HP Inc. ha publicado su último informe global sobre amenazas, que ofrece un análisis de los ataques y vulnerabilidades de ciberseguridad en el mundo real. La investigación muestra un aumento significativo en la frecuencia y sofisticación de la actividad de cibercrimen, incluyendo un aumento del 65% en el uso de herramientas de hacking descargadas de foros clandestinos y sitios web de intercambio de archivos desde el segundo semestre del 2020 hasta el primero del 2021.
Los investigadores observaron que las herramientas de piratería informática en amplia circulación eran sorprendentemente capaces. Por ejemplo, una herramienta puede resolver los desafíos CAPTCHA utilizando técnicas de visión por computadora, concretamente el reconocimiento óptico de caracteres (OCR), para realizar ataques de relleno de credenciales contra sitios web. En términos más generales, el informe descubrió que la ciberdelincuencia está más organizada que nunca, con foros clandestinos que proporcionan una plataforma perfecta para que los actores de las amenazas colaboren y compartan tácticas, técnicas y procedimientos de ataque.
“La proliferación de herramientas de piratería informática y de foros clandestinos está permitiendo que actores que antes eran de bajo nivel planteen graves riesgos para la seguridad de las empresas”, afirmó el doctor Ian Pratt, director global de Seguridad de Sistemas Personales de HP Inc. “Simultáneamente, los usuarios siguen siendo presa de simples ataques de phishing una y otra vez. Las soluciones de seguridad que arman a los departamentos de TI para adelantarse a las futuras amenazas son clave para maximizar la protección y la resistencia de las empresas”.
Entre las amenazas más destacadas aisladas por HP Wolf Security se encuentran:
- La colaboración de los ciberdelincuentes está abriendo la puerta a ataques más grandes contra las víctimas: Los afiliados a Dridex están vendiendo el acceso a las organizaciones vulneradas a otros actores de la amenaza, para que puedan distribuir ransomware. El descenso de la actividad de Emotet en el primer trimestre del 2021 ha llevado a Dridex a convertirse en la principal familia de malware aislada por HP Wolf Security.
- Los ladrones de información distribuyen malware más desagradable: El malware CryptBot -utilizado históricamente como ladrón de información para desviar credenciales de carteras de criptomonedas y navegadores web- también se utiliza para distribuir DanaBot, un troyano bancario operado por grupos de delincuencia organizada.
- Campaña de descarga de VBS dirigida a ejecutivos de empresas: Una campaña de Visual Basic Script (VBS) en varias fases está compartiendo archivos adjuntos ZIP maliciosos con el nombre del ejecutivo al que se dirige. Despliega un descargador VBS sigiloso antes de utilizar herramientas legítimas de SysAdmin para “vivir de la tierra”, persistiendo en los dispositivos y entregando el malware.
- De la aplicación a la infiltración: Una campaña de spam malicioso con temática de currículum vitae se dirigió a empresas navieras, marítimas, logísticas y afines de siete países (Chile, Japón, Reino Unido, Pakistán, Estados Unidos, Italia y Filipinas), aprovechando una vulnerabilidad de Microsoft Office para desplegar la RAT Remcos, disponible en el mercado, y obtener un acceso de puerta trasera a los ordenadores infectados.
Los resultados se basan en los datos de HP Wolf Security, que rastrea el malware dentro de máquinas microvirtuales aisladas para comprender y capturar una cadena de infección completa y ayudar a mitigar las amenazas. Al comprender mejor el comportamiento del malware en la naturaleza, los investigadores e ingenieros de HP Wolf Security son capaces de reforzar las protecciones de seguridad de los puntos finales y la resistencia general del sistema.
“El ecosistema de la ciberdelincuencia sigue desarrollándose y transformándose, con más oportunidades para que los ciberdelincuentes de poca monta se conecten con actores más importantes dentro de la delincuencia organizada, y descarguen herramientas avanzadas que puedan eludir las defensas y vulnerar los sistemas”, observó, por su parte, Alex Holland, analista principal de malware de HP Inc.
“Estamos viendo cómo los hackers adaptan sus técnicas para conseguir una mayor monetización, vendiendo el acceso a grupos criminales organizados para que puedan lanzar ataques más sofisticados contra las organizaciones. Las cepas de malware como CryptBot anteriormente habrían sido un peligro para los usuarios que utilizan sus PC para almacenar carteras de criptomonedas, pero ahora también representan una amenaza para las empresas. Vemos que los infosectores distribuyen malware operado por grupos criminales organizados, que tienden a favorecer el ransomware para monetizar su acceso”, añadió el ejecutivo.
Otras conclusiones clave del informe son:
- El 75% del malware detectado se distribuyó por correo electrónico, mientras que las descargas web fueron responsables del 25% restante. Las amenazas descargadas a través de los navegadores web aumentaron en un 24%, impulsadas en parte por los usuarios que descargan herramientas de hacking y software de minería de criptomonedas.
- Los señuelos de phishing por correo electrónico más comunes fueron facturas y transacciones comerciales (49%), mientras que el 15% fueron respuestas a hilos de correo electrónico interceptados. Los señuelos de phishing que mencionan COVID-19 representaron menos del 1%, y disminuyeron un 77% desde el segundo semestre del 2020 hasta el primero del 2021.
- El tipo más común de archivos adjuntos maliciosos eran ficheros de archivo (29%), hojas de cálculo (23%), documentos (19%) y ficheros ejecutables (19%). Los tipos de archivos inusuales, como los JAR (Java Archive files), se utilizan para evitar la detección y las herramientas de escaneo, y para instalar programas maliciosos que se obtienen fácilmente en los mercados clandestinos.
- El informe revela que el 34% de los programas maliciosos capturados eran desconocidos, lo que supone un descenso del 4% con respecto a H2 2020.
- Un aumento del 24% en el malware que aprovecha CVE-2017-11882, una vulnerabilidad de corrupción de memoria comúnmente utilizada para explotar Microsoft Office o Microsoft WordPad y llevar a cabo ataques sin archivos.
