istr -...
TRANSCRIPT
ISTRInforme Sobre las Amenazas para la Seguridad en Internet
Volumen
23
EL DOCUMENTO ESTÁ DISPONIBLE “TAL COMO ESTÁ” Y TODAS LAS CONDICIONES, GARANTÍAS EXPLÍCITAS O IMPLÍCITAS, INCLUSO CUALQUIER
GARANTÍA IMPLÍCITA DE COMERCIALIZACIÓN, ADECUACIÓN A UN DETERMINADO FIN O NO VIOLACIÓN, SON RENUNCIADAS, EXCEPTO EN LA MEDIDA
EN QUE TALES EXENCIONES SEAN DETERMINADAS LEGALMENTE INVÁLIDAS.
SYMANTEC CORPORATION NO SE RESPONSABILIZARÁ POR DAÑOS ACCIDENTALES O CONSECUENCIALES RELACIONADAS AL SUMINISTRO,
DESEMPEÑO O USO DE ESTE DOCUMENTO. LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO ESTÁ SUJETA A ALTERACIONES SIN AVISO PREVIO. SE
CONSIDERA QUE LA INFORMACIÓN OBTENIDA DE FUENTES DE TERCEROS ES CONFIABLE, SIN EMBARGO, LA MISMAS NO ES GARANTIZADA.
PRODUCTOS DE SEGURIDAD, SERVICIOS TÉCNICOS Y OTROS DATOS TÉCNICOS REFERENCIADOS EN ESTE DOCUMENTO (“ITEMS CONTROLADOS”)
ESTÁN SUJETOS AL CONTROL DE EXPORTACIÓN, LEYES DE SANCIÓN COMERCIAL, REGLAMENTOS Y REQUISITOS DE EE.UU. Y PUEDEN ESTAR SUJETOS
A REGLAMENTOS DE EXPORTACIÓN O IMPORTACIÓN EN OTROS PAÍSES.
USTED ESTÁ DE ACUERDO EN CUMPLIR RIGUROSAMENTE ESTAS LEYES, REGLAMENTOS Y REQUISITOS, Y RECONOCE QUE TIENE LA RESPONSABILIDAD
DE OBTENER CUALQUIER LICENCIA, PERMISO U OTRAS APROBACIONES QUE PUEDAN SER NECESARIAS PARA EXPORTACIÓN, REEXPORTACIÓN,
TRANSFERENCIA DENTRO DEL PAÍS O IMPORTACIÓN DE ÍTEMS CONTROLADOS.
IntroducciónResumen Ejecutivo
Grandes Números
Metodología
Retrospectiva del AñoEl Escenario de Amenazas de Cibercrímenes
Ataques Dirigidos - En Números
Ransomware:Más que Cibercrimen
Infección de la Cadena de Suministros de Software
El Escenario de Amenazas Contra Dispositivos Móviles
Hechos y CifrasMalware
Amenazas Web
Correo Electrónico
Vulnerabilidades
Ataques Dirigidos
Amenazas Contra Dispositivos Móviles
Internet de las Cosas
Fraude y la Economía Clandestina
Predicciones
ÍNDICE
01
02
03
04
Sección
Intro01
ISTR Marzo 2018
Volver al Índice
Página 5Introducción01
Resumen EjecutivoDe la propagación repentina de WannaCry y Petya/NotPetya al rápido crecimiento de minadores de criptomonedas, 2017 nos proporcionó otra alerta que las amenazas a la seguridad digital pueden provenir de fuentes nuevas e inesperadas. Cada año, además del aumento de la cantidad absoluta de amenazas, el escenario de amenazas se ha vuelto más diverso, con un mayor trabajo de los grupos de ataque para descubrir nuevos caminos de ataques y cubrir las pistas que dejan.
Explosión de ataques a la minería de criptomonedasLos ciberdelincuentes quienes habian estado fuertemente enfocados en ransomware para generar ingresos ahora empiezan a explotar otras oportunidades. Durante el año pasado, el ascenso astronómico en los valores de criptomonedas inspiró a muchos ciberdelincuentes a alterar su objetivo central para minar monedas como una fuente alternativa de ingresos. Esa corrida del oro de la minería de criptomonedas produjo un aumento del 8.500% en las detecciones de minadores de monedas en computadoras de endpoints en 2017.
Con una barrera reducida de acceso - al exigir apenas algunas líneas de código para operar - los ciberdelincuentes utilizan minadores de monedas para robar el poder de procesamiento de la computadora y el uso de la CPU en la nube de consumidores y compañías para minar criptomonedas. Si bien el impacto inmediato de la minería de monedas es relacionado con frecuencia al desempeño - lentitud de dispositivos, sobrecalentamiento de baterías y, en algunos casos, inutilización de dispositivos - existen consecuencias más amplias, especialmente para las organizaciones. Las redes corporativas están en riesgo de interrupción debido a los minadores de monedas propagados de forma agresiva en todo su entorno. También pueden existir consecuencias financieras para las entidades que acaban siendo impactadas en el rendimineto de sus equipos a causa de los mineros de la CPU en la nube.
A medida que evoluciona la minería malintencionada de criptomonedas, los dispositivos de IoT continuarán siendo blancos precisos para su explotación. Symantec™ ya identificó un aumento de 600% en los ataques globales de IoT en 2017, lo que significa que los ciberdelincuentes podrían explotar la naturaleza conectada de esos dispositivos para la minería masiva.
Aumento en los ataques a la cadena de suministros de software
A pesar de que el exploit EternalBlue causó daños en 2017, la realidad es que se vuelve cada vez más difícil para los grupos de ataque identificar y explotar las vulnerabilidades. En respuesta a este escenario, Symantec ahora observa un aumento en las situaciones donde los grupos de ataque inyectan implantes de malware en la cadena de suministros para infiltrarse en organizaciones desprevenidas, con un aumento del 200% en esos ataques - uno por mes en 2017 en comparación con cuatro ataques por año en los años anteriores.
El secuestro de actualizaciones de software brinda a los grupos de ataque un punto de entrada para afectar objetivos bien protegidos o para afectar una región o sector específico. El brote de Petya/NotPetya (Ransom.Petya) fue el ejemplo más notable: luego de explotar un software de contabilidad ucraniano como punto de entrada, Petya/NotPetya usó una variedad de métodos, propagándose por las redes corporativas para implantar la carga malintencionada de los grupos de ataque.
Negocios de ransomware enfrentan corrección de mercadoAl ser analizado como un negocio, se torna evidente que la rentabilidad del ransomware en 2016 generó un mercado disputado con demandas de rescate de valores exorbitantes. En 2017, el ‘mercado’ de ransomware sufrió una corrección con menos familias de ransomware y demandas de rescate con valores más bajos - lo que indica que el ransomware se ha vuelto un commodity. Muchos ciberdelincuentes pueden haber cambiado su enfoque hacia la minería de monedas como una alternativa para aprovechar los altos valores actuales de las criptomonedas. Así mismo, también han reaparecido en el mercado algunas amenazas a plataformas de banca online, debido al intento de diversificación de los grupos establecidos de ransomware.
El año pasado, el promedio de demanda de rescate bajó para US$ 522, menos de la mitad del promedio del año anterior. Al tiempo que la cantidad de variantes de ransomware aumentó 46%, lo que indica que los grupos criminales establecidos se mantienen bastante productivos, bajó la cantidad de familias de ransomware. Estas cifras sugieren que los grupos están innovando menos y pueden haber cambiado su atención hacia nuevos objetivos de mayor valor.
ISTR Marzo 2018
Volver al Índice
Página 6Introducción01
La reducción de instancias de día cero no logra impedir el aumento de los ataques dirigidosSymantec identificó que el volumen general de ataques dirigidos aumentó 10% en 2017, motivado principalmente por la recopilación de información de inteligencia (90%). No obstante, un número no tan insignificante de 10% de los grupos de ataque está involucrado de alguna forma en actividades disruptivas.
La tendencia de “uso de herramientas del día a día” continúa, con grupos de ataque que optan por medios conocidos y seguros para infiltrarse en organizaciones establecidas como blancos. Spear phishing es el principal vector de infección, utilizado por el 71% de los grupos organizados en 2017. El uso de ataques de día cero es cada vez menor. En realidad, apenas 27% de los 140 grupos de ataques dirigidos rastreados por Symantec poseen historial de utilización de vulnerabilidades de día cero en algún momento en el pasado.
Aumento de instancias de malware para dispositivos móvilesCada año continúan creciendo las amenazas en el segmento de dispositivos móviles. La cantidad de nuevas variantes de malware para dispositivos móviles aumentó 54% en 2017, en comparación con 2016.
Y el año pasado, se bloquearon por día, en promedio, 24.000 aplicaciones malintencionadas para dispositivos móviles.
Además del aumento de las amenazas, el problema se agrava por el uso continuo de sistemas operativos más antiguos. Especialmente, apenas 20% de los dispositivos Android™ ejecutan la versión principal más reciente y apenas 2,3% están en la última versión incremental.
Los usuarios de dispositivos móviles también enfrentan riesgos de privacidad generados por aplicaciones de grayware, que no son completamente malintencionadas, pero pueden ser problemáticas. Symantec identificó que 63% de las aplicaciones de grayware filtran el número de teléfono del dispositivo. Con el aumento de grayware en 20% en 2017, este problema simplemente no desaparecerá.
Amenazas WebMás de
1.000 millonesde solicitudes Web analizadas por día 5% más que en 2016
1 de cada 13solicitudes Web con presencia de malware3% más que en 2016
Grandes N
úmeros
8.500% Aumento en
las detecciones de mineros de criptomonedas
Malware92%Aumento en nuevas variantesde descargas
80% Aumento de nuevas instancias de malware en Macs
Correo ElectrónicoPorcentaje de Tasa de Spam
2015
53%2016
53%
2017
55%
Ransomware5,4 biAtaques WannaCrybloqueados
46% Aumento en nuevas variantes de ransomware
IoT (Internet de las Cosas)
Origen del Ataque
2017
50K
2016
6K
Federación Rusa 6%
Japón4%
China21%
India5%Brasil
7%
Estados Unidos11%
600% Aumentoen Ataques
24.000
63%
Cifra de nuevas variantes
Aumento en las variantes de malware para dispositivos móviles
54%2016
17K2017
27K
Número promedio de aplicaciones malintencionadas bloqueadas para dispositivos móviles cada día
Las categorías de aplicaciones que poseen las aplicaciones móviles más malintencionadas son:
Aplicaciones Indiscretas – ¿cuáles son las informaciones confidenciales que normalmente filtran?
Dispositivos Móviles
Estilo de Vida
Número de Teléfono
Música y Audio
Ubicación de Dispositivo37%
20%
27%
Vulnerabilidades
13%Aumento general en vulnerabilidades informadas
29%vulnerabilidades relacionadas a los sistemas de control industrial (ICS)
ISTR Marzo 2018
Volver al Índice
Página 12Introducción01
MetodologíaSymantec creó la red global de recopilación de amenazas civiles más grande del mundo y una de las más completas colecciones de inteligencia sobre amenazas a la ciberseguridad a través de Syman-tec Global Intelligence Network™. La Red de Inteligencia Global de Symantec incluye más de 126,5 millones de sensores de ataque, re-gistra miles de eventos de amenazas a cada segundo y contiene más de cinco petabytes de datos de amenazas la seguridad. Esa red moni-torea las actividades de amenazas en más de 157 países y territorios a través de una combinación de productos, tecnologías y servicios de Symantec, incluso el software Symantec Endpoint Protection™, el servicio de inteligencia Symantec DeepSight™, la oferta Symantec Managed Security Services™, productos de consumo Norton™ y otras fuentes de datos de terceros.
Así mismo, Symantec mantiene una de las bases de datos de vulnerabilidades más amplia del mundo, actualmente compuesta por más de 95.800 vulnerabilidades registradas (recopiladas du-rante más de dos décadas) de 25.000 proveedores que represen-tan más de 78.700 productos.
El análisis de tendencias de malware de spam, phishing y correo electrónico es recopilada de una variedad de tecnologías de segu-ridad de Symantec que procesan más de 2.400 millones de correos electrónicos por día, que incluyen: Symantec Messaging Gateway for Service Providers, Symantec Email Security.cloud, Symantec Advan-ced Threat Protection for Email, Symantec’s CloudSOC™ Service e Symantec Probe Network.
Al filtrar más de 338 millones de correos electrónicos y más de 1.800 millones de solicitudes web por día, la tecnología propietaria de Symantec Skeptic™ brinda soporte a los servicios de Symantec Email and Web Security.cloud™, con la utilización del aprendizaje de má-quina avanzado, análisis de tráfico de red y análisis comportamental para detectar las amenazas más furtivas y persistentes. Así mismo, la solución de Symantec Advanced Threat Protection for Email identifica los ataques avanzados por correo electrónico, al adicionar sandboxing basado en la nube, protección adicional contra spear phishing y recursos exclusivos de identificación de ataques dirigidos. Symantec también recopila información de phishing por medio de una amplia comunidad antifraude, compuesta por empresas, provee-dores de seguridad y partners.
Más de 1 billón de direcciones URL se procesan y analizan todos los días por las soluciones Secure Web Gateway de Symantec, incluyen-do ProxySG™, Advanced Secure Gateway (ASG) y Web Security Solu-tion (WSS), todas soportadas por la tecnología WebPulse Collabora-tive Defense y Sistema de Análisis de Contenido en tiempo real. Esas soluciones identifican y protegen contra cargas malintencionadas y controlan el contenido confidencial basado en la web. Ese número se extrae de un total de 6.000 millones de solicitudes de análisis web. La tecnología tiene el soporte de nuestra Red de Inteligencia Global, que incluye información de inteligencia web y de amenazas adquiri-
das a través de nuestra alianza con más de 15.000 de las principales empresas globales.
ID Analytics™ e ID: Labs (nuestro grupo dedicado de investigación de identidades), proporciona información completa sobre riesgos de crédito y fraude y tiene el soporte de ID Network™. ID Network es un repositorio exclusivo de información actualizada de consumido-res en diversos segmentos, que ofrece una perspectiva única sobre los riesgos relacionados a las identidades y el fraude. ID Network también recibe datos de comportamiento de resultados de empresas tercerizadas que confirman cuando un solicitante fue identificado como fraudulento en su portafolio. Esa base de datos actualizada de forma continua de los datos de comportamiento de consumidores en diversos segmentos permite que Symantec identifique el 1% de apli-caciones que presenta los principales riesgos, por ejemplo, incluyen-do aplicaciones para tarjetas de crédito, préstamos para automóviles y servicios de telefonía inalámbrica.
Symantec Endpoint Protection Mobile (SEP Mobile) ofrece un análisis profundo inigualable de la inteligencia sobre amenazas de dispositi-vos móviles, utilizada para predecir, detectar y proteger contra la más amplia gama de amenazas existentes y desconocidas. La tecnología predictiva de SEP Mobile utiliza un abordaje en capas que respalda la inteligencia de amenazas generada de forma colaborativa, además de análisis basados en dispositivos y servidores, para proteger de manera proactiva los dispositivos móviles de malware, amenazas de red y vulnerabilidades de aplicaciones y SO.
ISTR también incluye el análisis por segmento industrial, para el cual el sistema Standard Industry Classification (SIC) fue utilizado para identificar los segmentos industriales. Los datos relacionados a los clientes y consumidores de Symantec son anonimizados antes del análisis y agrupados de acuerdo con los principales atributos, como sector, tamaño de la empresa y ubicación geográfica.
Symantec toma todos los cuidados y precauciones para garantizar que todos los datos presentados en este informe se produzcan de acuerdo con las más exigentes normas y presenten una visión imparcial y objetiva del escenario de amenazas. Ocasionalmente, fue necesario filtrar o ajustar los datos para evitar distorsiones o desvíos, y eso se indica en el informe, cuando es necesario. Para más información acerca de los productos, servicios y tecnologías mencio-nadas, consulte la sección Información Adicional y Contactos en el final de este informe.
Estos recursos brindan a los analistas de Symantec fuentes inigua-lables de datos para identificar, analizar y proporcionar comentarios actualizados sobre las amenazas emergentes de ataques, actividades de códigos malintencionados, phishing y spam. El resultado es el Informe sobre las Amenazas para la Seguridad en Internet™, de pe-riodicidad anual, que ofrece a las corporaciones, pequeñas empresas y consumidores información esencial para proteger sus sistemas de forma eficaz, ahora y en el futuro.
Sección
02Retr
ospe
ctiv
ade
l Año
El Escenario de Amenazas y Cibercrímenes
ISTR Marzo 2018Página 15El Escenario de Amenazas de Cibercrímenes
Volver al Índice
2017 fue un año interesante en el escenario de amenazas de cibercrímenes. Los ataques WannaCry y Petya/NotPetya dominaron las principales noticias, pero fueron excepciones y sirvieron para ocultar los primeros indicios de un cambio, especialmente en el escenario de ransomware. Si bien el ransomware continúa siendo una gran amenaza, parece que algunos criminales de ransomware centraron la atención en diversificar su portafolio: en algunos casos, mediante la distribución de troyanos financieros y, en otros casos, al recurrir a la minería de criptomonedas.
Algunas amenazas a las plataformas de banca online sintieron el impacto para combatir grandes acciones que se produjeron en el final de 2016, pero otras lograron éxito en sus actividades. Espe-cialmente, el troyano bancario Emotet (Trojan. Emotet) resurgió tras un largo intervalo.
La actividad de Emotet creció en los últimos meses de 2017, con un aumento de 2.000% en las detecciones en este período. Al mismo tiempo, las noticias de crecimiento de los minadores de criptomonedas y su uso por los ciberdelincuentes fueron destacados en las principales noticias.
“En los últimos meses de 2017 fue inmenso el crecimiento de la minería de criptomonedas. Las actividades generales de minería de criptomonedas aumentaron 34.000% a lo largo del año; mientras que la detección de archivos de minado de monedas en máquinas de endpoints aumentó 8.500%.”
En los últimos meses de 2017 fue inmenso el crecimiento de la minería de criptomonedas. Las actividades generales de mine-ría de criptomonedas aumentaron 34.000% a lo largo del año; mientras que la detección de archivos de minado de monedas en máquinas de endpoints aumentó 8.500%. Apenas en diciembre de 2017, más de 8 millones de eventos de minería de criptomone-das fueron bloqueados por Symantec. Estas cifras son bastante impresionantes, pero esta explosión en las actividades puede durar poco tiempo. La actividad de minería de monedas está fuer-temente relacionada al aumento del valor de muchas criptomone-das; una disminución en su valor puede ocasionar un descenso en estas actividades, tan rápida como fue su crecimiento.
RansomwareEl escenario de ransomware en 2017 estuvo dominado por las historias de los ataques WannaCry (Ransom.Wannacry) y Petya/NotPetya (Ransom.Petya), pero estos no eran ataques “típicos” de ransomware y no representan la tendencia general de ransomware en 2017. En realidad, Petya/NotPetya no era un ransomware ver-dadero, era un agente destructivo para eliminar información que se disfrazaba de ransomware. Por esos motivos, en este capítulo omitimos las detecciones de esas amenazas de nuestras cifras de detección de ransomware. El impacto y la importancia de esos ata-ques se abordan en otras secciones de este informe, en el artículo sobre Ransomware: Más que Cibercrimen.
Las infecciones de ransomware han aumentado todos los años desde 2013 y llegaron al récord de 1.271 detecciones por día en 2016. Las detecciones de ransomware no lograron romper ese record en 2017, sin embargo permanecieron en ese nivel elevado. Con WannaCry y Petya/NotPetya excluidos de las cifras de detección, se produjeron aproximadamente 1.242 detecciones comunes de ransomware por día en 2017, básicamente la misma cifra récord identificada en 2016.
Detecciones de ransomware por día 2015-2017Si excluimos WannaCry y Petya/NotPetya, las detecciones de ransomware son estables entre 2016 y 2017.
933
2015
1.271
2016
1.242
2017*
1.500
1.200
900
600
300
*Las cifras excluyen WannaCry y Petya/NotPetya
Volver al Índice
Hubo un aumento de
92%en bloqueosde descargadores en 2017
Mill
ones
3,0
1,6
0,42015 2016 2017
“Detecciones mejoradas en el inicio de la cadena de ataque por Symantec demuestran que esos descargadores se están detectando y bloqueando antes que distribuyan sus cargas útiles finales.”
La estabilización de las detecciones de ransomware en los en-dpoints puede no sólo indicar la disminución de las actividades, sino también puede señalar el impacto de la mejorada protección upstream. El filtrado eficiente de correos electrónicos, detección del Sistema de Prevención de Invasiones (IPS - Intrusion Preven-tion System) y la tecnología del aprendizaje de máquina demues-tran que las actividades de ransomware se están bloqueando previamente en la cadena de infección. Por ejemplo, en 2017, vi-mos un aumento de 92% en bloques de descargadores de scripts y macros, una importante fuente de infecciones por ransomware. Detecciones mejoradas en el inicio de la cadena de ataque por Symantec demuestran que esos descargadores se están detectan-do y bloqueando antes que distribuyan sus cargas útiles finales.
Al analizarlo como un negocio, se torna evidente que la rentabili-dad del ransomware en 2016 generó un disputado mercado con valores exorbitantes de pedidos de rescate realizados por delin-cuentes ambiciosos. En 2017, el mercado de ransomware sufrió
ISTR Marzo 2018Página 17El Escenario de Amenazas de Cibercrímenes
Volver al Índice
una corrección con menos familias de ransomware y pedidos de rescate con valores más bajos. Los responsables de ataques de ransomware mejoraron su modelo de negocios en 2017 y encon-traron el valor ideal que las víctimas están dispuestas a pagar. El pedido promedio de rescate en 2017 fue de US$ 522, que es menos de la mitad del valor de US$ 1.070 en 2016 y también representa una disminución en relación al promedio del primer semestre del año, que fue de US$ 544.
En 2017, surgieron 28 nuevas familias de ransomware, lo que acompaña la cifra de 2014 y 2015, sin embargo una disminución en relación con 2016, cuando se identificó la cifra nunca antes vista de 98 nuevas familias.
“También se identificó una reducción en las actividades de algunas de las grandes familias de ransomware en 2017. Cerber, Locky, y TorrentLocker prácticamente desaparecieron del escenario a lo largo del año.”
Nuevas familias de ransomware 2015-2017Tras un brote de nuevas familias observadas en 2016 esa cifra se estabilizó en 2017
No obstante, el número de variantes generales de ransomware aumentó 46%, lo que indica que los grupos establecidos de ransomware continúan desarrollando y propagando sus produc-tos. La cifra estable de nuevas familias emergentes posiblemente indica la falta de nuevos grupos de ataque, o menos innovación por parte de los grupos establecidos.
Nuevas variantes de ransomware 2015-2017La cifra de nuevas variantes de ransomware vistas aumentó 46% en 2017
También disminuyó en 2017 el volumen de actividades de algunas de las grandes familias de ransomware. Cerber (Ransom.Cerber), Locky (Ransom.Locky) y TorrentLocker (Ransom.TorrentLocker) prácticamente desaparecieron del escenario a lo largo del año.
