ESCUCHAREl destructivo malware wiper aumentó en más del 50% en el país, aseguró un informe privado internacional. Mientras, las cadenas de suministro de los cibercriminales se fortalecen en complejidad y sofisticación para contrarrestar las defensas de las empresas, que siguen evolucionando
Fortinet, la multinacional especializada en ciberseguridad, anunció el último informe semestral del panorama global de amenazas de FortiGuard Labs, en el que reveló que Argentina recibió 10.000 millones de intentos de ciberataques en 2022, un crecimiento del 200% frente a 2021.
“Para los ciberadversarios, mantener el acceso y evadir la detección no es poca cosa, ya que las ciberdefensas continúan avanzando para proteger a las organizaciones en la actualidad. Para contrarrestar, los adversarios están sumando más técnicas de reconocimiento y desplegando alternativas de ataque más sofisticadas para realizar sus intentos destructivos con métodos de amenazas avanzadas y persistentes, como el wiper malware u otros ataques evolucionados”, dice Derek Manky, estratega jefe de seguridad y vicepresidente global de Threat Intelligence de FortiGuard Labs, de Fortinet.
Y agregó: “Para protegerse contra estas tácticas avanzadas de ciberdelincuencia, las organizaciones deben centrarse en habilitar la inteligencia de amenazas coordinada y procesable impulsada por el aprendizaje automático en tiempo real en todos los dispositivos de seguridad para detectar acciones sospechosas e iniciar una mitigación coordinada en toda la superficie de ataque extendida”.
Los principales puntos del reporte sobre ciberataques, del segundo semestre de 2022, revelan que:
- La distribución masiva de wiper malware continúa mostrando la evolución destructiva de los ciberataques.
- La amenaza de ransomware permanece en niveles máximos sin evidencia de desaceleración, con nuevas variantes habilitadas por Ransomware-as-a-Service (RaaS).
- El malware más frecuente tenía más de un año, lo que destaca la eficacia y la economía de reutilizar y reciclar el código.
- El Log4j, la biblioteca de código abierto de Java que utilizan los hackers para afectar de modo remoto, sigue afectando a organizaciones de todas las regiones e industrias, sobre todo en sectores como tecnología, gobierno y educación.
El destructivo wiper malware
En seguridad informática, un limpiador es una clase de malware destinado a borrar el disco duro de la computadora que infecta, eliminando maliciosamente datos y programas. El análisis de los datos del uso de este «limpiador» revela una tendencia de los ciberadversarios que utilizan constantemente técnicas de ataque destructivas contra sus objetivos.
Además, debido al faltante de fronteras en internet, los cibercriminales pueden escalar fácilmente este tipo de ataques que han sido habilitados en gran medida por el modelo Cybercrime-as-a-Service (CaaS).
A principios del año pasado, desde FortiGuard Labs registraron varios wiper relacionados con la guerra entre Rusia y Ucrania. Más adelante en el año, el wiper malware se expandió a otros países, lo que impulsó un aumento del 53% en la actividad solo del tercer al cuarto trimestre. Los malware de limpieza destructivos continúan actuando, por lo que cualquier empresa puede resultar afectada.
El ciberdelito motivado financieramente
Los reportes de Respuesta a Incidentes (IR) de FortiGuard Labs encontraron que los ciberdelitos motivados financieramente resultaron con el mayor volumen de incidentes (73,9%), con un distante segundo lugar atribuido al espionaje (13%). En todo el año 2022, 82% de los ciberdelitos motivados financieramente involucraron el uso de ransomware o scripts (secuencia de comandos) maliciosos, lo que demuestra que la amenaza global de ransomware sigue vigente sin evidencia de desaceleración gracias a la creciente popularidad de Ransomware-as-a-Service (RaaS) en la dark web. De hecho, el volumen de ransomware aumentó un 16% desde la primera mitad de 2022.
Un ransomware o «secuestro de datos» en español, es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción.
La nueva amenaza: phishing a través de códigos QR
Se ven «casi a diario campañas de ‘estafa por escaneo QR'», aseguran los técnicos de HP. Estas estafas engañan a los usuarios para que escaneen desde la PC estos códigos con sus dispositivos móviles y así sacar ventaja potencial de las débiles protecciones y detecciones de phishing en los dispositivos
La multinacional HP (Hewlett-Packard Company) acaba de publicar su más reciente Informe Trimestral de Inteligencia sobre Amenazas Cibernéticas de HP Wolf Security, el cual muestra que los hackers están diversificando sus métodos de ataque, provocando un aumento en las campañas de phishing basadas en la captura de códigos QR.
Aislando a las PCs de las amenazas que evadieron las herramientas de detección, HP Wolf Security «cuenta con información específica sobre las últimas técnicas que utilizan los ciberdelincuentes en el cambiante panorama de las amenazas de ciberseguridad», afirma la compañía. A la fecha, los usuarios de HP Wolf Security «han hecho clic en más de 25 mil millones de archivos adjuntos de correos, páginas web y archivos descargados sin reporte de alguna vulneración», aseguran.
