Crecimiento de ciberataques a través de malware

El informe detalla sobre el malware “Wiper” dirigido a Ucrania y el aumento de las ciberamenazas de un probable actor respaldado por Rusia en el cuarto trimestre de 2021.

Trellix, la empresa de ciberseguridad que ofrece el futuro de la detección y respuesta ampliada (XDR), ha publicado su informe Threat Labs Report: Abril 2022, que examina el comportamiento de los ciberdelincuentes en los últimos seis meses. Las principales conclusiones del informe incluyen que los consumidores individuales son el objetivo número 1 de los ciberdelincuentes, seguidos de cerca por el sector sanitario. Además, los sectores del transporte, el envío, la fabricación y la tecnología de la información mostraron un fuerte aumento de las amenazas.

«Nos encontramos en una coyuntura crítica en materia de ciberseguridad y observamos un comportamiento cada vez más hostil en una superficie de ataque en constante expansión», afirmó Christiaan Beek, científico jefe e ingeniero principal de Trellix Threat Labs. «Nuestro mundo ha cambiado fundamentalmente. El cuarto trimestre marcó el cambio de una pandemia de dos años que los ciberdelincuentes utilizaron para obtener beneficios y vio cómo la vulnerabilidad Log4Shell afectaba a cientos de millones de dispositivos, para continuar con el impulso cibernético en el nuevo año donde hemos visto una escalada de la actividad cibernética internacional.»

Amenazas a las infraestructuras críticas

En el cuarto trimestre de 2021 aumentó la ciberactividad dirigida a sectores esenciales para el funcionamiento de la sociedad:

El transporte y la navegación fueron el objetivo del 27% de todas las detecciones de amenazas persistentes avanzadas (APT) -actividad de actores adversos y sigilosos-.

La sanidad fue el segundo sector más atacado, con un 12% del total de detecciones.

Del tercer al cuarto trimestre de 2021, las amenazas a la industria manufacturera aumentaron un 100%, y las amenazas a la tecnología de la información aumentaron un 36%.

Entre los clientes de Trellix, el sector del transporte fue el objetivo del 62% de todas las detecciones observadas en el cuarto trimestre de 2021.

A principios de este mes, Trellix publicó un informe global de preparación cibernética que investiga cómo los proveedores de infraestructuras críticas se están preparando para los ciberataques. El informe encontró que muchos proveedores de infraestructura crítica no han implementado mejores prácticas de ciberseguridad a pesar de las violaciones de alto perfil.

Amenazas para Ucrania 

Trellix Threat Labs ha investigado el malware Wiper y otras ciberamenazas dirigidas a Ucrania. Los wipers inutilizan los dispositivos de las organizaciones objetivo destruyendo la memoria crítica para el funcionamiento de los dispositivos. El análisis de Trellix del malware Whispergate y HermeticWiper utilizado antes y durante la invasión de Ucrania detalla las similitudes y diferencias de las dos cepas utilizadas para desestabilizar los sistemas informáticos ucranianos destruyendo las comunicaciones dentro del país.

El informe de hoy enumera los actores de amenazas que tienen como objetivo Ucrania, incluyendo Actinium APT, Gamaredon APT, Nobelium APT (también conocido como APT29), UAC-0056 y Shuckworm APT. De toda la actividad APT que Trellix observó en el cuarto trimestre de 2021, la APT29 representó el 30% de las detecciones.

El informe detalla recomendaciones para las organizaciones que buscan proteger proactivamente su entorno de las tácticas que utilizan estos actores. Para obtener más información sobre la actividad cibernética dirigida a Ucrania, visite el Centro de Amenazas de Trellix y el Blog de Threat Labs.

Tácticas, técnicas y procedimientos

Trellix observó el uso continuado de los métodos Living off the Land (LoTL), en los que los delincuentes utilizan el software existente y los controles nativos de un dispositivo para ejecutar un ataque. Windows Command Shell (CMD) (53%) y PowerShell (44%) fueron los binarios NativeOS más utilizados, y Remote Services (36%) fue la herramienta administrativa más utilizada en el cuarto trimestre de 2021.