En cambio, el botnet Necurs (Backdoor.Necurs), uno de los principales distribuidores de Locky, tuvo un gran impacto en el escenario de amenazas de cibercrimen en 2017. Necurs desapa-reció durante gran parte de los primeros tres meses de 2017 y reapareció de repente el 20 de marzo, cuando comenzó a enviar automáticamente spam. En esos tres meses, su ausencia fue notada de inmediato, con una gran disminución en las tasas de malware y de spam de correo electrónico. Las tasas aumentaron constantemente durante el resto del año, si bien no llegó a los niveles de 2016.
Tasa de malware de correo electrónico 2016-2017 (1 de cada)El impacto de la ausencia de Necurs a inicios de 2017 es claramente visible
A pesar de su ausencia a inicios del año, Necurs todavía fue uno de los principales agentes de cibercrimen en 2017. Si analizamos la telemetría en el número de campañas ejecutadas de malware de correo electrónico por Necurs en 2017, podemos observar un aumento en la actividad a partir de junio, con un notable aumento en septiembre y octubre, y algunos aumentos visibles hasta el fin del año.
ISTR Marzo 2018Página 18El Escenario de Amenazas de Cibercrímenes
Volver al Índice
Necurs envió casi 15 millones de correos electrónicos malinten-cionados en 2017, 80% enviado en el segundo semestre del año. El botnet Necurs envió todos los días más de 67.000 correos electrónicos malintencionados en los últimos seis meses de 2017.
Campañas de malware de correo electrónico de Necurs en 2017La principal parte de las actividades se produjo en el segundo semestre del año
Si bien los principales grupos responsables de distribución de ransomware continúan demasiado activos, observamos un mayor número de campañas de correo electrónico centradas en la distribución de amenazas para plataformas de banca online y, en algunos casos, sustituyendo campañas de ransomware. Si observamos la actividad de Necurs en el segundo semestre del año, podemos observar que sus cargas útiles finales se alternan entre ransomware y malware financiero.
Cargas Útiles Necurs Segundo Semestre de 2017La actividad principal de Necurs fue la distribución de ransomware, pero también envió algunas campañas de troyanos financieros
FinancieroRansomware
Amenazas contra las plataformas de banca onlineA pesar de la atención dirigida a Necurs, la actividad general de troyanos financieros disminuyó en 2017 en comparación con 2016, debido principalmente a las acciones de las autoridades legales. Dos troyanos financieros que fueron los principales jugadores en 2016 - Trojan.Bebloh y Trojan.Snifula - básicamente
desaparecieron en 2017, porque las bandas delictivas que los operaban fueron afectadas por acciones de las autoridades legales a fines de 2016. Esos dos troyanos se detectaron en cientos de miles de máquinas en 2016, por lo que su ausencia tuvo un gran impacto en las cifras totales de troyanos financieros. Un descenso en las cifras de troyanos financieros por año es una tendencia que hemos visto en los últimos dos años. Además de las acciones de las autoridades legales, parte de ese descenso puede ser explicado por mejores detecciones implantadas más upstream en la cadena, similar a la situación con ransomware, lo que significa que la carga útil final del troyano financiero tal vez no logre llegar al equipo de la víctima.
Troyanos financieros: cifra por mes en 2017En general, la cifra de troyanos financieros en 2017 disminuyó en comparación con 2016
A pesar de la disminución general de los números, podemos ver la tendencia de crecimiento de las actividades en el segundo semestre del año. Principalmente debido al troyano bancario Emotet, que tuvo un aumento de sus actividades en el último trimestre de 2017.
Emotet causó un impactoEmotet es un troyano financiero que surgió por primera vez en 2014 y, tras un período de tranquilidad, reapareció para causar daños en el segundo semestre de 2017. Su actividad aumentó de manera constante, particularmente en los últimos meses del año, con un aumento de 2.000% en sus actividades en el último trimestre de 2017. Entregado principalmente a través de grandes campañas de correo electrónico, el grupo responsable del Emotet parece que es un grupo “profesional” de cibercrímenes, con la mayoría de las campañas distribuidas de lunes a viernes, y aparentemente el grupo se toma libre el fin de semana. La amenaza se implanta principalmente por el botnet Emotet mediante el envío de campañas de spam. Además de robar información de dispositivos infectados, el malware también es capaz de adicionar dispositivos infectados al botnet.
ISTR Marzo 2018Página 19El Escenario de Amenazas de Cibercrímenes
Volver al Índice
Detecciones del EmotetLas detecciones del Emotet aumentaron bruscamente en los últimos meses de 2017
“Emotet es un troyano financiero que surgió por primera vez en 2014 y, tras un período de tranquilidad, reapareció para causar daños en el segundo semestre de 2017.”
En noviembre y diciembre se observó un aumento de actividades del Emotet. Si bien, de forma general, está apenas en el quinto lu-gar en nuestra lista de los diez principales troyanos financieros en 2017 - es superado por Ramnit (W32. Ramnit) y Zbot (Trojan.Zbot), que también dominaron la lista de troyanos financieros en 2016 - su resurgimiento y aumento de actividades son interesantes, y serán relevantes si continúan en 2018. La actividad del Emotet disminuyó durante el período festivo de fin de año, pero aparente-mente sus operadores solamente aprovecharon para tomarse unas vacaciones, ya que sus niveles de actividad en el inicio de 2018 regresaron a los mismos números observados en el fin de año. Si mantiene esos niveles de actividad en el transcurso del año, probablemente mejorará su posición en nuestra lista de los principales troyanos financieros en el próximo año.
Mientras que el resurgimiento del Emotet fue el desarrollo más interesante en esta área en 2017, han evolucionado también otras amenazas contra plataformas de banca online. Algunos troyanos financieros comenzaron a robar no solo información de acceso a las plataformas de banca online, sino también nombres de acceso de carteras de criptomonedas y otra información de cuentas que puedan ayudar a maximizar el lucro.
Dridex (Trojan.Cridex), que está en tercer lugar en nuestra lista de los 10 principales troyanos financieros de 2017, ahora verifica el
software instalado en los dispositivos que infectó. Si detecta un software de contabilidad, permitirá el acceso remoto y tratará de realizar fraudes mayores, en vez de apenas robar credenciales de plataformas de banca online. En otro ejemplo de una amenaza que evolucionó en 2017, Trickybot (Trojan.Trickybot) integró el exploit EternalBlue para permitir que se propague por las redes. EternalBlue, lógicamente, se convirtió en el más conocido por su uso en los ataques WannaCry y Petya/NotPetya, y aparentemente fue incorporado por Trickybot tras el brote de Petya/NotPetya.
Los 10 principales troyanos financieros en 2017Ramnit y Zbot dominaron, pero Emotet, el quinto más detectado, ocasionó un gran impacto en el fin del año
MIentras que algunos grupos de ransomware migraron sus actividades hacia la distribución de troyanos financieros, también observamos muchos ciberdelincuentes priorizando los minadores de criptomonedas en 2017, siendo el crecimiento de la minería de monedas en el último trimestre de 2017, sin duda, una de las historias más importantes del año.
Minería de criptomonedas: Una moderna corrida del oroAntes de examinar este crecimiento, primero vamos a explicar que es un minador de criptomonedas.
Los minadores de criptomonedas se utilizan para minar criptomonedas. Las criptomonedas son monedas digitales: creadas a través del uso de programas de computadora y capacidad de procesamiento, registradas en el blockchain. El bitcoin fue la primera criptomoneda desarrollada en blockchain, y aún es la criptomoneda más conocida y de más valor que existe. Sin embargo, el minado de bitcoin requiere un gran poder de procesamiento, por lo tanto, su minado no es una opción viable en computadoras comunes. No obstante, otras criptomonedas pueden ser más fácilmente minadas a través del uso de la capacidad de procesamiento de computadoras domésticas comunes. Monero es un ejemplo de estas criptomonedas. Monero, al contrario del Bitcoin, ofrece además anonimato completo.
ISTR Marzo 2018Página 20El Escenario de Amenazas de Cibercrímenes
Volver al Índice
20K
$12
29K 31K 1,7M
ENE2017
AGO2017
SEP2017
DIC2017
$321$104$81
Detecciones de minería
Precio Promediodel Monero
ISTR Marzo 2018Página 21El Escenario de Amenazas de Cibercrímenes
Volver al Índice
La minería de criptomonedas basada en archivos involucra la des-carga y la ejecución de un archivo ejecutable en su computadora. La minería de criptomonedas basada en navegadores, cuya prevalen-cia presentó gran crecimiento en 2017, se produce en un navegador de la Web y se implanta con el uso de lenguajes de script.
La minería de monedas no es ilegal y en la actualidad muchas personas deciden ejecutar archivos o scripts en sus computa-doras para realizar la minería de monedas. Y, de hecho, muchas personas no se opondrán al uso de una parte de su poder de procesamiento para minar criptomonedas cuando visitan una determinada página web. Puede ser una alternativa aceptada en lugar de ver anuncios o pagar por el contenido de otras formas. Por ejemplo, la página web de la revista digital Salon.com solicitó a sus visitantes que utilicen un bloqueador de anuncios para inhabilitar o permitir que su computadora se utilice para realizar minería de criptomonedas mientras navegan en la página web. Los problemas surgen cuando las personas no saben que sus computadoras se están usando para la minería de criptomone-das, o si los ciberdelincuentes instalan de manera clandestina minadores en las computadoras de las víctimas o en los dispositi-vos del Internet de las Cosas (IoT) sin su conocimiento.
Algunos factores pueden ayudar a explicar el aumento de la popularidad de los minadores de monedas entre los ciberdelin-cuentes a fines de 2017:
{ Se estima que la principal fuerza propulsora seguramente fue el repentino aumento del valor de muchas criptomonedas en los últimos meses de 2017.
{ El lanzamiento de un nuevo servicio de minería basado en navegadores en septiembre por Coinhive también causó un interés renovado en el área de minería basada en navegadores. Analizamos eso en un blog publicado en diciembre de 2017. Coinhive se comercializa como una alternativa a los anuncios de páginas web para generar ingresos. La solución recomienda que sus usuarios sean transparentes con los visitantes del sitio web sobre su presencia, pero no posee un control integral para impedir que los operadores inescrupulosos lo usen para realizar minería secreta con la intención de pasar inadvertidos por los usuarios.
{ Realizar la minería de monedas basada en navegadores no exige el mismo nivel de habilidad que desarrollar un exploit e instalar-lo en las computadoras de las víctimas, y también significa que incluso las personas cuyas máquinas están totalmente actuali-zadas pueden ser potenciales víctimas.
{ Es una forma menos disruptiva de ganar dinero. Es posible que las víctimas no adviertan de inmediato o en algún otro momento que están infectadas. Pueden notar un desempeño más lento de su computadora o que la factura de energía eléctrica aumentó debido a que la computadora usó más energía, pero si el impac-
to es pequeño, tal vez las víctimas no vinculen el problema con la minería de monedas. Eso permite que los ciberdelincuentes ganen dinero sin que las víctimas adviertan que hay algo inde-seado en su máquina o en la página web que están visitando. El ransomware no permite que los ciberdelincuentes ejecuten sus acciones de esta manera tan oculta.
Es acentuado el crecimiento de los eventos de minería de criptomonedas bloqueados por Symantec en los últimos meses de 2017, con un fuerte aumento en las detecciones en el último trimestre del año. Más de 8 millones de eventos de minería de criptomonedas fueron bloqueados en diciembre - un aumento de 34.000% desde el inicio del año. Las detecciones basadas en archivos en los endpoints por los productos de Symantec para esos minadores aumentaron 8.500% en 2017. Gran parte de ese aumento es impulsada por JS.Webcoinminer, que detecta la actividad asociada a los minadores de criptomonedas con base en los navegadores.
“En diciembre de 2017 los minadores de monedas representaron 24% de todos los ataques web bloqueados, y 16% de los ataques web fueron bloqueados en los últimos tres meses de 2017, lo que demuestra el gran impacto de esos minadores de criptomonedas con base en los navegadores.”
Eventos relacionados a la minería de criptomonedas en 2017El total de actividades de minería de criptomonedas bloqueadas por Symantec aumentó más de 34.000% durante 2017
ISTR Marzo 2018Página 22El Escenario de Amenazas de Cibercrímenes
Volver al Índice
En diciembre de 2017, los minadores de monedas representaron 24% de todos los ataques web bloqueados y 16% de los ataques web fueron bloqueados en los últimos tres meses de 2017, lo que demuestra el gran impacto de esos minadores de criptomonedas basados en los navegadores.
Se observó el doble de detecciones de minadores de criptomone-das en máquinas de individuos en relación a las máquinas corpo-rativas en diciembre, cuando se observó un gran aumento del uso de minadores de criptomonedas con base en los navegadores, lo que indica un impacto de cierto modo, esto tiene sentido, porque esos funcionan mejor en páginas web donde las personas pasan mucho tiempo - como los sitios para ver vídeos en streaming – que se utilizan más en equipos de consumidores individuales que en equipos corporativos.
No son apenas las computadoras con SO Windows® que se están afectando: desde octubre hubo también un gran aumento en las detecciones de minadores en computadoras Mac®, cifra que también fue impulsada por JS.Webcoinminer.
“Así como no están limitados a un sistema operativo, los ciberdelincuentes que distribuyen minadores de criptomonedas no parecen limitarse al uso de apenas un vector de distribución. A fines de 2017, hubo varios relatos de campañas centradas en la distribución de minadores de criptomonedas.”
Detecciones de minadores de criptomonedas por mes en computadoras Mac En los últimos tres meses del año se observa un gran aumento en las detecciones
Así como no están limitados a apenas un sistema operativo, los ciberdelincuentes que distribuyen minadores de criptomonedas no parecen limitarse al uso de apenas un vector de distribución. En el final de 2017, hubo varios relatos de campañas centradas en la distribución de minadores de criptomonedas.
{ El grupo de ataque responsable del ransomware VenusLocker alteró su actividad de distribución de malware por medio de campañas de correo electrónico para distribuir un minador del Monero.
{ Los grupos de ataques responsables de la campaña del Zealot buscaron explotar vulnerabilidades para instalar un minador del Monero en equipos desactualizados.
{ Una gran campaña de fuerza bruta centrada en páginas web de WordPress se utilizó en el intento de instalar un minador del Monero en páginas web afectadas. Este ataque generó por lo menos US$ 100.000 hasta el momento de su descubrimiento.
{ También se encontraron ejemplos de minadores de cripto-monedas intentando propagarse por medio del Facebook Messenger.
{ El aumento del predominio de minadores de criptomonedas está correlacionado con el creciente valor de muchas criptomo-nedas. La permanencia de esa actividad depende mucho del valor futuro de esas monedas.
Ataques
Dirigidos
En Números
ISTR Marzo 2018Página 24Ataques Dirigidos - En Números
Volver al Índice
¿Qué tan probable es que su organización sea atacada? Y si sufre el ataque, ¿cuáles son los motivos y medios de ataque más probables de los atacantes?
Hemos invertido mucho tiempo en la investigación de los ataques dirigidos y, durante los últimos años, hemos destacado regular-mente a los grupos previamente desconocidos. Con frecuencia, recibimos solicitudes para proporcionar un resumen del esce-nario de ataques dirigidos. Las personas quieren saber el nivel general de actividades, si habrá un aumento o disminución en el volumen de actividades, quiénes son las víctimas y dónde se ubican. Esto es algo que generalmente hacemos con otros tipos de amenazas, como ransomware o troyanos financieros.
Sin embargo, es bastante difícil presentar un escenario macro de los ataques dirigidos. ¿Por qué? Para empezar, los ataques dirigi-dos son exactamente lo que el nombre indica, dirigidos. General-mente, no se producen en grandes cantidades, lo que torna más difícil analizar las cifras. Incluso una cifra demasiado pequeña de ataques puede ocasionar grandes variaciones en el porcentaje.
Cuando analizamos con más profundidad, observamos que podríamos usar un abordaje alternativo. Mantenemos muchos datos de los propios grupos responsables de los ataques dirigidos. Al agregar estos datos, podríamos establecer las premisas de un grupo común responsable de los ataques dirigidos. Y a partir de este punto, podríamos informar a las personas cuáles son los mé-todos más comunes que utilizan estos grupos para atacar a una organización y cuáles son sus principales motivaciones.
¿Qué clasificamos como un ataque dirigido?Antes de continuar, es importante aclarar qué entendemos por “ataque dirigido”. Si bien el término parece ser autoexplicativo, un ataque dirigido a una o a varias víctimas específicas, en lugar de campañas indiscriminadas a larga escala, existen ciertas distinciones a realizar. El trabajo de individuos generalmente no se clasifica como un ataque dirigido. Por ejemplo, si alguien decide invadir la computadora de otra persona conocida, eso no se clasifica como un ataque dirigido.
En cambio, los ataques dirigidos representan el trabajo de grupos organizados. La mayoría de esos grupos son patrocinados por naciones (si bien existe un pequeño número de operadores priva-dos) y generalmente se enfocan en un numero limitado de obje-tivos número limitado de intereses: recopilación de información, interrupción de actividades, sabotaje o intereses financieros. En términos generales, los “ataques dirigidos” corresponden a actos de espionaje, a pesar de que los límites de estas definiciones están comenzando a cambiar y, en los últimos tiempos, hemos observado a varios grupos propagarse más allá del espionaje.
Incluso dentro de esta definición, existen algunos ataques que no encajan exactamente en el concepto. Por ejemplo, los ataques de Petya/NotPetya (Ransom.Petya) fueron el trabajo de un grupo de ataque patrocinado por una nación, pero fueron indiscriminados (si bien dirigidos principalmente a Ucrania).
GruposLo primero que observamos fue cuantos grupos operan en la actualidad y si esa cifra presenta un crecimiento en el transcurso del tiempo. Actualmente, existen 140 grupos de ataques dirigidos conocidos por Symantec. Incluso esta cifra exige una explicación. ¿Qué es un grupo de ataques dirigidos? Difícilmente dejan su tar-jeta de visita y esto significa que puede llevar algún tiempo para juntar las evidencias e identificar que herramientas y técnicas son el trabajo de un grupo específico.
En un mundo donde pocas cosas son ciertas, hacer esta distin-ción puede ser difícil. Por ejemplo, los grupos afiliados a una nación específica a veces son conocidos por compartir infraes-tructura y herramientas, lo que puede llevar a algunas preguntas sobre o más grupos son entidades distintas o parte de la misma operación. Los proveedores suelen hacer diferentes evaluaciones con base en la información que poseen, lo que significa que la información total de los grupos conocidos, mantenida por dos proveedores distintos, posiblemente será diferente.
“Al contrario del mundo de cibercrímenes, donde las bandas desaparecen con frecuencia, para dar paso a nuevas amenazas, el mundo del ciberespionaje se está tornando un mercado cada vez más disputado.”
En los últimos tres años, hemos observado un promedio de 29 nuevos grupos por año, si bien el ritmo de nuevos grupos disminuyó un poco durante 2017, cuando registramos un total de 19 nuevos grupos. A pesar de ello, esos números brindan una buena idea del ritmo de expansión en este sector. Cuando se compara esa informa-ción con el total de grupos conocidos, la cifra de nuevos jugadores que aparecen todos los años en el mercado es bastante considera-ble. Así mismo, la mayoría de los grupos más antiguos no muestra señales de que desaparecerán del mercado. Lo que los grupos de ataques hacen después de infectar una organización, como cuáles computadoras son establecidas como víctimas y cuál información (si es el caso) es robada, lo cual puede ofrecer mayores insights.
ISTR Marzo 2018Página 25Ataques Dirigidos - En Números
Volver al Índice
Symantec expuso un promedio de 3 nuevos grupos de ataques dirigidos por año.Grupos de ataques dirigidos conocidos por SymantecNúmero total de grupos de ataques dirigidos conocidos por Symantec. En los últimos tres años, observamos un promedio de 29 nuevos grupos por año.
Uno de los trabajos más interesantes, más intensivos, que hace-mos es descubrir e investigar nuevos grupos de ataques dirigidos, a fin de proteger a nuestros clientes de estos grupos y alertar de forma general al mundo.
Cuando tenemos demasiados datos para crear un perfil útil, normalmente publicamos nuestra investigación y, de esos 140 grupos que conocemos, 28 fueron expuestos inicialmente por Symantec. En promedio, somos responsables de la exposición de tres nuevos grupos por año.
MotivosSi bien raramente tenemos los insights de lo que pasa por la cabeza de los grupos de ataque, generalmente con el transcurso del tiempo, llegamos a algunas conclusiones sobre los intereses de los grupos de ataques dirigidos. Tenemos algunas maneras de hacerlo. Observar el tipo de organización que esos grupos esta-blecen como blanco generalmente puede desvelar mucho sobre lo que tienen interés. El análisis de las capacidades y recursos de las herramientas proporciona todavía más insights. Qué hacen los grupos de ataque tras invadir a una organización, como cuáles computadoras son establecidas como víctimas y cuál información (si es el caso) es robada, puede proporcionar más insights.
ISTR Marzo 2018Página 26Ataques Dirigidos - En Números
Volver al Índice
Conversamos con algunos de nuestros investigadores de amenazas y les pedimos que nos contaran sobre los grupos que fueron objeto de su trabajo.
¿Cuál es el grupo más interesante que ha encontrado?
Gavin O’Gorman“Posiblemente, Butterfly es el grupo más interesante con el cual trabajé. Era uno de los pocos grupos de ataque dirigidos que no parecía estar afiliado a ningún país y estaba involu-crado en espionaje corporativo, tal vez por intereses financie-ros. En pocos años, infectaron a varias grandes corporacio-nes como Twitter™, Facebook™, Apple®, y Microsoft®.
Siempre que voy a una conferencia, las personas me pregun-tan sobre este grupo, queriendo saber si logramos observar más ataques. La respuesta es que han desaparecido por completo. La seguridad operativa del grupo fue una de las mejores que ya hemos visto.
Por ejemplo, ellos ejecutaban servidores de comando y con-trol en máquinas virtuales cifradas en servidores afectados. Eso es algo que no observamos todos los días.
¿Será que se jubilaron? Lo dudo. Las vulnerabilidades de día cero que usaban exigían mucho tiempo y habilidad para ser adquiridas por cuenta propia y, posiblemente, en vez de eso, fueron compradas. Esas vulnerabilidades de día cero cuestan mucho, lo que significa que deben estar ganando mucho dinero.
Si tuviese que adivinar, diría que interrumpieron sus activi-dades temporalmente y desarrollaron un conjunto comple-tamente nuevo de herramientas. Estaban ganando mucho dinero para simplemente abandonar sus actividades.”
Alan Neville“Turla fue una de las primeras grandes investigaciones en la cual trabajé y todavía es una de las más interesantes. Utilizaban muchas herramientas y trucos que nunca había visto antes y realmente demostraban el nivel de sofisticación de operación de estos grupos. Al rastrear el desarrollo de su kit de herramientas, se tornó evidente que este era un grupo grande y bien organizado que tenía dinero para respaldar sus operaciones. Obviamente, había mucho trabajo especializado que involucraba a diferentes personas en el desarrollo de cada componente.