Uso de Office
Desde febrero de 2022, Microsoft comenzó a bloquear las macros en los archivos de Office de forma predeterminada, lo cual dificulta que los atacantes ejecuten código malicioso. Los datos recopilados por el equipo de investigación de amenazas de HP muestran que, desde el segundo trimestre de 2022, los atacantes han estado diversificando sus técnicas para encontrar nuevas formas de vulnerar dispositivos y robar datos.
Los nuevos ataques
Con base en la información de millones de dispositivos que ejecutan HP Wolf Security, la investigación develó lo siguiente:
- El auge de las estafas por escaneo de códigos QR. Desde octubre de 2022, HP ha visto casi a diario campañas de “estafa por escaneo QR”. Estas estafas engañan a los usuarios para que escaneen desde la PC estos códigos con sus dispositivos móviles, y así sacar ventaja potencial de las débiles protecciones y detecciones de phishing en dichos dispositivos.
Los códigos QR dirigen a los usuarios a sitios web maliciosos donde les solicitan los datos de sus tarjetas de débito y crédito. Los ejemplos en el informe del 4to trimestre incluyen campañas que se disfrazan como empresas de paquetería que solicitan un pago. - HP observó un aumento del 38% en archivos PDF maliciosos. En ataques recientes se utilizaron imágenes adjuntas que vinculan a archivos ZIP encriptados, evitando los escáneres web. Las instrucciones del PDF contienen una contraseña que sirve para engañar al usuario. Una vez que el usuario ingresa dicha contraseña, descarga un archivo ZIP que despliega un bot malicioso para obtener acceso no autorizado a los sistemas utilizados como puntas de lanza para implementar ransomware, un programa que ejecuta el secuestro de datos.
Segpun los expertos de HP, en estos casos 42% del malware se entregó dentro de archivos tipo ZIP, RAR e IMG. La popularidad de estos archivos aumentó 20% desde el primer trimestre de 2022, debido a que los ciberdelincuentes cambian a scripts (secuencia de comandos) para ejecutar sus cargas útiles. Esto sería comparable con el 38% de malware que se entrega a través de archivos de Office como Microsoft Word, Excel y PowerPoint. - En este sentido, los especialistas en cibercrimen de HP afirman que “vimos a distribuidores de malware, como Emotet, tratar de esquivar la política de macros más estricta de Office con tácticas complejas de ingeniería social, las cuales están resultando menos eficaces. Pero cuando una puerta se cierra, otra se abre, como lo muestra el aumento de los fraudes por escaneo, malvertising, archivos y PDFs maliciosos”. Así lo explicó Alex Holland, analista senior de malware del equipo de investigación de amenazas de HP.
Por supuesto, la recomendación es que “los usuarios deben tener cuidado con los correos y sitios web que piden escanear códigos QR y entregar datos confidenciales, así como archivos PDF que vinculan a archivos protegidos por contraseña”.
Uso de publicidades
Desde hace un tiempo, la delincuencia cibernética desarrolla y utiliza lo que los expertos han dado en llamar el malvertising, que consiste en introducir malware en la publicidad en línea para extender otro malware. El atacante se aprovecha de ser un anunciante para buscar fallos de seguridad en el software subyacente y, si los encuentra, los aprovecha para instalar software malicioso sin que el usuario sea consciente.
En el cuarto trimestre del año 2022, HP descubrió 24 proyectos de software populares que fueron imitados en campañas de malvertising utilizadas para infectar PCs con ocho familias de malware. Comparado con solo dos campañas similares detectadas durante 2021, estamos hablando de una tendencia muy fuerte del momento en relación al uso de malvetising.
En estos casos, los ataques confían en que los usuarios hagan clic en los anuncios publicitarios del motor de búsqueda, los cuales conducen a sitios web maliciosos que se ven casi idénticos a los sitios web reales.
Ingeniería social
“Si bien las técnicas evolucionan, los actores de amenazas siguen confiando en la ingeniería social para dirigir sus ataques a los usuarios en los dispositivos finales”, comentó el Dr. Ian Pratt, jefe global de seguridad de sistemas personales de HP Inc. Es decir que no lo hacen de modo generalizado y al azar, sino que dirigen sus ataques a personas susceptibles de caer en sus redes.
¿Cómo protegerse de estas tendencias, en especial desde las empresas?
“Las organizaciones deben implementar un aislamiento fuerte para contener los vectores de ataque más comunes como el correo electrónico, la navegación web y las descargas. Esto se debe combinar con soluciones de protección de credenciales que adviertan o impidan a los usuarios introducir datos confidenciales en sitios sospechosos a fin de reducir en gran medida la superficie de ataque y mejorar la posición de seguridad de una organización”, afirman desde HP.
La multinacional ofrece el Wolf Security, un servicio que ejecuta tareas riesgosas, tales como abrir archivos adjuntos de email, descargar archivos y hacer clic en enlaces, y las realiza en máquinas microvirtuales aisladas (micro-VMs) para proteger a los usuarios, capturando rastros detallados de los intentos de infección. De este modo, la tecnología de aislamiento de aplicaciones mitiga las amenazas que podrían escapar a otras herramientas de seguridad y proporciona información única sobre las nuevas técnicas de intrusión y el comportamiento de los actores de amenazas.
