Amenazas no visibles, pérdidas inminentes

El silencio y la discreción son dos características que tienen en común las principales amenazas de ciberseguridad detectadas durante la primera mitad del año 2018.
28 de agosto de 2018

Nuestro informe completo del resumen a mediados del año 2018, “ Amenazas no visibles, pérdidas inminentes ”, ofrece información exhaustiva de las amenazas más destacadas de la primera mitad del año 2018.

El silencio y la discreción son dos características que tienen en común las principales amenazas de ciberseguridad detectadas durante la primera mitad del año 2018. El comienzo del año fue complicado, ya que, en enero, se descubrieron serios fallos de diseño en microprocesadores conocidos que se consideraban seguros. A lo largo de los meses siguientes, también nos dimos cuenta del cambio notable de un ransomware con alta visibilidad a una detección más discreta: minería de criptomonedas. Asimismo, aumentaron los malware fileless y otras amenazas que utilizan técnicas de evasión no tradicionales, así como un número cada vez mayor de filtración de datos y fraudes de correo electrónico de ingeniería social.

Estas amenazas dañinas, que abarcan desde los mineros que extraen energía inadvertidamente de los dispositivos de las víctimas hasta las vulnerabilidades que dejan las máquinas expuestas a ataques encubiertos, separan los recursos de seguridad limitados y dividen la atención de los administradores de TI.

En este informe, analizamos en profundidad los primeros seis meses del año 2018 para buscar las amenazas emergentes más importantes a las que las empresas deberían adelantarse.

Las graves vulnerabilidades descubiertas en el hardware hacen que el uso de parches sea aún más complicado

El año se inauguró con el descubrimiento de Meltdown y Spectre , dos grandes fallos de diseño en microprocesadores populares. El impacto de estas vulnerabilidades se agravó por el enorme número de dispositivos afectados y el nivel de acceso que podían permitir que tuviesen los atacantes. Esto fue solo el principio, puesto que se encontraron más vulnerabilidades y se les aplicaron parches tras el comunicado.

Las vulnerabilidades de hardware suponen un complicado problema para los administradores de TI. Como se han visto afectados microprocesadores de muchos proveedores y las soluciones de vulnerabilidad se lanzan durante un periodo amplio , el uso de parches en todos los dispositivos afectados resulta más complicado. Además, algunos parches afectan al rendimiento del sistema de dispositivos más antiguos , lo que agrava el impacto en las operaciones empresariales.

Junto con estos problemas de hardware, los administradores de TI también tienen que gestionar las vulnerabilidades detectadas por los principales proveedores de software. Los principales proveedores de software lanzan parches periódicos según van detectando y solucionando las vulnerabilidades encontradas, pero a las empresas les sigue resultando difícil proteger sus redes . El volumen de vulnerabilidades y de presión para mantener las redes operativas hace que los parches sean un problema constante para los administradores.

ZDI de Trend Micro publicada

602

Avisos en el primer semestre de 2018


23

Publicada sin parches o
mitigación en el momento del aviso

Aumento de los avisos de vulnerabilidad de SCADA

Total de vulnerabilidades de SCADA notificadas:

30 %

Aumento desde el segundo semestre de 2017

El número de vulnerabilidades notificadas relacionadas con los sistemas de control de supervisión y adquisición de datos (SCADA) aumentó desde la segunda mitad del año 2017. Muchas de estas vulnerabilidades se encontraron en programas de software de interfaz humano-máquina (HMI). La HMI de SCADA es el principal centro digital que gestiona las infraestructuras críticas y los datos que muestra poseen cierto valor de reconocimiento para los atacantes.


DÍAS CERO DE SCADA SIN PARCHES CUANDO SE DETECTAN

77 %

Descenso desde el segundo semestre de 2017

Nuestros datos también indican que más proveedores pudieron crear parches o métodos de mitigación a tiempo para los comunicados de vulnerabilidad correspondientes. A pesar de que es una mejora positiva, el elevado número de vulnerabilidades detectadas pone de manifiesto el motivo por el que las empresas de sectores con infraestructuras críticas deberían estar al corriente de los sistemas de software de SCADA e invertir en soluciones de seguridad multicapa . La Unión Europea (UE), mediante la directiva de seguridad en las redes y sistemas de información (Directiva NIS) , ya ha exigido a sus estados miembro que apliquen leyes   que garanticen un nivel de seguridad mejorado para sectores críticos y servicios digitales esenciales.

La Directiva NIS

  • La legislación de la UE afecta a organizaciones que operan con infraestructuras críticas. Con las directivas y correspondientes leyes nacionales en vigor, los operadores de sectores esenciales deben aplicar medidas innovadoras, proporcionadas y apropiadas para garantizar los sistemas de información y redes entre otras políticas de mitigación de riesgos.