Por ejemplo, su estructura de watering hole de Venom es un nivel superior de lo que normalmente observamos. Fueron uno de los primeros grupos en emplear las técnicas de huella digital de sistema, a través de las cuales analizaban a los visitantes en busca de watering holes y recopilaban infor-mación suficiente para determinar si la víctima potencial era de interés para el grupo y, en caso afirmativo, determinar el mejor exploit que podía suministrar para establecer su posición dentro de la organización de la víctima. Sin embar-go, también existía la capacidad de infectar varios servidores para alojar su estructura de kit de exploits como una forma de afectar a las víctimas. Obviamente poseían una variedad de habilidades a su disposición y eso se demostraba por el nivel diversificado de sofisticación de las herramientas utilizadas, su capacidad de operar en múltiples entornos y el hecho de que permanecieron activos por un largo período, afectando a múltiples gobiernos. Hasta el día de hoy, Turla sigue sus operaciones y continúa siendo uno de los grupos rastreados más interesantes.”
Stephen Doherty“Dragonfly es definitivamente el grupo más interesante con el cual trabajé recientemente, principalmente porque han di-rigido sus ataques a infraestructura crítica. Hubo una época en la que ese tipo de ataque era inimaginable, por lo menos hasta que apareció Stuxnet. Sin embargo, en la actualidad varios grupos ejecutan este tipo de ataques. Dragonfly afecta a plantas de energía eléctrica desde por lo menos 2011.
Con el transcurso del tiempo, comenzaron a utilizar más herramientas disponibles en el mercado y tácticas de “Her-ramientas del día a día”, lo que significa que se volvió más difícil atribuir ataques al grupo. Es necesario ser muy preciso porque, al considerar sus víctimas, si uno se equivoca, creará una alarma innecesaria.
¿Cuál es el objetivo central de sus actividades? De acuerdo con nuestro análisis, están centrados en obtener y mantener el acceso a redes de energía eléctrica y recopilar información sobre sus operaciones.
Sabemos que tienen la capacidad de ocasionar graves interrupciones a las redes de energía eléctrica, pero hasta el momento nunca optaron por adoptar esas medidas extre-madas. Lo peligroso es que tienen esta capacidad, cuando consideren que es el momento oportuno. De todos los grupos que analizamos, posiblemente Dragonfly es el que más se aproxima a cruzar la frontera entre la recopilación de infor-mación y algo más hostil, como el sabotaje”.
HISTORIAS DE ANALISTAS
ISTR Marzo 2018Página 27Ataques Dirigidos - En Números
Volver al Índice
En la mayoría de los casos, logramos establecer por lo menos un interés para cada uno de los grupos que investigamos. En su gran mayoría, el interés más predominante es la recopilación de infor-mación, con 90% de los grupos involucrados de forma integral o parcial en esta actividad. La recopilación de información puede incluir el robo de información, espionaje y vigilancia.
“Los ataques disruptivos también se consideran mucho más hostiles y agresivos que la recopilación de información y cualquier persona que los organice corre el riesgo de sufrir represalias.”
Si bien los ataques disruptivos se han destacado en los últimos dos años, como una motivación, la interrupción de actividades aún es un distante segundo lugar detrás de la recopilación de información, con 11% de los grupos involucrados en esta actividad. Esto no nos sorprende. A pesar de que hayan ocurrido algunos ataques disruptivos de alto nivel, todavía son una propuesta arriesgada. Debido a sus propias características, estos ataques llaman mucho la atención.
La exposición dificulta la realización de ataques adicionales por parte de los grupos, ya que sus herramientas y técnicas habrán sido minuciosamente investigadas y, como resultado, las orga-nizaciones probablemente reforzarán sus defensas. Los ataques disruptivos también se consideran mucho más hostiles y agresi-vos que la recopilación de información y cualquier persona que los organice corre el riesgo de sufrir represalias. En la mayoría de los casos, especialmente cuando existe sabotaje, se utilizan con moderación y generalmente parecen calibrados para enviar un mensaje al objetivo destinado.
Malware destructivoPorcentaje de grupos conocidos y que utilizan malware destructivo.
Si bien apenas un pequeño porcentaje de los grupos está involu-crado en los ataques disruptivos, un porcentaje aún menor está involucrado en actividades que pueden clasificarse como destruc-tivas, como eliminar la información de discos (limpieza de disco). De los grupos que encontramos, apenas 6% fueron identificados por el uso de malware destructivo en algún momento.
La tercera categoría de intereses que observamos es financiera, observada en poco más de 9% de los grupos. Una vez más, eso no es demasiado sorprendente. La mayoría de los grupos de ataques dirigidos es patrocinada por naciones y esto significa que poseen los recursos de todo un país para financiar sus actividades.
Ellos no necesitan dinero o para ser preciso, no necesitan más dinero.
Existen excepciones. La más notable en los últimos años es posiblemente el grupo Lazarus, un grupo grande y muy activo, que se destacó gracias a las operaciones de espionaje en larga escala y algunos ataques disruptivos de gran notoriedad, principalmente el ataque de Sony Pictures™ en 2014, que ocasionó el robo de grandes cantidades de información, incluso películas no estrenadas, además de la información eliminada de las computadoras por malware.
Más recientemente, Lazarus también pasó a trabajar en operacio-nes con intereses financieros. El grupo estaba asociado al robo de US$ 81 millones del Banco Central de Bangladesh en 2016, junto con una serie de otros robos virtuales. ¿Por qué Lazarus estaba robando bancos? El FBI dijo que el gobierno de Corea del Norte fue responsable del ataque de Sony Pictures mencionado antes.
Sujeta a las sanciones actuales relacionadas a su programa de armamento nuclear, se sabe que Corea del Norte necesita moneda extranjera y el cibercrimen puede ser una forma de levantar estos fondos. Lazarus también estaba asociado al brote de ransomware WannaCry en mayo de 2017 (para más información, consulte “Ransomware: Más que Cibercrimen”).
ISTR Marzo 2018Página 28Ataques Dirigidos - En Números
Volver al Índice
Intereses de ataque dirigidos Intereses conocidos de los grupos de ataques dirigidos. La mayoría de los grupos están centrados en la recopilación de información.
Si bien Lazarus está involucrado en ataques de diferentes moti-vaciones, el grupo es una excepción a la regla. La mayoría de los grupos de ataques dirigidos que encontramos están mucho más enfocados, con 85% de los grupos con solo un interés determi-nado. Apenas 12% de los grupos tienen dos o más intereses co-nocidos. Para un pequeño número de grupos (3%), aún no hemos logrado identificar un motivo.
Número de interesesNúmero de intereses por grupo. La mayoría (85%) tiene apenas un interés conocido.
Vectores: ¿De qué forma los grupos afectan a sus víctimas?Una de las principales informaciones que buscamos al investigar los ataques dirigidos es el vector de infección, es decir, en primer lugar de qué forma los grupos de ataque han logrado invadir la red de la víctima. No es necesario enfatizarlo, pero bloquear los ataques en el punto de entrada es la manera más eficaz de com-batir los ataques dirigidos.
Descubrir el vector de infección puede ser demasiado difícil. Normalmente, los grupos de ataque intentan afectar a las organizaciones al infectar alguna computadora disponible en
una organización establecida como blanco y, a seguir invadir el entorno, pasan para las computadoras específicas de interés, al mapear y recorrer la red de la organización. Los grupos con una buena seguridad operativa generalmente eliminan sus pistas a medida que avanzan, retirando sus herramientas de cualquier computadora que no necesiten más. Esto significa que los rastros de la infección inicial fueron eliminados por los invasores cuando se descubre un ataque.
Los correos electrónicos de spear phishing surgieron como el vector de infección más utilizado, empleado por 71% de los grupos.
El objetivo de spear phishing es engañar al destinatario para abrir un adjunto o hacer clic en un enlace malintencionado, y la popula-ridad de esta estrategia ilustra cuantas veces la persona sentada detrás de una computadora puede ser el eslabón más débil en la seguridad de una organización. Además de una solución sólida de seguridad de correo electrónico, educar a los funcionarios acerca de los peligros de los correos electrónicos de spear phishing y cómo identificarlos ayudará a reducir el riesgo de compromiso.
“Los correos de spear phishing dominan el segmento como el vector de infección más utilizado, empleado por 71% de los grupos.”
El segundo vector de infección más popular es el uso de watering holes, páginas web que fueron afectadas por el grupo de ataque, generalmente sin el conocimiento del propietario de la página web.
Los grupos de ataque generalmente infectan una página web que posiblemente se visitará por las víctimas establecidas. Por ejem-plo, si su víctima esta en el sector de aviación, pueden afectar a un foro de aviación.
Los ataques de watering hole tienden a ser métodos de infección menos eficientes. Los grupos de ataque no pueden garantizar que la víctima establecida visitará la página web afectada. También existe el riesgo de daños colaterales, en la forma de infecciones no intencionales de víctimas fuera de la organización estableci-da como objetivo. Normalmente, los grupos de ataque intentan reducir el riesgo de esta ocurrencia al emplear un kit de exploit que infectará apenas a los usuarios provenientes de un intervalo preseleccionado de IPs.
Junto con spear phishing y watering holes, existen algunos vec-tores específicos de infección de determinados nichos. Es sabido que 6% de los grupos utilizan actualizaciones de software, en las que se afectan paquetes legítimos de software, generalmente a través del upload de una versión con troyano del software hacia la página web del desarrollador descuidado.
ISTR Marzo 2018Página 29Ataques Dirigidos - En Números
Volver al Índice
Es sabido que un pequeño número de grupos (3%) utiliza exploits de servidores web para afectar a las víctimas, lo que implica la explotación de vulnerabilidades en aplicaciones basadas en SQL para enviar comandos malintencionados a una base de datos SQL.
Vectores de infección de ataques dirigidos Vectores de infección conocidos utilizados por los grupos de ataques dirigidos. Spear phishing es, sin lugar a dudas, el vector más popular.
La mayoría de los grupos que encontramos (60%) depende ape-nas de un vector de infección conocido. Del resto, es sabido que 20% utiliza dos o más vectores de infección. Para 20% de los gru-pos, aún no hemos identificado un vector de infección utilizado.
Porcentaje de vectores de infección Porcentaje de vectores de infección conocidos por grupo
Una táctica que ha sido utilizada de forma frecuente durante los años para infectar a las víctimas de ataques dirigidos es la explotación de vulnerabilidades de día cero, vulnerabilidades de software que eran anteriormente desconocidas y que no poseían parches de corrección. Sin embargo, en los últimos años, el uso de vulnerabilidades de día cero se redujo y eso aparentemente se confirma por nuestro análisis. Apenas 27% de los grupos que investigamos poseen historial de utilización de vulnerabilidades de día cero en algún momento en el pasado.
¿Qué grupos tienen la mejor/peor seguridad operativa?
“Los grupos con la mejor seguridad operativa son posi-blemente los que no conocemos”, dice Gavin O’Gorman. “Si se logra identificar un grupo distinto, al combinar varios incidentes, eso demuestra que los grupos de ataque cometieron un error e hicieron algo que nos permite identificarlos. Observamos varios incidentes individuales. Es difícil atribuir varios incidentes al mismo grupo porque cada vez mejoran al esconder sus pistas. El creciente uso de herramientas de mercado demuestra que los grupos de ataque dejan huellas digitales cada vez más difíciles de distinguir.”
“Uno de los peores ejemplos de seguridad operativa que vi fue el de Bachosens”, dice Stephen Doherty, refiriéndose a un invasor solitario que fue descubierto al realizar ataques dirigidos contra organizaciones con el objetivo de cometer cibercrímenes. “Cometió algunos errores demasiado elementales, como registrar dominios utilizando su propio nombre. Se observaba que a lo largo del tiempo estaba aprendiendo y comenzó a mejorar su estrategia, sin embargo no notaba que todas las pistas que había dejado antes simplemente no desaparece-rían.”
“Si piensa que esto es malo, hay un grupo que estaba siendo investigado recientemente por colegas de Syman-tec, donde el investigador encontró el currículum del invasor.”, dice O’Gorman. “El invasor usó alguna infraes-tructura malintencionada para su uso personal y dejó un enlace para su currículum, públicamente accesible.”
“Es evidente que a algunas personas no les importa tanto la seguridad operativa como otras”, dice Doherty. “Considere por ejemplo el grupo Swallowtail [también conocido como APT 28 y Fancy Bear]. Los integrantes de este grupo utilizan las mismas herramientas varias ve-ces. No parece importarles mucho si las personas saben quienes son los responsables del ataque.
HISTORIAS DE ANALISTAS
ISTR Marzo 2018Página 30Ataques Dirigidos - En Números
Volver al Índice
En el pasado, las vulnerabilidades de día cero eran una valiosa y poderosa herramienta para los grupos de ataque dirigidos. Pero los grupos de ataque comenzaron a evitarlas utilizando tácti-cas menos renombradas, básicamente, “herramientas del día a día”, al usar cualquier herramienta que consiga el acceso, como software legítimo de administración de red y recursos del sistema operativo.
Uso de vulnerabilidades de día ceroAproximadamente 75% de todos los grupos nunca fueron identificados explotando vulnerabilidades de día cero.
“Una de las principales fases en la mayoría de los ataques dirigidos es conocida como movimiento lateral. Los grupos de ataque difícilmente tienen la posibilidad de lograr afectar de inmediato las computadoras en las que están interesados.”
Movimiento lateralUna de las principales fases en la mayoría de los ataques diri-gidos es conocida como el movimiento lateral. Los grupos de ataque difícilmente tienen la posibilidad de lograr afectar de inmediato las computadoras en las que están interesados. En cambio, generalmente encuentran un camino para invadir la red de la víctima al infectar cualquier computadora disponible y uti-lizar esas computadoras como una base. A partir de este punto, explotarán la red, identificarán víctimas de interés y se desplaza-rán por la red para infectar esas computadoras.
Existen muchas técnicas utilizadas para ejecutar el movimiento lateral y, en la mayoría de los casos, dejan pocas pistas. Hay registros de algunas técnicas comunes de movimiento lateral.
Entre ellas, las credenciales robadas fue la técnica de movimiento lateral más observada. Generalmente, los grupos de ataques utili-zan herramientas de hackeo de software para obtener las creden-ciales de una computadora afectada y después utilizarlas para intentar ingresar en otras computadoras de la red. El método “pass the hash” - donde los grupos de ataques roban y reutilizan la versión hash subyacente de una contraseña y, sin descodificar-la, es posible utilizarlo para autenticarse en otras computadoras o servidores - fue usado por poco menos de 6% de los grupos.
Otra técnica común que observamos es la explotación de inter-cambio de redes abiertas, utilizada por poco más de 4% de los grupos.
Técnicas de movimiento lateral El uso de credenciales robadas es la técnica de movimiento lateral más común que observamos, usada por 7% de los grupos.
Instrumentos de Trabajo: El malware detras de los ataques dirigidosMalware continúa siendo una de las herramientas más importan-tes que utilizan los grupos de ataques dirigidos. Si bien muchos grupos dependen del malware ahora es menos que anteriormente (con el uso de herramientas de hackeo y software legítimo para el recorrido de red, por ejemplo), el malware todavía es utilizado con frecuencia en el “momento final” de un ataque común, para llegar al objetivo final del ataque, ya sea para obtener informa-ción, robar, espiar, sabotear o cualquier otro tipo de compromiso.
Para entender el escenario acerca de la utilización de esas herra-mientas malintencionadas, hemos seleccionado 20 de los grupos de ataques dirigidos más activos en los últimos años y analizamos con profundidad las cifras (realizar este ejercicio para cada grupo implicaría muchos datos, asi que seleccionamos una muestra representativa).
42Cifra promedio de organizaciones afectadas por grupo
18Principal cifra de herramientas utilizadas por un grupo
4Cifra promedio de herramientas malintencionadas utilizadas por grupo
1Menor cifra de herramientas utilizada por un grupo
65Cifra promedio de individuos afectados por grupo
En los últimos 3 años:
*Con base en la selección de los 20 grupos más activos en los últimos años
ISTR Marzo 2018Página 32Ataques Dirigidos - En Números
Volver al Índice
Identificamos que, entre esos 20 grupos, la cifra promedio de herramientas utilizadas por cada grupo era 4. La mayor cifra identificada fue 18 y está relacionada al grupo Lazarus, mencio-nado anteriormente. El número refleja el hecho que representa una operación que se propaga con muchos intereses.
¿Cómo se utilizan estas herramientas? En los últimos tres años, en promedio, fueron afectadas 42 organizaciones por grupo. Durante el mismo período, los mismos grupos afectaron en promedio a 65 individuos. Si nuestra muestra de 20 grupos es representativa, un grupo común de ataques dirigidos afectará, en promedio, a 14 organizaciones y a 22 individuos por año.
¿Dónde están las víctimas?¿Los ataques dirigidos son eventos comunes? ¿Cuán propagados son estos ataques? Analizamos nuestros datos de infecciones por malware exclusivamente asociado a los grupos de ataques dirigi-dos y descubrimos que anualmente cientos de organizaciones son afectadas por los ataques dirigidos.
Organizaciones afectadas por los ataques dirigidos Cifra de organizaciones afectadas por ataques dirigidos por año, de 2015 a 2017.
Tras una disminución en 2016, el número de organizaciones afec-tadas por ataques dirigidos en 2017 regresó a los mismos niveles observados en 2015.
Cuando se segmenta por ubicación geográfica, no nos sorprendió descubrir que Estados Unidos fue el país más afectado por los ataques dirigidos en los últimos tres años. Es un país muy pobla-do, próspero y poderoso, de esta forma, es una región evidente de interés para los grupos de ataques dirigidos.
Del mismo modo, grandes países como India, Japón y Rusia son inclusiones esperadas en la lista. Otra evidente tendencia es que los países, centro de tensiones regionales con frecuencia son atacados, como Taiwán, Ucrania y Corea del Sur.
Los 10 principales países afectados por los ataques dirigidosEntre 2015 y 2017, EE.UU. fue el país más afectado por los ataques dirigidos.
ISTR Marzo 2018Página 33Ataques Dirigidos - En Números
Volver al Índice
¿Cuáles son los principales grupos actuales y de más duración?“Puede ser difícil establecer cuando un grupo inició sus actividades, pero con las pruebas que tenemos, Turla es posiblemente uno de los grupos de más duración”, dice Alan Neville. “Definitivamente están en operación desde por lo menos 2005 y existen algunas investigaciones relacionándolos a ataques en los años 90, lo que definiti-vamente los ubicaría entre los más antiguos.”
“En la actualidad, Lazarus es posiblemente el grupo más grande”, dice Gavin O’Gorman. “Es difícil decir si el grupo es un gran equipo o una combinación de grupos con acceso a las mismas herramientas. Es posible que haya muchas personas en su operación que resulta difí-cil mantener la seguridad operativa. Sabe cómo son los grandes equipos. Simplemente, las personas trabajan a su propia manera, y es más difícil mantener el control sobre ellas.
HISTORIAS DE ANALISTAS
¿Qué podemos aprender con esos datos? Con base en los datos que hemos reunido aquí, ¿qué podemos decir sobre los ataques dirigidos? ¿Corre algún riesgo? Si la res-puesta es sí, ¿de qué forma está en riesgo?
Lo primero que podemos afirmar es que, si bien el número total de organizaciones afectadas por ataques dirigidos es bastante bajo, el riesgo representado por un ataque es bastante elevado. Esos grupos de ataques son especializados, poseen varios re-cursos y son capaces de robar información valiosa o interrumpir gravemente los negocios.
Por motivos evidentes, los países política y económicamente po-derosos tienden a atraer más ataques que la mayoría. Sin embar-go, si se encuentra en un país que es centro de tensiones políticas regionales, es posible correr un riesgo mayor de ataque.
El interés más probable para un ataque es la recopilación de información. Eso puede representar el robo de documentos y pro-piedad intelectual, o puede implicar actos de espionaje contra su equipo y clientes. Con esto en mente, los grupos de ataques harán lo que esté a su alcance para evitar que los descubran y a veces lograrán permanecer en la red de la víctima por varios meses.
Si llega a ser víctima de un ataque, la posibilidad es de que el compromiso inicial, la brecha en la cerca por la cual los res-ponsables del ataque logran penetrar, sea creada por medio de ingeniería social, en vez de algo técnicamente sofisticado, como un exploit o una vulnerabilidad de día cero. Los correos electróni-cos de spear phishing son el principal medio de ataque utilizado que observamos, es decir, un correo electrónico bien elaborado, enviado a un funcionario desprevenido, es la fuente más probable de compromiso y puede ser la causa de una violación de seguri-dad potencialmente grave.
Lectura AdicionalGreenbug cyberespionage group targeting Middle East, possible links to Shamoon (Blog)
Shamoon: Multi-staged destructive attacks limited to specific targets (Blog)
Longhorn: Tools used by cyberespionage group linked to Vault 7 (Blog)
WannaCry: Ransomware attacks show strong links to Lazarus group (Blog)
Bachosens: Highly-skilled petty cyber criminal with lofty ambi-tions targeting large organizations (Blog)
Attackers are increasingly living off the land (Blog)
Dragonfly: Western energy sector targeted by sophisticated attack group (Blog)
Sowbug: Cyber espionage group targets South American and Southeast Asian governments (Blog)
Triton: New Malware Threatens Industrial Safety Systems (Blog)
Ransomware:Más que Cibercrimen
ISTR Marzo 2018Página 35Ransomware: Más que Cibercrimen
Volver al Índice
Ransomware no es más una exclusividad de los ciberdelincuentes. Por varios motivos, los grupos de ataques dirigidos también se han interesado en este segmento; para levantar fondos en moneda extranjera o utilizar ransomware falso como cobertura para otros tipos de ataques.
A fines de 2015, nos enfrentamos con una situación que, en la época, era muy inusual. Una gran empresa en el Sureste Asiático nos solicitó investigar un ataque de ransomware de gran escala en su red. Cientos de computadoras fueron afectadas, todas con lo que parecía ser una variante del ransomware CryptoWall (Ransom.Cryptowall). Casi de inmediato, observamos que había algo muy extraño en este ataque.
Cuando analizamos las muestras del malware, descubrimos que, de hecho, no había cifrado ningún archivo, algo diferente de una acción normal de ransomware. En cambio, el malware simple-mente sustituyó los archivos en el disco rígido por datos insig-nificantes. El malware era en realidad un agente para eliminar informaciones (limpiador de disco), camuflado de ransomware. ¿Por qué los responsables del ataque se tomaron el trabajo de intentar ocultar sus pistas de esa forma?
Cuando analizamos el evento con más detalles, comenzamos a observar lo que había sucedido. La organización había sido víc-tima de ataques dirigidos sofisticados y de larga duración. Cinco meses antes del incidente de “ransomware”, varias computadoras de la organización fueron afectadas por medio de una combina-ción de correos electrónicos de spear phishing y páginas web de watering hole.
A partir de ese compromiso inicial, los responsables del ataque utilizaron una combinación de malware y herramientas de prueba de penetración para robar credenciales, mapear la red de la orga-nización y afectar a varias computadoras, incluso los servidores de archivos, aplicaciones y correo electrónico.
