Introducción
Desde la publicación de nuestro primer número trimestral en enero de 2023, el informeBlackBerry Global Threat Intelligence Report se ha convertido rápidamente en una guía de referencia clave en el sector de la ciberseguridad. Este informe es utilizado por profesionales de la ciberseguridad de todo el mundo, incluidos CISO, directores de seguridad y otros responsables de la toma de decisiones, para mantenerse informados de las últimas amenazas y retos de ciberseguridad que afectan a sus sectores y plataformas.
En este nuevo número, nuestro equipo global de Investigación e Inteligencia sobre Amenazas BlackBerry examina los retos a los que se enfrentan los gobiernos y las entidades públicas, las vulnerabilidades en el sector sanitario, los riesgos para las instituciones financieras y la importancia de salvaguardar las infraestructuras vitales. También incluimos un nuevo análisis geopolítico y una sección de comentarios que aportan un contexto adicional y dan una perspectiva estratégica a los datos presentados. El informe abarca desde marzo de 2023 hasta mayo de 2023.
He aquí algunos de los aspectos más destacados:
- 90 días en cifras. De marzo de 2023 a mayo de 2023, las soluciones deBlackBerry® Cybersecurity detuvieron más de 1,5 millones de ataques. De media, los actores de las amenazas desplegaron aproximadamente 11,5 ataques por minuto. Estas amenazas incluían aproximadamente 1,7 nuevas muestras de malware por minuto. Esto representa un aumento del 13% con respecto a la media de 1,5 nuevas muestras por minuto del período anterior, lo que demuestra que los agresores están diversificando sus herramientas en un intento de eludir los controles defensivos, especialmente las soluciones heredadas basadas en firmas y hashes.
- Sectores más afectados. La sanidad y los servicios financieros figuran entre los sectores más atacados. En el sector sanitario, la combinación de datos valiosos y servicios críticos representa un objetivo lucrativo para los ciberdelincuentes, lo que se traduce en bandas de ransomware que atacan directamente a las organizaciones sanitarias y en la proliferación de programas maliciosos de robo de información, o infostealers. Este informe destaca la importancia de proteger los datos de los pacientes y salvaguardar la prestación ininterrumpida de servicios médicos esenciales.
- El acceso remoto aumenta el riesgo cibernético. Las instituciones financieras se enfrentan a amenazas persistentes debido a su importancia económica y a la abundancia de datos sensibles. Este informe profundiza en los retos del sector financiero, incluida la creciente disponibilidad de malware de productos básicos, los ataques de ransomware y el aumento del malware bancario móvil dirigido a los servicios bancarios digitales y móviles.
- Ciberataques a países concretos. En el segundo trimestre de 2023, la APT28 y el Grupo Lazarus -actores de amenazas patrocinados por el Estado y vinculados a Rusia y Corea del Norte, respectivamente- se mostraron muy activos. Estas amenazas tienen un historial significativo de ataques específicos contra Estados Unidos, Europa y Corea del Sur. Su actividad se extiende a organismos gubernamentales, organizaciones militares, empresas e instituciones financieras, lo que supone una grave amenaza para la seguridad nacional y la estabilidad económica. Estos grupos adaptan continuamente sus técnicas, lo que dificulta la defensa contra sus ataques.
- Conclusiones y mirada al futuro. Por último, presentamos nuestras conclusiones y la previsión de ciberamenazas para los próximos meses de 2023.
Para proporcionar inteligencia sobre ciberamenazas procesable y contextual, las secciones Técnicas comunes de MITRE y Contramedidas y soluciones aplicadas resumen las 20 técnicas más utilizadas por los grupos de amenazas y comparan las tendencias con el último informe trimestral. Por ejemplo, confirmamos que las cinco tácticas más utilizadas pertenecen a las categorías de descubrimiento y evasión de la defensa. Las técnicas de las que se informa como parte de esas tácticas pueden incorporarse a ejercicios de equipos morados y utilizarse para priorizar tácticas, técnicas y procedimientos (TTP) como parte de ejercicios prácticos de modelado de amenazas.
Además, el equipo de Investigación e Inteligencia de Amenazas de BlackBerry utilizó MITRE D3FEND™ para desarrollar una lista completa de contramedidas para todas las técnicas utilizadas durante este periodo. MITRE D3FEND está disponible en nuestro repositorio público de GitHub. Este informe enumera las reglas Sigma más efectivas para detectar los comportamientos maliciosos exhibidos por las 224,851 muestras únicas que las soluciones deBlackBerry Cybersecurity impulsadas por Cylance® AI detuvieron en este período de informes. Nuestro objetivo es permitir a los lectores traducir nuestros hallazgos en sus propias capacidades prácticas de caza y detección de amenazas.
Por último, me gustaría dar las gracias a nuestro equipo de investigadores de élite de BlackBerry Threat Research and Intelligence por seguir elaborando estudios de primera línea que informan y educan a nuestros lectores, al tiempo que mejoran continuamente los productos y servicios basados en IA de BlackBerry data- y Cylance . Esperamos que los datos detallados y útiles de nuestra última edición le resulten útiles.
Ismael Valenzuela
Vicepresidente de Investigación e Inteligencia de Amenazas en BlackBerry
@aboutsecurity
Ataques por país y sector
Ciberataques por países
Los cinco países que sufren más ciberataques
La figura 1 muestra los cinco países en los que las soluciones deBlackBerry Cybersecurity impidieron el mayor número de ciberataques y en los que se utilizaron muestras maliciosas únicas. Al igual que en el informe anterior, BlackBerry evitó el mayor número de ataques en Estados Unidos. Desde entonces hemos observado un crecimiento en la región de Asia-Pacífico (APAC), con Corea del Sur y Japón entrando en los tres primeros puestos. Nueva Zelanda y Hong Kong se han colado entre los 10 primeros. Aunque Estados Unidos sigue en cabeza, hemos observado una diversificación mucho mayor de los países en los que se observaron estas novedosas muestras.
Ataques por industria
Según la telemetría de BlackBerry , a continuación se indican los principales sectores con la mayor distribución de ciberataques que las soluciones de BlackBerry Cybersecurity protegieron durante este periodo de información:
- Instituciones financieras
- Servicios y equipos sanitarios, incluidos hospitales, clínicas y dispositivos médicos
- Gobierno/Entidades públicas
- Infraestructuras críticas
Durante este periodo, las industrias atacadas eran un grupo más diverso que en el último informe. La figura 2 muestra la distribución de los ciberataques entre los 3 principales sectores. También muestra que existe una relación inversa en la clasificación de los sectores del 1 al 3 en ataques detenidos frente a hashes únicos detenidos:
Gobierno/Entidades públicas
Las organizaciones gubernamentales son objetivos atractivos para los actores de amenazas cuyas motivaciones pueden ser geopolíticas, financieras o de interrupción. Dado que los actores de amenazas pueden ser particulares, grupos pequeños o grupos de APT patrocinados por el Estado (que utilizan tácticas de APT), las organizaciones gubernamentales deben defenderse contra una amplia gama de amenazas.
Durante este periodo, las soluciones de ciberseguridad de BlackBerry detuvieron más de 55.000 ataques individuales contra el sector de la administración y los servicios públicos, lo que supone un aumento de casi el 40% con respecto al periodo anterior.
BlackBerry Las soluciones de ciberseguridad detuvieron el mayor número de ataques contra entidades gubernamentales en Norteamérica y la región APAC, donde Australia, Corea del Sur y Japón fueron los países más atacados de la región.
Principales amenazas gubernamentales
En el período del informe anterior, el equipo de Investigación e Inteligencia de Amenazas de BlackBerry documentó múltiples familias de malware de bajo coste y fácil acceso dirigidas a entidades gubernamentales, como RedLine, Emotet y RaccoonStealer (RecordBreaker). Los cargadores de malware PrivateLoader y SmokeLoader también se dirigían al sector público.
DCRat, también conocido como Dark Crystal RAT, fue documentado en este período de informes. DCRat se ha observado comúnmente desde 2019 y permite a los actores de amenazas tomar el control del dispositivo de una víctima, que luego sirve como un punto de acceso conveniente en el entorno comprometido.
Examinar el panorama general de las amenazas gubernamentales
En este periodo predominaron las noticias sobre grupos de ransomware que atacaban y vulneraban los sistemas de las administraciones municipales y estatales de Norteamérica.
En marzo, el grupo de ransomware LockBit atacó la ciudad de Oakland,1 California. El grupo opera un ransomware como servicio (RaaS) y suele emplear múltiples tácticas y técnicas para infiltrarse en las redes, identificar información crítica y confidencial, y filtrar datos para utilizarlos como garantía en estratagemas de doble extorsión con el fin de presionar a las víctimas para que paguen rescates más elevados. Además, en este periodo, el grupo de amenazas BlackByte se atribuyó ataques de ransomware real contra las ciudades de Dallas (Texas) y Augusta (Georgia).
El grupo de ransomware Clop (también conocido como Cl0P o CLOP) es un RaaS similar que fue observado abusando de la vulnerabilidad CVE-2023-06692, parcheada desde entonces, en la aplicación de transferencia de archivos gestionada (MFT) GoAnywhere. Después de que se descubriera esta vulnerabilidad, CLOP reivindicó la autoría de varios ataques más durante el periodo cubierto por este informe, incluido un ataque a la ciudad de Toronto,3 Canadá, donde el grupo afirma haber cifrado dispositivos y filtrado metadatos de más de 35.000 ciudadanos.
Polonia también fue blanco de ataques. SegúnReuters4, el Servicio de Impuestos polaco quedó fuera de servicio en marzo por un presunto ciberataque ruso. Según el comisario polaco de seguridad de lainformación5, el grupo NoName, alineado con Rusia, instigó los ataques, que describió como "sencillos" para los estándares actuales.
En mayo, el grupo de hacktivistas Mysterious Team atacó los sitios web del gobierno y del Ministerio de Finanzas de Senegal6 en un ataque de denegación de servicio distribuido (DDoS).
