat of Sidecar Container Injection