InformesMalware

La ciberdelincuencia alcanza su sofisticación

El último informe de HP revela que los delincuentes comparten herramientas de visión por ordenador para mejorar sus ataques.

HP ha publicado su último informe global Threat Insights, que ofrece un análisis sobre los ataques y vulnerabilidades de ciberseguridad en el mundo real. La investigación muestra un aumento significativo en la frecuencia y la sofisticación de la actividad cibercriminal, incluyendo un aumento del 65% en el uso de herramientas de hacking descargadas de foros clandestinos y sitios web de intercambio de archivos desde el segundo semestre de 2020 hasta el primero de 2021.

Los investigadores observaron que las herramientas de pirateo que circulan son sorprendentemente eficaces. Por ejemplo, una herramienta puede resolver los retos CAPTCHA utilizando técnicas de visión por ordenador, concretamente el reconocimiento visual de caracteres (OCR), para realizar ataques de manipulación de credenciales contra sitios web. En términos más generales, el informe constató que la ciberdelincuencia está más organizada que nunca, y que los foros clandestinos ofrecen una plataforma perfecta para que los responsables de las amenazas colaboren y compartan tácticas, técnicas y procedimientos de ataque.

Una herramienta puede resolver los retos CAPTCHA utilizando técnicas de visión por ordenador, concretamente el reconocimiento visual de caracteres (OCR)

"La proliferación de herramientas de hacking piratas y de foros clandestinos está permitiendo que actores hasta ahora de bajo nivel planteen graves riesgos para la seguridad de las empresas", afirma el Dr. Ian Pratt, responsable global de seguridad de sistemas personales de HP "Simultáneamente, los usuarios siguen siendo el objetivo de simples ataques de phishing una y otra vez. Las soluciones de seguridad que preparan a los departamentos de TI para adelantarse a las futuras amenazas son fundamentales para maximizar la protección y la resistencia de las empresas".

Amenazas destacadas analizadas por HP Wolf Security

  • La colaboración entre los ciberdelincuentes está abriendo la puerta a mayores ataques contra las víctimas: los afiliados de Dridex están vendiendo el acceso a las organizaciones vulneradas a otros actores de amenazas, para que puedan distribuir ransomware. El descenso de la actividad de Emotet en el primer trimestre de 2021 ha llevado a Dridex a convertirse en la principal categoría de malware aislada por HP Wolf Security.
  • Los ladrones de información entregan malware más peligroso: el malware CryptBot, que se ha utilizado tradicionalmente para robar credenciales de los monederos de criptomonedas y los navegadores web, también se utiliza para distribuir DanaBot, un troyano bancario operado por grupos de delincuencia organizada.
  • Campaña de descarga de VBS dirigida a ejecutivos de empresas: una campaña de Visual Basic Script (VBS) en varias fases está compartiendo archivos adjuntos ZIP maliciosos con el nombre del ejecutivo al que se dirige. Despliega un descargador VBS sigiloso antes de utilizar herramientas legítimas de SysAdmin para "vivir de la tierra", persistiendo en los dispositivos y entregando el malware.
  • De la aplicación a la infiltración: una campaña de spam malicioso con temática de curriculum vitae se dirigió a empresas navieras, marítimas, logísticas y afines de siete países (Chile, Japón, Reino Unido, Pakistán, Estados Unidos, Italia y Filipinas), aprovechando una vulnerabilidad de Microsoft Office para desplegar la RAT Remcos, disponible en el mercado, y obtener un acceso de backdoor a los ordenadores infectados.
Informe global Threat Insights de HP
Informe global Threat Insights de HP

Los resultados se basan en los datos de HP Wolf Security, que rastrea el malware dentro de máquinas microvirtuales aisladas para comprender y capturar una cadena de infección completa y ayudar a mitigar las amenazas. Al entender mejor el comportamiento del malware en estado puro, los investigadores e ingenieros de HP Wolf Security son capaces de reforzar las protecciones de seguridad de los puntos finales y la resistencia general del sistema.