Los expertos recomiendan este o cualquier otro servicio de calidad internacional que pertenezca a la nueva generación de seguridad endpoint. La cartera de seguridad reforzada por hardware y los servicios de seguridad enfocados en dispositivos «están diseñados para ayudar a las organizaciones a proteger las PCs, impresoras y personas de los depredadores cibernéticos», que al parecer son cada día más. Esta empresa, así como otras, ofrecen protección integral y resiliencia cibernética que comienza a nivel de hardware y se extiende a través del software y los servicios, así se entiende la integralidad del sistema de seguridad informática por el que se opte.
La reutilización de códigos
Los ciberatacantes buscan constantemente mejorar la eficiencia y aumentar la cantidad de sus ataques. La reutilización de código es una forma eficiente y lucrativa donde los delincuentes se basan en resultados exitosos y realizan cambios iterativos para afinar sus ataques y superar los obstáculos defensivos. A la hora de analizar cuáles eran los malwares más utilizados en la segunda mitad del 2022, FortiGuard Labs descubrió que la mayoría de los primeros lugares los ocuparon malware con más de un año. Los cibercriminales no solo automatizan las amenazas, sino que actualizan activamente el código para hacerlas aún más efectivas.
Por supuesto, el malware es un programa malicioso, también conocido como programa maligno, programa malintencionado o código maligno. Es cualquier tipo de software que realiza acciones dañinas en un sistema informático de forma intencionada y sin el conocimiento del usuario.
Resiliencia de las cadenas de suministro
Además de la reutilización de código, los adversarios también aprovechan la infraestructura existente y las amenazas más antiguas para maximizar las oportunidades. Al examinar las amenazas de botnets por prevalencia, muchas de las principales botnets no son nuevas.
Recordemos que botnet es un término que hace referencia a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota.
Estas redes de bots «antiguas» todavía son omnipresentes por una razón: siguen siendo muy efectivas, asegura Fortinet.
Mirai es el malware de la familia de las botnets más conocidos y utilizados. Busca infectar los equipos conformantes del IoT de una red. El objetivo principal de este malware es la infección de routers y cámaras IP, usando estos para realizar ataques de tipo DDoS. En seguridad informática, un ataque de denegación de servicio, llamado también ataque DoS, es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos.
Específicamente, en la segunda mitad de 2022, los objetivos importantes de Mirai incluyeron a proveedores de servicios de seguridad administrados (MSSP), el sector de telecomunicaciones y el sector de fabricación, que es conocido por su generalizada tecnología operativa (OT). «Los delincuentes están haciendo un esfuerzo concertado para apuntar a esas industrias con métodos comprobados», afirmó Fortinet.
Para los expertos de la firma especializada en el tema, el análisis de los métodos de los ciberdelincuentes «nos brindan información importante para poder estar preparados y enfrentar las nuevas amenazas de ciberseguridad que puedan surgir en el futuro».
«Los adversarios obtienen acceso a los sistemas de las víctimas principalmente cuando el usuario desprevenido navega por Internet y descarga involuntariamente una carga maliciosa al visitar un sitio web comprometido, abrir un archivo adjunto de correo electrónico malicioso o incluso hacer clic en un enlace o ventana emergente engañosa», precisan.
«El desafío es que una vez que se accede y descarga una carga maliciosa, a menudo es demasiado tarde para que el usuario escape al compromiso a menos que tenga un enfoque holístico de la seguridad», que es el servicio que recomiendan contratar a las empresas.
Cambiar para enfrentar amenazas
El portafolio de soluciones de seguridad de Fortinet «ofrece capacidades avanzadas de detección y prevención de amenazas que pueden ayudar a las organizaciones a detectar y responder rápidamente a los incidentes de seguridad en toda su superficie de ataque», afirman. Entre ellas se destacan firewalls de próxima generación (NGFW), telemetría y análisis de red, detección y respuesta de endpoint (EDR), detección y respuesta extendida (XDR), protección de riesgo digital (DRP), información de seguridad y gestión de eventos (SIEM), sandboxing en línea, deception (engaño), orquestación de seguridad, automatización y respuesta (SOAR) y más.
Para ayudar a los equipos que sufren la escasez de profesionales instruidos en materia de ciberseguridad, «Fortinet brinda servicios de respuesta e inteligencia de amenazas habilitados con aprendizaje automático, que aportan información actualizada sobre las ciberamenazas más recientes y permiten a las empresas responder rápidamente a los incidentes de seguridad, minimizando el impacto en su organización», dicen.
Los servicios de inteligencia de amenazas y SOC que brinda esta empresa y en general que ofrecen otras compañías especializadas en ciberseguridad, «también ayudan a los equipos de seguridad a prepararse mejor para las ciberamenazas y brindan capacidades de respuesta a incidentes y monitoreo de amenazas en tiempo real. Este conjunto integral de soluciones y servicios de ciberseguridad permite que los CISOs y los equipos de seguridad se centren en habilitar el negocio y en proyectos de mayor prioridad«.