Sanidad
El sector sanitario es uno de los más atacados por las amenazas. Dado que prestan servicios críticos, los sistemas e infraestructuras sanitarios no pueden estar fuera de servicio durante largos periodos de tiempo. Esto los convierte en objetivos atractivos para las bandas de ransomware, que presionan a las víctimas para que paguen rápidamente para que el proveedor sanitario pueda volver a prestar servicio. Según un reciente informe del Centro de Denuncias de Delitos en Internet (IC3) del FBI, la sanidad y la salud pública fueron los sectores de infraestructuras críticas más atacados por las bandas de ransomware en Estados Unidos en 2022, con 210 ataques registrados oficialmente.7
El sector sanitario también está en el punto de mira debido al valor de los datos confidenciales que contienen sus sistemas, incluida la información personal identificable (IPI) de las personas, como nombres, direcciones, fechas de nacimiento, números de la seguridad social y, a menudo, historiales médicos confidenciales. La IIP puede convertirse en arma para delitos como el robo deidentidad8 , venderse en foros de mercado de la web oscura o utilizarse para chantajes y rescates.
Según la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE.UU. (U.S. Department of Health and Human Services Office for Civil Rights Breach Portal)9 , durante este periodo se produjeron 146 incidentes de piratería informática contra proveedores de servicios sanitarios estadounidenses.
Principales amenazas para la sanidad
Durante el periodo del informe, las soluciones de BlackBerry Cybersecurity detectaron y detuvieron 13.433 binarios de malware únicos y evitaron más de 109.922 ataques dispares en todo el sector sanitario.
Los ataques más destacados se realizaron con malware básico, en particular infostealers como RedLine. Otra amenaza prevalente fue Amadey (un bot vinculado a una botnet del mismo nombre), que puede realizar tareas de reconocimiento en un host infectado, robar datos y entregar cargas útiles adicionales.
Los autores de las amenazas también utilizaron familias de malware como Emotet, IcedID y SmokeLoader para atacar el sector sanitario. Uno de los rasgos comunes de estos ataques a proveedores de atención sanitaria es que emplean malware de robo de información que también puede transportar cargas maliciosas adicionales.
Examen del panorama general de las amenazas para la sanidad
En este periodo se produjeron varios ciberataques notables y a gran escala en el panorama general de las amenazas contra la sanidad. A principios de marzo, el hospital español Clínic de Barcelona fue víctima10 de un ataque de ransomware presuntamente perpetrado11 por la organización de ciberdelincuentes RansomHouse. El ataque se dirigió contra máquinas virtuales de la infraestructura del hospital e interrumpió gravemente los servicios médicos programados. Poco más de una semana después, Alliance Healthcare -uno de los principales proveedores farmacéuticos de España- fue objeto de un ataque que provocó el cierre completo12 del sitio web de la empresa, sus sistemas de facturación y el procesamiento de pedidos.
También en marzo, el fabricante farmacéutico Sun Pharmaceuticals, con sede en Bombay -el mayor de su clase en la India y el cuarto del mundo- fue atacado13 por el operador de ransomware ALPHV/BlackCat, que poco después añadió los datos robados de la empresa a su sitio de filtraciones. Aproximadamente en el mismo periodo, el grupo también atacó a Lehigh Valley Health Network, con sede en Pensilvania, tras lo cual amenazaron con publicar fotos de pacientes de cáncer de mama,14 una acción que fue condenada universalmente como un nuevo mínimo para la industria de la ciberdelincuencia.
También se sospecha que agentes de amenazas patrocinados por el Estado han atacado al sector sanitario durante este periodo. En mayo, las fuerzas de seguridad surcoreanas revelaron que piratas informáticos con base en Corea del Norte habían entrado en el Hospital de la Universidad Nacional de Seúl y robado datos médicos confidenciales. La brecha se produjo a mediados de 2021, tras lo cual se llevó a cabo una investigación de dos años. Fuentes de los medios de comunicación afirmaron que el grupo APT Kimsuky perpetró este ataque.15
Estos variados ataques demuestran que el sector sanitario es un objetivo atractivo para todo tipo de amenazas. Dado que las organizaciones sanitarias suelen albergar datos confidenciales y prestar servicios críticos, es probable que aumente el número de ataques contra este sector.
Finanzas
El sector financiero es un objetivo frecuente de los ciberdelincuentes que buscan grandes ganancias, un impacto destructivo (incluidas posibles multas gubernamentales, honorarios legales, costes de mitigación de amenazas y daños a la reputación del objetivo) y datos financieros confidenciales que puedan venderse en foros de la web oscura. A menudo, estos datos son adquiridos por actores secundarios que los utilizan como arma para lograr otros objetivos maliciosos.
Durante este periodo, las soluciones de BlackBerry Cybersecurity detuvieron más de 17.000 ataques dirigidos a instituciones financieras, de los cuales cerca de 15.000 iban dirigidos a organizaciones estadounidenses. Los ataques restantes contra el sector financiero se detectaron y detuvieron en países situados en Sudamérica y Asia.
Principales amenazas para el sector financiero
Durante el periodo que abarca este informe, la telemetría de BlackBerry observó una tendencia continua en el uso de programas maliciosos como RedLine, que puede recopilar información como credenciales guardadas, datos de tarjetas de crédito y (en una versión más reciente) criptomoneda. BlackBerry también observó ataques con el programa malicioso de puerta trasera SmokeLoader y el marco de código abierto MimiKatz.
Amadey, una botnet vendida en foros de hacking de habla rusa, fue detectada amenazando al sector financiero. Amadey envía la información de la víctima objetivo a su comando y control (C2) mientras espera órdenes del atacante. La función principal de Amadey es cargar cargas útiles maliciosas en las máquinas comprometidas.
Examinar el panorama general de las amenazas financieras
El sector financiero, especialmente los bancos, sufrió numerosos ataques durante este periodo. Otra amenaza común para las instituciones financieras fue el ransomware Clop, una variante de la familia de ransomware CryptoMix. El grupo detrás de este malware también abusó de una nueva vulnerabilidad encontrada en el software GoAnywhere MFT, que sufría una vulnerabilidad de inyección de comandos previa a la autenticación rastreada como CVE-2023-0669 16 en la reciente brecha de la plataforma bancaria Hatch Bank17.
A principios de este periodo, el grupo RaaS detrás de Lockbit 3.0 atacó FullertonIndia18, una empresa financiera no bancaria de la India. El grupo responsable del ataque afirmó haber robado más de 600 GB de datos que compartió en su sitio de filtraciones de la Dark Web.
En Australia, el gigante de los préstamos Latitude Financial Services19 y la unidad indonesia del Commonwealth Bank of Australia20 fueron objeto de ciberataques a principios de 2023.
El sector financiero también fue blanco de un nuevo programa malicioso para Android. El troyano para Android conocido como "Chameleon" 21 imita una aplicación de servicios bancarios electrónicos del PKO Bank Polski para engañar a las víctimas. El grupo de malware para Android Xenomorph publicó versiones actualizadas y, al parecer, robó credenciales de más de 400 bancos22 de todo el mundo.
Infraestructuras críticas
Dado que unas infraestructuras críticas fiables son necesarias para la prestación de servicios esenciales de los que dependen poblaciones enteras, las infraestructuras son un objetivo de gran valor para los Estados-nación hostiles y otros grupos que planean atentados. Como señalábamos en nuestro informe anterior, el sector energético ucraniano ha sido objeto de ataques físicos y digitales por parte de presuntos grupos apoyados por Rusia. Dada la creciente atención que los malhechores, los gobiernos y las infraestructuras críticas prestan a las vulnerabilidades de seguridad de la tecnología operativa (OT), las entidades deben dar prioridad a la seguridad de sus infraestructuras.
Durante este periodo de notificación, la telemetría de BlackBerry registró el mayor número de ataques contra infraestructuras estadounidenses, seguida de India, Japón y Ecuador. En total, las soluciones de ciberseguridad de BlackBerry detuvieron más de 25.000 ataques contra infraestructuras críticas durante este periodo de notificación.
Principales objetivos de infraestructuras críticas
Las infraestructuras críticas suelen estar aisladas de otros sistemas en un esfuerzo por mitigar las amenazas externas. Sin embargo, la creciente digitalización e integración con el Internet de las cosas (IoT) en los ecosistemas de TI y OT puede presentar riesgos imprevistos. A medida que se adoptan nuevas tecnologías, sin duda seguirán las ciberamenazas sofisticadas. Además de dañar las infraestructuras, los ciberdelincuentes también buscan acceder a datos y sistemas.
El malware de consumo también es una amenaza creciente para las infraestructuras. Por ejemplo, BlackBerry detectó el infostealer Vidar, un malware básico.
Examen del panorama general de las amenazas a las infraestructuras críticas
Durante el periodo del informe se produjeron varios ataques muy publicitados contra infraestructuras críticas, entre los que destaca un ataque contra Estados Unidos perpetrado por un presunto agente de amenazas patrocinado por el Estado chino, Volt Typhoon. Según un estudio deMicrosoft23 , Volt Typhoon se dedica principalmente al espionaje. El grupo aprovecha las técnicas de living off the land (LotL)24 y compromete los equipos de red para canalizar el tráfico de red sin ser detectado.
En abril, un presunto grupo con base en Corea del Norte, que se creía que estaba detrás del ataque a la cadena de suministro X_Trader25, fue vinculado al compromiso de infraestructuras críticas en Estados Unidos y Europa. Las crecientes tensiones geopolíticas han sensibilizado a la opinión pública sobre la elevada amenaza que se cierne sobre las infraestructuras críticas con sede en Occidente. El Centro Nacional de Ciberseguridad del Reino Unido (NCSC), por ejemplo, emitió una alerta26 en la que llamaba a la vigilancia debido al aumento de la actividad de los actores de amenazas alineados con el Estado y simpatizantes de la invasión rusa de Ucrania.