El verdadero objetivo del ataque fue el robo de datos y, durante los cinco meses de invasión, los responsables del ataque lograron robar miles de archivos de la organización. Cuando terminaron, los invasores intentaron cubrir sus pistas, con la implantación del falso ransomware para eliminar la información de los discos de las computadoras infectadas.
Disfrazar el limpiador de disco como ransomware fue una acción inteligente. En la época, los ataques de ransomware comenzaron a alcanzar proporciones epidémicas. En una evaluación superfi-cial, el limpiador (que llamamos Trojan.Phonywall) se parecía de-masiado a CryptoWall, exhibiendo un pedido de rescate idéntico al mensaje usado por CryptoWall. La única diferencia era la URL de pago. Las URLs de pago de CryptoWall generalmente eran ex-clusivas para cada infección, pero la URL usada por Phonywall era
codificada y fue copiada de un pedido de rescate de CryptoWall publicada online. Si el ataque no hubiese sido investigado de for-ma adecuada, la empresa podría haber asumido simplemente que había sido afectada por un ataque de ransomware, aceptando sus pérdidas y no realizaría una investigación más detallada.
Observamos varios casos en el pasado en los que los grupos de ataques utilizaron ataques DDoS para disfrazar invasiones. Sin embargo, en 2015, el uso de ransomware por un grupo de ataques dirigidos como señuelo era algo totalmente nuevo. Todo eso cambió rápidamente y, en 2017, dejó de ser algo inusual. Varios grupos de ataques dirigidos descubrieron el valor del ransomware. Encontraron variedad de usos para el y en la mayoria de los casos, con efectos devastadores.
“... los invasores intentaron cubrir sus pistas, con la implantación del falso ransomware para eliminar la información de los discos de las computadoras infectadas.”
Ataques que generan ingresos Los grupos de ataques dirigidos generalmente no se involucran en ataques con intereses financieros. Esto se debe a que, en la mayoría de los casos, son subsidiados por una nación y pueden pagar por un equipo y herramientas caras (como vulnerabilidades de día cero).
Cuando WannaCry (Ransom.Wannacry) apareció por primera vez, parecía improbable que un grupo de ataque dirigido fuese el responsable. El ataque poseía las características de una opera-ción de cibercrimen, algo que la mayoría de los grupos de ataque dirigidos no adoptarían. Sin embargo, posteriormente descubri-mos fuertes evidencias que el grupo Lazarus estaba detrás de la amenaza.
Apesar de que era posible es posible que el motivo del ataque fuera interrumpir las actividades; si el motivo fuese financiero, no sería la primera vez que Lazarus se involucraría en actividades de cibercrímenes, habiendo sido vinculado al asalto del Banco de Bangladesh y a varios otros grandes ataques bancarios. El FBI asoció el grupo a Corea del Norte, que está sujeta a sanciones y obviamente en falta de reservas en moneda extranjera.
Ukraine
Russia
Levantamiento del ritmo de ataques
NOV2015
MAY2017
DIC2015
JUN 2017
OCT2017
Ransomware falso “Phonywall” usado para ocultar los ataques dirigidos en el Sureste Asiático
Brote de Petya/NotPetya, con impacto principalmente en Ucrania
Malware que elimina el contenido de discos (limpiador de disco) disfrazado de ransomware en ataques a Ucrania
Brote de BadRabbit, con impacto principalmenteen Rusia
WannaCry usa el exploit EternalBlue que había filtrado para propagarse globalmente en horas
ISTR Marzo 2018Página 37Ransomware: Más que Cibercrimen
Volver al Índice
WannaCry tuvo un enorme impacto y tenía el potencial de ser extremadamente rentable. La principal razón para eso fue que incorporó el exploit EternalBlue que se había filtrado y usó dos vul-nerabilidades conocidas en Windows (CVE-2017-0144 y CVE-2017-0145) para convertir el ransomware en un gusano, capaz de propa-garse en cualquier computadora de la red de la víctima y también hacia otras computadoras vulnerables conectadas a Internet. Pocas horas después de su lanzamiento, WannaCry había infectado a cientos de miles de computadoras alrededor del mundo.
A pesar de que WannaCry haya llamado la atención del mundo y causado una relevante interrupción de actividades, desde el punto de vista financiero el ataque fue un fracaso. Sus autores fracasaron en la implementación del mecanismo de pago. El obje-tivo de WannaCry era generar una dirección de cartera de Bitcoin exclusiva para cada computadora infectada, pero, debido a un bug, presentó una falla y fue dirigida a las tres direcciones codi-ficadas de Bitcoin directo al programa para el pago. Los respon-sables del ataque no tenían como saber cuáles eran las víctimas que habían pagado usando las direcciones codificadas, de esta forma, cuando se volvió conocimiento público, las víctimas tenían poco incentivo para pagar el rescate.
Así mismo, los autores incluyeron un “killswitch” en el malware. Esta era la dirección de un dominio inexistente. WannaCry veri-ficaba si el dominio estaba activo y, si lo estuviese, dejaría de ser instalado. El recurso obviamente tenía el objetivo de permitir que los responsables del ataque lo interrumpiesen si fuera necesario. No obstante, este detalle fue rápidamente encontrado por un in-vestigador de seguridad que registró el dominio, limitando de esa forma los daños de WannaCry en el mismo día de su lanzamiento.
Si se hubiera configurado de forma correcta, WannaCry podría haber generado ingresos de decenas de millones de dólares para sus creadores.
“Ataques DDoS pueden hacer que una organización quede offline, porque los administradores de sistemas estarán ocupados en el intento de impedir el ataque DDoS y pueden estar demasiado distraídos para observar actividades sospechosas en sus redes, que indiquen un ataque dirigido está en marcha.”
Ransomware como señuelo Los ataques para despertar la atención de las víctimas no son nuevos, pero anteriormente, los grupos de ataque dirigidos dependían de otros tipos de señuelo, generalmente los ataques distribuidos de negación de servicio (DDoS). Los ataques DDoS pueden hacer que una organización quede offline, porque los ad-ministradores de sistemas estarán ocupados en el intento de im-pedir el ataque DDoS y pueden estar demasiado distraídos para observar actividades sospechosas en sus redes, que indiquen que un ataque dirigido está en marcha.
Como fue mencionado anteriormente, vimos el primer caso de ransomware usado como señuelo a fines de 2015. Sin embargo, hasta el final de 2016, otros grupos de ataques dirigidos adopta-ron la táctica. Uno de los ejemplos más destacados, fue el grupo de ciberespionaje Sandworm, que creó una nueva versión de su destructivo troyano Disakil (Trojan.Disakil), que fue disfrazado de ransomware.
Desarrollado para ser ejecutado en computadoras Linux, básica-mente los tornaba inutilizables al cifrar los archivos esenciales del sistema operativo. Cuando finalizaba el cifrado, se mostraba un mensaje solicitando un rescate de 222 Bitcoin (aproximada-mente US$ 250.000 en aquel momento). El pago del rescate no descodificaba los archivos afectados, pues las claves de cifrado generadas en la computadora infectada no eran guardadas local-mente ni en un servidor de comando y control (C&C).
Esta versión de Disakil fue usada en varios ataques contra la compañía eléctrica ucraniana y también en intentos de ataques contra el sector financiero y de transporte en Ucrania. Así como en los ataques DDoS, el uso del ransomware como señuelo tuvo un efecto similar, al causar confusión entre las víctimas y atrasar una respuesta efectiva.
En los últimos años, la cantidad de ransomware distribuido se expandió de forma rápida, tornándose una de las amenazas más comunes de cibercrímenes. Su omnipresencia hace que sea una cobertura perfecta para los ataques. En la actualidad está tan difundido que los administradores no pueden sorprenderse con un ataque de ransomware o cuestionarse una aparente infección de ransomware.
Ukraine
SaudiArabia
SaudiArabia
NOV 2016
JUL 2010
JUN 2017
MAR 2013
DIC 2016
AGO 2012
DIC 2014
Principales ataques malware destructivo
Descubrimiento del gusano Stuxnet, dirigido al programa nuclear iraní
El troyano Shamoon, que elimina el contenido de discos, usado contra víctimas en Arabia Saudita
Ataques a bancos y emisoras de TV de Corea del Sur para eliminar el contenido de discos lanzados
Malware usado para eliminar el contenido de discos en el ataque a Sony pictures (EE.UU.)
Nuevos ataques a Arabia Saudita con el uso de Shamoon
Malware usado para eliminar el contenido de discos en ataques al sector energético de Ucrania
Petya/NotPetya afecta a varias organizaciones, principalmente en Ucrania
ISTR Marzo 2018Página 39Ransomware: Más que Cibercrimen
Volver al Índice
Intentos de infección por malware destructivoIntentos mensuales de infección con la participación de malware destructivo asociado a los grupos de ataques dirigidos.
Ransomware como una herramienta disruptivaLa introducción de ransomware como un señuelo, seguida del surgimiento del WannaCry, produjo la llegada de un tercer tipo de ataque, básicamente, el ransomware como una forma de ataque disruptivo.
El primer caso y más notable de ese uso fue Petya/NotPetya (Ransom.Petya). Cuando surgió, inicialmente parecía ser una imitación de WannaCry.
“Así como en los ataques DDoS, el uso del ransomware como señuelo tuvo un efecto semejante, al causar confusión entre las víctimas y retrasar una respuesta efectiva.”
Como WannaCry, Petya/NotPetya también usó el exploit Eternal-Blue para propagarse, además de incorporar otras técnicas para difundirse en la red del Server Message Block (SMB), lo que signi-fica que podia propagarse en las organizaciones a las computado-ras que recibieron el parche de corrección contra EternalBlue.
Sin embargo, Petya/NotPetya contenía algunas diferencias esenciales en relación a WannaCry, que revelaron el motivo de los responsables del ataque. Inicialmente, los discos cifrados por Petya/NotPetya no podian ser recuperados. Cuando se ejecutaba, escaneaba el disco rígido por 65 tipos diferentes de archivos y ci-fraba todos los que encontraba. La clave era cifrada con una clave pública integrada y anexada a un archivo README.TXT. Cuando
se reiniciaba la computadora, cifraba completamente el disco rígido y presentaba un pedido de rescate al usuario. Este pedido de rescate exhibía una “clave de instalación”, que era una cadena de caracteres generada de forma aleatoria. Una clave Salsa20 generada de forma aleatoria se utilizaba a continuación para cifrar el disco. El problema es que no existía relación entre la “clave de instalación” y la clave Salsa20. Como el disco no podría ser descodificado, Petya/NotPetya no era realmente un ransomware. Era un limpiador de disco.
Así mismo, al contrario de WannaCry, Petya/NotPetya no fue desarrollado para propagarse de forma indiscriminada. En cambio, el ataque fue proyectado para afectar principalmente a organizaciones en Ucrania. Las infecciones iniciales fueron distribuidas mediante una versión con troyano de M.E.doc, una solución de software de contabilidad e impuestos que es ampliamente utilizada en Ucrania. Los responsables del ataque lograron afectar la página web de M.E.doc y hacer el upload de una versión con troyano de una actualización de software.
Los ataques disruptivos son una evolución de los ataques señuelo. La inclusión de un mecanismo de autopropagación demuestra que el ataque es más amplio. Mientras el ransomware todavía actúa como señuelo, el objetivo final del ataque no es ocultar, sino interrumpir las actividades y generar confusión en las organizaciones afectadas.
Al instalarse en una computadora dentro de una organización, Petya/NotPetya comenzaba a intentar propagarse hacia otras computadoras en la red, al construir una lista de direcciones IP y usar EternalBlue y otras técnicas de distribución SMB para infectarlas. Se propagó también a direcciones IP externas, pero apenas a las que estaban de alguna forma conectadas a la organización infectada. A pesar de que fueron afectadas algunas organizaciones fuera de Ucrania, estas básicamente representaron daños colaterales, en lugar de intencionales.
El impacto real de Petya/NotPetya fue altamente dirigido contra Ucrania y extremadamente disruptivo, porque eliminó la información de todas las computadoras infectadas. El momento del ataque también parece haber sido proyectado para causar el máximo efecto disruptivo, pues se produjo el 27 de junio, un día antes del Día de la Constitución de Ucrania, un feriado nacional.
¿Imitación o represalia?Varios meses después del brote de Petya/NotPetya, comenzó a propagarse una amenaza muy similar. BadRabbit (Ransom.BadRabbit) apareció el 24 de octubre de 2017 y fue altamente dirigido contra Rusia (que representó el 86% de los intentos de infección en las primeras 24 horas). El método inicial de infec-ción fue por descargas drive-by en páginas web afectadas, con el malware disfrazado de una actualización falsa para Adobe Flash Player™. Al infectar sitios web rusos, los responsables del ataque garantizaron que las víctimas estaban concentradas principal-mente en aquel país.
Disruption
Decoy
Revenue
¿Por qué los grupos de ataques dirigidos comenzaron a usar ransomware?
Señuelo
Disruptivo
IngresoDisakil { Camuflaje perfecto para un ataque dirigido. Los ataques de ransomware son bastante comunes y pueden no presentar sospechas.
{ Cifrar o eliminar datos de computadoras puede ocultar evidencias de una invasión.
Petya/NotPetya
{ Tornar el ransomware imposible de descodificar lo transformó efectivamente en un limpiador de disco.
{ El uso de ransomware ocultaba el verdadero motivo disruptivo del ataque.
WannaCry { Fuente potencial de ingreso en moneda extranjera para naciones con dificultades financieras.
{ El uso del exploit EternalBlue convirtió el ransomware en un gusano y afectó a cientos de miles de víctimas en potencial.
ISTR Marzo 2018Página 41Ransomware: Más que Cibercrimen
Volver al Índice
Así como Petya/NotPetya, BadRabbit era capaz de autopropa-garse e intentaba difundirse por la red de la víctima vía SMB y Mimikatz (Hacktool.Mimikatz), una herramienta de hackeo utilizada para robar contraseñas. El malware también utiliza una lista codificada de credenciales estándar comúnmente usadas para intentar adivinar contraseñas, junto con EternalRomance, un exploit similar a EternalBlue.
Al contrario de Petya/NotPetya, BadRabbit era un ransomware verdadero y la descodificación era posible. Tras la reinicialización del sistema, se exhibía un pedido de rescate, con la exigencia de un rescate de 0,05 bitcoins (aproximadamente US$ 280 en el momento del ataque).
El hecho de ser un ransomware funcional puede significar que los responsables del ataque vieron el impacto de Petya/NotPetya y de manera oportuna crearon una versión que era una imitación en la esperanza de obtener dinero. Sin embargo, si ese fue real-mente el caso, ¿por qué BadRabbit fue dirigido principalmente a Rusia? ¿Un grupo de ataque en Ucrania pensó que Rusia fue responsable de Petya/NotPetya? Caso afirmativo, ¿BadRabbit fue su represalia? Varias preguntas continúan sin respuestas.
“Los grupos de ataques dirigidos que utilizan ransomware son un desarrollo muy reciente y todavía no se sabe si esa tendencia continuará en 2018.”
¿Fenómeno a corto plazo o tendencia a largo plazo?Los grupos de ataques dirigidos que utilizan ransomware son un desarrollo muy reciente y todavía no se sabe si esa tendencia continuará en 2018.
WannaCry fue el único caso confirmado de un grupo de ata-que dirigido que utilizó ransomware para fines financieros. Sin embargo, desde el punto de vista de generación de ingresos, fue un fracaso. Su configuración con error produjo rendimientos limitados para los responsables del ataque. Lazarus, el grupo responsable de WannaCry, tuvo mucho más éxito con asaltos a bancos virtuales, por lo tanto, es posible que el grupo abandone el ransomware como un experimento fracasado.
Por una parte, el ransomware es una forma barata y fácil de señuelo o interrupción de actividades. No se necesita un comple-jo trabajo de desarrollo y, en muchos casos, las variantes no son desarrolladas desde cero, en cambio, se adaptan de amenazas preexistentes. Incluso la incorporación del exploit EternalBlue en WannaCry era poco sofisticado, básicamente una actividad de copiar y pegar el código. Por otro lado, realizar un ataque DDoS, la forma tradicional de señuelo, requiere mucho más tiempo, esfuerzo e infraestructura.
El ransomware sigue siendo una de las principales amenazas online enfrentadas por las organizaciones y los consumidores. Nuestra propia telemetría sugiere que las infecciones por ranso-mware continuaron su crecimiento en 2017. Su omnipresencia demuestra que puede continuar siendo un disfraz perfecto para otras formas de ataque.
Lectura AdicionalDestructive Disakil malware linked to Ukraine power outages also used against media organizations (Blog)
What you need to know about the WannaCry Ransomware (Blog)
WannaCry: Ransomware attacks show strong links to Lazarus group (Blog)
Petya/NotPetya ransomware outbreak: Here’s what you need to know (Blog)
BadRabbit: New strain of ransomware hits Russia and Ukraine (Blog)
Ransomware 2017: An ISTR special report (white paper)
Infectar laCadena de Suministros de Software
ISTR Marzo 2018Página 43Infectar la Cadena de Suministros de Software
Volver al Índice
Hubo por lo menos un gran ataque contra la cadena de suministros de actualización de software reportado por mes en 2017.
Esta es una evidente señal de una creciente tendencia, conside-rando que un promedio de tres casos similares fueron relatados por año entre 2013 y 2016. El número real puede ser mucho ma-yor, considerando que algunos casos menores pueden no haber sido informados al público. Una extensión de la reciente tenden-cia de “uso de herramientas de día a día”, ese tipo de ataque se produce cuando los grupos de ataques sofisticados manipulan las cadenas de suministros de software para infiltrarse hasta en las redes más protegidas. Uno de los motivos por los cuales los responsables de los ataques optaron por secuestrar las actuali-zaciones de software es que está quedando cada vez más difícil encontrar vulnerabilidades de día cero explotables que puedan utilizarse. Por lo tanto, los ataques a la cadena de suministros son una alternativa eficiente para lograr sus objetivos y posible-mente seguirán creciendo.
Un ataque a la cadena de suministros de actualización de sof-tware en el segmento de seguridad de TI puede ser definido de la siguiente forma:
Implantar un malware en un paquete de software legítimo en su ubicación de distribución habitual; esto puede ocurrir durante la producción en el proveedor del software, en un local de almacenamiento de terceros o a través de redireccionamiento.
El escenario típico de ataque involucra la sustitución de una actualización de software legítima por una versión malintencio-nada, para distribuirla de forma rápida y oculta a las víctimas deseadas. Cualquier usuario que aplique automáticamente la actualización de software tendrá su computadora infectada y proporcionará al grupo de ataque una posición segura en su red. Esto no se aplica solamente a equipos de escritorio, lo mismo se aplica a los dispositivos IoT y a los componentes industriales de control.
Motivaciones para los grupos de ataquesExisten seis motivos principales por los cuales la cadena de sumi-nistros de actualización de software es atractiva para los grupos de ataques:
01 Infiltración de organizaciones bien protegidas, al aprovechar un canal confiable
02 Distribución rápida: el número de infecciones puede crecer de forma rápida conforme a las actualizaciones automáticas de los usuarios
03 Enfoque en regiones o sectores específicos
04 Infiltración de víctimas aisladas, como aquellas en ambientes industriales
05 Es difícil que las víctimas identifiquen los ataques, porque los procesos confiables son mal utilizados
06 Puede proporcionar privilegios elevados al responsable del ataque durante la instalación
Los responsables de los ataques normalmente utilizan ataques a la cadena de suministros de actualización de software para infiltrarse en organizaciones bien protegidas, donde los vecto-res tradicionales de infección no obtienen éxito. Es demasiado frecuente que los grupos de ataques dirigidos busquen el eslabón más débil en la cadena.
Al distribuir malware a través de un canal de distribución ya esta-blecido, los grupos de ataques pueden afectar a un gran volumen de computadoras en un corto período, especialmente si el softwa-re afectado posee un mecanismo de actualización automatizado es posible alcanzar todo esto, sin la necesidad de un exploit que pueda utilizarse para propagarse en la red.
“Los responsables de los ataques normalmente utilizan ataques a la cadena de suministros de actualización de software para infiltrarse en organizaciones bastante protegidas, donde los vectores tradicionales de infección no logran éxito.”
De acuerdo con el paquete de software seleccionado, los ataques a la cadena de suministros pueden permitir infecciones semidi-rigidas. Por ejemplo, los responsables del ataque pueden tener como objetivo un sector específico, al aprovechar el software que es utilizado principalmente en ese sector. Las actualizaciones de software con troyano también pueden permitir que los grupos de ataques invadan redes “air-gapped”, ya que los administradores de sistema generalmente copian la actualización de software para la red separada o la instalan desde un pendrive.
El incidente de Petya/NotPetya en junio de 2017 fue un ejemplo de cómo la cadena de suministros puede ser violada para implan-tar de forma rápida malware en una región específica.
Volver al Índice
Métodos de ataque a la cadena de suministros de actualización de software
Afectar directamente al proveedor de software
Secuestro de DNS, dominios, ruteo IP o
tráfico de red
Secuestro de servicios de
hosting de terceros
En el caso de Petya/NotPetya (Ransom.Petya), un software de contabilidad ucraniano fue violado para distribuir la carga útil. Por lo tanto, no nos sorprende que más del 96% de las empresas que realizaron la descarga de la actualización malintencionada estaban ubicadas en Ucrania. Esta cifra incluye apenas organi-zaciones que fueron infectadas directamente por la descarga del software infectado; no considera a las empresas que fueron pos-teriormente infectadas a través del exploit EternalBlue o debido al uso de credenciales robadas.
Si bien los grupos de ataques no pueden controlar totalmente quien es infectado en un ataque a la cadena de suministros de actualización de software, también pueden usar el malware de la primera fase para analizar la víctima y, enseguida, implantar solamente la carga de segunda fase para las víctimas de interés. Este fue el caso durante el incidente de CCleaner.
Los ataques a la cadena de suministros bien orquestados son difíciles de detectar para el usuario común. La actualización con troyano se descarga de un dominio legítimo y seguro que puede
hasta haber sido puesto en la whitelist de la organización de la víctima. Así mismo, la descarga inicia a partir de una aplicación segura que posee el permiso necesario para realizar conexiones de red y ejecutar binarios descargados. En algunos casos, incluso el binario descargado posee un certificado digital válido. Particu-larmente, eso puede tornar difícil la interrupción de los tipos de ataques.
“El camino de ataque más directo es cuando un grupo de ataque logra afectar al proveedor de un paquete de software directamente.”
ISTR Marzo 2018Página 45Infectar la Cadena de Suministros de Software
Volver al Índice
Afectar directamente al proveedor de software
El camino de ataque más directo es cuando un grupo de ataque logra afectar al proveedor de un paquete de software directamen-te. Este método fue utilizado con gran eficacia en la campaña de ataque Petya/NotPetya en junio de 2017.
En un escenario de compromiso directo, el grupo de ataque altera el paquete de actualización con una versión malintencio-nada modificada. La manera más fácil de lograrlo es infectar el servidor web donde están alojados los paquetes de actualización, por ejemplo, a través de una vulnerabilidad en la herramienta de gestión de contenido. El grupo de ataque logra éxito absoluto si consigue el acceso total al entorno de desarrollo. Esto se puede lograr a través de un ataque exitoso de spear phishing contra un desarrollador, o mediante el uso de cualquier vector común, como sitios web infectados o robo de credenciales.