Trellix Threat Labs descubrió recientemente técnicas de LotL desplegadas por DarkHotel, un presunto grupo APT surcoreano, que utiliza archivos de Excel para infiltrarse con éxito en hoteles de lujo y obtener información sobre huéspedes destacados que viajan por trabajo y conferencias.

A principios de este año, Trellix Threat Labs también identificó un ataque de espionaje en varias fases contra la oficina de un primer ministro para vigilar a altos funcionarios del gobierno y ejecutivos del sector de la defensa. Esta campaña incluía el uso de OneDrive de Microsoft como servidor de mando y control (C2) y de Excel para acceder a los entornos de las víctimas.

Otros métodos y técnicas que están ganando terreno entre los ciberadversarios en los últimos meses:

Cobalt Strike ocupó el primer lugar entre las herramientas utilizadas por los grupos APT en el cuarto trimestre de 2021, un aumento del 95% respecto al tercer trimestre.

Los archivos o información ofuscados, seguidos de las credenciales de los navegadores web y el descubrimiento de archivos y directorios fueron las técnicas más observadas en el cuarto trimestre de 2021.

El malware se utilizó con mayor frecuencia en los incidentes notificados en el cuarto trimestre de 2021, representando el 46% del total de incidentes y aumentando un 15% desde el tercer trimestre de 2021.

Amenazas a las personas

En particular, el informe encontró un aumento significativo -73%- de los incidentes cibernéticos dirigidos a individuos y posicionó a las personas como el principal sector de ataque en el cuarto trimestre de 2021. Esto incluye las amenazas ejecutadas a través de las redes sociales, los dispositivos móviles y otros servicios donde los consumidores almacenan datos y credenciales.

Por ejemplo, en el cuarto trimestre de 2021 Facebook descubrió campañas de spyware dirigidas a usuarios de todo el mundo y otro grupo criminal aprovechó el malware Joker para atacar a usuarios de Android a nivel mundial. Estos ataques suelen tener una motivación política para seguir las interacciones y los contactos de una persona.

Esto sigue a la publicación de In the Crosshairs: Organizations and Nation-State Cyber Threats, un informe de Trellix y el Centro de Estudios Estratégicos e Internacionales que descubrió que el acceso a los datos de los consumidores fue y probablemente seguirá siendo el motivo de casi la mitad de los ciberataques respaldados por el Estado.

Actividad de las amenazas en el cuarto trimestre de 2021 

• Familias de ransomware. Lockbit (21%) fue la familia de ransomware más frecuente detectada en el cuarto trimestre de 2021 -un aumento del 21% desde el tercer trimestre-, seguida de Cuba (18%), y Conti (16%).

• Detecciones de ransomware. REvil/Sodinokibi, la familia de ransomware más detectada en el tercer trimestre de 2021, no se situó entre las detecciones más frecuentes en el cuarto trimestre debido a las intervenciones de las fuerzas de seguridad mundiales.

• Aumento del ransomware. Se observaron aumentos sustanciales en la actividad del ransomware en Italia (793%), los Países Bajos (318%) y Suiza (173%) en el cuarto trimestre de 2021. India (70%) y el Reino Unido (47%) también experimentaron notables aumentos en comparación con el tercer trimestre.

• Familias de malware. RedLine Stealer (20%), Raccoon Stealer (17%), Remcos RAT (12%), LokiBot (12%) y Formbook (12%) representaron casi el 75% de las familias de malware observadas en el cuarto trimestre de 2021.

Metodología

Informe de Threat Labs: Abril de 2022 aprovecha los datos propios de la red de Trellix de más de 1.000 millones de sensores junto con la inteligencia de código abierto y las investigaciones de Trellix Threat Labs sobre amenazas prevalentes como el ransomware y la actividad de los estados-nación. Para este informe se utiliza la telemetría relacionada con la detección de amenazas. Una detección es cuando se detecta un archivo, una URL, una dirección IP u otro indicador y se informa de ello a través del ecosistema Trellix XDR.