Análisis y comentarios geopolíticos
Vivimos en la era de la geopolítica digital. La ciberactividad maliciosa se ha convertido en una táctica empleada con frecuencia por algunas naciones-estado para proyectar poder, perturbar a sus adversarios y alcanzar sus objetivos geopolíticos. Como describió el Centro Canadiense de Seguridad Cibernética en su Evaluación Nacional de Ciberamenazas para 2023-24,27 la actividad de ciberamenazas "se ha convertido en una herramienta importante para que los estados influyan en los acontecimientos sin llegar al umbral del conflicto". Las motivaciones detrás de los ciberataques pueden ir desde el robo de propiedad intelectual al ciberespionaje, pasando por la interrupción de infraestructuras críticas y la potenciación de campañas de influencia digital para socavar la confianza pública en el gobierno (véase la Estrategia Nacional de Ciberseguridad de EE.UU.).28 A medida que más y más infraestructuras de TI y OT estén en línea, es probable que la actividad cibernética siga siendo utilizada como una herramienta para lograr fines económicos, sociales, geopolíticos y militares.
Durante este periodo de información, BlackBerry documentó un aumento de casi el 40% en el número de ciberataques contra entidades del sector público que fueron detenidos por las soluciones deBlackBerry Cybersecurity. Los sectores de infraestructuras críticas se han convertido en objetivos estratégicos para los ciberatacantes patrocinados por el Estado, ya que el tiempo de inactividad en la prestación de servicios esenciales por parte del gobierno puede ser particularmente perjudicial, socavando la confianza pública. Por esta razón, los gobiernos de los Cinco Ojos, una alianza de inteligencia compuesta por Australia, Canadá, Nueva Zelanda, Reino Unido y Estados Unidos, han evaluado sistemáticamente que los ciberactores patrocinados por el Estado están "casi con toda seguridad llevando a cabo actividades de reconocimiento contra infraestructuras críticas" con el objetivo de "posicionarse previamente en redes OT industriales" y para "enviar mensajes intimidatorios sobre [su] poder y capacidad [para] amenazar la salud y seguridad de una población". (The Cyber Threat to Canada's Oil and Gas Sector,29 Centro Canadiense de Ciberseguridad, 2023; véase también CISA Cybersecurity Alerts & Advisories).30
Ante la escalada de ciberataques, los gobiernos están intensificando la colaboración para ayudar a investigar, responder y recuperarse de los incidentes. Ejemplos de ello son las rápidas movilizaciones de Estados Unidos y otros países aliados para ayudar a CostaRica31 ,Albania32 y Montenegro33 en 2022, cuando sus gobiernos se enfrentaron a ciberataques contra infraestructuras críticas. Más recientemente, en Vancouver, Canadá, más de 30 gobiernos reafirmaron la necesidad de una amplia cooperación internacional para contrarrestar las ciberamenazas y mantener un comportamiento estatal responsable en el ciberespacio (véase "Nations urged to be responsible in cyber space after meeting in Vancouver").34
A medida que continúan las hostilidades en Ucrania, el vínculo entre geopolítica y ciberataques se ha hecho cada vez más evidente. Australia, Canadá, Nueva Zelanda, el Reino Unido y los Estados Unidos han emitido múltiples avisos cibernéticos conjuntos35 advirtiendo de la posible actividad cibernética dirigida contra infraestructuras críticas por parte de grupos criminales-hacktivistas "patrocinados por el Estado ruso" y "alineados con Rusia", no estatales, en apoyo de la invasión rusa de Ucrania. Durante el periodo que abarca este informe, BlackBerry documentó ataques de presuntos agentes de amenazas afiliados a Rusia contra misiones diplomáticas de la UE y entidades sanitarias estadounidenses que prestaban asistencia médica a refugiados ucranianos. Prevemos que esta tendencia continuará a medida que se agrave la crisis geopolítica.
Número total de amenazas detenidas
De marzo a mayo de 2023, las soluciones deBlackBerry Cybersecurity detuvieron 1.528.488 ciberataques. Durante ese tiempo, los actores de las amenazas desplegaron una media de 16.614 muestras de malware al día contra los clientes de BlackBerry . Eso supone una media de 11,5 muestras de malware por minuto.
Estas muestras incluían 224.851 muestras de malware nuevas y únicas. De media, esto equivale a 2.444 muestras nuevas al día o 1,7 muestras nuevas por minuto. Esto representa un aumento del 13% con respecto a la media del periodo de notificación anterior, de 1,5 muestras únicas por minuto.
El siguiente gráfico muestra la dinámica de los ciberataques que las soluciones de BlackBerry Cybersecurity impulsadas por Cylance AI evitaron durante este periodo.
Actores y herramientas de la amenaza
Durante este periodo, las soluciones de ciberseguridad de BlackBerry , impulsadas por la IA de Cylance , defendieron a los clientes frente a estos actores y herramientas de amenazas avanzadas.
Actores de la amenaza
APT28
APT28, también conocida como Sofacy/Fancy Bear, es un grupo de ciberespionaje altamente cualificado y con muchos recursos que, según se cree, opera en nombre del gobierno ruso y se centra en los países occidentales y sus aliados. Activo desde al menos 2007, el grupo tiene como objetivo una amplia gama de sectores que incluyen el gobierno, el ejército, los contratistas de defensa y las empresas energéticas. Se sospecha que el grupo ha participado en campañas de amenazas persistentes avanzadas, como la Operación Pawn Storm y la Operación Sofacy.
En noviembre de 2015, el grupo comenzó a utilizar un arma llamada Zebrocy que tiene tres componentes principales: un downloader y dropper que pueden descubrir procesos en ejecución y descargar el archivo malicioso en los sistemas, y un backdoor que establece persistencia en el sistema y exfiltra datos.
Grupo Lazarus
Se cree que el GrupoLazarus37, también conocido como Labyrinth Chollima, Hidden Cobra, Guardians of Peace, Zinc y Nickel Academy, es un grupo de ciberamenazas patrocinado por el Estado norcoreano y atribuido a la agencia de inteligencia Reconnaissance General Bureau de Corea del Norte. El grupo lleva activo al menos desde 2009 y, según los informes, fue responsable del ataque destructivo wiper de noviembre de 2014 contra Sony Pictures Entertainment como parte de una campaña denominada Operación Blockbuster.38
Este grupo utilizó un troyano de acceso remoto (RAT) personalizado llamado Manuscrypt39 que recopila información del sistema, ejecuta comandos y descarga cargas útiles adicionales.
Herramientas
AdFind
AdFind es una herramienta de línea de comandos de código abierto que recopila información de Active Directory (AD). AdFind se utiliza durante las etapas de descubrimiento para recopilar datos de AD de las víctimas.
Mimikatz
Mimikatz es un marco y una herramienta de pruebas de penetración (pen-testing) de código abierto que ofrece múltiples funciones para probar la seguridad de la red y endurecer los sistemas. Mimikatz puede extraer información confidencial, como contraseñas y credenciales, y ofrece muchas otras funciones para ayudar a los profesionales de la seguridad a identificar vulnerabilidades, incluida la escalada de privilegios en ordenadores basados en Windows®. Debido a sus potentes capacidades, los actores de amenazas a menudo abusan de Mimikatz para lograr sus objetivos maliciosos.
Huelga de cobalto
Cobalt Strike®40 es una plataforma comercial de emulación de adversarios que puede ejecutar ataques selectivos y emular las acciones posteriores a la explotación de los actores de amenazas avanzadas. Los profesionales de la seguridad suelen utilizar esta herramienta en las pruebas de penetración para evaluar y probar la seguridad de redes y sistemas informáticos.
Cobalt Strike Beacon es un agente ligero sin archivos que puede desplegarse en el dispositivo de una víctima para ofrecer funciones como transferencias de archivos, registro de pulsaciones de teclas, escalada de privilegios, exploración de puertos, etc. Estas funciones suelen ser utilizadas por los profesionales de la seguridad para emular amenazas y poner a prueba las ciberdefensas, pero también son objeto de abusos habituales por parte de los actores de amenazas.
RAT extrema
Extreme RAT (también conocida como XTRAT, Xtreme Rat) es una herramienta troyana de acceso remoto cuyas funciones incluyen la carga y descarga de archivos, la gestión del registro, la ejecución de comandos shell, la captura de pantallas, la manipulación de procesos y servicios en ejecución y la grabación de audio a través del micrófono o la cámara web de un dispositivo. Esta RAT se utilizó en ataques dirigidos contra los gobiernos israelí41 y sirio42 en 2012 y 2015, así como en otros ataques de muchos actores de amenazas diferentes.
Familias de malware más frecuentes
Windows
Droppers/Downloaders
Emotet
A lo largo de la última década, Emotet ha evolucionado desde su creación original como troyano bancario independiente hasta convertirse en malware como servicio (MaaS) operado detrás de un trío de redes de bots denominadas Epoch1, Epoch2 y Epoch3. Las redes de bots sirven como mecanismo de entrega para otros programas maliciosos como TrickBot, IcedID, Bumblebee Loader y también se sabe que despliegan balizas maliciosas Cobalt Strike.
En el pasado, la infame banda de ransomware Ryuk utilizaba Emotet junto con TrickBot para facilitar el acceso a los entornos de las víctimas. Emotet utiliza correos electrónicos de spam y documentos de Microsoft® Office infectados como principal vector de infección. Tras sobrevivir a un intento de desmantelamiento por parte de las fuerzas de seguridad y a más de un año sabático autoimpuesto, Emotet sigue presente en el panorama actual de las amenazas.
PrivateLoader
PrivateLoader apareció por primera vez en el panorama de las amenazas en 2022 y estaba conectado a un servicio de pago por instalación. Utilizando versiones troyanizadas de software "crackeado" (o modificado) como principal vector de infección, PrivateLoader se ha utilizado en numerosas campañas para distribuir una gran variedad de malware básico, como RedLine, Remcos, njRAT y SmokeLoader, entre otros. La telemetría de BlackBerry indica que es probable que PrivateLoader se convierta en un visitante habitual, aunque no bienvenido, en el futuro.
Cargador de humo
SmokeLoader es un elemento habitual en el panorama de las amenazas y no ha dejado de evolucionar desde su aparición en 2011. Hasta 2014, fue utilizado principalmente por actores de amenazas rusos y se ha utilizado para cargar una gran variedad de malware, incluyendo ransomware, infostealers, cryptominers y troyanos bancarios. SmokeLoader se distribuye a menudo a través de correos electrónicos de spam, documentos armados y ataques de spearphishing. Una vez instalado en el host de la víctima, SmokeLoader puede crear un mecanismo de persistencia para sobrevivir tras el reinicio, realizar inyecciones DLL para intentar ocultarse dentro de procesos legítimos, realizar enumeraciones de hosts y descargar/cargar archivos adicionales o malware. SmokeLoader también contiene técnicas anti-sandbox y anti-análisis como la ofuscación de código.