De acuerdo con el acceso obtenido, el grupo de ataque también puede adquirir certificados digitales, permitiendo que se suscri-ban con el código de la actualización con un troyano. Eso produce una actualización malintencionada con una suscripción digital legítima y segura que no puede ser distinguida por el usuario. Es evidente que los grupos de ataques con un acceso tan profundo también pueden modificar cualquier información publicada en el sitio web de descarga, como el tamaño del archivo, el número de la versión o el valor de hash de la actualización modificada. Por lo tanto, esos atributos no son la garantía de una actualización legítima.
Generalmente, ese tipo de ataque es el más difícil de ser condu-cido, sin embargo también el más difícil de ser detectado por el usuario. Por ese motivo, es altamente eficaz.
Secuestro de DNS, dominios, ruteo IP o tráfico de red
Algunas veces, incluso la víctima de la cadena de suministros es atacado indirectamente - un ataque de la cadena de suministros contra la propia cadena de suministros, por así decirlo. En el actual mundo interconectado de TI existen muchas interdepen-dencias entre empresas que pueden ser utilizadas de manera indebida. Por ejemplo, los grupos de ataques pueden intentar atacar al registrador de dominios para alterar los servidores de nombres registrados de un determinado dominio o incluso transferir por completo el dominio. Otro método implica invadir un servidor DNS para alterar la resolución del dominio hacia una dirección IP diferente bajo el control del grupo de ataque. Ambos ataques redireccionarán a los visitantes del dominio al servidor del grupo de ataque. Ya hemos observado la presencia de la pla-taforma online de un banco ser completamente tomada de esta forma. Si bien, en ese caso, el objetivo principal parece haber sido redireccionar a los visitantes hacia sitios web de phishing, es una técnica que podría ser fácilmente utilizada para enviar actualiza-ciones con troyanos.
A veces, ninguna actividad de hackeo está involucrada, si el ataque se produce en el momento oportuno. De manera sorpren-dente, no es difícil que las organizaciones se olviden de renovar los dominios que adquirieron hace algún tiempo para diversos usos, como por ejemplo promociones por un período limitado. Un grupo de ataque entonces puede registrar uno de esos dominios y potencialmente utilizarlo para controlar todos los datos retor-nados a los visitantes del dominio. Existen cientos de casos de subdominios secuestrados de grandes empresas que apuntaban hacia dominios caducados.
Border Gateway Protocol (BGP) administra como se rutean los paquetes en Internet y, por lo tanto, es responsable de definir el camino por el cual un recurso, como una dirección IP, puede ser alcanzada. A través de la modificación del ruteo de BGP, se puede redireccionar direcciones IP que pertenecen a otras entidades hacia un nuevo destino. Un caso de secuestro de BGP en diciem-bre de 2017 produjo que algunas direcciones IP que pertenecen a Microsoft y Apple, entre otros, fuesen redireccionados por Rusia. Eso permite que los grupos de ataques intercepten solicitudes de actualizaciones de esas direcciones IP y, a su vez, envíen una actualización con un troyano. Por supuesto, no siempre es tan fácil. Por ejemplo, se necesita suscribir a las actualizaciones de Windows para que se ejecuten por Microsoft, pero, como vimos en el pasado con la amenaza Flamer, pueden haber vulnerabilida-des que permitan que los grupos de ataques eviten esa medida de seguridad.
Si el grupo de ataque tiene el control sobre una red establecida como blanco, tal vez porque creó un punto falso de acceso WiFi o porque tienen acceso al ISP usado por la víctima, pueden buscar la alteración de cualquier actualización solicitada de archivo a través del uso de un ataque man-in-the-middle (MitM). En septiembre de 2017, algunas variantes del malware FinFisher parecen haber usado ese vector de ataque para afectar a las computadoras de sus víctimas.
Secuestro de servicios de alojamiento de terceros
No todos los proveedores alojan software en su propia infraes-tructura. Algunos utilizan almacenamiento en la nube distribuido alrededor del mundo, y otros, especialmente los proyectos de código abierto, generalmente están alojados en proveedores de servicios como GitHub. Los grupos de ataques pueden realizar al-teraciones sutiles en el código fuente que pueden ser explotados en campañas futuras. En muchos proyectos, esas modificaciones son revisadas y pueden ser identificadas. Un método más común es robar las credenciales de alguien que posea autorización para cargar nuevos binarios. Por lo tanto, no nos sorprende ver muchos ataques de phishing contra cuentas de desarrolladores, lo que puede facilitar futuros ataques a la cadena de suministros de actualización de software.
Ataques a la Cadena de Suministros
Software de seguridad de Corea del Sur utilizado para instalar malware
Grupo de ataque secuestra por completo DNS de banco brasileño
Barra de herramientas Ask Network utilizada para instalar malware
Herramienta de actualización de Ask Partner Network utilizada para instalar malware
SEP
OCT
NOV
DIC
2016
• Versión con troyano de Yeecall Pro para Android usada como RAT• Campaña Kingslayer secuestra actualizaciones de software del
administrador de sistemasFEB
Software ePrica Pharmacy instala un troyano backdoorJUL
Instalador de Adobe Reader incorpora malwareMAR
• Herramienta CCleaner inyectada con malware• Backdoor encontrado en el servidor de gestión del software
NetSarang softwareAGO
• Herramienta de vídeo HandBrake utilizada para instalar malware• Operación WilySupply afecta a las actualizaciones de herramientas
de ediciónMAY
• Módulos Python modificados encontrados en el repositorio oficial• Malware “ExpensiveWall” encontrado en Android SDKSEP
Cartera Bitcoin Gold sustituida por malwareNOV
Herramienta de actualización del M.E.Doc utilizada para distribuir Petya/NotPetyaJUN
Elmedia Player para Mac OS X incorpora malwareOCT
Plugins de WordPress utilizados para instalar backdoorsDIC
2017
Actualización del EvLog afectada con malware
Herramienta de procesador de texto japonés utilizada para instalar malware
XcodeGhost: Malware encontrado en el entorno de desarrollo de Apple
Backdoor encontrado en el firewall de Juniper Networks
ABR
MAY
JUN
DIC
2015
ISTR Marzo 2018Página 47Infectar la Cadena de Suministros de Software
Volver al Índice
Otros métodos de ataque a la cadena de suministros
Existen otros métodos de ataque a la cadena de suministros de software que no implantan un backdoor en una actualización de software, pero utilizan de forma indebida la conexión y las rela-ciones entre las compañías. A continuación, ejemplos de cómo la cadena de suministros puede ser explotada más allá del secues-tro de actualizaciones.
Uso indebido de cuentas
Esos ataques usan de forma indebida el permiso de acceso de proveedores de servicios. Si bien son llamados, de manera fre-cuente, ataques de la cadena de suministros, presentan algunas diferencias. Uno de los casos más discutidos es un ataque repor-tado contra Target™ en 2013 que ocasionó una gran violación de datos. Los responsables del ataque supuestamente lograron usar de forma indebida las credenciales robadas de un proveedor de sistemas AVAC para obtener el acceso inicial a la red de la víctima. Se produjeron innumerables incidentes similares en los cuales los invasores robaron las credenciales de VPN y SSH de los funciona-rios de prestadores de servicios que tenían el acceso remoto a las computadoras de interés en las organizaciones establecidas como objetivos finales. Hubo incluso casos en los que un proveedor de correo electrónico de redefinición de contraseña fue afectado para asumir el control de las cuentas. El control del servicio de rede-finición permitió que el responsable del ataque definiese nuevas contraseñas para cualquier cuenta, sin exigir acceso a la misma.
“No es necesario afectar al proveedor del software si es el propietario del software. ”
Ataques de Watering hole
Los ataques a la cadena de suministros de actualización de software son diferentes de los ataques clásicos de watering hole, en los que un grupo de ataque afecta a una página web de interés al grupo de víctimas e implanta un exploit que afectará a las computadoras de las víctimas. Esos ataques de watering hole, que generalmente se observan durante los ataques dirigidos, intentan explotar una vulne-rabilidad en lugar de secuestrar el proceso de actualización segura.
Ataques de Proceso
Una alternativa de ataque similar también existe para los ataques disruptivos y los ataques de hardware. Los responsables del ata-que pueden bloquear a los proveedores de suministrar las piezas adecuadas para líneas de producción en el tiempo correcto, o peor, alterar el orden de algunas piezas, ocasionando la interrup-ción del proceso de producción. También existe la posibilidad de que el hardware recién comprado fue infectado o manipulado por
el grupo de ataque, antes de llegar al destino establecido como objetivo. También observamos grupos de ataque que robaron da-tos de clientes de un proveedor, porque era más fácil afectarlo en lugar del objetivo principal. Para las grandes empresas, es difícil controlar muchas veces lo que sucede con los datos confidencia-les luego que abandonan su propia red.
Aplicaciones deliberadamente malintencionadas
Incluso hubo algunos ataques en los que, en vez de afectar al proveedor de software, el responsable del ataque simplemente compró los derechos del paquete de software y envió una actua-lización malintencionada a la base existente de usuarios. No es necesario afectar al proveedor del software si es el propietario del software. En otros casos, un insider malintencionado o un ex-funcionario que aún tenía el acceso alteró de forma deliberada la actualización de software.
Un escenario similar ocurre cuando se envían enlaces en correos electrónicos de spam que llevan a falsas páginas web con paque-tes de software clonados.
Del mismo modo, los ataques oportunistas pueden ocurrir si un usuario consulta una herramienta, por ejemplo, para edición de vídeo, pero es dirigido a una página web falsa que ofrece una versión infectada. Tales casos pueden detectarse por medidas de protección bastante conocidas y el software solamente debe descargarse de fuentes seguras. La misma medida debe aplicarse al comprar equipos de hardware.
Infecciones colaterales
Naturalmente, también existen infecciones por daños colaterales que pueden producirse en un proveedor de software. Por ejemplo, es posible que la computadora de un desarrollador sea infectado por un archivo con malware que infecta el paquete de software pú-blico antes de la distribución. Otro ejemplo son los pendrives que se infectan en el local de fabricación, porque una de las máquinas estaba infectada con un gusano que se copió a todos los pendri-ves conectados. Esas infecciones también pueden propagarse de forma rápida, pero generalmente no son intencionales ni dirigidas.
Estudios de casoCCleaner
En agosto de 2017, una herramienta popular de limpieza de datos de sistemas, llamada CCleaner, fue víctima de grupos de ataques a la cadena de suministros. Un grupo desconocido de ataque obtuvo el acceso al entorno de desarrollo de la empresa, lo que les permitió crear y distribuir una versión malintencionada de la herramienta durante el proceso de actualización. El éxito de la campaña fue auxiliado por el hecho de que los responsables del ataque lograron suscribir la actualización con un troyano con la firma digital oficial del fabricante.
ISTR Marzo 2018Página 48Infectar la Cadena de Suministros de Software
Volver al Índice
Entre el 15 de agosto y el 12 de septiembre, la versión infectada, CCleaner v5.33.6162, y la versión de la nube fueron distribuidas a los clientes. Según datos de Avast, la versión modificada fue descargada 2,27 millones de veces. Nuestra telemetría muestra que la mayoría de las descargas se produjo en EE.UU., seguida por Alemania.
Infecciones de CCleaner por país Estados Unidos fue la principal víctima, en segundo lugar Alemania
Ese backdoor de primera fase, detectado como Trojan.Sibakdi, es una herramienta típica de reconocimiento y recopilación de información del sistema, como el nombre de la computadora, los paquetes de softwares instalados, la lista de procesos en ejecu-ción y otra información, y las envia de vuelta al atacante con una solicitud HTTPS POST.
El malware utiliza trucos clásicos para evitar la detección automa-tizada. Por ejemplo, el malware intenta conectar a una dirección IP multicast local y utiliza un tiempo límite definido como 601 segun-dos. Por consiguiente, el malware queda en reposo por 10 minutos en un intento de evitar la detección automatizada de sandbox.
La información recopilada de la primera carga útil entonces es utilizada para restringir la lista de víctimas interesantes a algunas empresas de tecnología. Esas computadoras afectadas recibieron una segunda carga útil (Trojan.Famberp). El análisis de los archi-vos de log en el servidor de comando y control (C&C) reveló que aproximadamente 20 víctimas seleccionadas en todo el mundo recibieron una segunda carga útil entregada por el backdoor descartado.
El grupo de ataque utilizó de forma indebida DLLs de versiones anteriores del software y las modificó con códigos malintencio-nados. En sistemas de 32 bits, VirtCDRDrv32.dll, que formaba parte de una versión más antigua de WinZip, y en sistemas de 64 bits, EFACli64.dll, que formaba parte de un paquete más antiguo de Symantec Endpoint Protection, era usado como modelo. Esas DLLs fueron modificadas, recibieron troyanos y no fueron más firmadas digitalmente. El código malintencionado simplemente fue inyectado en las mismas.
Petya/NotPetya y M.E.doc
En junio de 2017, el troyano de eliminación de datos Petya/NotPetya se propagó de forma rápida y afectó a miles de compu-tadoras. El análisis mostró que M.E.Doc, un paquete de software de contabilidad e impuestos, fue utilizado para la introducción inicial de Petya/NotPetya en las redes corporativas. Tras estable-cer una posición inicial, Petya/NotPetya utilizó varios métodos para propagarse por las redes corporativas.
El análisis en el local indica que los responsables del ataque utilizaron credenciales robadas para alterar la configuración del servidor web del M.E.doc. Eso permitió que los invasores redirec-cionasen cualquier solicitud al servidor de actualización hacia un servidor malintencionado bajo su control. El análisis también mos-tró que el proceso de actualización ya había sido afectado en abril de 2017. Hasta junio, se enviaron por lo menos tres actualizacio-nes malintencionadas. A continuación, el backdoor accionaba de forma periódica el mismo servidor de actualización para cualquier comando adicional a ser ejecutado y retornaba alguna informa-ción del sistema dentro de un cookie HTTP, incluyendo configura-ciones de proxy local con contraseñas, para evitar la detección.
Este mecanismo de backdoor fue finalmente utilizado para des-cargar y ejecutar el malware de eliminación de datos de Petya/NotPetya.
ConclusiónCon el aumento de los ataques a la cadena de suministros en 2017 y el éxito de varias campañas, es posible que los grupos de ataques continúen usando ese método de ataque. Ya en 2018, vimos algunos ataques en los que se utilizó ese método: uno diri-gido a un software de foro y otro dirigido a los usuarios Mac.
SI bien es difícil protegerse contra los ataques a la cadena de suministros, se pueden seguir algunos pasos, inclusive la prueba previa de nuevas actualizaciones, aparentemente legítimas, en pequeños entornos de prueba o sandboxes, para detectar cualquier comportamiento sospechoso. Sin embargo, los grupos de ataques pueden aplicar trucos demasiado conocidos para retrasar el comportamiento malintencionado, para no atraer la atención durante ese tipo de análisis.
El monitoreo de comportamiento de todas las actividades en un sistema también puede ayudar a identificar normas indeseadas y permitir que bloquee una aplicación sospechosa antes que ocasione algún daño. Esto es posible porque el comportamiento de una actualización malicioso será diferente de lo esperado en un software auténtico.
Para finalizar, los responsables de los paquetes de software deben garantizar que sean capaces de detectar alteraciones indeseadas en el proceso de actualización de software y en su página web.
Escenario de Amenazas Contra Dispositivos Móviles
ISTR Marzo 2018Página 50Escenario de Amenazas Contra Dispositivos Móviles
Volver al Índice
Cada año continúan creciendo las amenazas en el segmento de dispositivos móviles. En 2017, hubo un aumento de 54% en la cifra de nuevas variantes de malware y no es apenas el volumen que presenta crecimiento. Los grupos de ataques desarrollaron nuevos métodos de infección y trucos para permanecer en los dispositivos afectados por el mayor tiempo posible. También establecen una variedad de formas para generar ingresos con los dispositivos, desde ransomware a la minería de criptomonedas.
Sin embargo, mientras los ataques continúan evolucionando y perfeccionándose, no siempre se puede decir lo mismo acerca de los usuarios de los dispositivos. Muchos usuarios continúan facilitando la actividad de los grupos de ataques al utilizar siste-mas operativos más antiguos. Especialmente, apenas 20% de los dispositivos Android ejecuta la versión principal más reciente.
Las amenazas a los dispositivos móviles continúan aumentando La cantidad de nuevas variantes de malware para dispositivos móviles creció un 54% en 2017, en comparación con 2016.
Variantes de malware para dispositivos móviles por añoLa cantidad de nuevas variantes de malware para dispositivos móviles creció 54% en 2017, en comparación con 2016.
2016 2017 Variación
Variantes de Malware para Dispositivos Móviles
17.214 26.579 54%
Cifra de instancias de malware bloqueadas por día en dispositivos móvilesUn promedio de 23.795 aplicaciones malintencionadas para dispositivos móviles bloqueadas por día.
2016 2017
Total de Instancias Bloqueadas de Malware para Dispositivos Móviles
7.193.927 8.684.993
Promedio por Día 19.709 23.795
Cifra promedio de instancias de ransomware bloqueadas por mesUn promedio de 3.510 instancias de ransomware para dispositivos móviles fueron bloqueadas por mes en 2017.
2017
Instancias de Ransomware Bloqueadas para Dispositivos Móviles
42.118
Promedio Mensual 3.510
Cifra de nuevas familias de malware móviles identificadasLa cifra de nuevas familias de malware para dispositivos móviles creció 12% en 2017, en comparación con 2016.
2016 2017 Variación
Nuevas Familias de Malware para Dispositivos Móviles
361 405 12%
“Muchos usuarios continúan facilitando la actividad de los grupos de ataques al utilizar sistemas operativos más antiguos. Especialmente, apenas 20% de los dispositivos Android ejecuta la versión principal más reciente.”
Las 10 principales categorías de aplicaciones para malwareEn 2017, 27% de las aplicaciones malintencionadas fueron encontradas en la categoría Estilo de Vida, seguidas por Música y Audio, con 20%.
Categoría % Malware
Estilo de Vida 27%
Música y Audio 20%
Libros y Referencia 10%
Entretenimiento 6%
Herramientas 6%
Casa 5%
Educación 4%
Arte y Diseño 4%
Fotografía 3%
Juegos Informales 2%
2017 Eventos relevantes en el escenario de amenazas contra dispositivos móviles
{ Ransomware adoptó las tácticas de ingeniería social de malware bancario para contornear el nuevo modelo de permisos introducido en Android Marshmallow (6.0).
{ Familia MobileSpy de amenazas utilizó herramientas reactivas para conectarse a eventos, como SMS de textos recibidos, para disparar otras acciones y comandos de forma remota.
{ Amplia disponibilidad de kits de herramientas de malware para dispositivos móviles ayuda a automatizar la creación de nuevas variantes de aplicaciones móviles malintencionadas en grandes volúmenes.
{ La familia Rootnik comienza a utilizar el mecanismo de código abierto VirtualApp para crear un espacio virtual dentro del dispositivo Android que se usa para instalar y ejecutar APKs sin restricciones.
{ Variantes de malware bancario encontradas usando la API de StackTraceElements para derivar claves de descodificación en tiempo de ejecución.
{ La variante Android.Fakeapp robó credenciales de proveedores agregados de servicios online, ocultando las pistas al lanzar aplicaciones legítimas con el uso de deep-linking URIs para aplicaciones móviles.
{ Ransomware utilizó el reconocimiento de voz, forzando a las víctimas a decir el código de desbloqueo en lugar de digitar la clave.
{ Ransomware utilizó aplicaciones integradas de mensajería social con SDKs de pago para facilitar pagos con código de barras.
{ Aumento de los troyanos de facturación WAP originan las próxima estafas de sucripción de servicio premium al visitar de forma oculta páginas de suscripción de servicios WAP y automatizar el proceso de suscripción, inscribiendo a la víctima en los servicios pagos sin su consentimiento.
{ Los dispositivos infectados por Adclicker fueron transformados en bots de negación de servicio distribuida (DDoS), dirigidos a visitar de forma repetida específicas URLs.
{ Aumento de la cifra de falsas aplicaciones móviles con minadores integrados de criptomonedas, basados en JavaScript.
ENE FEB
MAR ABR
JUL AGO
SEP OCT
NOV
ISTR Marzo 2018Página 52Escenario de Amenazas Contra Dispositivos Móviles
Volver al Índice
Particularmente, con 99,9%, la gran mayoría de las instancias descubiertas de malware para dispositivos móviles estaban aloja-das en tiendas de aplicaciones de terceros.
Grayware está compuesto por programas que no contienen malware y no son directamente malintencionados, pero pueden ser irritantes o perjudiciales para los usuarios. Ejemplos incluyen herramientas de hackeo, accessware, spyware, adware, disca-dores y programas de bromas. Así como el malware, grayware también continuó aumentando en volumen en 2017.
Cifra de variantes identificadas de grayware para dispositivos móviles
2016 2017 Variación
Nuevas Variantes de Grayware para Dispositivos Móviles
3.055 3.655 20%
Cifra de familias identificadas de grayware para dispositivos móvilesLa cifra de nuevas familias de grayware para dispositivos móviles creció 5%, de 188 en 2016 para 198 en 2017.
2016 2017 Variación
Nuevas Familias de Grayware para Dispositivos Móviles
188 198 5%
Porcentaje de aplicaciones que filtra información confidencialSi bien no es considerado malintencionado, el grayware presenta posibles problemas de privacidad para los usuarios. Identificamos que 63% de las aplicaciones grayware en 2017 filtraron el número de teléfono y 37% revelaron la ubicación física del teléfono.
Clase de información filtrada Porcentaje
Número de Teléfono 63%
Información de ubicación 37%
Información de aplicaciones instaladas 35%
Criptomonedas y nuevos vectores adicionales para monetizaciónEl objetivo de la gran mayoría de las instancias de malware para dispositivos móviles es la generación de ingresos. Los métodos tradicionales de generación de ingresos incluyeron los ataques por SMS de tarifa premium, donde los grupos de ataques utilizan dispositivos móviles de las víctimas para enviar mensajes de texto pagos y recopilar el ingreso, o adware, donde los responsables del ataque recopilan ingresos de impresiones de anuncios y descar-gas de aplicaciones, al forzar al usuario a visualizar páginas web
o descargar el contenido. Infostealers permitieron a los grupos de ataques recopilar datos personales de teléfonos móviles que podrían negociarse en mercados clandestinos.
En los últimos años, los grupos de ataques recurrieron al ran-somware en celulares, donde los lucros se obtienen al bloquear dispositivos o cifrar los datos personales y extorsionar un pago de rescate de la víctima para permitir que recuperen el acceso. En 2017, surgieron varias aplicaciones móviles que permitían que los grupos de ataques generasen su propio ransomware de manera automatizada, disminuyendo la barrera de entrada para los ciberdelincuentes. Otra innovación fue el uso de ransomware activado por voz. En lugar de establecer la clave del usuario en un código de desbloqueo, este ransomware contiene un módulo de reconocimiento de voz que permite que la víctima diga el código de desbloqueo. Los métodos de pago también han evolucionado, con algunas variantes de ransomware que aceptan el pago de códigos de barras de aplicaciones de media social.