"El ecosistema de la ciberdelincuencia sigue evolucionando y transformándose, con más oportunidades para que los ciberdelincuentes de menor categoría se conecten con agentes más importantes dentro de la delincuencia organizada, y descarguen herramientas avanzadas que puedan eludir las defensas y vulnerar los sistemas", observa Alex Holland, analista principal de malware de HP. "Estamos viendo cómo los hackers adaptan sus técnicas para conseguir una mayor monetización, vendiendo el acceso a grupos criminales organizados para que puedan lanzar ataques más sofisticados contra las organizaciones. Las cepas de malware como CryptBot anteriormente habrían sido un peligro para los usuarios que utilizan sus PC para almacenar carteras de criptomonedas, pero ahora también representan una amenaza para las empresas. Vemos que los hackers distribuyen malware operado por grupos criminales organizados, que tienden a favorecer el ransomware para monetizar su acceso".

Estamos viendo cómo los hackers adaptan sus técnicas para conseguir una mayor monetización, vendiendo el acceso a grupos criminales organizados para que puedan lanzar ataques más sofisticados contra las organizaciones

Otras conclusiones

  • El 75% de los programas maliciosos detectados se enviaron por correo electrónico, mientras que las descargas por Internet fueron responsables del 25% restante. Las amenazas descargadas a través de los navegadores web aumentaron un 24%, en parte debido a que los usuarios descargaron herramientas de hacking y software de minería de criptomonedas.
  • Los engaños de phishing por correo electrónico más comunes eran facturas y transacciones comerciales (49%), mientras que el 15% eran respuestas a hilos de correo electrónico interceptados. Los señuelos de phishing que mencionan COVID-19 representaron menos del 1%, y disminuyeron un 77% desde el segundo semestre de 2020 hasta el primero de 2021.
  • El tipo más común de archivos adjuntos maliciosos fueron los archivos comprimidos (29%), las hojas de cálculo (23%), los documentos (19%) y los archivos ejecutables (19%). Los tipos de archivos inusuales, como los JAR (Java Archive files), se utilizan para evitar la detección y las herramientas de escaneo, y para instalar programas maliciosos que se obtienen fácilmente en los mercados clandestinos.
  • El informe revela que el 34% de los programas maliciosos capturados eran desconocidos1, lo que supone un descenso del 4% con respecto a H2 2020.
  • Un aumento del 24% en el malware que explota CVE-2017-11882, una vulnerabilidad de corrupción de memoria comúnmente utilizada para explotar Microsoft Office o Microsoft WordPad y llevar a cabo ataques sin archivos.
Informe global Threat Insights de HP
Informe global Threat Insights de HP

"Los ciberdelincuentes están eludiendo las herramientas de detección con facilidad, simplemente modificando sus técnicas. Hemos visto un aumento del malware distribuido a través de tipos de archivos poco comunes, como los archivos JAR, probablemente utilizados para reducir las posibilidades de ser detectados por los escáneres antimalware", comenta Holland. "Los mismos trucos de phishing de siempre están atrayendo a las víctimas, con señuelos con temática de transacciones que convencen a los usuarios para que hagan clic en archivos adjuntos, enlaces y páginas web maliciosas".

"A medida que la ciberdelincuencia se vuelve más organizada, y los agentes más pequeños pueden obtener fácilmente herramientas eficaces y monetizar los ataques vendiendo el acceso, no existe una brecha menor", concluye Pratt. "El punto final sigue siendo un gran objetivo para los ciberdelincuentes. Sus técnicas son cada vez más sofisticadas, por lo que es más importante que nunca contar con una infraestructura de puntos finales y una ciberdefensa completas y resistentes. Esto significa utilizar funciones como la contención de amenazas para defenderse de los atacantes modernos, minimizando la superficie de ataque al eliminar las amenazas de los vectores de ataque más comunes: el correo electrónico, los navegadores y las descargas”.

Computing 806