Durante el período del informe anterior, SmokeLoader se utilizó dos veces para atacar entidades ucranianas en cadenas de ejecución que incluían archivos, documentos señuelo, cargadores JavaScript y el uso de PowerShell para entregar una carga útil de SmokeLoader.
Infostealers
RedLine
RedLine es un conocido infostealer basado en .NET cuyo objetivo son los sistemas Windows. Según la telemetría de BlackBerry , RedLine fue una de las familias de malware más observadas durante este periodo. Esta familia de malware tan extendida también se analizó en el informe Global Threat Intelligence Report - April 2023.
RedLine es un infostealer relativamente barato que intenta extraer información personal de un sistema infectado, como contraseñas, números de la seguridad social e información de tarjetas de crédito guardada en navegadores. Además, RedLine puede recopilar y enviar al atacante listas de aplicaciones (incluido software de seguridad) instaladas en el dispositivo de la víctima, lo que ayuda a los atacantes a planear ataques secundarios. RedLine también puede ejecutar comandos y suele ser un componente de una cadena de ejecución de varias etapas.
RedLine tiene una amplia difusión en foros clandestinos y se vende como producto independiente o como parte de un paquete de suscripción MaaS. En el momento de escribir estas líneas, puede adquirirse por un precio aproximado de entre 100 y 150 dólares estadounidenses.
La popularidad de RedLine y su capacidad para infligir daños se deben a su versatilidad. El malware puede distribuirse de varias formas diferentes y a menudo se despliega como carga secundaria o terciaria de otro malware para aumentar los daños en el sistema de la víctima. En los últimos meses, RedLine se ha distribuido a través de archivos adjuntos troyanizados de Microsoft® OneNote en correos electrónicos de phishing.
RaccoonStealer/RompeRécords
RaccoonStealer es un infostealer que obtiene cookies del navegador, contraseñas, datos de autocompletado del navegador web y datos de carteras de criptomonedas. Al parecer, el malware se ha vendido como MaaS en foros de la dark web y plataformas similares.
A mediados de 2022, tras un paréntesis y la suspensión temporal de sus operaciones, el grupo detrás del malware anunció una nueva versión de RaccoonStealer apodada RaccoonStealer 2.0 o RecordBreaker. Este malware actualizado se distribuye actualmente como MaaS en mercados oscuros. El grupo afirma que lo reconstruyó desde cero con una infraestructura actualizada y capacidades de robo de información mejoradas.
Vidar
Vidar es otro malware de uso frecuente que se distribuye abiertamente en foros clandestinos. Vidar, que al parecer es una bifurcación del infostealer Arkei, recopila información bancaria, credenciales de navegación y carteras de criptomonedas, así como archivos estándar. Una vez ejecutado, el malware recopila información crítica del sistema, así como datos sobre el hardware, los procesos en ejecución y el software, y la envía al autor de la amenaza.
Desde su lanzamiento inicial en 2018, las múltiples iteraciones de Vidar han reforzado sus capacidades, su capacidad de evasión y su complejidad general, lo que ha aumentado su popularidad entre los actores de amenazas. Se ha observado que otras familias de malware utilizan Vidar como carga secundaria.
IcedID
A menudo conocido como BokBot, este troyano bancario fue descubierto por primera vez en 2017. Desde entonces, IcedID se ha reinventado a sí mismo en múltiples ocasiones para convertirse en una amenaza prevalente en todo el panorama. IcedID es modular por naturaleza y su funcionalidad principal es la de un sofisticado troyano bancario.
Dado que IcedID se actualiza con frecuencia para ser más evasivo y dañino, sigue siendo una amenaza importante en 2023. Además, IcedID sirve a menudo como gotero de cargas útiles adicionales para malware de segunda fase, incluidos ransomware y ataques Cobalt Strike.
Troyanos de acceso remoto
Agente Tesla
Agent Tesla es una RAT compilada en .NET y un infostealer que ha estado presente en el panorama de las amenazas al menos desde 2014. Se trata de una RAT completa que puede robar y filtrar una amplia variedad de datos (como pulsaciones de teclas, capturas de pantalla y credenciales de muchas aplicaciones de uso común).
Agent Tesla ha utilizado múltiples vectores de infección, incluyendo correos electrónicos spam y documentos de Microsoft® Word convertidos en armas. También se ha propagado mediante la explotación de vulnerabilidades de Microsoft® Office y a través de archivos HTML compilados. Durante el periodo del informe anterior, Agent Tesla se convirtió en una de las RAT más activas en el panorama mundial de las amenazas.
ransomware
BlackCat/ALPHV
BlackCat o ALPHV/Noberus, que apareció por primera vez en 2021, es una familia de ransomware escrita en el lenguaje de programación Rust. El malware se vende como RaaS y puede dirigirse tanto a sistemas operativos basados en Windows como en Linux.
ALPHV es un ransomware prolífico que se ha utilizado para atacar a víctimas de alto perfil. Tras infectar el host, el ransomware ALPHV se vuelve evasivo e intenta bloquear las funciones de recuperación y notificación antes de detonar la carga útil final del ransomware.
ALPHV ha adquirido mayor notoriedad por exfiltrar datos confidenciales y utilizar un método de doble extorsión para presionar a las víctimas para que paguen rescates mayores a fin de restaurar el acceso a sus archivos cifrados y evitar que se hagan públicos.
Según un aviso delFBI43, BlackCat/ALPHV está potencialmente vinculado a los antiguos grupos DarkSide y BlackMatter.
Móvil
Android
Desde su primer lanzamiento en 2008, AndroidTM se ha convertido en la plataforma móvil preferida por más de 3.000 millones44 de usuarios activos de dispositivos portátiles, lo que supone casi el 71% del mercado mundial.45 Por desgracia, la popularidad de Android también lo convierte en un objetivo atractivo para los actores de amenazas, por lo que el panorama de amenazas para Android nunca ha estado tan animado. Estas son algunas de las amenazas más frecuentes contra Android que hemos encontrado durante el periodo que abarca este informe.
SpyNote
SpyNote46 (también conocido como SpyMax) es una familia de malware utilizada para espiar a las víctimas. SpyNote extrae información confidencial como credenciales y datos de tarjetas de crédito de los dispositivos móviles. SpyNote también puede vigilar la ubicación del usuario, acceder a la cámara de un dispositivo, interceptar mensajes de texto SMS (lo que ayuda a los actores de amenazas a eludir la autenticación de dos factores), vigilar y grabar llamadas telefónicas y controlar un dispositivo de forma remota.
SpyNote sigue evolucionando. La última iteración, apodada SpyNote.C, es la primera variante que se distribuye a través de aplicaciones falsas que se hacen pasar por aplicaciones legítimas de destacadas organizaciones financieras, así como de otras aplicaciones móviles de uso común. Tras la filtración del código fuente en octubre de 2022, las muestras de SpyNote han aumentado significativamente en el panorama de las amenazas móviles.47
SpinOk
SpinOk, que se documentó por primera vez a finales de mayo de 2023, es un componente de software malicioso con capacidades de spyware que parece ser un kit de desarrollo de software (SDK) para una aplicación de marketing. En el período del informe anterior, SpinOK se incrustó involuntariamente en docenas48 de aplicaciones en un ataque a la cadena de suministro de SDK.49
Una vez incrustada, SpinOK muestra anuncios que parecen mini juegos para animar a los usuarios a mantener la aplicación abierta. SpinOk permite a las amenazas identificar el contenido del dispositivo y filtrar datos a servidores remotos. También puede obstaculizar los esfuerzos de análisis de amenazas.50
SMSThief
SMSThief puede interceptar, reenviar o copiar los mensajes de texto SMS de una víctima mientras se ejecuta en segundo plano del dispositivo. Existen variantes de SMSThief desde hace al menos una década. SMSThief también puede incluir a las víctimas en estafas de números premium51 enviando mensajes de texto desde el dispositivo del usuario a un número premium que incurre en cargos excesivos.
Linux
Linux® se utiliza principalmente en servidores empresariales (tanto locales como basados en la nube) y dispositivos IoT, en lugar de sistemas de usuario. Los vectores de infección más populares son el forzamiento de contraseñas para acceder a Secure Shell (SSH) o el aprovechamiento de vulnerabilidades en servicios públicos. Los ataques de este periodo siguen siendo similares a los del periodo anterior, incluidos los ataques DDoS, los criptomineros y el ransomware dirigido específicamente a servidores VMWare ESXi.
Dado que Linux es un objetivo activo para los actores de amenazas, las organizaciones deben actuar para disminuir su riesgo. La aplicación de parches de seguridad debe ser una prioridad. Los parches pueden ayudar a proteger los entornos Linux de los exploits remotos, así como de las vulnerabilidades de escalada de privilegios locales (LPE), que suelen utilizarse en ataques sofisticados. Estos exploits remotos incluyen malware avanzado como backdoors. Dado que muchas amenazas a entornos Linux se basan en el forzamiento de contraseñas débiles para obtener acceso, recomendamos exigir credenciales seguras, así como un programa eficaz de gestión de vulnerabilidades.
Denegación de servicio distribuida
Los ataques DDoS basados en malware fueron la amenaza más común para los sistemas Linux durante este periodo de notificación. La variante de malware más desplegada fue Mirai, que lleva activa al menos desde 2016. El código fuente de Mirai se publica en foros clandestinos, lo que dificulta la atribución de los ataques a grupos específicos. Mirai se dirige principalmente a dispositivos IoT sin actualizaciones de seguridad.
Gafygt52, activo desde 2014, es una red de bots basada en Linux que utiliza un código base similar al de Mirai y suele tener como objetivo dispositivos como los routers IoT. En el periodo del informe anterior, XorDDos53 fue el malware más avanzado utilizado en ataques DDoS, aunque también fue el menos común. XorDDoS se propaga principalmente forzando el acceso a SSH y puede incluir un rootkit que oculta su presencia a los administradores del sistema.