“Particularmente, con 99,9%, la gran mayoría de las instancias descubiertas de malware para dispositivos móviles estaban alojadas en tiendas de aplicaciones de terceros.”
Los dispositivos móviles también no quedaron inmunes a la explosión de la minería de criptomonedas en 2017. A pesar de que la minería de Bitcoin no sea lucrativa en dispositivos móviles, Monero ofrece un medio alternativo y más liviano de minería de monedas. Identificamos una serie de aplicaciones falsas en 2017 con recursos para la minería de Monero.
Comportamiento del usuario y perfil de seguridadMantenerse actualizado
El análisis de los dispositivos móviles Android que están en la versión principal más reciente, por ejemplo, 7.x u 8.x para 2017, revela que 20% de los dispositivos están en la versión principal más reciente, y apenas 2,3% están en la última versión incremen-tal. Si bien apenas 1 de cada 5 dispositivos móviles Android se mantiene actualizado con la versión principal más reciente, esto es un aumento si comparamos con el 15% (1 de cada 7) en 2016. No obstante, es un desfase difícil de combatir ya que muchos dis-positivos más antiguos nunca serán demasiado poderosos para ejecutar la versión más reciente y, actualmente, 80% de los dis-positivos Android no ejecutan la versión principal más reciente.
ISTR Marzo 2018Página 53Escenario de Amenazas Contra Dispositivos Móviles
Volver al Índice
21%31%
38% 44%
+1 +2 +3 +4
Exposición acumulativa a las amenazas de red
MesesPorcentaje de dispositivos móviles Android que ejecutan la versión más reciente del sistema operativo
2016 2017
Dispositivos Android en la versión principal más reciente
15,0% 20,0%
Dispositivos Android en la versión incremental más reciente
11,8% 2,3%
El escenario es un poco diferente para iOS™, ya que observamos aproximadamente 77,3% de los dispositivos iOS que utilizan la versión principal más reciente y 26,5% que utilizan la última versión incremental. Las actualizaciones de iOS se lanzan con mucho más rapidez, porque no dependen de una operadora que ponga a disposición las actualizaciones para sus dispositivos en sus redes, generalmente con alteraciones personalizadas necesarias antes de realizarla. Curiosamente, si bien esta cifra es mayor en iOS que en Android, la cifra está en descenso desde 2016, cuando 79,4% de los dispositivos iOS aplicaron el parche de actualización hacia la versión más reciente, y 24% utilizaban la última versión incremental.
Porcentaje de dispositivos móviles iOS que ejecutan la versión más reciente del sistema operativo
2016 2017
Dispositivos iOS en la versión principal más reciente
79,4% 77,3%
Dispositivos iOS en la versión incremental más reciente
24,0% 26,5%
Exposición acumulativa a las amenazas de red a lo largo
del tiempo
Analizamos la escala da amenaza potencial de los dispositivos ex-puestos a redes inseguras durante un largo período. Como puede ser visto, el efecto se torna acumulativo durante un período más largo. Por ejemplo, normalmente, 21,2% de los nuevos disposi-tivos fueron expuestos a las amenazas de red en el primer mes de uso. Esta cifra sube para 43,7% después de cuatro meses. En ese modelo, una amenaza de red puede ser algo como un ataque malintencionado man-in-the-middle (MitM).
ISTR Marzo 2018Página 54Escenario de Amenazas Contra Dispositivos Móviles
Volver al Índice
Un ataque de este tipo puede utilizarse para interceptar y desco-dificar el tráfico SSL o para manipular el contenido en tránsito de o hacia un dispositivo. Algunas veces, eso puede estar relaciona-do a un ruteador mal configurado que puede exponer determina-dos datos. Más allá de la intención, los individuos y las organiza-ciones deben evitar cualquier red que no ejecute con precisión y seguridad los servicios de conexión originalmente solicitados por el usuario y por el dispositivo.
Dispositivos con acceso root y desbloqueados
El acto de liberar el acceso “root” de un dispositivo Android, o “desbloquear” un dispositivo iOS, es un medio por el cual el usua-rio puede obtener mayor control sobre el dispositivo e ignorar determinados controles de seguridad, al permitir el acceso a más opciones de personalización y funciones bloqueadas por modelo estándar por el sistema operativo. Esa actividad presentó dismi-nución en los últimos años, porque las versiones más recientes de los sistemas operativos ahora ofrecen más funcionalidades. Sin embargo, debido al poder que ese acto puede ofrecer a un grupo de ataque, desbloquear o liberar el acceso “root” en un dispositi-vo afectado todavía es una meta, y el monitoreo de tal actividad generalmente puede revelar una señal de compromiso.
Relación de dispositivos desbloqueados o con acceso “root” liberado, por año y por sistema operativo
2016 2017
iOS Android iOS Android
Corporativo1 de cada
10.8391 de cada
2541 de cada
14.3511 de cada
1.589
Individuo o Consumidor
1 de cada 694
1 de cada 92
1 de cada 1.658
1 de cada 281
Así mismo, en 2017, 1 de cada 107 dispositivos fueron identifica-dos como de alto riesgo, incluyendo los dispositivos con acceso root o desbloqueados y dispositivos que seguramente poseen aplicaciones instaladas de malware, en comparación con 1 de cada 65 en 2016.
Porcentaje de dispositivos con protección de contraseña activada por el sistema operativoEn 2017, aproximadamente 1 de cada 20 dispositivos corporativos no estaba protegido por una contraseña, y ese número aumenta a 1 de cada 10 para dispositivos de consumidores.
2016 2017
Corporativo 84,1% 95,2%
Individuo o Consumidor 70,0% 90,5%
“Más allá de la intención, los individuos y las organizaciones deben evitar cualquier red que no ejecute con precisión y seguridad los servicios de conexión originalmente solicitados por el usuario y por el dispositivo.”
Porcentaje de dispositivos con cifrado activado por el sistema operativoEn relación al cifrado, podemos ver que la proporción de dispositivos Android no cifrados está en descenso, sin embargo aún está en un nivel considerado alto.
Apenas Android 2016 2017
Corporativo 57,8% 43,1%
Individuo o Consumidor 57,7% 45,5%
En los últimos años, el iOS proporciona cifrado por modelo es-tándar así como Android. No obstante, aún es un riesgo potencial para las versiones más antiguas de los sistemas operativos, si se encuentran en uso y permanecen sin cifrado. El cifrado es esencial para garantizar que los datos de un dispositivo no se expongan en caso de robo o pérdida.
Recomendaciones
Como el comportamiento del usuario es un factor muy impor-tante en la seguridad de dispositivos móviles, la educación del usuario es una de las cosas más importantes que una organi-zación puede hacer para reducir la amenaza representada por los dispositivos móviles. Los usuarios deben saber que pueden instalar apenas aplicaciones de las principales tiendas de aplica-ciones y no hacer clic en enlaces no seguros o aprobar permisos y accesos de dispositivos sin un buen motivo.
Sección
03Hechos
yCifras
Hechos y CifrasMalware
Amenazas Web
Correo Electrónico
Vulnerabilidades
Ataques Dirigidos
Amenazas Contra Dispositivos Móviles
Internet de las Cosas
Fraude y la Economía Clandestina
03
HECHOS Y CIFRASÍNDICE
ISTR Marzo 2018Página 57Hechos y Cifras03
Volver al Índice
Nuevas variantes de malware por mesEl inicio de 2017 estuvo dominado por varias nuevas variantes relacionadas al troyano Kotver.
Principales nuevas variantes de malware por mesLas variantes del troyano Kotver fueron responsables de la mayoría de las nuevas variantes de malware en 2017.
Malware
Principales Hallazgos
{ La minería de criptomonedas fue el área de principal crecimien-to en cibercrímenes en 2017, con incremento de las detecciones de antivirus de 8.500%.
{ Las infecciones por ransomware aumentaron 40% en 2017, impulsadas principalmente por WannaCry (Ransom.Wannacry).
{ El número de variantes de ransomware aumentó 46%, a pesar del surgimiento de pocas nuevas familias, lo que indica la inten-sificación de las actividades de los grupos establecidos.
{ Emotet (Trojan. Emotet), un nuevo jugador en el segmento de amenazas bancarias, resurgió a fines de 2017; las detecciones aumentaron 2.000% en el último trimestre.
{ Script y macro downloaders aumentaron 92%, porque conti-núan siendo agresivamente propagados, para instalar ranso-mware y amenazas bancarias.
{ Las variantes globales de malware aumentaron 88%; sin embar-go, esos números amplían debido a un único tipo de amenaza.
Nuevas variantes de malwareEl crecimiento en las variantes de malware se debió en gran parte al troyano Kotver (Trojan. Kotver), que representó 78% de las nuevas variantes en 2017.
Año Nuevas Variantes Variación Porcentual
2015 355.419.881 -
2016 357.019.453 0,5
2017 669.947.865 87,7
Nuevas variantes de malware en MacEl número de variantes de malware en dispositivos Mac estuvo dominado por las variantes de JS.Webcoinminer, que representaron 60% de esa cifra en 2017.
Año Nuevas Variantes Variación Porcentual
2016 772.018 -
2017 1.390.261 80,1
ISTR Marzo 2018Página 58Hechos y Cifras03
Volver al Índice
10 principales detecciones de malwareHeurísticas avanzadas de aprendizaje de máquina y JavaScript downloaders representan las 3 principales instancias en esta lista y suelen ser usadas para eliminar otras formas de códigos malintencionados, malware y ransomware.
Clasificación Malware Ataques Bloqueados Porcentaje
1 Heur.AdvML.C 23.335.068 27,5
2 Heur.AdvML.B 10.408.782 12,3
3 JS.Downloader 2.645.965 3,1
4 Hacktool.Kms 2.318.729 2,7
5 Packed.Dromedan!lnk 1.995.429 2,4
6 W97M.Downloader 1.763.143 2,1
7 Hacktool 1.615.555 1,9
8 ER.Heur!gen1 799.479 0,9
9 VBS.Downloader.B 772.080 0,9
10 Trojan.Mdropper 763.328 0,9
Las 10 principales detecciones de malware por mesLa lista de las 10 principales detecciones estuvo dominada por heurísticas avanzadas de aprendizaje de máquina utilizadas para detectar nuevas formas de malware genérico.
Detecciones de malware por mes En abril y mayo el aumento estuvo relacionado al crecimiento de descargadores y malware genéricos.
Detecciones de Descargadores El número de descargadores aumentó 91,7% en 2017.
Año Ataques Bloqueados
2015 399.386
2016 1.602.335
2017 3.072.126
Detecciones de descargadores de macros de Office® por mesW97M.Downloader - Se observó un gran aumento en abril y mayo, estabilizándose en niveles más altos que los anteriormente vistos.
ISTR Marzo 2018Página 59Hechos y Cifras03
Volver al Índice
Detecciones de descargador de JavaScript por mes JS.Downloader - Se observó un aumento significativo en agosto. La frecuencia de detecciones del JS.Downloader es mayor que para W97M.Downloader.
Detecciones de downloader VBScript por mesVBS.Downloader - Comenzó un aumento considerable en septiembre y continuó hasta octubre y en el resto del año, con un aumento en diciembre.
Distribución de malware por sistema operativoLos ataques de malware a Macs aumentaron 64% en 2017, impulsados por JS.Webcoinminer. Los ataques de malware a los dispositivos Windows aumentaron 2,5%.
Año Mac Windows
2015 1.824.685 300.966.231
2016 2.445.414 161.707.491
2017 4.011.252 165.638.707
Distribución de malware para Mac por mesHubo un aumento considerable en los ataques contra Macs que comenzaron a fines de 2016 y aceleraron en 2017.
Nuevas variantes de malware en endpoints del Mac por mesLos ataques a los Macs estuvieron dominados por el crecimiento de las variantes JS.Webcoinminer durante el último trimestre del año.
Principales nuevas variantes de malware en endpoints de Mac por mesLas variantes de JS.Webcoinminer en Mac aumentaron en septiembre y continuaron creciendo.
ISTR Marzo 2018Página 60Hechos y Cifras03
Volver al Índice
Principales instancias bloqueadas de malware en los endpoints de MacA pesar de que la actividad de JS.Webcoinminer haya sido significativa apenas durante el último trimestre del año, fue suficiente para garantizar el tercer lugar en el ranking anual de las 10 principales instancias.
Clasificación Malware Ataques Bloqueados Porcentaje
1 W97M.Downloader 268.497 6,7
2 Heur.AdvML.B 241.832 6,0
3 JS.Webcoinminer 184.944 4,6
4 OSX.Malcol.2 148.872 3,7
5 OSX.Malcol 145.886 3,6
6 JS.Downloader 130.854 3,3
7 Trojan.Mdropper 79.438 2,0
8 VBS.Downloader.B 82.216 2,0
9 JS.Downloader.D 61.149 1,5
10 W97M.Downloader.M 51.432 1,3
Principales instancias bloqueadas de malware en los endpoints de Mac por mesLas actividades de W97M.Downloader y de JS.Webcoinminer dominaron el escenario de amenazas de Mac en 2017.
Porcentaje de malware que utiliza SSLMalware con uso de SSL para cifrar sus comunicaciones aumentó de 2,8% a 4,5% en 2017.
Año Porcentaje
2016 2,8
2017 4,5
Ransomware
Nuevas variantes de ransomware El número de nuevas variantes de ransomware aumentó 45% en 2017
Año Nuevas Variantes
2016 241.021
2017 350.496
Detecciones de ransomware por añoEl número de ataques de ransomware bloqueados en 2017 creció 41%.
Año Ataques Bloqueados
2016 482.833
2017 678.497
Detecciones de ransomware - Corporativo x Consumidores59% de los ataques de ransomware fueron contra empresas en 2017. Eso ocurrió principalmente porque los ataques de WannaCry (Ransom.Wannacry) afectaron más a las empresas que a los consumidores.
Año Consumidores Corporativo
2017 281.325 396.764
ISTR Marzo 2018Página 61Hechos y Cifras03
Volver al Índice
Detecciones de ransomware por país
Normalmente, los eventos de ransomware han sido más dominantes en países con mayor número de personas conectadas a Internet.
Clasificación País Porcentaje
1 Estados Unidos 18,2
2 China 12,2
3 Japón 10,7
4 India 8,9
5 Italia 4,1
6 Alemania 3,4
7 Brasil 3,1
8 México 2,5
9 Reino Unido 2,3
10 Canadá 2,1
Detecciones de ransomware por país por mesLos ataques de ransomware contra Japón tuvieron un aumento entre mayo y junio, mientras que los ataques en China crecieron durante el mismo período, pero permanecieron más altos en el resto del año.
Detecciones de ransomware por mesTras el aumento en mayo, los ataques de ransomware continuaron creciendo en una cifra constante durante el resto del año.
Nuevas variantes de ransomware por mesLa tendencia general del número de variantes de ransomware descubiertas cada mes indica un aumento general a medida que el año prosiguió.
Detecciones de ransomware Corporativo x Consumidores - por mesSi bien los ataques de ransomware contra los consumidores dominaron el inicio de 2017, los ataques contra empresas dominaron tras el brote de WannaCry en mayo.
CorporativoConsumidores
ISTR Marzo 2018Página 62Hechos y Cifras03
Volver al Índice
Nuevas familias de ransomware Tras un año muy activo en 2016, el número de nuevas familias de ransomware regresó a los niveles anteriores.
Promedio de pedido de rescateEl valor promedio de una demanda de ransomware bajó a US$ 522 en 2017, tras un aumento de US$ 1.071 en 2016. En parte, esto puede ser afectado por la volatilidad en los valores de criptomonedas en el final de 2017. Las demandas de ransomware eran anunciadas con frecuencia en dólares, con pago solicitado en el valor equivalente en Bitcoin o Monero, por ejemplo.
Minadores de Criptomonedas
Nuevas variantes de minadores de criptomonedas JS.Webcoinminer produjo el mayor número de variantes de malware de minería de criptomonedas en esta lista, en el fin del año.
Detecciones de minadores de criptomonedas por mesAntes del brote que comenzó en septiembre, el impacto de malware de minería de criptomonedas no fue particularmente significativo, con decenas de miles de detecciones que aumentaron de forma rápida para cientos de miles y llegaron a 1,6 millones en diciembre.
ISTR Marzo 2018Página 63Hechos y Cifras03
Volver al Índice
Principales detecciones de minadores de criptomonedas por mes JS.Webcoinminer fue responsable del mayor número de detecciones de malware de minería de criptomonedas en 2017, principalmente después de septiembre.
Principales detecciones de minadores de criptomonedas JS.Webcoinminer fue el malware de minería de criptomonedas bloqueado con más frecuencia en 2017.
Clasificación Malware de minería de criptomonedas Porcentaje
1 JS.Webcoinminer 82,6
2 PUA.Bitcoinminer 6,9
3 Trojan.Coinbitminer 5,7
4 PUA.WASMcoinminer 4,6
5 PUA.Gyplyraminer 0,2
Principales detecciones de minadores de criptomonedas en Mac por mes JS.Webcoinminer también dominó las ocurrencias en la plataforma Mac después de septiembre.
Variantes de minadores de criptomonedas en Mac por mesEl rápido crecimiento en el número de variantes de JS.Webcoinminer también se observó en los dispositivos Mac, principalmente a fines del año.
Detecciones de minadores de criptomonedas Corporativo x Consumidores - por mesAtaques de malware de minería de criptomonedas en los dispositivos Mac fueron identificados con más frecuencia en hardware de consumidores, especialmente relacionado a JS.Webcoinminer.
Troyanos Financieros
Troyanos financieros por mesUna nueva variante de Emotet surgió en noviembre, con el uso de determinados recursos de la API del Windows que buscan evitar la detección y técnicas anti-sandbox.
ISTR Marzo 2018Página 64Hechos y Cifras03
Volver al Índice
Principales troyanos financieros por mesRamnit (W32.Ramnit) y Zbot (Trojan.Zbot) fueron las instancias más comunes de malware financiero en 2017.
Principales troyanos financierosA pesar de haber surgido apenas en noviembre, Emotet logró obtener el quinto lugar en la lista de los principales troyanos del año en 2017.
Clasificación Nombre de la Amenaza Porcentaje
1 Ramnit 53,0
2 Zbot 25,8
3 Cridex 4,6
4 Trickybot 4,3
5 Emotet 4,0
6 Shylock 2,1
7 Bebloh 1,7
8 Snifula 1,3
9 Pandex 1,2
10 Retefe 0,7
Amenazas Web
Principales Hallazgos
{ 1 de cada 13 URLs analizadas en el gateway fueron considera-das malintencionadas. En 2016 esa cifra fue 1 de cada 20.
{ Hubo un aumento de 62% en la actividad general de botnets identificada en el gateway.
{ Con el transcurso del año, los ataques web bloqueados en los endpoints presentaron tendencia de crecimiento, impulsados por las actividades de minería de criptomonedas.
{ Hubo un aumento de 448% en las actividades de kit de exploit bloqueadas en los endpoints.
Ataques web bloqueadosEso muestra el número total de ataques web bloqueados en 2017 y el número promedio correspondiente por día.
AñoTotal de Ataques Web
BloqueadosPromedio de Ataques Web
Bloqueados por Día
2017 223.066.372 611.141
Ataques web bloqueados por díaEn el fin del año, el número de ataques web bloqueados por día representaba más del doble del número a inicios del año.
ISTR Marzo 2018Página 65Hechos y Cifras03
Volver al Índice
Ataques Web bloqueados por mes El aumento de actividades malintencionadas se produjo en octubre, cuando se bloquearon más de 27,7 millones de ataques web.
Clasificación de los sitios web explotados con más frecuencia La clasificación “Malware” identifica páginas web conocidas por acoger malware y fue responsable de 15,9% de las instancias bloqueadas de malware en la web. La clasificación “Dinámico” se refiere a los dominios que utilizan servicios de DNS dinámicos y fueron responsables de 13,2% de las páginas web malintencionadas en 2017.
ClasificaciónCategorías de
Dominio2016 (%) 2017 (%)
Diferencia de Porcentaje
1 Malware 1,4 15,9 14,5
2 Dinámico < 0,1 13,2 13,2
3 Tecnología 20,7 11,5 -9,2
4 Negocios 11,3 7,5 -3,7
5 Alojamiento 7,2 6,9 -0,3
6Juegos de
azar2,8 6,7 3,9
7 Salud 5,7 4,8 -0,9
8 Compras 4,2 3,8 -0,3
9 Educativo 4,1 3,1 -1,0
10 Viajes 3,6 2,8 -0,8
Direcciones URLs analizadas por díaEl servicio de análisis de clasificación y reputación de URLs de Symantec WebPulse analizó 1.070 millones de direcciones URLs por día en 2017.
Año Total Variación Porcentual
2016 1.020.000.000 -
2017 1.076.000.000 5,5
* De un total de 6.000 millones de solicitudes de análisis web. El número usado para el análisis tiene origen en WebPulse URL Reputation Service y no incluye solicitudes de Symantec Web Security Service y de otras fuentes
Porcentaje de tráfico malintencionado en el tráfico webEn 2017, el número de direcciones URLs malintencionadas creció 2,8%, con 7,8% (1 de cada 13) de todas las direcciones URLs identificadas como malintencionadas.
Año TotalPorcentaje
del TotalRelación
Diferencia Porcentual
2016 50.675.406 5 1 de cada 20 -
2017 83.351.181 7,8 1 de cada 13 2,8
ISTR Marzo 2018Página 66Hechos y Cifras03
Volver al Índice
Porcentaje de tráfico de botnets en el tráfico webEl número de direcciones URLs que corresponde al tráfico relacionado a los bots, como los usados para comando y control, creció 62,3%, representando 14,7% (1 de cada 88) de todas las direcciones URLs malintencionadas en 2017.
Año Por díaPorcentaje de todas
las direcciones URLs/Día
RelaciónPorcentaje de URL Malintencionadas
RelaciónVariación
PorcentualDiferencia Porcentual
2016 7.567.271 0,7 1 de cada 135 14,9 1 de cada 7 - -
2017 12.281.279 1,1 1 de cada 88 14,7 1 de cada 7 62,3 -0,2
Porcentaje de tráfico URL de phishing en el tráfico web
El número de URLs relacionado a las actividades de phishing aumentó 182,6%, lo que representó 5,8% (1 de cada 224) de todas las URLs malintencionadas en 2017.
Año Por díaPorcentaje de todas
las direcciones URLs/Día
RelaciónPorcentaje de URL Malintencionadas
RelaciónVariación
PorcentualDiferencia Porcentual
2016 1.699.214 0,2 1 de cada 600 3,4 1 de cada 30 - -
2017 4.802.409 0,5 1 de cada 224 5,8 1 de cada 17 182,6 2,4
Amenazas de Correo ElectrónicoPrincipales Hallazgos
{ La desaparición de Necurs (Backdoor.Necurs) en el primer tri-mestre del año llevó a un descenso en el malware de correo elec-trónico de 1 de cada 131 en 2016 para 1 de cada 412 en 2017.
{ El botnet Necurs envió casi 15 millones de correos electrónicos malintencionados en 2017, de los cuales 82,5% fueron envia-dos en el segundo semestre del año.
