Informe global de HP muestra incremento considerable de amenazas a la ciberseguridad

 El equipo de investigación de amenazas de HP Wolf Security encuentra una creciente sofisticación del ciberdelito y un auge de las herramientas de monetización y piratería informática, mientras los usuarios finales siguen siendo vulnerables a los viejos trucos

HP Inc. publicó hoy su más reciente Informe Global de Inteligencia sobre Amenazas Cibernéticas, el cual ofrece un análisis de los ataques a la ciberseguridad, así como sus vulnerabilidades en el mundo real. La investigación muestra un aumento significativo en la frecuencia y sofisticación del ciberdelito, incluida un alza del 65% en el uso de herramientas de piratería informática que se descargan de foros clandestinos y sitios web de intercambio archivos, desde el segundo semestre de 2020 hasta el primer semestre de 2021.

Los investigadores observaron que las herramientas de hacking que circulan ampliamente tienen una capacidad sorprendente. Por ejemplo, una herramienta puede resolver los Captcha usando técnicas de visión artificial—conocidas como reconocimiento óptico de caracteres (OCR)—para realizar ataques de relleno de credenciales contra sitios web. Además, el informe encontró que la ciberdelincuencia está más organizada que nunca, con foros clandestinos que ofrecen una plataforma perfecta para que los actores de amenazas colaboren y compartan tácticas, técnicas y procedimientos para los ataques.   

“La proliferación de herramientas de piratería informática y foros clandestinos están permitiendo a los actores, que anteriormente se consideraban de bajo nivel, plantear serios riesgos para la seguridad de las empresas”, comenta el Dr. Ian Pratt, jefe de seguridad global de sistemas personales, de HP Inc. “De manera simultánea, los usuarios siguen siendo presas fáciles de simples ataques de phishing una y otra vez. Las soluciones de seguridad que preparan a los departamentos de TI para adelantarse a las amenazas futuras son claves para maximizar la protección y la resiliencia de las empresas”.

Algunas de las amenazas notables que fueron aisladas por HP Wolf Security, están relacionadas con:

· La colaboración entre los ciberdelincuentes que está abriendo las puertas a mayores ataques contra las víctimas: Actores asociados con Dridex están vendiendo el acceso a organizaciones vulneradas a otros actores de amenazas para que estos últimos puedan distribuir ransomware. La caída en la actividad de Emotet durante el primer trimestre de 2021 ha llevado a Dridex a convertirse en la principal familia de programa malicioso o malware aislada por HP Wolf Security.

· Ladrones de información (Stealers) que entregan un malware más desagradable. El software malicioso CryptBot—que históricamente se ha utilizado para el robo de identidad con la intención de desviar credenciales de carteras de criptomonedas y navegadores web—también se está usando para entregar DanaBot, un troyano bancario operado por grupos del crimen organizado.

·  La campaña de Downloader. VBS que está dirigida a ejecutivos empresariales: Una campaña de Visual Basic Script (VBS), que incluye varias etapas, está compartiendo archivos ZIP maliciosos con el nombre del ejecutivo al que están dirigidos. Implementa un Downloader.VBS sigiloso antes de usar las herramientas legítimas de SysAdmin para “explotar los recursos”, persistiendo en dispositivos y entregando malware.

· Desde la aplicación hasta la infiltración: Una campaña de spam malicioso con el tema de currículum vitae se dirigió a empresas de transporte, marítimas, logística y afines en siete países (Chile, Japón, Reino Unido, Pakistán, Estados Unidos, Italia y Filipinas), explotando una vulnerabilidad de Microsoft Office para implementar el malware Remcos RAT que está disponible comercialmente, y así obtener acceso de puerta trasera a computadoras infectadas.

Los hallazgos se basan en datos de HP Wolf Security, que rastrea el software malicioso dentro de máquinas micro virtuales aisladas para entender y capturar una cadena de infección completa, y ayudar a mitigar las amenazas. Al comprender mejor el comportamiento del malware en la naturaleza, los investigadores e ingenieros de HP Wolf Security pueden reforzar las protecciones de seguridad de punto final y la resiliencia del sistema en general.

