InformesMalware

Los ciberdelincuentes ganan millones con el formjacking

Según el informe anual de Symantec, en España, el pequeño comercio recibe una gran parte de los ataques de phishing y malware.

Ante la disminución de los ingresos procedentes del ransomware y el cryptojacking, los ciberdelincuentes están apostando por métodos alternativos, como el formjacking, para conseguir dinero, de acuerdo con el último Informe sobre las amenazas para la seguridad de Internet (ISTR), volumen 24, de Symantec. En España, la principal fuente de amenaza sigue siendo el criptominado malicioso -que supone un 2,3 % del total mundial de este tipo de ataques-, seguido de lejos por los bots (1,2 %) y las técnicas de phishing (1 %).

El informe analiza los datos procedentes de Symantec Global Intelligence Network, la mayor red civil de recolección de amenazas del mundo, que registra eventos de 123 millones de sensores de ataque en todo el mundo, bloquea 142 millones de amenazas diarias y monitoriza las actividades de amenazas en 157 países. En este último informe, España ocupa el octavo puesto en el ranking europeo de amenazas detectadas, con un porcentaje mundial del 0,95 %. Rusia lidera un año más el ranking regional con un 3,41 %.

Formjacking, el nuevo mecanismo de los ciberdelincuentes para enriquecerse rápidamente

El formjacking son ataques simples -esencialmente consiste en copiar los datos de la tarjeta, como se ha hecho tradicionalmente en los cajeros, pero trasladado al mundo virtual- con los que los ciberdelincuentes inyectan código malicioso en los sitios web de las tiendas para robar los detalles de las tarjetas de pago de los compradores. De media, más de 4.800 sitios web únicos se ven comprometidos por código de formjacking cada mes. Symantec bloqueó más de 3,7 millones de ataques de formjacking sobre puntos finales en 2018, con casi una tercera parte del total de detecciones concentrada durante la época del año en la que más compras se realizan: noviembre y diciembre.

Casi uno de cada diez grupos de ataques dirigidos utiliza actualmente malware para destruir e interrumpir las operaciones de negocio, un 25% más que en 2017

Según estimaciones conservadoras, los ciberdelincuentes podrían haber recolectado millones de dólares en el último año, robando información financiera y personal de los consumidores a través del fraude con las tarjetas de crédito y las ventas en la dark web. Solo 10 tarjetas de crédito robadas de cada sitio web comprometido podrían generar 2,2 millones de dólares cada mes, y una sola tarjeta de crédito alcanza un precio de 45 dólares en el mercado negro. Con más de 380.000 tarjetas de crédito robadas, solo el ataque a British Airways podría haber permitido ganar a los delincuentes 17 millones de dólares.

Los menguantes ingresos del cryptojacking y el ransomware

Por primera vez desde 2013, las infecciones de ransomware se redujeron, con una caída del 20 %. Aún así, las empresas no deberían bajar la guardia, ya que las infecciones de ransomware en empresas crecieron un 12 % en 2018, rompiendo la tendencia descendente general y demostrando que el ransomware es una amenaza vigente para las organizaciones. De hecho, más de ocho de cada diez infecciones de ransomware impactan en empresas.

Las infecciones de ransomware en empresas suben un 12%

Aunque la actividad de cryptojacking alcanzó su máximo a principios de año, se redujo en un 52 % a lo largo de 2018. Incluso con los valores de las criptomonedas cayendo en un 90 % y una significativa reducción de la rentabilidad, el cryptojacking continúa, no obstante, manteniendo su atractivo para los atacantes debido a su baja barrera de entrada, la carga mínima y el anonimato que ofrece. Solo en el mes de diciembre de 2018, Symantec bloqueó 3,5 millones de eventos de cryptojacking en los endpoints.