Criptomineros
La segunda amenaza más común para los servidores Linux durante el período de este informe fueron los criptomineros, actores de amenazas que utilizan los recursos del sistema de la víctima para minar criptomoneda (principalmente Monero). Si bien el software multiplataforma de código abierto XMRig es la criptominería más común, este período de información reveló un aumento en el uso de la red de botsPrometei54, que ha estado activa desde al menos 2020 y también está disponible como versión para Windows. Las características avanzadas de Prometei incluyen el uso de algoritmos generados por dominios para dificultar la detención de la botnet. Prometei se dirigía a víctimas de todo el mundo, pero no a hosts rusos. En un principio, Prometei estaba supuestamente diseñado para no atacar a los países de la CEI (Rusia, Ucrania, Bielorrusia y Kazajstán). Sin embargo, ediciones posteriores del malware sugieren que este ya no es el caso. El malware parece estar diseñado para infectar todo excepto los dispositivos con base en Rusia. Por lo tanto, parece que los activistas prorrusos están buscando formas de atacar a los países que han apoyado a Ucrania contra la invasión rusa.
ransomware
Mientras que la mayoría de los ataques de ransomware se dirigen a Windows, los grupos de amenazas más importantes crean una versión Linux de su malware, a menudo dirigida a VMWare ESXi. Esto incluye la actividad de varios grupos importantes, como Lockbit, Black Basta, BlackCat/ALPHV, Babuk, Royal y Hive. Trigona55 y Money Message56 son nuevas cepas de ransomware que incluyen una versión para Linux.
En el futuro, esperamos que nuevos grupos de ransomware desarrollen una variante para Linux al inicio de sus operaciones, lo que aumentará la probabilidad de ataques de ransomware contra sistemas Linux.
macOS
Aunque se considera más seguro que Windows, macOS lleva mucho tiempo en el punto de mira de las amenazas avanzadas. Para obtener información detallada, consulte macOS: Tracking High Profile Targeted Attacks, Threat Actors & TTPs,57 la presentación de BlackBerryen RSA 2023.
Mientras que el malware típico de macOS muestra adware o secuestra las búsquedas del navegador web, un número cada vez mayor de actores de amenazas durante este período de notificación utilizaron lenguajes de programación multiplataforma para desarrollar malware dirigido al propio macOS. Por ejemplo, observamos una nueva cepa llamada Atomic macOS (AMOS), un infostealer basado en el lenguaje de programación multiplataforma GoLang (también conocido como Go).
Adware y secuestro del navegador
Aunque mucha gente considera que el adware no es más que una aplicación no deseada, el adware puede descargar e instalar componentes dañinos como puertas traseras. En este periodo, nuestra telemetría muestra que AdLoad y Pirrit siguen siendo los adware más extendidos. También observamos la reaparición de Genieo, una amenaza más antigua que redirige los resultados de la barra de búsqueda para dirigir al usuario hacia adware potencialmente malicioso. El adware puede programarse para dirigir a las personas que buscan en Internet a sitios web maliciosos que descargan malware en el dispositivo de la víctima. Estos sitios maliciosos pueden clonarse para que parezcan idénticos a sitios legítimos. Por ejemplo, el grupo de amenazas RomCom clonó recientemente sitios que alojaban aplicaciones empresariales legítimas y utilizó el typosquatting para crear URL similares a las utilizadas en el sitio web real. Los visitantes de los sitios falsos descargaban, sin saberlo, versiones troyanizadas de software popular que proporcionaban a los actores de la amenaza una puerta trasera a su máquina para filtrar información.
Robo atómico de macOS (AMOS)
Atomic macOS (AMOS) es una nueva cepa de infostealer dirigida a macOS que surgió en este periodo58 y se ha visto desplegada en la naturaleza. AMOS se anuncia en la popular aplicación de mensajería en la nube Telegram. El malware puede recopilar credenciales de usuario de llaveros, navegadores y monederos de criptomonedas y extraer archivos de directorios específicos del usuario, como Escritorio y Documentos. En la plataforma Windows, los intermediarios de acceso inicial (IAB) utilizan las credenciales robadas para comprometer las redes y desplegar ransomware. Aunque este comportamiento no se ha observado en AMOS, es posible que se produzca en el futuro.
Historias más interesantes
SideWinder utiliza el polimorfismo del lado del servidor para atacar a funcionarios del gobierno pakistaní y ahora apunta a Turquía
A principios de mayo, el equipo de Investigación e Inteligencia de Amenazas de BlackBerry publicó hallazgos que descubrían una campaña del grupo APT SideWinder,59 que se cree que se originó en la India. La campaña se centró en objetivos gubernamentales paquistaníes y se llevó a cabo mediante una compleja cadena de ejecución que se basaba en correos electrónicos de phishing y documentos armados que aprovechan la vulnerabilidad CVE-2017-019960 para realizar la inyección remota de plantillas. El grupo utilizó un polimorfismo único del lado del servidor61 para eludir los mecanismos de detección basados en firmas. Si tenía éxito, el exploit entregaba una carga útil en la siguiente fase.
La primera campaña tuvo lugar en diciembre de 2022. En marzo de 2023, el equipo de Investigación e Inteligencia de Amenazas de BlackBerry descubrió pruebas de otra campaña de SideWinder dirigida a Turquía. El calendario de esta campaña coincidió con acontecimientos geopolíticos en la región, especialmente el apoyo público de Turquía a Pakistán en su disputa con la India porCachemira62.
Los primeros implantes y el análisis de la red sugieren que la operación de la cadena de suministro de 3CX se remonta al otoño de 2022
A finales de marzo de 2023, el proveedor de comunicaciones empresariales 3CX anunció63 una importante brecha de seguridad que resultó en la distribución mundial de versiones troyanizadas de su software VOIP, 3CXDesktopApp.
3CXDesktopApp es un producto de conferencias de voz y vídeo muy utilizado para llamadas, vídeo y chat en directo. El sitio web de la empresa afirma que 3CX tiene aproximadamente 600.000 empresas clientes, con más de 12 millones de usuarios diarios en 190 países.64
3CX anunció65 la brecha al día siguiente del ataque. En una actualización posterior sobre el incidente,66 3CX declaró que el actor de amenazas UNC4736, afiliado a Corea del Norte, estaba detrás del ataque, que desplegó el malware Taxhaul (también conocido como TxRLoader) junto con el descargador Coldcat.
El malware se distribuía inicialmente mediante un instalador malicioso que aparecía como un archivo de dependencia comprometido que permitía que los archivos troyanizados se firmaran y aparecieran como archivos legítimos del proveedor.
BlackBerry La telemetría y el análisis de las muestras iniciales y de la infraestructura de red correspondiente indican que la operación comenzó entre el verano y principios del otoño de 2022. El ataque afectó a los sectores sanitario, farmacéutico, informático y financiero de Australia, Estados Unidos y Reino Unido.
NOBELIUM utiliza la visita del embajador de Polonia a EE.UU. para atacar a los gobiernos de la UE que ayudan a Ucrania
A principios de marzo BlackBerry los investigadores observaron campañas dirigidas a entidades europeas por parte del agente de amenazas ruso patrocinado por el Estado conocido como NOBELIUM (APT29), vinculado públicamente al servicio de inteligencia exterior ruso SVR.
El grupo creó señuelos personalizados dirigidos a personas interesadas en el viaje del embajador polaco Marek Magierowksi a Washington D.C. para hablar de la guerra en curso en Ucrania. Otro señuelo estaba diseñado para abusar de los sistemas legítimos LegisWrite y eTrustEx, que las naciones de la UE utilizan para el intercambio de información y la transferencia segura de datos.
La herramienta utiliza una técnica de contrabando de HTML para enviar más componentes maliciosos (a menudo en forma de archivo ISO o IMG) a la máquina de la víctima, que roba información confidencial. La coincidencia de la visita del embajador polaco a Estados Unidos con el señuelo utilizado en los ataques demuestra que NOBELIUM utiliza acontecimientos geopolíticos para atraer a las víctimas y aumentar las probabilidades de éxito de la infección.
Del abuso de Google Ads a una campaña masiva de spearphishing suplantando la identidad de la Agencia Tributaria española
A principios de abril de 2023, el equipo de Investigación e Inteligencia de Amenazas de BlackBerry publicó los resultados de varios meses de rastreo de dos campañas maliciosas que aprovechaban el typosquatting68 con objetivos y fines diferentes.
La primera, una campaña de malvertising69 que abusaba de la plataforma de anuncios de Google, llevaba funcionando al menos varios meses. Versiones falsas y troyanizadas de software común como Libre Office, AnyDesk, TeamViewer y Brave entregaban infostealers de productos básicos como Vidar e IcedID. Para engañar a las víctimas desprevenidas, el actor de la amenaza clonaba sitios web legítimos y les asignaba nombres de dominio que utilizaban typosquatting para imitar las URL de los sitios web reales.
La segunda fue una campaña de spearphishing selectivo a gran escala que imitaba a la Agencia Tributaria española. La campaña intentaba robar credenciales de correo electrónico a víctimas de sectores clave como la tecnología, la construcción, la energía, la agricultura, la consultoría, la administración pública, la automoción, la sanidad y las finanzas.
Vulnerabilidad PaperCut RCE muy explotada por las amenazas
En marzo de 2023, se hizo público un fallo de ejecución remota de código (RCE) en PaperCut NG/MF versiones 8.0 y superiores.70 PaperCut es un desarrollador de software de gestión de impresión cuyos productos se utilizan en todo el mundo. La vulnerabilidad (rastreada como CVE-2023-27350)71 ha sido parcheada desde entonces, pero al estar disponible como prueba pública de concepto (POC) y ser difícil de detectar, el fallo RCE es un vector de infección ideal para que los actores de amenazas penetren en los sistemas que ejecutan versiones no parcheadas del software vulnerable.
