¡Ataques desde todos los ángulos!

Trend Micro presentó el resumen de ciberseguridad de lo que fue hasta mediados del año, en los cuales surgieron amenazas y riesgos desde todos los ángulos: Ransomware, Amenazas persistentes avanzadas (APT), Vulnerabilidades, Estafas y otras amenazas relacionadas con la covid-19, Nube e internet de las cosas (IoT) Panamorama de amenazas

  1. RANSOMWARE:

El ransomware continuó evolucionando como una de las amenazas cibernéticas más peligrosas, acumulando más de 7 millones de detecciones combinadas de amenazas por email, URL y archivos. Los agentes de amenazas se movieron de forma rápida y agresiva con ataques a sectores críticos como la banca, el gobierno y la manufactura.

A continuación, las cinco industrias princopales afectadas por el ransomware en la primeramitad del 2021.

Banca: 15,537    –    Gobierno: 10,225 – Manufactura: 4,957 – Servicios sanitarios: 4,802   – Comida y bebida: 2,330

Si bien algunas de las estrategias de los operadores, como su propensión a atacar a industrias esenciales, se mantuvieron constantes, muchas de sus tácticas evolucionaron de forma rápida y drástica. Las variantes destacadas de ransomware aumentaron los desafíos a medida que las nuevas familias agravaron los riesgos. Algunos agentes de amenazas se apresuraron a aprovechar la oportunidad y fingieron ser bandas de ransomware, como en el caso de una falsa campaña de DarkSide.

Familias de ransomware importantes

  • DarkSide: DarkSide Lanzó una serie de ataques de alto perfil incluido el ataque a Colonial Pipeline. También ha estado actualizando activamente su técnica,como una variante de DarkSide para Linux diriga a servidores VMware ESXI
  • REvil: (también conocido como Sodinikibi): REvil estuvo implicado en un ataque reciente contra el pincipal proveedor de carne JBS.        En la primera mitad del 2021, las detecciones de archivos de Trend Micro para REvil también se duplicaron en comparación con el mismo período del año pasado.
  • Hello: Una nueva variante de ransomware, aprovecha la vulnerabilidad de Microsoft SharePoint CVE-2019-0604.

    También descubrimos que implementó el shell web de China Chopper para ejecutar comandos de PowerShell

    Estos incidentes provocaron debates sobre los delicados temas de los pagos de los rescates, el seguro cibernético y la posible legislación. Las autoridades y los investigadores de seguridad también han realizado notables esfuerzos para acabar con las bandas de ransomware, que han dado lugar a una serie de detenciones de alto perfil, como en los casos de las medidas tomadas contra los operadores de Egregor y Clop.

2.  AMENAZAS PERSISTENTES AVANZADAS (APT)

Las APT también estuvieron activas, ya que se lanzaron varias campañas en el primer semestre de este año.

Los grupos de amenazas detrás de estas APT presumieron tanto de técnicas probadas como de tácticas innovadoras. El primero incluyó el uso de scripts maliciosos e emails de spear phishing, mientras que este último involucró nuevas plataformas legítimas, variantes de malware y herramientas de acceso remoto (RAT) como el cargador PlugX

APT más importantes

o   TeamTNT: TeamTNT está activo nuevamente, esta vez atacando credenciales de Amazon Web Services (AWS) y clústeres de Kubernetes. Estos ataques también están relacionados con la minería de criptomonedas.

Para este último, China y EE. UU. constituyen la mayoría de las direcciones IP comprometidas.

o   Water Pamola: Hemos visto algunos cambios en las tácticas de Water Pamola. Estos consisten principalmente en una vuelta de tuerca para centrarse principalmente en objetivos localizados en Japón. Además, en lugar de usar spam, los ataques se lanzan aprovechando una vulnerabilidad de secuencias de comandos de sitios cruzados (XSS) en el portal de administración online de una tienda.

o   Earth Vetala: Earth Vetala – MuddyWater lanzaron campañas contra organizaciones en el Medio Oriente y regiones circundantes. Aprovecharon las herramientas legítimas de administración remota, como ScreenConnect y RemoteUtilities, para distribuir rutinas.

o   Iron Tiger: Iron Tiger, que es conocido por atacar a empresas de juegos de azar en el sudeste asiático, actualizó su conjunto de herramientas con una variante de malware evolucionada de SysUpdate. El grupo ahora también usa cinco archivos (en lugar de tres) en su rutina de infección.

o   Earth Wendigo: Trend Micro descubrió que una APT ha estado atacando a organizaciones en Taiwán desde 2019. Denominamos a los agentes de amenazas como Earth Wendigo. Los ataques utilizan emails de spear phishing con JavaScript malicioso inyectado en un sistema de correo web ampliamente utilizado.

3. VULNERABILIDADES

 Las principales vulnerabilidades llegaron a los titulares a la vez que los investigadores se apresuraban en parchear los sistemas afectados antes de que estas fallas pudieran representar peligros e interrumpir las configuraciones de trabajo, incluidas las remotas.

o   ProxyLogon: Un incidente de hackeo atribuido al grupo Hafnium condujo al exploit de cuatro vulnerabilidades de día cero en las versiones on premise de Microsoft Exchange Server. Estas vulnerabilidades son CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, denominadas colectivamente como ProxyLogon.