  • ¿Qué empresas se ven afectadas?
    • Plantas nucleares
    • Instalaciones de suministro de agua
    • Bancos
    • Hospitales
    • Compañías
      de transporte
    • Mercados
      en línea
    • Servicios
      de informática en la nube
    • Motores
      de búsqueda

Las detecciones de minería de criptomonedas aumentan a más del doble mientras que el ransomware sigue siendo una amenaza empresarial

Hemos visto que, en nuestro informe de resumen anual del año 2017 , aumentó la actividad de minería de criptomonedas. Esa tendencia continuó en la primera mitad del año 2018 con más del doble de detecciones de la actividad de minería de criptomonedas con respecto al segundo semestre de 2017. También detectamos un número significativo de nuevas familias de malware de minería de criptomonedas , lo que indica que los ciberdelincuentes han seguido estando muy interesados en sacar provecho de las monedas digitales.

141 %

aumento en las detecciones de la actividad de minería de criptomonedas de la infraestructura Smart Protection Network™ de Trend Micro™

47

S1 2018


Nuevas familias de malware de
minería de criptomonedas detectadas

A lo largo de los primeros meses del año 2018, vimos que los ciberdelincuentes crearon nuevos métodos y exploraron nuevas técnicas para maximizar el provecho de la minería de criptomonedas ilícita.

  • Ene
    Publicidad maliciosa en DoubleClick de Google
  • Feb
    Anuncios insertados por el robot Droidclub en sitios web
  • Mar
    Programa de descarga de adware ICLoader
  • Abr
    Secuencia de minería web en la plataforma de anuncios AOL
  • Mayo
    CVE-2017-10271 a través del puerto 7001/TCP
  • Jun
    Kit de explotación para Necurs

Los mineros de criptomonedas no deseados en una red pueden ralentizar el rendimiento, desgastar de forma gradual el hardware y consumir energía; son problemas que se amplifican en entornos empresariales. Los administradores de TI tienen que consultar la actividad de red inusual teniendo en cuenta el silencioso pero significativo impacto que puede tener la minería de criptomonedas en el sistema.

A pesar de que se ha estabilizado su prevalencia en el panorama de la ciberseguridad, el ransomware todavía es algo por lo que las empresas deberían estar alerta.

En la primera mitad del año 2018, las detecciones de ransomware supusieron solo un ligero aumento, mientras que el número de nuevas familias de ransomware disminuyó comparado con la segunda mitad del año 2017. Sin embargo, puede que este cambio de ritmo se deba a la atención aumentada en el ransomware y a las mejoras resultantes en métodos de mitigación y prevención.

3 %

Aumento en la
actividad de detección de ransomware


26 %

Descenso en
las nuevas familias de ransomware

Aumentan las filtraciones importantes a pesar de la aparición de sanciones derivadas del GDPR

Al utilizar el conjunto de datos pertinente de los años 2017 y 2018 de Privacy Rights Clearinghouse , detectamos un aumento del 16 por ciento en las filtraciones de datos detectadas en EE. UU.

Filtraciones registradas en EE. UU.

224

S2 2017

259

S1 2018

Fue interesante ver que el número de incidentes provocados por revelaciones no deseadas aumentó, aunque solo ligeramente, con respecto al de los ocasionados por la piratería.

  • Revelación no intencionada
  • Piratería o malware
  • Pérdida física
  • Otros (interno, desconocido, etc.)

Quince de las filtraciones de datos del primer semestre de 2018 fueron importantes. Es decir, cada una de ellas expuso, al menos, un millón de registros. En términos del número de incidentes, el sector sanitario fue el que más filtraciones sufrió, pero la mayoría de las filtraciones importantes se produjo en el caso de minoristas o comerciantes en línea. También detectamos por lo menos nueve filtraciones fuera de EE. UU. que podrían considerarse filtraciones importantes.

9

S2 2017

15

S1 2018

Aumento del número de
filtraciones importantes en EE. UU.

71 %

de las filtraciones se produjo en el
sector sanitario

Hay consecuencias considerables para las empresas que son víctimas de filtraciones de datos. Pueden sumarse los costes de notificación y recuperación, las pérdidas de ingresos, los problemas de inactividad, los parches y las posibles tasas jurídicas: una importante filtración puede costar a las compañías hasta 350 millones de dólares . Además, muchos países establecen nuevas normativas de privacidad de datos que aplican importantes sanciones por una gestión de datos incorrecta.

La UE, en particular, ha adoptado una postura firme con respecto a la privacidad al implementar una de las leyes de protección más estrictas y exhaustivas del mundo: el Reglamento General de Protección de Datos (GDPR) . Esta normativa, que se aplicó en mayo de este año, fija grandes metas para la protección de la privacidad y la seguridad de los datos. Establece sanciones importantes para las organizaciones que no lo cumplan: estas podrían llegar hasta los 20 millones de euros o al 4 por ciento de la facturación anual global de la empresa que lo incumpla, la cifra que sea más elevada. Además, tiene un largo alcance, ya que afecta a cualquier organización que posea datos de ciudadanos de la UE.

GDPR – ¿Cumple usted el GDPR?

Seguridad del router todavía débil a pesar de la alerta de Mirai

En la primera mitad del año 2018, detectamos que los routers eran un blanco específico, lo que indica que las empresas y los hogares seguían siendo vulnerables a ataques basados en la red. Esto es particularmente peligroso porque, si un router se ve comprometido, entonces todo lo que esté conectado a él puede ser atacado: portátiles, smartphones, asistentes inteligentes y otros dispositivos del Internet de las cosas (IoT) .