Cuando se trata de seguridad, la nube es el nuevo PC

Solo en el último año, más de 70 millones de registros fueron robados o filtrados de directorios S3 pobremente configurados. Existen también numerosas herramientas fácilmente accesibles que permiten a los atacantes identificar recursos cloud mal configurados en internet. Los recientes descubrimientos de vulnerabilidades en chips de hardware, incluyendo Meltdown, Spectre y Foreshadow, también ponen en riesgo los servicios cloud, permitiendo a los atacantes acceder a los espacios de memoria protegidos u otros recursos de las compañías albergados en el mismo servidor físico.

Más de 70 millones de registros han sido robados o filtrados desde directorios de almacenamiento en nubes públicas S3 pobremente configurados

Las herramientas living off the land y las debilidades de la cadena de suministro

Los ataques a la cadena de suministro y los living off the land (LotL), son un pilar del actual escenario de amenazas, ampliamente adoptados tanto por los ciberdelincuentes como por los grupos de ataques dirigidos. De hecho, los ataques a la cadena de suministro aumentaron un 78 % en 2018.

Ataques por email en España

El 52,9 % del total de emails en circulación en España contiene spam. Por su parte, las amenazas de malware están presentes en 1 de cada 510 correos electrónicos y el phishing, en 1 de cada 3.680 emails (más del doble que el año anterior, cuando la proporción era de 1 de cada 6.929 emails). Por sectores, los más afectados por el spam son la construcción (66,4 %), la fabricación (59,6 %), el retail (59 %), las administraciones públicas (58,8 %) y las entidades financieras y aseguradoras (54,2 %). El porcentaje más alto se da en las compañías con entre 501 y 1000 empleados, en las que el 58,5 % del correo es spam.

Respecto a los ataques de phishing, son dirigidos en su mayoría al pequeño comercio (1 de cada 488), fabricantes (1 de cada 2.048) y sector financiero y asegurador (1 de cada 2.742). Las empresas con entre 1501 y 2500 empleados son las más afectadas, ya que 1 de cada 2.153 correos contiene ataques de phishing.

Los atacantes mejoran las tácticas de eficacia probada, incluyendo el spear-phishing, las herramientas legítimas para hijacking y los anexos maliciosos en el correo electrónico

Por último, los sectores que más ataques de malware son el pequeño comercio (1 de cada 78 emails), los fabricantes (1 de cada 179 emails) y las entidades financieras y aseguradoras (1 de cada 421 emails). Como en el caso del spam, las empresas con entre 501 y 1000 empleados son las principales víctimas de los ataques de malware, con 1 de cada 188 correos infectados.

El Internet de las Cosas está en el punto de mira

Aunque el volumen de ataques al Internet de las Cosas (IoT) se mantiene alto y consistente con los niveles de 2017, el perfil de los ataques IoT está cambiando radicalmente. Pese a que los routers y cámaras conectadas conforman el mayor porcentaje de dispositivos infectados (90 %), casi todos los dispositivos IoT han demostrado ser vulnerables, por lo que desde las bombillas inteligentes a los asistentes de voz crean puntos de entrada adicionales para los atacantes.

Los grupos de ataques dirigidos se están centrando cada vez más en el IoT como punto de entrada clave. La emergencia del malware de router VPNFilter representa una evolución de las amenazas IoT tradicionales. Concebido por un atacante experto y con grandes recursos, permite a sus creadores destruir o borrar un dispositivo, robar credenciales y datos e interceptar las comunicaciones SCADA.

El gran despertar de la privacidad

El 45 % de las apps de Android más populares y el 25 % de las apps de iOS más descargadas solicitan la información de ubicación; el 46 % de las apps más populares de Android y el 24 % de las de iOS solicitan permiso para acceder a la cámara del dispositivo, y las direcciones de correo electrónico se comparten con el 44 % de las principales apps de Android y el 48 % de las apps más populares de iOS.

Más de 200 apps y servicios ofrecen a los acosadores una gran variedad de capacidades de este tipo, incluyendo el seguimiento básico de la ubicación, la recopilación de mensajes e incluso la grabación secreta de vídeo.

Computing 784