{ Todos los meses son afectadas 7.710 organizaciones por una estafa BEC.
Malware de Correo Electrónico
Tasa General de Malware de Correo Electrónico En 2017, la tasa de instancias de malware transmitidas por correo electrónico bajó a 1 de cada 412 (0,2%), en relación a 1 de cada 131 (0,8%) en 2016.
Año 1 de cada
2015 220
2016 131
2017 412
Tasa de malware de URLEn 2017, la relación de instancias de malware transmitidas por correo electrónico que contenían una URL malintencionada, en vez de un adjunto, creció 10,7%, para 12,3%.
Año Porcentaje de Malware de Correo Electrónico
2016 2,8
2017 4,5
Tasa Mensual de Malware de Correo Electrónico Este gráfico muestra el descenso gradual en las instancias de malware transmitidas por correo electrónico en 2017.
ISTR Marzo 2018Página 67Hechos y Cifras03
Volver al Índice
Tasa Mensual de Malware de Correo Electrónico Este gráfico muestra la relación de instancias de malware transmitidas por correo electrónico que usan un enlace malintencionado en vez de un adjunto.
Correos electrónicos malintencionados por usuarioSi bien la tasa general ha disminuido levemente en 2017, el número de correos electrónicos malintencionados enviados al usuario común a cada mes aumentó de 9 en enero para 16 en el final del año.
Tasa de Malware de Correo Electrónico por Sector La mayor tasa de instancias de malware transmitidas por correo electrónico fue para organizaciones del sector de Administración Pública. Muchas organizaciones sufrieron potencialmente tasas mucho más altas que el promedio anual global.
Clasificación Sector 1 de cada
1 Administración Pública 120
2 Agricultura, Forestal y Pesca 211
3 Minería 273
4 Comercio Mayorista 364
5 Manufactura 384
6 Servicios 400
7 Establecimientos No Clasificables 437
8 Construcción 472
9 Transporte & Servicios Públicos 486
10 Comercio Minorista 489
11 Finanzas, Seguros y Mercado Inmobiliario 612
Tasa de Malware de URL por SectorEl malware destinado a las organizaciones en el sector de Construcción tuvo la mayor tasa de incidencia en enlaces en comparación con adjuntos, con 27,2% de malware con un enlace en vez de un adjunto.
Clasificación Sector
Porcentaje de Malware de Correo
Electrónico
1 Construcción 27,2
2 Agricultura, Forestal y Pesca 21,5
3 Comercio Minorista 19,4
4 Finanzas, Seguros y Mercado Inmobiliario 16,6
5 Minería 13,3
6 Administración Pública 11,6
7 Transporte & Servicios Públicos 11,5
8 Servicios 10,6
9 Manufactura 9,5
10 Establecimientos No Clasificables 9,5
11 Comercio Mayorista 9,1
ISTR Marzo 2018Página 68Hechos y Cifras03
Volver al Índice
Malware de correo electrónico por usuario por sectorEn 2017, se enviaron aproximadamente 53 virus de correo electrónico a un usuario común en el sector de la Administración Pública.
Clasificación Sector
Malware de correo
electrónico por usuario
1 Administración Pública 53,1
2 Comercio Mayorista 34,4
3 Minería 30,0
4 Agricultura, Forestal y Pesca 26,5
5 Manufactura 25,5
6 Establecimientos No Clasificables 21,8
7 Comercio Minorista 19,9
8 Construcción 18,1
9 Servicios 12,1
10 Finanzas, Seguros y Mercado Inmobiliario 9,1
11 Transporte & Servicios Públicos 8,7
Tasa de Malware de Correo Electrónico por Tamaño de EmpresaAlgunas de las menores tasas de malware de correo electrónico se produjeron en organizaciones en la categoría de grandes empresas (más de 2.500 funcionarios).
Tamaño de la Empresa 1 de cada
1-250 376
251-500 306
501-1000 425
1001-1500 244
1501-2500 355
2501+ 512
Tasa de malware de URL por tamaño de empresaLas grandes y pequeñas empresas fueron igualmente afectadas por la proporción de instancias de malware transmitidas por correo electrónico que contenían un enlace malintencionado.
Tamaño de la EmpresaPorcentaje de Malware de
Correo Electrónico
1-250 12,8
251-500 8,1
501-1000 15,0
1001-1500 11,4
1501-2500 10,9
2501+ 12,9
Malware de correo electrónico por usuario por tamaño de la empresaEl usuario común, tanto en grandes como en pequeñas empresas, fue víctima de un número similar de virus durante 2017 (10 y 9, respectivamente).
Tamaño de la Empresa 1 de cada
1-250 9
251-500 6
501-1000 5
1001-1500 3
1501-2500 4
2501+ 10
ISTR Marzo 2018Página 69Hechos y Cifras03
Volver al Índice
Tasa de malware de correo electrónico por paísAustria fue el país que presentó la mayor tasa de malware de correo electrónico en 2017, con 1 de cada 102 correos electrónicos recibidos en el país bloqueado como malintencionado.
Clasificación País 1 de cada
1 Austria 102
2 Hungría 108
3 Indonesia 140
4 Omán 156
5 Arabia Saudita 175
6 Antillas Holandesas 184
7 Malasia 216
8 Kuwait 217
9 África del Sur 233
10 Taiwán 234
Tasa de malware de URL por paísIrlanda, Australia y Nueva Zelandia tuvieron la mayor relación de enlaces malintencionados enviados por correo electrónico en 2017.
Clasificación PaísPorcentaje de Malware de
Correo Electrónico
1 Irlanda 32,4
2 Australia 26,7
3 Nueva Zelandia 26,3
4 Brasil 23,1
5 Noruega 18,0
6 Reino Unido 16,8
7 México 16,4
8 Suecia 16,1
9 Finlandia 11,5
10 Canadá 11,4
Principales temas malintencionados de correo electrónico Esta tabla muestra los temas más comunes utilizados en líneas de asunto de malware de correo electrónico.
Clasificación Tema del Asunto Porcentaje
1 Cuenta 15,9
2Falla de entrega de correo
electrónico15.3
3Autoridades Legales/
Jurídicas13,2
4 Documento Digitalizado 11,5
5 Entrega de Paquete 3,9
Palabras clave utilizadas en campañas de spam de malware Las palabras utilizadas con más frecuencia en correos electrónicos malintencionados incluyen, “delivery,” “mail,” “message,” y “sender.”
Clasificación Palabras Porcentaje
1 delivery (entrega) 12,1
2 mail 11,8
3 message (mensaje) 11,3
4 sender (remitente) 11,2
5 your (su) 11,2
6 returning (devolución) 7,6
7 failed: (falló:) 7,6
8 invoice (factura) 6,9
9 images (imágenes) 6,6
10 scanned (digitalizado) 6.5
ISTR Marzo 2018Página 70Hechos y Cifras03
Volver al Índice
Cargas útiles utilizadas en campañas de spam de malwareVisual Basic Script y JavaScript estuvieron entre los ejemplos más frecuentes de adjuntos malintencionados en 2017.
Clasificación Clase de Archivo Porcentaje
1 .vbs 27,7
2 .js 21,4
3 .exe 18,6
4 .jar 9,8
5 .docx, .doc, .dot 3,9
6 .html, htm 3,5
7 .wsf 3,4
8 .pdf 3,3
9 .xml 1,7
10 .rtf 1,5
Cargas útiles utilizadas en campañas de spam de malware por mesEste gráfico muestra el crecimiento de diferentes tipos de adjuntos de malware a lo largo del tiempo, además del aumento del uso de ataques basados en VBS en el segundo semestre de 2017.
Clases de cargas útiles utilizadas en campañas de spam de malwareLos scripts malintencionados fueron responsables de 61,4% de los adjuntos malintencionados. Generalmente, los ejecutables son más fáciles de bloquear y, por norma estándar, son desactivados para muchas aplicaciones de correo electrónico.
Clasificación Clase de Archivo Porcentaje
1 Scripts 61,4
2 Ejecutables 29,6
3 Otros 7,6
Phishing
Número promedio de empresas que fueron víctimas de estafas BECLas estafas BEC (Business Email Compromise) podrían haber afectado potencialmente a 7.700 organizaciones en 2017 si esos ataques no hubiesen sido bloqueados.
Año Promedio
2017 7.710
Correos electrónicos BEC recibidos por organizaciónCada una de esas organizaciones fue atacada en promedio 4,9 veces en 2017.
Año Promedio
2017 4,9
ISTR Marzo 2018Página 71Hechos y Cifras03
Volver al Índice
Principales líneas de asunto en correos electrónicos de scam BECxxxEl análisis de los correos electrónicos BEC muestra que las palabras que aparecen con más frecuencia incluyen “payment”, “urgent”, “request” , y “attention”.
Clasificación Asunto Porcentaje
1 payment (pago) 13,8
2 urgent (urgente) 9,1
3 request (solicitud) 6,7
4 attention (atención) 6,1
5 important (importante) 4,8
6 confidential (confidencial) 2,0
7immediate response
(respuesta inmediata)1,9
8 transfer (transferir) 1,8
9important update
(actualización importante)1,7
10 attn (atención) 1,5
Tasa General de Phishing El indicador de phishing disminuyó de 1 de cada 2.596 en 2016 para 1 de cada 2.995 en 2017.
Año Promedio
2015 1.846
2016 2.596
2017 2.995
Tasa Mensual de Phishing La tasa de phishing aumentó durante 2017, recuperándose de un rápido descenso en el inicio del año.
Usuarios de correo electrónico, víctimas de intentos de phishing por mes Con el transcurso del año, el número promedio de usuarios por ataque de phishing aumentó, tras un descenso en marzo. En enero, 1 de cada 53 usuarios recibió un ataque de phishing, en comparación con 1 de cada 33 en el final del año.
Tasa de Phishing por SectorMuchos sectores tuvieron tasas de phishing mucho más altas que el promedio global, con la tasa más alta para las organizaciones del sector de agricultura, forestal y pesca.
Clasificación Sector 1 de cada
1 Agricultura, Forestal y Pesca 2.212
2 Establecimientos No Clasificables 2.240
3 Administración Pública 2.418
4 Minería 2.453
5 Servicios 2.737
6 Finanzas, Seguros y Mercado Inmobiliario 3.013
7 Manufactura 3.998
8 Comercio Minorista 4.353
9 Comercio Mayorista 4.406
10 Construcción 4.667
11 Transporte & Servicios Públicos 5.567
ISTR Marzo 2018Página 72Hechos y Cifras03
Volver al Índice
Usuarios de correo electrónico, víctimas de intentos de phishing por sector Establecimientos No Clasificables, Minería y Comercio Mayorista tuvieron la mayor relación de usuarios por ataque de phishing en 2017.
Clasificación Sector 1 de cada
1 Establecimientos No Clasificables 24
2 Minería 30
3 Comercio Mayorista 35
4 Administración Pública 38
5 Agricultura, Forestal y Pesca 39
6 Manufactura 41
7 Comercio Minorista 45
8 Finanzas, Seguros y Mercado Inmobiliario 54
9 Construcción 55
10 Servicios 57
11 Transporte & Servicios Públicos 131
Tasa de Phishing por Tamaño de Empresa Para las organizaciones que pueden clasificarse por tamaño, la tasa de phishing parece ser mucho inferior al promedio global.
Tamaño de la Empresa 1 de cada
1-250 3.111
251-500 3.539
501-1000 3.844
1001-1500 7.173
1501-2500 3.854
2501+ 3.019
Usuarios de correo electrónico, víctimas de intentos de phishing por tamaño de empresa La relación de usuarios por ataque de phishing fue más alta en organizaciones con 501 a 1.000 y 1.500 a 2.500 empleados, donde 1 de cada 41 y 1 de cada 42 usuarios de correo electrónico fueron víctimas, respectivamente.
Tamaño de la Empresa 1 de cada
1-250 72
251-500 64
501-1000 41
1001-1500 75
1501-2500 42
2501+ 58
Tasa de phishing por paísLa tasa de phishing en África del Sur fue la más alta en el ranking mundial de 2017, donde 1 de cada 785 correos electrónicos fue un ataque de phishing.
Clasificación País 1 de cada
1 África del Sur 785
2 Holanda 1.298
3 Malasia 1.359
4 Hungría 1.569
5 Portugal 1.671
6 Austria 1.675
7 Taiwán 1.906
8 Brasil 2.117
9 Indonesia 2.380
10 Singapur 2.422
ISTR Marzo 2018Página 73Hechos y Cifras03
Volver al Índice
Spam
Tasa General de SpamEl porcentaje de correos electrónicos determinados como spam aumentó 1,2% en 2017.
Año Porcentaje
2015 52,7
2016 53,4
2017 54,6
Tasa Mensual de Spam Los niveles de spam fueron mucho mayores en el segundo semestre de 2017, con un aumento de 55,5% en noviembre.
Cantidad de spam por usuarioEn 2017, el número promedio de correos electrónicos de spam por usuario por mes aumentó de 63 en enero a 67 en diciembre.
Tasa de Spam por SectorEl sector de minería tuvo la principal tasa de spam en 2017, con 58,8% de los correos electrónicos identificados como spam.
Clasificación Sector Porcentaje
1 Minería 58,8
2 Construcción 56,9
3 Manufactura 55,9
4 Finanzas, Seguros y Mercado Inmobiliario 55,2
5 Establecimientos No Clasificables 54,6
6 Agricultura, Forestal y Pesca 54,5
7 Transporte & Servicios Públicos 53,9
8 Servicios 53,7
9 Administración Pública 53,4
10 Comercio Minorista 53,3
11 Comercio Mayorista 53,1
Cantidad de spam por usuario por sectorPor otro lado, los destinatarios del sector de Comercio Mayorista tuvieron el mayor número promedio de correos electrónicos de spam por usuario por mes. Del mismo modo, para el sector Manufactura y Minorista, el número de funcionarios que poseen una cuenta de correo electrónico activa en esos sectores es comparativamente bajo, con cifra más alta de trabajadores en las fábricas y tiendas sin acceso al correo electrónico.
Clasificación SectorSpam por Usuario
1 Comercio Mayorista 125,8
2 Manufactura 103,5
3 Establecimientos No Clasificables 98,2
4 Comercio Minorista 98,1
5 Construcción 91,8
6 Minería 91,0
7 Administración Pública 64,2
8 Finanzas, Seguros y Mercado Inmobiliario 58,5
9 Agricultura, Forestal y Pesca 57,9
10 Servicios 49,1
11 Transporte & Servicios Públicos 43,3
ISTR Marzo 2018Página 74Hechos y Cifras03
Volver al Índice
Tasa de Spam por Tamaño de EmpresaMuchas organizaciones mayores tuvieron tasas de spam más altas en 2017.
Tamaño de la Empresa Porcentaje
1-250 54,9
251-500 52,8
501-1000 53,9
1001-1500 56,4
1501-2500 52,9
2501+ 54,7
Cantidad de spam por usuario por tamaño de la empresaDestinatarios de correo electrónico en pequeñas empresas potencialmente recibieron menos correos electrónicos de spam que sus pares que trabajan en organizaciones mayores.
Tamaño de la Empresa Spam por Usuario
1-250 45,2
251-500 55,4
501-1000 95,2
1001-1500 101,8
1501-2500 92,2
2501+ 54,0
Tasa de spam por paísEsta lista muestra los países con las principales tasas de spam en 2017.
Clasificación País Porcentaje
1 Arabia Saudita 69,9
2 China 68,6
3 Brasil 64,7
4 Sri Lanka 64,6
5 Hungría 60,4
6 Kuwait 59,8
7 Omán 58,9
8 África del Sur 57,1
9 Noruega 56,9
10 Emiratos Árabes Unidos 56,3
Vulnerabilidades
Principales Hallazgos
{ Si bien las principales vulnerabilidades, como EternalBlue, Melt-down y Specter, dominaron las principales noticias, en general las divulgaciones de vulnerabilidades aumentaron en 2017. Esto no necesariamente representa un aumento de exploits y puede indicar la popularidad de los programas de recompensas para identificar bugs.
Número total de vulnerabilidadesEso muestra un aumento de 13% en el número de vulnerabilidades relatadas en 2017.
Vulnerabilidades de día cero Hubo un aumento de 7% en el número de vulnerabilidades de día cero registradas en 2017.
ISTR Marzo 2018Página 75Hechos y Cifras03
Volver al Índice
Vulnerabilidades divulgadas en sistemas de control industrial Hubo un aumento de 29% en el número de vulnerabilidades registradas que afectaron tecnologías de sistemas de control industrial (ICS) en 2017.
Vulnerabilidades del navegadorEl número de vulnerabilidades registradas que afectaron Safari aumentó 14% en 2017. El número relacionado a Firefox disminuyó 29%. Las vulnerabilidades de Edge e Internet Explorer disminuyeron 23% y las que afectaron Chrome bajaron 9%.
Ataques Dirigidos
Principales Hallazgos
{ 90% de los grupos de ataques dirigidos son motivados por la recopilación de información.
{ En los últimos tres años, los grupos más activos afectaron a un promedio de 42 organizaciones.
{ 71% de los grupos utilizan correos electrónicos de spear phish-ing como el principal vector de infección.
{ EE.UU. fue el país más valorado en los últimos tres años, repre-sentando 27% de todas las actividades de ataques dirigidos.
{ El número de organizaciones afectadas por ataques dirigidos aumentó 10% en 2017.
Número de nuevos grupos de ataques dirigidos descubiertos por añoSe identificaron 140 grupos diferentes que conducían ataques dirigidos en 2017, un aumento de 15,7% desde 2016.
Grupos de ataques dirigidos expuestos por SymantecDesde 2009, Symantec identificó un total de 28 diferentes grupos de ataques dirigidos.
ISTR Marzo 2018Página 76Hechos y Cifras03
Volver al Índice
Motivos de grupos de ataques dirigidos La gran mayoría de los ataques (90%) parece haber sido planificada para recopilar información de las organizaciones establecidas como víctimas.
Número de intereses por grupoUn análisis más profundo reveló que, para 85% de los ataques, apenas involucraba un interés.
Vectores de infección En 2017, 71,4% de los ataques dirigidos involucraron el uso de correos electrónicos de spear phishing.
Vectores de infección utilizados por grupoApenas un vector de infección fue utilizado en 60% de los ataques dirigidos en 2017.
Países más afectados por grupos de ataques dirigidosEsta tabla muestra las ubicaciones geográficas que fueron el objetivo central más frecuente de los ataques dirigidos en 2017.
Clasificación País Total
1 Estados Unidos 303
2 India 133
3 Japón 87
4 Taiwán 59
5 Ucrania 49
6 Corea del Sur 45
7 Brunéi 34
8 Rusia 32
9 Vietnán 29
10 Paquistán 22
ISTR Marzo 2018Página 77Hechos y Cifras03
Volver al Índice
Técnicas de movimiento lateral En 2017, 7,1% de los ataques dirigidos utilizaban credenciales robadas como una técnica de movimiento lateral. El movimiento lateral corresponde a las técnicas utilizadas para desplazarse en una red afectada, buscando otros exploits y datos valiosos para utilizar y robar.
Técnicas de movimiento lateral por grupoEn relación a los movimientos laterales, 12,9% de los ataques emplearon apenas una técnica de movimiento lateral en 2017.
Número de organizaciones afectadas por ataques dirigidos por añoEl número de organizaciones establecidas como objetivo aumentó 11,1% en 2017, para 532.
Otros números relacionados a los grupos de ataquesEl menor número de herramientas utilizadas por los grupos de ataque fue 1, en contraste con el mayor número, 18, utilizadas por el grupo Lazarus.
Número promedio de herramientas utilizadas por grupos 3,6
Número promedio de organizaciones pretendidas por grupo (durante tres años)
42
Número promedio de individuos pretendidos por grupo (durante tres años)
65
Porcentaje de grupos conocidos por el uso de vulnerabilidades de día cero
27%
Porcentaje de grupos conocidos por el uso de malware destructivo
6%
Amenazas Contra Dispositivos Móviles
Principales Hallazgos
{ La cantidad de nuevas variantes de malware para dispositivos móviles creció 54% en 2017, en comparación con 2016.
{ En 2017, fue bloqueado un promedio de 24.000 aplicaciones malintencionadas para dispositivos móviles por día
{ 27% de las aplicaciones malintencionadas fueron encontradas en la categoría Estilo de Vida, seguidas por Música y Audio, con 20%.
{ 63% de las aplicaciones grayware en 2017 filtraron el número de teléfono y 37% revelaron la ubicación física del teléfono.
{ 77,3% de los dispositivos iOS tenían instalada la versión princi-pal más reciente en 2017, una disminución de 2,1% en relación a 2016. Con Android, apenas 20% de los dispositivos ejecuta-ban la versión principal más reciente, pero hubo un aumento en este número de 5% en relación a 2016.
Nuevas variantes de malware para dispositivos móvilesEn 2017, el número de nuevas variantes de malware para dispositivos móviles aumentó 54%.
Año Nuevas Variantes
2016 17.214
2017 26.579
ISTR Marzo 2018Página 78Hechos y Cifras03
Volver al Índice
Número de aplicaciones bloqueadasAproximadamente 23.795 aplicaciones malintencionadas fueron bloqueadas por día en 2017.
Año Instancias de malware bloqueadas por día
2017 23.795
Categorías de aplicaciones más frecuentes para malware27,3% de las aplicaciones malintencionadas fueron clasificadas como aplicaciones de estilo de vida, seguidas por 19,7% clasificadas como aplicaciones de música y audio.
Clasificación SectorPorcentaje de
Malware
1 Estilo de Vida 27,3
2 Música y Audio 19,7
3 Libros y Referencia 9,9
4 Entretenimiento 6,2
5 Herramientas 5,5
6 Casa 4,5
7 Educación 3,9
8 Arte y Diseño 3,7
9 Fotografía 2,7
10 Juegos Informales 2,2
Información confidencial filtrada por aplicaciones63% de las aplicaciones móviles filtraron números de teléfono de los usuarios y 37% revelaron la ubicación física de los dispositivos.
Clase de información filtrada Porcentaje
Número de Teléfono 63,0
Información de ubicación 37,0
Información de aplicaciones instaladas 35,0
Mantener los dispositivos actualizados77,3% de los dispositivos iOS tenían instalada la versión principal más reciente en 2017, una disminución de 2,1%. Con Android, apenas 20% de los dispositivos ejecutaban la versión principal más reciente, un aumento en este número de 5% en relación a 2016.
AñoDispositivos iOS en la versión
principal más reciente (Porcentaje)
Dispositivos Android en la versión principal más reciente
(Porcentaje)
2016 79,4 15,0
2017 77,3 20,0
Nuevas familias de malware para dispositivos móvilesEl número de nuevas familias de malware para dispositivos móviles aumentó 12,2% entre 2016 y 201.
Nuevas familias de grayware para dispositivos móvilesEl número de nuevas familias de grayware para dispositivos móviles creció 5,3% en 2017.
ISTR Marzo 2018Página 79Hechos y Cifras03
Volver al Índice
Nuevas variantes de grayware para dispositivos móvilesEl número de nuevas variantes de grayware para dispositivos móviles aumentó 19,6% en 2017.