Detectamos una actividad de exploración similar a Mirai buscando routers vulnerables y dispositivos IoT. En el año 2016, Mirai fue el responsable de la cifra récord de ataques de denegación de servicio distribuido (DDoS). Desde el lanzamiento de su código fuente en octubre de ese año, los ciberdelincuentes lo han estado utilizando para otras actividades maliciosas.

El malware pequeño, de macros y fileless supone un reto para las tecnologías de seguridad basadas en archivos

Para resistir ante las técnicas de detección continuamente mejoradas, los desarrolladores de malware están perfeccionando los métodos de evasión constantemente. En la primera mitad del año 2018, destacaron algunos métodos: utilizar amenazas fileless, usar macros y manipular tamaños de archivos.

Las típicas amenazas incluyen archivos maliciosos que están instalados y ejecutados en el dispositivo comprometido. Las amenazas fileless no actúan de esa manera. En vez de eso, secuestran herramientas fiables diseñadas dentro del sistema operativo para llevar a cabo los ataques.

Eventos de fileless detectados

24430

Ene

38189

Jun

S1 2018

Detectamos una tendencia ascendente en el número de amenazas de fileless durante la primera mitad del año. Las empresas pueden adelantarse a estas amenazas mediante la implementación de capas de protección integradas en la red.

También observamos un aumento del uso de macros maliciosas. Powload fue el responsable más generalizado y, como la mayoría de las macros maliciosas, se envió a través de spam. El correo spam está diseñado de tal manera que manipula a los usuarios para que permitan la macro y descarguen la rutina de malware.

Macro

6 %

Aumento de enero a junio

POWLOAD

68 %

Aumento de enero a junio

También observamos un notable aumento en las detecciones de una familia de malware de punto de venta (POS) llamada TinyPOS. Esto puede deberse, en parte, al lanzamiento del código fuente de TreasureHunter , otra familia de malware POS, puesto que, a menudo, cuando se produce una filtración en el código fuente, se detecta un aumento en el malware similar o relacionado. Seguramente, el tamaño del archivo extremadamente pequeño de TinyPOS sea una característica que utilizan los ciberdelincuentes para tratar de impedir su detección.

DETECCIONES DE TinyPOS

Las pérdidas de BEC superaron la previsión, ya que sus intentos mostraron un crecimiento estable

Los fraudes de amenazas al correo electrónico de la empresa (BEC) son bastante sencillos, y dependen más de la inteligencia de código abierto y de la ingeniería social que de la experiencia técnica de alto nivel. En un problema típico de BEC, un estafador representa a un ejecutivo de alto nivel y engaña a un empleado (normalmente uno relacionado con el departamento de finanzas) para que transfiera fondos a la cuenta del defraudador. Ya que los fraudes de BEC necesitan relativamente menos recursos, y aun así pueden obtener altos ingresos, predecimos que las pérdidas excederían los 9000 millones de dólares este año.

MÁS DE

9000 millones de dólares

PREDICCIÓN

12 500 millones de dólares

REAL

PREDICCIÓN DE TREND MICRO PARA 2018 EN COMPARACIÓN CON
PÉRDIDAS GLOBALES ACUMULATIVAS DE BEC REALES

Un informe del FBI (Oficina Federal de Investigación estadounidense) sobre BEC y la amenaza de cuentas de correo electrónico (EAC) muestra lo grave que ha llegado a ser el problema para las empresas: Las pérdidas globales acumuladas (de octubre de 2013 a mayo de 2018) han alcanzado 12 500 millones de dólares .

Hemos estado rastreando activamente los intentos de BEC y nuestros datos muestran un aumento en los últimos 12 meses.

5 %

AUMENTO EN LOS INTENTOS DE BEC REGISTRADOS DEL S2 2017 AL S1 2018

Para prevenir amenazas basadas en correos electrónicos, las empresas necesitan ver más allá de la detección de archivos y considerar las tecnologías de reputación de correo electrónico. Para los fraudes de BEC en particular, las soluciones que utilizan machine learning añaden una nueva capa de protección, por ejemplo, al analizar el estilo de escritura del usuario para identificar si un correo electrónico es auténtico o no.

PANORAMA DE AMENAZAS

20,488,399,209

Número total de amenazas bloqueadas en el S1 2018

Apple 92 %
Foxit 50 %
Adobe 7 %
Microsoft 2 %
Google 84 %

CAMBIOS ENCONTRADOS EN LAS VULNERABILIDADES POR PROVEEDOR (S2 2017 vs. S1 2018)

Nuestro informe completo del resumen a mediados del año 2018, “ Amenazas no visibles, pérdidas inminentes ”, ofrece información exhaustiva de las amenazas más destacadas de la primera mitad del año 2018.

DESCARGAR INFORME COMPLETO




HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.

Publicado en Roundup, Threat Reports, Ransomware, Internet of Things, Cryptocurrency, Data Breach, Business Email Compromise, Vulnerabilities, ICS/SCADA

Nosotros recomendamos