Los operadores del ransomware Bl00dy han aprovechado este fallo para atacar72 entidades del sector educativo. También se ha visto a las bandas Clop y LockBit atacar servidoresvulnerables73 y, a principios de mayo, Microsoft reveló74 que había observado a varios grupos APT iraníes patrocinados por el Estado, entre ellos Mango Sandstorm y Mint Sandstorm, explotando activamente la vulnerabilidad.
Las fuerzas de seguridad desmantelan una operación rusa de software malicioso de espionaje
En un duro golpe a la capacidad de ciberespionaje rusa, el Departamento de Justicia de Estados Unidos anunció75 a principios de mayo que la infraestructura utilizada por Turla había sido desmantelada. El grupo, vinculado al Servicio Federal de Seguridad de la Federación Rusa (FSB), utilizaba un sofisticado programa de robo de información llamado Snake para obtener documentos confidenciales de Estados de la Organización del Tratado del Atlántico Norte (OTAN) y de las Naciones Unidas. La infraestructura de Snake incluía una red de bots que se encontraba en sistemas infectados de al menos 50 países, incluidos miembros de la OTAN, y supuestamente se utilizó indebidamente durante más de 20 años.
En respuesta al descubrimiento, el FBI desarrolló una utilidad llamada Perseo (héroe griego y cazador de monstruos). Perseus desactiva el malware Snake sin dañar los sistemas infectados.
El nuevo grupo de amenazas "Rhysida" ataca al Ejército de Chile
A finales de mayo de 2023, se hizo público un ataque de ransomware contra el Ejército de Chile por parte de un nuevo grupo de amenazas llamado Rhysida.76 Los detalles del ataque no se han revelado por completo, pero un cabo del Ejército ha sido detenido77 por su presunta implicación en el ataque de ransomware.
El equipo de Investigación e Inteligencia de Amenazas de BlackBerry encontró indicadores de compromiso (IoC) que indican que Rhysida se encuentra en las etapas iniciales de desarrollo. El análisis de la muestra indica que el grupo ejecutó un archivo .exe a través de PowerShell. Este archivo ejecutable portátil (PE) intenta modificar el fondo de escritorio del usuario a través de claves de registro; cifra archivos utilizando un algoritmo XOR y AES; y añade la extensión Rhysida a los archivos cifrados (para evitar cifrar carpetas del sistema operativo que interrumpirían el funcionamiento del sistema). También se ha observado la inyección de procesos al Explorador.
Después de eso, se coloca una nota de rescate llamada "CriticalBreachDetected.pdf" que contiene información sobre cómo ponerse en contacto con el grupo a través de un portal TOR. El grupo solicita el pago de un rescate en Bitcoin (BTC). Si la víctima acepta pagar, debe proporcionar una identificación y rellenar un formulario adicional para que el grupo se ponga en contacto con ella.
Técnicas comunes de MITRE
Comprender las técnicas de alto nivel de los grupos de amenazas puede ayudar a decidir qué técnicas de detección deben priorizarse. BlackBerry observó las siguientes 20 técnicas principales utilizadas por los actores de amenazas.
Una flecha hacia arriba en la última columna indica que el uso de la técnica ha aumentado desde nuestro último informe. Una flecha hacia abajo indica que el uso ha disminuido desde nuestro último informe. Un símbolo igual (=) significa que la técnica se mantiene en la misma posición que en nuestro último informe.
La lista completa de técnicas de MITRE está disponible en el GitHub público de Threat Research and Intelligence.
| Nombre de la técnica | Técnica ID | Táctica | Último informe | Cambia |
|---|---|---|---|---|
|
1. Descubrimiento de información del sistema
|
T1082
|
Descubrimiento
|
1
|
=
|
|
2. Virtualización/evasión de Sandbox
|
T1497
|
Defensa Evasión
|
3
|
↑
|
|
3. Descubrimiento de software de seguridad
|
T1518.001
|
Descubrimiento
|
4
|
↑
|
|
4. Inyección de proceso
|
T1055
|
Defensa Evasión
|
2
|
↓
|
|
5. Enmascaramiento
|
T1036
|
Defensa Evasión
|
5
|
=
|
|
6. Descubrimiento remoto del sistema
|
T1018
|
Descubrimiento
|
6
|
=
|
|
7. Protocolo de la capa de aplicación
|
T1071
|
Comando y control
|
7
|
=
|
|
8. Descubrimiento de archivos y directorios
|
T1083
|
Descubrimiento
|
8
|
=
|
|
9. Protocolo de capa no aplicativa
|
T1095
|
Comando y control
|
9
|
=
|
|
10. Descubrimiento de procesos
|
T1057
|
Descubrimiento
|
10
|
=
|
|
11. Captura de entrada
|
T1056
|
Colección
|
13
|
↑
|
|
12. Carga lateral de DLL
|
T1574.002
|
Persistencia
|
12
|
↓
|
|
13. Embalaje de software
|
T1027.002
|
Defensa Evasión
|
14
|
↑
|
|
14. Intérprete de comandos y scripts
|
T1059
|
Ejecución
|
12
|
↓
|
|
15. Claves de ejecución del registro/Carpeta de inicio
|
T1547.001
|
Persistencia
|
19
|
↑
|
|
16. Canal cifrado
|
T1573
|
Comando y control
|
17
|
↑
|
|
17. Desactivar o modificar herramientas
|
T1562.001
|
Defensa Evasión
|
15
|
↓
|
|
18. Rundll32
|
T1218.011
|
Defensa Evasión
|
16
|
↓
|
|
19. Archivos o información ofuscados
|
T1027
|
Defensa Evasión
|
18
|
↓
|
|
20. Descubrimiento de la ventana de aplicación
|
T1010
|
Descubrimiento
|
20
|
=
|
| Técnica ID | |
|---|---|
| 1. Descubrimiento de información del sistema |
T1082
|
| 2. Virtualización/evasión de Sandbox |
T1497
|
| 3. Descubrimiento de software de seguridad |
T1518.001
|
| 4. Inyección de proceso |
T1055
|
| 5. Enmascaramiento |
T1036
|
| 6. Descubrimiento remoto del sistema |
T1018
|
| 7. Protocolo de la capa de aplicación |
T1071
|
| 8. Descubrimiento de archivos y directorios |
T1083
|
| 9. Protocolo de capa no aplicativa |
T1095
|
| 10. Descubrimiento de procesos |
T1057
|
| 11. Captura de entrada |
T1056
|
| 12. Carga lateral de DLL |
T1574.002
|
| 13. Embalaje de software |
T1027.002
|
| 14. Intérprete de comandos y scripts |
T1059
|
| 15. Claves de ejecución del registro/Carpeta de inicio |
T1547.001
|
| 16. Canal cifrado |
T1573
|
| 17. Desactivar o modificar herramientas |
T1562.001
|
| 18. Rundll32 |
T1218.011
|
| 19. Archivos o información ofuscados |
T1027
|
| 20. Descubrimiento de la ventana de aplicación |
T1010
|
| Táctica | |
|---|---|
| 1. Descubrimiento de información del sistema |
Descubrimiento
|
| 2. Virtualización/evasión de Sandbox |
Defensa Evasión
|
| 3. Descubrimiento de software de seguridad |
Descubrimiento
|
| 4. Inyección de proceso |
Defensa Evasión
|
| 5. Enmascaramiento |
Defensa Evasión
|
| 6. Descubrimiento remoto del sistema |
Descubrimiento
|
| 7. Protocolo de la capa de aplicación |
Comando y control
|
| 8. Descubrimiento de archivos y directorios |
Descubrimiento
|
| 9. Protocolo de capa no aplicativa |
Comando y control
|
| 10. Descubrimiento de procesos |
Descubrimiento
|
| 11. Captura de entrada |
Colección
|
| 12. Carga lateral de DLL |
Persistencia
|
| 13. Embalaje de software |
Defensa Evasión
|
| 14. Intérprete de comandos y scripts |
Ejecución
|
| 15. Claves de ejecución del registro/Carpeta de inicio |
Persistencia
|
| 16. Canal cifrado |
Comando y control
|
| 17. Desactivar o modificar herramientas |
Defensa Evasión
|
| 18. Rundll32 |
Defensa Evasión
|
| 19. Archivos o información ofuscados |
Defensa Evasión
|
| 20. Descubrimiento de la ventana de aplicación |
Descubrimiento
|
| Último informe | |
|---|---|
| 1. Descubrimiento de información del sistema |
1
|
| 2. Virtualización/evasión de Sandbox |
3
|
| 3. Descubrimiento de software de seguridad |
4
|
| 4. Inyección de proceso |
2
|
| 5. Enmascaramiento |
5
|
| 6. Descubrimiento remoto del sistema |
6
|
| 7. Protocolo de la capa de aplicación |
7
|
| 8. Descubrimiento de archivos y directorios |
8
|
| 9. Protocolo de capa no aplicativa |
9
|
| 10. Descubrimiento de procesos |
10
|
| 11. Captura de entrada |
13
|
| 12. Carga lateral de DLL |
12
|
| 13. Embalaje de software |
14
|
| 14. Intérprete de comandos y scripts |
12
|
| 15. Claves de ejecución del registro/Carpeta de inicio |
19
|
| 16. Canal cifrado |
17
|
| 17. Desactivar o modificar herramientas |
15
|
| 18. Rundll32 |
16
|
| 19. Archivos o información ofuscados |
18
|
| 20. Descubrimiento de la ventana de aplicación |
20
|
| Cambia | |
|---|---|
| 1. Descubrimiento de información del sistema |
=
|
| 2. Virtualización/evasión de Sandbox |
↑
|
| 3. Descubrimiento de software de seguridad |
↑
|
| 4. Inyección de proceso |
↓
|
| 5. Enmascaramiento |
=
|
| 6. Descubrimiento remoto del sistema |
=
|
| 7. Protocolo de la capa de aplicación |
=
|
| 8. Descubrimiento de archivos y directorios |
=
|
| 9. Protocolo de capa no aplicativa |
=
|
| 10. Descubrimiento de procesos |
=
|
| 11. Captura de entrada |
↑
|
| 12. Carga lateral de DLL |
↓
|
| 13. Embalaje de software |
↑
|
| 14. Intérprete de comandos y scripts |
↓
|
| 15. Claves de ejecución del registro/Carpeta de inicio |
↑
|
| 16. Canal cifrado |
↑
|
| 17. Desactivar o modificar herramientas |
↓
|
| 18. Rundll32 |
↓
|
| 19. Archivos o información ofuscados |
↓
|
| 20. Descubrimiento de la ventana de aplicación |
=
|
Contramedidas y soluciones aplicadas
Técnicas de detección
El equipo de Investigación e Inteligencia de Amenazas de BlackBerry identificó 386 reglas públicas Sigma que detectaron comportamientos relacionados con amenazas en las 224.851 muestras únicas detenidas por las soluciones de ciberseguridad de BlackBerry en este periodo del informe. La figura 4 muestra las 10 reglas Sigma que detectaron más comportamientos maliciosos.