Vulnerabilidades de VPN

A medida que persisten las configuraciones de trabajo desde casa, las redes privadas virtuales (VPN) siguen siendo una herramienta vital para garantizar la seguridad. Las detecciones de estas vulnerabilidades continuaron proliferando, con algunos picos en comparación con el mismo período del año pasado.

o   PrintNightmare: Es el nombre atribuido a CVE-2021-1675, una vulnerabilidad crítica de Windows Print Spooler que permite la ejecución de código arbitrario con privilegios de nivel de sistema. La filtración accidental de un código de exploit de prueba de concepto provocó una carrera para corregir esta vulnerabilidad lo antes posible.

Con todo, el número de detecciones de vulnerabilidades mostró una pequeña disminución, con una importante disminución de las vulnerabilidades críticas.

4. ESTAFAS Y OTRAS AMENAZAS RELACIONADAS CON LA COVID-19

Incluso en medio de una pandemia, el negocio es normal para muchos agentes de amenazas, ya que continúan desplegando nuevas amenazas o renovando las ya existentes. Algunos cibercriminales se aprovecharon directamente de la pandemia, utilizando la incertidumbre y la angustia provocada por la situación como argumento de ingeniería social en la elaboración de sus estafas.

Amenazas relacionadas con la Covid-19

A medida que los programas de vacunación continúan implementándose en todo el mundo, también proliferan las amenazas relacionadas con las vacunas para la Covid-19. Estas incluyen archivos maliciosos, emails, mensajes de texto, sitios de información errónea y páginas de phishing. Los objetivos habituales son los sectores de telecomunicaciones, banca, comercio minorista, gobierno y finanzas.

Estados Unidos: 1,584,337 – Alemania: 832,750 – Colombia: 462,005 –

Italia: 131,197 – España: 111,663 – Otros: 1,287,440

Los principales países afectados por las amenazas relacionadas con la Covid-19 en la primera mitad del 2021.

Amenazas activas

o   XCSSET: se dirige a los usuarios de Mac e infecta los proyectos de Xcode. A los pocos meses del año, los agentes de amenazas actualizaron XCSSET con características que permiten que se adapte tanto a ARM64 como a Mac x86_x64. El malware también obtuvo la capacidad de recopilar información confidencial de ciertos sitios web, incluidas las plataformas de comercio de criptomonedas.

o   PandaStealer: PandaStealer es un nuevo ladrón de información que puede recopilar información confidencial como claves privadas y registros de transacciones pasadas de las carteras de moneda digital de un objetivo. También puede recopilar credenciales de otras aplicaciones, realizar capturas de pantalla y extraer datos de los navegadores. Se propaga principalmente a través de emails de spam que solicitan cotizaciones comerciales.

5. NUBE E INTERNET DE LAS COSAS (IoT)

Las circunstancias provocadas por la pandemia catalizaron la adopción de sistemas online impulsados por tecnologías como la nube y el IoT. Sin embargo, estos dominios vienen con sus propios conjuntos de amenazas y riesgos.

Nube 

Algunas amenazas destacadas de este año incluyen los ataques de TeamTNT. A principios de año, descubrimos que los agentes de amenazas detrás de TeamTNT apuntaban a ciertos sistemas de nube:

  • Credenciales de AWS. TeamTNT robó credenciales de AWS a través de un binario que contenía un script de shell codificado. Más de 4000 instancias se vieron comprometidas.
  • Clústeres de Kubernetes. TeamTNT comprometió los clústeres de Kubernetes de libre circulación. Casi 50 000 direcciones IP se vieron afectadas en varios clústeres.

El IoT: Descubrimos riesgos en varias facetas del IoT, incluida la red de área extendida de largo alcance (LoRaWAN), 5G y enrutadores.

LoRaWAN: Si bien son útiles en empresas y ciudades inteligentes, los dispositivos LoRaWAN no son inmunes al compromiso. Después de encontrar vulnerabilidades expuestas en estos dispositivos, creamos la herramienta LoRaPWN para evaluar la seguridad de las comunicaciones de LoRaWAN.

5G: El establecimiento de redes de campus 4G/5G para empresas conlleva riesgos. Para estudiar estos peligros, identificamos varios escenarios de ataque, incluido el secuestro de DNS, el secuestro de MQTT, el secuestro de Modbus/TCP, la descarga o el restablecimiento de controladores lógicos programables (PLC) desprotegidos, el escritorio remoto y el intercambio de SIM.

Enrutadores: Los enrutadores siempre han estado plagados de problemas de seguridad. Analizamos las infecciones de enrutadores y encontramos que VPNFilter, un botnet de IoT, era una de las amenazas más importantes. Para comprometer los enrutadores y los dispositivos de almacenamiento, VPNFilter utiliza cuentas de puerta trasera y varios exploits.

6. PANORAMA DE AMENAZAS

40,956,909,973

Número total de amenazas bloqueadas durante el primer semestre del 2021.

Amenazas por email bloqueadas:

Primer trimestre: 16,089,334,070

Segundo trimestre: 17,226,781,018

Archivos maliciosos bloqueados

Primer trimestre: 2,343,479,304

Segundo trimestre: 3,997,341,419

Direcciones URL maliciosas bloqueadas

Primer trimestre: 535,451,111

Segundo trimestre:764,523,051

Consultas de reputación de email

Primer trimestre: 20,910,330,826

Segundo trimestre: 22,075,108,541

Consultas de reputación de archivos

Primer trimestre: 442,384,974,451

Segundo trimestre: 517,455,645,611

Consultas de reputación de URL

Primer trimestre: 848,818,567,862

Segundo trimestre: 796,857,859,588

Fuente: Trend Micro