Ransomware para dispositivos móvilesEl número de aplicaciones de ransomware bloqueadas por mes en 2017.
AñoNúmero promedio de instancias de ransomware bloqueadas por mes
2017 3.510
Principal fuente de malware para dispositivos móvilesLa gran mayoria de las instancias de malware para dispositivos móviles fueron encontradas en tiendas de aplicaciones de terceros.
AñoMalware encontrado en tiendas de
aplicaciones de terceros (porcentaje)
2017 99,9
Principales amenazas a AndroidLista de las 10 principales instancias bloqueadas de malware para Android en 2017.
Clasificación Nombre de la Amenaza Porcentaje
1 Malapp 20,2
2 FakeInst 16,4
3 Premiumtext 11,2
4 MalDownloader 10,0
5 Simplocker 8,8
6 Fakeapp 8,5
7 SmsBlocker 7,1
8 Mobilespy 4,8
9 Smsstealer 2,0
10 Opfake 1,9
Principales países con malware para dispositivos móvilesLista de los 10 principales países en que el malware para dispositivos móviles fue bloqueado con más frecuencia en 2017
Dispositivos con acceso root o desbloqueadosEsto muestra que la relación de dispositivos desbloqueados o que poseen acceso root está reduciendo de forma gradual, pero continúa siendo un importante indicador de compromiso.
Año SO Corporativo Consumidores
2016iOS 1 de cada 10.839 1 de cada 694
Android 1 de cada 254 1 de cada 92
2017iOS 1 de cada 14.351 1 de cada 1.658
Android 1 de cada 1.589 1 de cada 281
Dispositivos protegidos por contraseñas Aproximadamente 5% de los dispositivos corporativos no estaban protegidos por contraseña, en comparación con casi 10% de los dispositivos de los consumidores.
AñoCorporativo (Porcentaje)
Consumidores (Porcentaje)
2016 84,1 70,0
2017 95,2 90,5
Exposición a las amenazas de redEsta tabla muestra la exposición acumulativa a las amenazas de la red a lo largo del tiempo. En 2017, 1 de cada 5 dispositivos fue expuesto a ataques en su primer mes de uso. Este número subió para 3 de cada 7 después de cuatro meses.
Dispositivos expuestos a ataques de red tras
1 mes 2 meses 3 meses 4 meses
2016 21,6 31,2 38,6 44,3
2017 21,2 30,7 37,7 43,7
ISTR Marzo 2018Página 80Hechos y Cifras03
Volver al Índice
Internet de las Cosas
Principales Hallazgos
{ Hubo un aumento de 600% en los ataques de IoT de 2016 a 2017.
{ Más de la mitad de los intentos de ataques contra dispositivos IoT se dirigieron al servicio Telnet.
Ataques de IoT por país de origenEsta tabla muestra el país de origen, con base en la dirección IP, de los dispositivos responsables de los ataques.
Clasificación País2017
PorcentajePaís
2016 Porcentaje
1 China 21 China 22,2
2 Estados Unidos 10,6 Estados Unidos 18,7
3 Brasil 6,9 Vietnán 6
4 Federación Rusa 6,4 Federación Rusa 5,5
5 India 5,4 Alemania 4,2
6 Japón 4,1 Holanda 3
7 Turquía 4,1 Reino Unido 2,7
8 Argentina 3,7 Francia 2,6
9 Corea del Sur 3,6 Ucrania 2,6
10 México 3,5 Argentina 2,5
Nombres de usuarios más utilizados por los ataques de IoT
Esta tabla muestra los nombres de usuario utilizados con más frecuencia para los ataques contra dispositivos IoT.
Clasificación2017
Nombre de usuario
2017 Porcentaje
2016Nombre de
usuario
2016 Porcentaje
1 root 40 root 33,5
2 admin 17,3 admin 14,1
3 enable 10,3 DUP root 6
4 shell 10,2 DUP admin 2,1
5 guest 1,5 ubnt 1,3
6 support 1,3 test 1,1
7 user 1,1 oracle 1,1
8 ubnt 0,9 postgres 0,7
9 DUP root 0,6 0,7
10 supervisor 0,5 123321 0,6
Contraseñas más utilizadas por los ataques de IoTEsta tabla muestra las contraseñas utilizadas con más frecuencia para los ataques contra dispositivos IoT.
Clasificación2017
Contraseña2017
Porcentaje2016
Contraseña2016
Porcentaje
1 system 10,3 admin 9,5
2 sh 10,2 root 5,8
3 123456 9,1 12345 5
4 admin 3,7 123456 3,7
5 1234 3,1 password 3,2
6 password 2,5 1234 2,4
7 12345 2,5 ubnt 1,7
8 2,3 admin123 1
9 root 2,1 abc123 0,9
10 support 1,2 pass 0,7
ISTR Marzo 2018Página 81Hechos y Cifras03
Volver al Índice
Principales amenazas detectadas por honeypot IoT en 2017Esta tabla muestra las instancias de malware bloqueadas con más frecuencia, dirigidas a los dispositivos IoT en 2017.
Clasificación Nombre de la Amenaza Porcentaje
1 Linux.Lightaidra 57,5
2 Trojan.Gen.NPE 10,2
3 Linux.Mirai 8,7
4 Trojan.Gen.NPE.2 4
5 Linux.Kaiten 3,6
6 Downloader.Trojan 3
7 Linux.Gafgyt 2,7
8 Trojan.Gen.8!cloud 2,2
9 SecurityRisk.gen1 1,9
10 Trojan.Gen.6 1,7
Los 10 principales servicios atacados en honeypot IoT en el 4 trimestre de 2017Telnet y HTTP fueron los servicios de IoT explorados con más frecuencia.
Clasificación Servicio Porcentaje
1 Telnet 50,5
2 HTTP 32,4
3 HTTPS 7,7
4 SMB 5,8
5 SSH 2,1
6 UPnP 0,9
7 FTP 0,2
8 CWMP 0,1
9 SNMP 0,1
10 Modbus 0,1
Los 10 principales puertos atacados en el honeypot IoT en el 4 trimestre de 2017Los puertos IoT explorados con más frecuencia en los ataques basados en la red en el último trimestre de 2017.
Clasificación Puerto Porcentaje
1 23/tcp (Telnet) 43,1
2 80/tcp (HTTP) 31,6
3 443/tcp (HTTPS) 7,7
4 2323/tcp (Telnet) 7,2
5 445/tcp (SMB) 5,8
6 22/tcp (SSH) 1,9
7 1900/udp (UPnP) 0,9
8 8080/tcp (HTTP) 0,8
9 2222/tcp (SSH) 0,2
10 21/tcp (FTP) 0,2
Principales tipos de dispositivos que ejecutan ataques contra honeypot IoTEsta tabla identifica los tipos de dispositivos involucrados en los ataques de IoT contra el honeypot de Symantec en 2017, siendo que los ruteadores son el tipo de dispositivo explorado con más frecuencia.
Clasificación Tipo de Dispositivo Porcentaje
1 Ruteador 33,6
2 DVR (Digital Video Recorder) 23,2
3 Red 9,3
4 Antena Parabólica 7,3
5 Modem DSL/Cable 7
6 Ruteador SOHO 4,7
7 NAS (Network Attached Storage) 3,6
8 Cámara 3,5
9 PLC (Programmable Logic Controller) 3,4
10 Sistema de Alarma 1,9
ISTR Marzo 2018Página 82Hechos y Cifras03
Volver al Índice
Principal reputación del dispositivo que atacó el honeypot IoTUn análisis más profundo de las direcciones IP de los ataques revela que casi la mitad no estaba anteriormente en la blacklist, o involucrada con otras actividades malintencionadas.
Clasificación Categoría Porcentaje
1 No está en la blacklist 48,9
2 Bot 17
3 Spam 16,1
4 Ataques 9,8
5 Malware 8,1
Fraude y la Economía Clandestina
Principales Hallazgos
{ Las tasas de fraude para tarjetas bancarias, tarjetas del sector minorista y transacciones inalámbricas están 1,8 veces mayores que en 2014.
{ El precio de un toolkit de ransomware premium (US$ 450) actualmente es menor que el valor promedio de rescate (US$ 522).
{ Los toolkits de minería de criptomonedas están disponibles en la web oscura por apenas US$ 30.
Tasa de fraudes confirmados Las tasas de fraudes confirmados en los sectores de tarjetas bancarias, tarjetas del sector minorista y transacciones inalámbricas son 1,8 veces mayores que en 2014.
Intentos de fraude1,2% de las solicitudes de crédito en EE.UU. realizadas en 2017 fueron consideradas fraudulentas.
Lista de precios de los productosSi bien los precios se establecen en dólares, con frecuencia los pagos son efectuados con el uso de criptomonedas, como Bitcoin o Monero, a los valores equivalentes a la tasa de cambio del día.
Esos precios se obtienen de foros clandestinos públicamente accesibles y páginas web TOR de la web oscura. Foros cerrados y privados tienden a tener precios aún más bajos. No logramos verificar si las mercaderías se venden realmente por el precio pedido, algunas de las cuales pueden ser ofertas falsas.
Tarjetas de Crédito
Los precios de los datos de las tarjetas de crédito varían mucho de acuerdo con el país de origen (tarjetas de EE.UU son más baratas, porque existe más disponibilidad, las tarjetas de la UE son más caras), la bandera (Visa®, Mastercard®, American Express®), el nivel (gold, platinum, business) y la información adicional suministrada, como la fecha de nacimiento (DoB), Verified by Visa®, Mastercard SecureCode™, etc. Generalmente, cuanto más compra, más barato se torna (precios por mayor volumen)
Tarjeta única de crédito US$0,50-25
Tarjeta única de crédito con detalles completos (Fullz)
US$1-40
Datos de la banda magnética 1/2(ej.: a través de skimming)
US$ 20-60
500 tarjetas de crédito ya utilizadas para fraudes en la última semana
US$ 1
Malware
Toolkit común de troyano bancario con soporte US$40-1500
Spyware US$15-50
Troyano para Android banking US$2-500
Generador de descargador de macro del Office US$5
Minador y Robo de Criptomonedas (Monero) US$30-300
Toolkit de Ransomware US$5-450
Software de bot DDoS US$1-15
ISTR Marzo 2018Página 83Hechos y Cifras03
Volver al Índice
Servicios
Servicio DDoS, corta duración <1 hora, víctimas de protección media
US$ 5-20
Servicio DDoS, duración >24 horas, víctimas de protección media y fuerte
US$ 10-1000
Contratación de hacker US$ 100+
Alteración de la puntuación de crédito US$ 500
Perjudicar la presencia online de individuos US$ 500
Pasajes de avión y reservas de hotel 10% del valor
Servicios de Transferencia de Dinero
Servicio de redireccionamiento de dinero hacia plataformas online (pague US$ 100 en Bitcoin y reciba una transferencia de
US$ 1.000,00 en su cuenta)
1-20% del valor
Servicio de redireccionamiento de dinero hacia cuentas bancarias
2,5-15% del valor
Cuentas (Nombre de Usuario y Contraseña)
Cuentas de streaming de vídeo y audio US$ 0,10-10
Varios servicios, más de 120 disponibles (juegos, alimentación, compras, etc.)
US$ 0,5-10
Cuentas bancarias online 0,5-10% del valor
Cuentas de dinero online (dependiendo del valor y verificación)
US$ 10-100
Cuenta de página web de compras US$ 5-50
Cuentas de servicios en la nube US$ 5-10
Cuentas Gmail hackeadas US$ 0,1-5
500.000 cuentas de correo electrónico con contraseñas de violaciones de datos
US$ 90
Cuentas de programa de fidelidad/recompensa de hoteles con 100.000 puntos
US$ 10-20
Cuentas de programa de fidelidad de compras con puntos
US$ 2-7
Servicios de VPN US$ 1-10
Tarjetas de presente de minoristas online15-50% del valor de
la tarjeta
Tarjeta de regalo de restaurantes15-40% del valor de
la tarjeta
Identidades
Identidad: Nombre, Seg.Social/D.I. y Fecha de nacimiento
US$ 0,1-1,5
Documentos digitalizados (factura de energía eléctrica, etc.)
US$ 1-3
Identidad, carnet de conducir, pasaporte falso US$ 10-600
Identidad/pasaporte digitalizado US$ 1-25
Cuenta bancaria IBAN anónima US$ 7
Sección
04
Predicciones
ISTR Marzo 2018Página 85Escenario de Amenazas Contra Dispositivos Móviles
Volver al Índice
Predicciones para 2018Los proveedores de servicios maduros en la nube de nivel intermedio posiblemente sentirán el impacto de las vulnerabilidades Meltdown y SpecterEn el inicio de enero de 2018, se descubrieron dos vulnerabilidades graves que afectaron a casi todos los chips de procesadores modernos. Conocidas como Meltdown y Spectre, las vulnerabilidades pueden permitir que los grupos de ataques obtengan el acceso no autorizado a la memoria de una computadora.
Meltdown y Spectre pueden afectar a todas las clases de computadoras, pero el impacto potencial más alarmante está en la nube, porque un ataque en un único servidor puede afectar a varias máquinas virtuales en ejecución en ese servidor.
Fabricantes de chips, proveedores de software y proveedores de servicios en la nube han trabajado de forma ardua, antes y después de la divulgación de las vulnerabilidades, para garantizar que se instalen los parches de actualización. Si bien los principales proveedores de servicios en la nube poseen los recursos para garantizar que las mitigaciones estén disponibles, las empresas menores de servicios en la nube y menos preparadas, como los proveedores menores de alojamientos, pueden presentar dificultad de respuesta, dejando a sus clientes expuestos.
WannaCry y Petya/NotPetya pueden inspirar la nueva generación de amenazas de autopropagaciónGusanos—malware de autopropagación—presentaron su auge en el cambio del siglo XX. Por ejemplo, en 2003, el virus Slammer logró infectar la mayoría de sus víctimas en una hora. Hasta mayo de 2017, parecía improbable que otra amenaza pudiese ocasionar un impacto disruptivo global de la misma forma.
Esa percepción cambió con la llegada de WannaCry y Petya/NotPetya. Las dos amenazas fueron capaces de autopropagarse en gran parte porque utilizaron el exploit EternalBlue. Si bien la vulnerabilidad fue corregida varios meses antes, había muchas computadoras online sin la corrección para que ambas amenazas causaran interrupciones relevantes de actividades.
Los grupos de ataques, sin duda, observaron la eficacia de las dos amenazas. EternalBlue puede no ser más útil en este momento, ya que la mayoría de las organizaciones aplicó los parches de corrección, pero existen otras técnicas que pueden emplearse. Petya/NotPetya utilizó otras técnicas de diseminación SMB con el uso de herramientas legítimas, como PsExec y Windows Management Instrumentation Command-line (WMIC), para ser distribuido al uso compartido de red con el uso de credenciales robadas. El empleo de estas técnicas de “uso de herramientas del día a día” permite que los ataques pasen inadvertidos, por lo tanto, son más atractivos para los grupos de ataques. Es posible que se observe un aumento en las amenazas que se autopropagan con el uso de esas técnicas.
Los ataques de IoT posiblemente se diversificarán a medida que los grupos de ataques busquen nuevos tipos de dispositivos para adicionar a los botnetsEn 2016, oímos mucho acerca de los ataques de IoT, pues el botnet Mirai apareció y causó interrupciones considerables de actividades con ataques DDoS de gran porte. A pesar de que los ataques de IoT no fueron destacados en las principales portadas en 2017, seguramente no han desaparecido. En realidad, los ataques contra dispositivos IoT aumentaron 600% el año pasado.
Nuestra investigación actual muestra que los grupos de ataques aún están enfocados principalmente en ruteadores y modems, y utilizan dispositivos infectados para alimentar los botnets. Ahora, los ataques son tan frecuentes que los operadores de botnets se disputan por el mismo grupo de dispositivos y necesitan configurar su malware para identificar y remover malware que pertenece a otros botnets.
IoT continúa siendo afectada por la falta de seguridad, con el uso común de contraseñas estándar y vulnerabilidades sin parches de corrección. Algunos grupos de ataques de IoT ya comenzaron a buscar opciones, más allá de los ruteadores y comenzaron a establecer seriamente como víctimas otros dispositivos conectados.
ISTR Marzo 2018Página 86Escenario de Amenazas Contra Dispositivos Móviles
Volver al Índice
Las actividades de minadores de criptomonedas posiblemente continuarán creciendo, pero el objetivo central en las organizaciones aumentará 2017 fue un año lucrativo para los ciberdelincuentes con la minería de criptomonedas. Las detecciones de minadores de criptomonedas tuvieron un extraordinario aumento de 8.500%. Eso no es sorprendente, considerando que los precios del Bitcoin en el inicio del año estaban un poco por debajo de US$ 1.000 y terminaron por encima de US$ 14.000 en el final de 2017.
Los ataques de minería de criptomonedas deben continuar en 2018 y los responsables de los ataques invertirán tiempo y energía para identificar formas más creativas y eficaces de ataques. De forma general, sus estrategias probablemente seguirán tres direcciones:
01 Minería distribuida, ya sea por medio de botnets conven-cionales de dispositivos IoT y computadoras infectadas por malware o minadores de criptomonedas basados en navegadores, alojados en páginas web.
02 La segunda ruta de ataque posiblemente será establecer como objetivo las redes corporativas u organizativas para aprovechar el poder de servidores o súpercomputadoras.
03 Finalmente, los servicios en la nube ofrecen la posibilidad de minería de alta capacidad de procesamiento. Eso tiene un posible impacto financiero para los clientes de servi-cios en la nube que pagan con base en el uso de la CPU.
A pesar de que las recompensas inmediatas puedan parecer menores, la minería de criptomonedas ofrece un flujo de ingresos pasivos y de largo plazo, si los minadores logran permanecer ocultos por más tiempo. Creemos que la actividad de minería de criptomonedas aumentará en el segmento de dispositivos móviles en 2018 y en el futuro. Vimos un aumento en el fin de 2017 y, si la actividad es lucrativa, el volumen puede crecer.
Esas predicciones probablemente dependerán de algo: si los valores de criptomonedas permanecen elevados. Los precios del Bitcoin comenzaron a disminuir en los últimos meses. Sin embargo, eso tal vez se vea como un ajuste de mercado. El Bitcoin no es la única criptomoneda, por lo tanto los eventos también dependen de cómo otras criptomonedas se comporten, especialmente el Monero. Acreditamos en un cambio de la lengua franca de cibercrimen del Bitcoin a alternativas como Ethereum, Monero y Zcash, que obtendrán popularidad debido a sus características más fuertes de anonimato. La volatilidad continua en el mercado de Bitcoin se tornará un gran obstáculo, particularmente para las transacciones menores.
No obstante, si el valor de todas las criptomonedas retrocede, los grupos de ataques posiblemente perderán rápidamente el interés en la minería de criptomonedas. En la actualidad, la minería de criptomonedas es más lucrativa que el ransomware, pero si las criptomonedas pierden su valor, es posible que los grupos de ataques escojan algo más lucrativo.
Los ataques en infraestructura crítica deben intensificarse en 2018En los últimos años, los grupos de ataques han demostrado un creciente interés en infraestructura crítica y la escala y la persistencia de esos ataques están alcanzando proporciones alarmantes. Nuestras investigaciones más recientes sobre el grupo Dragonfly descubrieron que continuará como objetivo central el sector energético en Europa y en América del Norte. Por el momento, Dragonfly parece estar centrado en obtener acceso a sistemas operativos y recopilar la máxima inteligencia posible sobre cómo operan esas plantas.
Esos ataques posiblemente proporcionarían a Dragonfly la capacidad de sabotear u obtener el control de esos sistemas en caso de decidirse hacerlo. No obstante, parece improbable que cualquier grupo llegue a esos límites, a menos que esté preparado para lanzar ataques disruptivos. A pesar de ello, existe un riesgo real de que, en algún momento, los responsables del Dragonfly decidan utilizar esa estrategia.
ISTR Marzo 2018Página 87
Volver al Índice
Créditos
Equipo
Gillian Cleary
Mayee Corpin
Orla Cox
Hon Lau
Benjamin Nahorney
Dick O’Brien
Brigid O’Gorman
John-Paul Power
Scott Wallace
Paul Wood
Candid Wueest
Colaboradores
Shaun Aimoto
Pravin Bange
Albert Cooley
Stephen Doherty
Brian Duckering
James Duff
Daniel Grady
Sara Groves
Kevin Haley
Dermot Harnett
Robert Keith
Sean Kiernan
Anudeep Kumar
Chris Larsen
Carmel Maher
Matt Nagel
Alan Neville
Gavin O’Gorman
Hitesh Patel
Yun Shen
Dennis Tan
Tor Skaar
Parveen Vashishtha
Pierre-Antoine Vervier
William Wright
Acerca de Symantec
Symantec Corporation (NASDAQ: SYMC) es líder mundial en soluciones de ciberseguridad y ayuda a las compañías, gobiernos e individuos a proteger sus datos más importantes en cualquier lugar. Compañías en todo el mundo buscan a Symantec para soluciones estratégicas e integradas para defenderse contra ataques sofisticados en endpoints, en la nube e infraestructura.
Del mismo modo, una comunidad global de más de 50 millones de personas y familias dependen de la suite de productos Norton de Symantec para protección en casa y en todos sus dispositivos. Symantec opera una de las redes civiles de ciberinteligencia más grande del mundo, lo que le permite ver y proteger contra las amenazas más avanzadas.
Más informaciónSymantec Managed Security Services: https://www.symantec.com/services/cyber-security-services
DeepSight Intelligence Service: https://www.symantec.com/services/cyber-security-services/deepsight-intelligence
Symantec Messaging Gateway: https://www.symantec.com/products/messaging-gateway
Symantec Email.cloud: https://www.symantec.com/products/email-security-cloud
Symantec’s Advanced Threat Protection for Email: https://www.symantec.com/products/advanced-threat-protection-for-email
Symantec Web Security.cloud: https://www.symantec.com/products/cloud-delivered-web-security-services
Symantec On-Premise Secure Web Gateway: https://www.symantec.com/products/secure-web-gateway-proxy-sg-and-asg
Symantec CloudSOC: https://www.symantec.com/products/cloud-application-security-cloudsoc
Symantec Endpoint Protection (SEP): https://www.symantec.com/products/endpoint-protection
SEP Mobile: https://www.symantec.com/products/endpoint-protection-mobile
Norton: https://www.norton.com
ID Analytics: https://www.idanalytics.com/
03/18
Sede Mundial de Symantec350 Ellis Street Mountain View, CA 94043 USA
+1 650 527–8000+1 800 721–3934
Copyright © 2018 Symantec Corporation.
Todos los derechos reservados. Symantec, el logo de Symantec y el logo de Checkmark son marcas registradas o marcas comerciales registradas de Symantec Corporation o de sus subsidiarias en EE.UU. eoutros países. Otros nombres pueden ser marcas registradas de sus respectivos propietarios.
Para escritorios regionales y números de contacto específico, por favor acceda a nuestra página web. Para obtener más información sobre los productos en los Estados Unidos, llame al número de teléfono gratuito (800) 745 6054.
Symantec.com
ISTR