| Regla Sigma | Descripción | Técnica ATT&CK de MITRE | Táctica ATT&CK de MITRE | Último informe | Cambia |
|---|---|---|---|---|---|
|
1. Creación de un ejecutable por un ejecutable
|
Detecta la creación de un ejecutable por otro ejecutable
|
Desarrollar capacidades: Malware - T1587.001
|
Desarrollo de recursos
|
1
|
=
|
|
2. Wow6432Node CurrentVersion Autorun Claves Modificación
|
Detecta la modificación del punto de extensibilidad de arranque automático (ASEP) en el registro.
|
Ejecución de arranque o inicio automático de sesión: Claves de Ejecución del Registro / Carpeta de Inicio - T1547.001
|
Persistencia
|
2
|
=
|
|
3. CurrentVersion Autorun Keys Modificación
|
Detecta la modificación del punto de extensibilidad de arranque automático (ASEP) en el registro.
|
Ejecución de arranque o inicio automático de sesión: Claves de Ejecución del Registro / Carpeta de Inicio - T1547.001
|
Persistencia
|
6
|
↑
|
|
4. Creación de procesos mediante la carpeta Sysnative
|
Detecta eventos de creación de procesos que utilizan la carpeta Sysnative (común para los spawns de Cobalt Strike).
|
Proceso de inyección - T1055
|
Defensa Evasión
|
3
|
↓
|
|
5. Iniciar proceso desde carpeta sospechosa
|
Detecta el inicio de procesos desde carpetas raras o poco comunes, como carpetas temporales o carpetas
|
Ejecución por el usuario - T1204
|
Ejecución
|
5
|
=
|
|
6. Desactivar Microsoft Defender Firewall a través del Registro
|
Los delincuentes pueden desactivar o modificar los cortafuegos del sistema para eludir los controles que limitan el uso de la red.
|
Deteriorar Defensas: Desactivar o Modificar el Firewall del Sistema - T1562.004
|
Defensa Evasión
|
7
|
↑
|
|
7. Llamada sospechosa por ordinal
|
Detecta las llamadas sospechosas de DLL en las exportaciones rundll32.dll por valor ordinal.
|
Ejecución de proxy binario del sistema: Rundll32 - T1218.011
|
Defensa Evasión
|
9
|
↑
|
|
8. PowerShell Crear tarea programada
|
Los adversarios pueden abusar del Programador de tareas de Windows para realizar la programación de tareas para la ejecución inicial o recurrente de código malicioso
|
Tarea Programada/Job: Tarea programada - T1053.005
|
Persistencia
|
8
|
=
|
|
9. Ejecución sospechosa de Taskkill
|
Los adversarios pueden detener servicios o procesos para llevar a cabo la destrucción de datos o el cifrado de datos por impacto en los almacenes de datos de servicios como Exchange y SQL Server.
|
Parada de servicio - T1489
|
Impacto
|
NA
|
↑
|
|
10. Ejecución de Net.exe
|
Detecta la ejecución de la utilidad Net.exe de Windows, ya sea sospechosa o benigna.
|
Múltiples técnicas:
Permission Groups Discovery - T1069 Account Discovery - T1087 System Service Discovery - T1007 |
Descubrimiento
|
NA
|
↑
|
| Descripción | |
|---|---|
| 1. Creación de un ejecutable por un ejecutable |
Detecta la creación de un ejecutable por otro ejecutable
|
| 2. Wow6432Node CurrentVersion Autorun Claves Modificación |
Detecta la modificación del punto de extensibilidad de arranque automático (ASEP) en el registro.
|
| 3. CurrentVersion Autorun Keys Modificación |
Detecta la modificación del punto de extensibilidad de arranque automático (ASEP) en el registro.
|
| 4. Creación de procesos mediante la carpeta Sysnative |
Detecta eventos de creación de procesos que utilizan la carpeta Sysnative (común para los spawns de Cobalt Strike).
|
| 5. Iniciar proceso desde carpeta sospechosa |
Detecta el inicio de procesos desde carpetas raras o poco comunes, como carpetas temporales o carpetas
|
| 6. Desactivar Microsoft Defender Firewall a través del Registro |
Los delincuentes pueden desactivar o modificar los cortafuegos del sistema para eludir los controles que limitan el uso de la red.
|
| 7. Llamada sospechosa por ordinal |
Detecta las llamadas sospechosas de DLL en las exportaciones rundll32.dll por valor ordinal.
|
| 8. PowerShell Crear tarea programada |
Los adversarios pueden abusar del Programador de tareas de Windows para realizar la programación de tareas para la ejecución inicial o recurrente de código malicioso
|
| 9. Ejecución sospechosa de Taskkill |
Los adversarios pueden detener servicios o procesos para llevar a cabo la destrucción de datos o el cifrado de datos por impacto en los almacenes de datos de servicios como Exchange y SQL Server.
|
| 10. Ejecución de Net.exe |
Detecta la ejecución de la utilidad Net.exe de Windows, ya sea sospechosa o benigna.
|
| Técnica ATT&CK de MITRE | |
|---|---|
| 1. Creación de un ejecutable por un ejecutable |
Desarrollar capacidades: Malware - T1587.001
|
| 2. Wow6432Node CurrentVersion Autorun Claves Modificación |
Ejecución de arranque o inicio automático de sesión: Claves de Ejecución del Registro / Carpeta de Inicio - T1547.001
|
| 3. CurrentVersion Autorun Keys Modificación |
Ejecución de arranque o inicio automático de sesión: Claves de Ejecución del Registro / Carpeta de Inicio - T1547.001
|
| 4. Creación de procesos mediante la carpeta Sysnative |
Proceso de inyección - T1055
|
| 5. Iniciar proceso desde carpeta sospechosa |
Ejecución por el usuario - T1204
|
| 6. Desactivar Microsoft Defender Firewall a través del Registro |
Deteriorar Defensas: Desactivar o Modificar el Firewall del Sistema - T1562.004
|
| 7. Llamada sospechosa por ordinal |
Ejecución de proxy binario del sistema: Rundll32 - T1218.011
|
| 8. PowerShell Crear tarea programada |
Tarea Programada/Job: Tarea programada - T1053.005
|
| 9. Ejecución sospechosa de Taskkill |
Parada de servicio - T1489
|
| 10. Ejecución de Net.exe |
Múltiples técnicas:
Permission Groups Discovery - T1069 Account Discovery - T1087 System Service Discovery - T1007 |
| Táctica ATT&CK de MITRE | |
|---|---|
| 1. Creación de un ejecutable por un ejecutable |
Desarrollo de recursos
|
| 2. Wow6432Node CurrentVersion Autorun Claves Modificación |
Persistencia
|
| 3. CurrentVersion Autorun Keys Modificación |
Persistencia
|
| 4. Creación de procesos mediante la carpeta Sysnative |
Defensa Evasión
|
| 5. Iniciar proceso desde carpeta sospechosa |
Ejecución
|
| 6. Desactivar Microsoft Defender Firewall a través del Registro |
Defensa Evasión
|
| 7. Llamada sospechosa por ordinal |
Defensa Evasión
|
| 8. PowerShell Crear tarea programada |
Persistencia
|
| 9. Ejecución sospechosa de Taskkill |
Impacto
|
| 10. Ejecución de Net.exe |
Descubrimiento
|
| Último informe | |
|---|---|
| 1. Creación de un ejecutable por un ejecutable |
1
|
| 2. Wow6432Node CurrentVersion Autorun Claves Modificación |
2
|
| 3. CurrentVersion Autorun Keys Modificación |
6
|
| 4. Creación de procesos mediante la carpeta Sysnative |
3
|
| 5. Iniciar proceso desde carpeta sospechosa |
5
|
| 6. Desactivar Microsoft Defender Firewall a través del Registro |
7
|
| 7. Llamada sospechosa por ordinal |
9
|
| 8. PowerShell Crear tarea programada |
8
|
| 9. Ejecución sospechosa de Taskkill |
NA
|
| 10. Ejecución de Net.exe |
NA
|
| Cambia | |
|---|---|
| 1. Creación de un ejecutable por un ejecutable |
=
|
| 2. Wow6432Node CurrentVersion Autorun Claves Modificación |
=
|
| 3. CurrentVersion Autorun Keys Modificación |
↑
|
| 4. Creación de procesos mediante la carpeta Sysnative |
↓
|
| 5. Iniciar proceso desde carpeta sospechosa |
=
|
| 6. Desactivar Microsoft Defender Firewall a través del Registro |
↑
|
| 7. Llamada sospechosa por ordinal |
↑
|
| 8. PowerShell Crear tarea programada |
=
|
| 9. Ejecución sospechosa de Taskkill |
↑
|
| 10. Ejecución de Net.exe |
↑
|
Regla Sigma: Ejecución de Net.exe
Relacionado con Sysmon Event ID 1 Process Creation. Esta regla Sigma identifica ejecuciones con líneas de comando específicas. Entre los comportamientos interesantes que hemos observado se incluyen los siguientes:
Proceso padre de \AppData\Local\ ejecutando
> C:\\Windows\system32\net.exe ver
Proceso padre de \AppData\Local\ ejecutando
> net stop "TeamViewer"
Proceso padre C:\Windows\SysWOW64\cmd.exe ejecutándose
> usuario neto
Proceso padre de \AppData\Local\ ejecutando
> net group "Administradores de dominio" /dominio
Regla Sigma: Ejecución sospechosa de Taskkill
También relacionada con el Sysmon Event ID 1 Process Creation, el objetivo de esta regla Sigma es identificar comportamientos relacionados con procesos "kill" en el sistema.
