El correo electrónico es la vía de entrada mayoritaria del malware. Este es el dato más destacable que se obtiene el informe Infoblox Quarterly Cyberthreat Intelligence Report, un informe de inteligencia de seguridad que recoge trimestralmente las principales amenazas y brechas de seguridad detectadas durante los tres meses anteriores, a nivel mundial.
En esta segunda edición del informe, que abarca los meses de octubre a diciembre de 2020, se incluyen los principales vectores de amenazas de seguridad detectados durante el periodo. Las principales conclusiones son:
· Correo electrónico, phising e ingeniería social, prácticas preferidas de los cibercriminales. Como en trimestres anteriores, el correo electrónico sigue siendo un vector fundamental de entrada de malware, en combinación con técnicas de ingeniería social, para lograr suplantación de identidad y conseguir datos de las víctimas. El uso de la ingeniería social incrementa cada vez más la sofisticación de los ataques, al conseguir que el correo malicioso parezca provenir de una fuente fiable. El objetivo es el robo de información confidencial como datos de autenticación, instalar malware u obtener credenciales como números de tarjetas de crédito.
· Los más frecuentes elementos de malware detectados en este periodo han sido los troyanos bancarios Emotet e IcedID, Troyanos de Acceso Remoto (RAT) Remcos, AveMaria y Adwind, Infostealers AZORult, Formbook y LokiBot, y keyloggers como 404 y Tesla Agent.
· La investigación de Infoblox confirma la información publicada por la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en la que se señalaba que los ataques incluyen patrones BEC (Business Email Compromise) y técnicas de suplantación de identidad basadas en ingeniería social para que las campañas de phishing sean más eficaces. De hecho, el 99% de los correos electrónicos que distribuyen software malicioso requieren la intervención humana en algún momento, ya sea hacer click en un enlace, abrir documentos, aceptar advertencias de seguridad y otros comportamientos, para que sean eficaces. Esto pone de manifiesto la importancia de que el usuario adopte buenas prácticas de uso en cuanto a seguridad.
El correo electrónico, phising e ingeniería social son las prácticas preferidas de los cibercriminales
· Regulación de ciberseguridad. Se están produciendo importantes avances en cuanto a legislación y normativas a cumplir orientadas a mejorar la seguridad. El 4 de diciembre de 2020, la Ley de Mejora de Seguridad en dispositivos IoT (Internet of Things Cybersecurity Improvement Act), que abrirá la puerta al desarrollo de estándares y recomendaciones
técnicas para incrementar la seguridad en este tipo de dispositivos. En principio es una exigencia que planteará el gobierno norteamericano a sus proveedores de tecnología, pero esto en última instancia beneficiará a todos los usuarios, al incorporar de serie los equipos estos estándares.
Principales amenazas detectadas en el cuarto trimestre de 2020
Dentro del informe, Infoblox también ha elaborado una relación de las principales amenazas y brechas de seguridad más activas en este periodo, por meses:
· Octubre 2020
o Troyano bancario Didex: Se ha detectado una campaña de mail conteniendo este malware en falsos correos de entrega de Fedex, que busca robar credenciales bancarias. La infraestructura de correo electrónico para entregar el malware Dridex incluye sitios fraudulentos con una amplia gama de dominios (TLD). La información de registro para los dominios asociados también hace uso de varios registradores y servidores de nombres sin patrones o preferencias discernibles.
o Keylogger 404: es un “infostealer” que puede robar las credenciales de una víctima y registrar las teclas pulsadas en el tecleado. Es notable por sus métodos relativamente inusuales de exfiltración de datos, incluso a través de mensajes de correo electrónico, cargas de archivos Pastebin y mensajes de Telegram cifrados. Se ha detectado en varias campañas de email en octubre.
· Noviembre 2020
o APT Iraníes: Se detectaron Amenazas Persistentes Avanzadas (APT) de origen iraní que utilizan una herramienta llamada Acunetix para escanear sitios web electorales estatales en busca de vulnerabilidades web conocidas con el fin de insertar datos en varios campos de los formularios de registro para votantes.
o Ransomware orientado al sector sanitario. Uso de Trickbot y BazarLoader y Ryuk por parte de los actores de amenazas malware para distribuir ransomware, robar datos confidenciales y intentar interferir con los servicios de salud.
· Diciembre 2020
o Troyano de Acceso Remoto (RAT) AveMaria. Se detectó una campaña de correo electrónico que distribuye el RAT AveMaria en archivos con formato de texto enriquecido (RTF) disfrazado como documento de Microsoft Word (DOC). Una vez infectado el equipo, AveMaria se comunicará con su C&C para iniciar la comunicación y ejecutar cualquier tarea posterior a la infección, como recopilar credenciales y transmitirlas al servidor.
o Sunburst en SolarWinds Supply Chain. Introducción de código malicioso en esta plataforma, y podría afectar a todas las actualizaciones de software posteriores, que distribuyeron este malware a toda la base de clientes de SolarWinds. Se cree que este ataque infectó todas las versiones del software Orion lanzadas entre marzo y junio de 2020 con el malware SUNBURST, una puerta trasera sofisticada que usa HTTP para comunicarse con la infraestructura del atacante.