“El ecosistema de la ciberdelincuencia se sigue desarrollando y transformando, ofreciendo más oportunidades para que los pequeños ciberdelincuentes se conecten con actores más importantes dentro del crimen organizado, y descarguen herramientas avanzadas que pueden eludir las defensas y vulnerar los sistemas,” señala Alex Holland, analista senior de malware, de HP Inc. “Estamos observando hackers que adaptan sus técnicas para impulsar una mayor monetización, vendiendo acceso a grupos delictivos organizados para que ellos puedan lanzar ataques más sofisticados contra las organizaciones. Anteriormente, cepas de malware como CryptBot habrían sido un peligro para los usuarios que utilizan sus PCs para guardar carteras de criptomonedas, pero ahora esas cepas también plantean una amenaza para las empresas. Vemos ladrones de información (Stealers) distribuyendo software malicioso, operado por grupos delictivos organizados que tienden a favorecer el ransomware para monetizar el acceso”.

Otros hallazgos importantes del informe incluyen:

·         El 75% del malware detectado fue entregado vía email, mientras que las descargas de la web fueron responsables del 25% restante. Las amenazas que se descargaron usando navegadores web aumentaron un 24%, parcialmente impulsadas por los usuarios que estuvieron descargando herramientas de hacking y software de minería de criptomonedas.

·         Las trampas más comunes de phishing vía email fueron las facturas y las transacciones de negocios con un 49%, mientras que un 15% se debió a respuestas a hilos de correo electrónico que habían sido interceptados. Los señuelos de phishing que incluyeron la mención de COVID-19 representaron menos del 1%, cayendo un 77% del segundo semestre de 2020 al primer semestre de 2021.

·         Los tipos de contenido adjunto malicioso más comunes fueron: los archivos de almacenamiento con un 29%, las hojas de cálculo con un 23%, los documentos con un 19%, y los archivos ejecutables con un 19%. Los archivos de almacenamiento inusuales, tales como JAR (archivos de almacenamiento Java), se están utilizando para evitar las herramientas de detección y escaneo, e instalan software malicioso que se obtiene fácilmente en mercados clandestinos.

·         El informe encontró que el 34% del malware capturado no se conocía anteriormente, una caída del 4% desde el segundo semestre de 2020.

·         Un aumento del 24% en malware que explota CVE-2017-11882, una vulnerabilidad de corrupción de memoria que se usa comúnmente para explotar Microsoft Office o Microsoft WordPad y poder realizar ataques sin archivos.

“Los ciberdelincuentes están eludiendo las herramientas de detección con facilidad, simplemente modificando sus técnicas. Observamos un aumento en el software malicioso que se distribuye mediante tipos de archivos poco comunes como los archivos JAR que se usan para reducir las posibilidades de ser detectado por escáneres anti-malware”, comenta Holland. “Los mismos viejos trucos de phishing siguen atrayendo a las víctimas con señuelos que incluyen temas de transacciones y convenciendo a los usuarios de hacer clic en archivos adjuntos, enlaces y sitios web maliciosos”.

“A medida que la ciberdelincuencia se vuelve más organizada, y los actores más pequeños pueden obtener fácilmente herramientas efectivas y monetizar los ataques vendiendo accesos, no existe tal cosa como una vulneración menor”, concluye Pratt. “El dispositivo de punto final sigue siendo un gran objetivo para los cibercriminales. Sus técnicas se están volviendo más sofisticadas. Por lo tanto, es más importante que nunca tener una infraestructura y ciberdefensa de punto final integral y resistente. Esto significa usar funciones como contención de amenazas para defenderse de los atacantes modernos, minimizando las superficies de ataque mediante la eliminación de amenazas de los vectores de ataque más comunes, tales como email, navegadores y descargas”.