> taskkill /F /IM chrome.exe /T> taskkill /f /t /im <FILENAME>.exe> taskkill /im google* /f /t
La mayoría de los comportamientos observados incluyen la bandera /F, que significa que el proceso será forzado a terminar. La bandera /T significa que cualquier proceso hijo será terminado también. Por último, el parámetro /IM especifica el nombre de imagen del proceso que se va a terminar, y se permiten comodines (*).
Regla Sigma: Inicio de proceso desde carpeta sospechosa
Esta regla Sigma indica los procesos que se inician desde carpetas poco comunes en el sistema operativo. A continuación se muestra un ejemplo de carpetas comunes:
> C:\Users\<USER>\AppData\Local\Temp\> C:\Windows\Temp\
Las carpetas poco comunes que coinciden con esta regla Sigma incluyen:
> C:\Usuarios\Públicos\Bibliotecas(Utilizado por RomCom y otros actores de amenazas)> C:\Users\Public\> C:\Users\<USER>\AppData\Local\Temp\~[a-zA-Z]+\.tmp\ (Regular Expression ~[a-zA-Z]+\.tmp)
Sigma a MITRE
Sigma es un formato de firma abierto basado en texto que puede describir eventos y patrones de registro. Las reglas Sigma suelen asignarse a técnicas MITRE, y varias técnicas MITRE pueden asignarse a una regla Sigma individual. Durante este periodo, 386 reglas Sigma detectaron comportamientos maliciosos en más de 220.000 muestras de malware nuevas y únicas.
Si las relacionamos con las técnicas del MITRE, no observamos una correlación directa con las "Técnicas comunes del MITRE" de este periodo de referencia.
A continuación se enumeran las cinco principales técnicas de MITRE observadas en las normas Sigma.
| Técnica | Número de reglas Sigma |
|---|---|
|
Ejecución de arranque o inicio automático de sesión: Claves de Ejecución del Registro / Carpeta de Inicio - T1547.001
|
14
|
|
Deteriorar Defensas: Desactivar o Modificar Herramientas - T1562.001
|
11
|
|
Intérprete de comandos y scripts: PowerShell - T1059.001
|
10
|
|
Intérprete de comandos y scripts - T1059
|
9
|
|
Tarea Programada/Job: Tarea programada - T1053.005
|
9
|
| Número de reglas Sigma | |
|---|---|
| Ejecución de arranque o inicio automático de sesión: Claves de Ejecución del Registro / Carpeta de Inicio - T1547.001 |
14
|
| Deteriorar Defensas: Desactivar o Modificar Herramientas - T1562.001 |
11
|
| Intérprete de comandos y scripts: PowerShell - T1059.001 |
10
|
| Intérprete de comandos y scripts - T1059 |
9
|
| Tarea Programada/Job: Tarea programada - T1053.005 |
9
|
Conclusión
El aumento del 13% en muestras maliciosas únicas dirigidas a nuestros clientes demuestra los esfuerzos de los actores de amenazas por diversificar las herramientas de compilación. Este proceso produce hashes diferentes para muestras similares que podrían utilizarse para eludir los simples feeds y filtros utilizados por los centros de operaciones de seguridad (SOC) tradicionales.
APT28 y el grupo Lazarus fueron dos de las amenazas más activas contra nuestros clientes durante este periodo. Se cree que ambos están patrocinados por el Estado, con APT28 vinculado a Rusia y Lazarus vinculado a Corea del Norte. Estos dos grupos tienen un largo historial de ataques contra Occidente, especialmente contra Estados Unidos, Europa y Corea del Sur. Sus objetivos incluyen agencias gubernamentales, organizaciones militares, empresas e instituciones financieras. Ambos grupos suponen una grave amenaza para la seguridad nacional y la prosperidad económica. Dado que estos grupos evolucionan constantemente sus técnicas para dificultar la defensa, las organizaciones deben conocer las últimas TTP de estos actores de amenazas e incluirlas en los ejercicios de equipos morados para potenciar las estrategias defensivas y aplicar contramedidas.
La sanidad y las instituciones financieras fueron los sectores más atacados durante este periodo. Los infosecuestradores que roban y comercian con credenciales robadas fueron los exploits más comunes contra las finanzas y la sanidad. Sin embargo, también hemos visto ataques de alto perfil contra organizaciones hospitalarias y financieras relacionadas con los esfuerzos de ayuda en Ucrania. Por ejemplo, grupos de ciberamenazas como RomCom atacaron entidades médicas con sede en Estados Unidos que prestaban ayuda humanitaria a refugiados de Ucrania.
El ransomware sigue siendo una amenaza para las instituciones financieras y sanitarias. Basándonos en nuestra telemetría de este periodo y del anterior, es probable que estos dos sectores sigan siendo un objetivo importante.
Mientras trabajábamos con las muestras de este periodo de informe, confirmamos que las tácticas más utilizadas son el descubrimiento y la evasión de la defensa. Es fundamental dar prioridad a la detección de estas tácticas en una red. Al conocer estas TTP y los perfiles de los actores de amenazas, un equipo de ciberseguridad puede reducir significativamente el impacto de los ataques, así como ayudar a la caza de amenazas, la respuesta a incidentes y los esfuerzos de recuperación.
Previsiones
- A finales de mayo, la empresa de software Progress Software informó a sus clientes de la existencia de una vulnerabilidad en su producto MOVEit Transfer78.* La vulnerabilidad (CVE-2023-3436279) puede aprovecharse mediante inyección SQL y dar lugar a una escalada de privilegios y a la violación del sistema. La vulnerabilidad ha sido muy explotada en sistemas no parcheados, sobre todo por la banda de ransomware Clop, que la aprovechó para violar supuestamente80 cientos de organizaciones. Anticipamos que los actores de amenazas continuarán intentando explotar esta vulnerabilidad hasta que todos los sistemas vulnerables sean parcheados.81
- Investigaciones recientes82 indican que se calcula que el valor del mercado mundial de banca móvil alcanzará los 1,82 billones de dólares en 2026, y tendencias como el auge de los neobancos83 indican que es probable que el uso de servicios bancarios digitales y móviles siga aumentando durante la próxima década. Por desgracia, es probable que este crecimiento vaya acompañado de un aumento del malware bancario móvil. En los últimos meses se han producido varios sucesos alarmantes84, entre ellos una nueva red de bots de Android dirigida a unas 450 aplicacionesfinancieras85. El malware centrado en los teléfonos inteligentes probablemente aumentará a medida que los actores de amenazas intenten explotar a los consumidores que utilizan mucho la banca en línea.
- Las campañas de phishing son cada vez más sofisticadas en sus esfuerzos por evitar ser detectadas. En los últimos meses, se ha registrado un número creciente de nuevos dominios web que actúan como proxies antes de entregar contenidos maliciosos. El uso de proxies y geofencing para dirigirse a víctimas de un país o región específicos dificulta la detección temprana de los sitios web fraudulentos. Este tipo de campañas de phishing irá en aumento, lo que proporcionará a los phishers más tiempo operativo para obtener información de sus víctimas antes de ser detectados.
- La IA generativa como ChatGPT plantea a las organizaciones un problema potencial de ciberseguridad. ChatGPT ya se ha utilizado para generar nuevo malware: por ejemplo, los investigadores de HYAS Labs crearonBlackMamba86 , una prueba de concepto de registrador de pulsaciones de teclado polimórfico que cambia automáticamente su código sobre la marcha para eludir la detección, aprovechando un gran modelo de lenguaje (LLM), la tecnología en la que se basa ChatGPT. Las amenazas también aprovechan el interés mundial por ChatGPT para inducir al público a instalar programas maliciosos. Por ejemplo, unas 2.000 personas al día instalaron una extensión maliciosa del navegador llamada Quick access to ChatGPT87 que recopilaba información de cuentas de Facebook Business. Prevemos que ChatGPT seguirá presentando amenazas innovadoras a un ritmo cada vez mayor a medida que avance 2023.
Para saber más sobre cómo BlackBerry puede proteger su organización, visite https://www.blackberry.com.
Aviso legal
La información contenida en el informe 2023 BlackBerry Global Threat intelligence Report está destinada únicamente a fines educativos. BlackBerry no garantiza ni se responsabiliza de la exactitud, integridad y fiabilidad de las declaraciones o investigaciones de terceros a las que se hace referencia en el presente documento. El análisis expresado en este informe refleja el conocimiento actual de la información disponible por parte de nuestros analistas de investigación y puede estar sujeto a cambios a medida que conozcamos información adicional. Los lectores son responsables de actuar con la debida diligencia a la hora de aplicar esta información a su vida privada y profesional. BlackBerry no aprueba ningún uso malintencionado o indebido de la información presentada en este informe.
2023 BlackBerry Limited. Las marcas comerciales, incluidas, entre otras, BLACKBERRY, EMBLEM Design y Cylance son marcas comerciales o marcas comerciales registradas de BlackBerry Limited, y los derechos exclusivos sobre dichas marcas comerciales están expresamente reservados. Todas las demás marcas comerciales pertenecen a sus respectivos propietarios.
Agradecimientos
El informe 2023 BlackBerry Global Threat Intelligence Report representa los esfuerzos de colaboración de nuestros talentosos equipos e individuos. En particular, nos gustaría expresar nuestro reconocimiento:
Referencias
2 https://nvd.nist.gov/vuln/detail/CVE-2023-0669
4 https://www.reuters.com/world/europe/poland-says-russian-hackers-attacked-tax-website-2023-03-01/
5 https://www.thefirstnews.com/article/cyber-attacks-have-become-commonplace-says-govt-official-36902
6 https://www.reuters.com/world/africa/senegalese-government-websites-hit-with-cyberattack-2023-05-27/
7 https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf
8 https://www.fraudsmart.ie/personal/fraud-scams/phone-fraud/identity-theft/
9 https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
10 https://www.clinicbarcelona.org/en/news/computer-attack-on-the-frcb-idibaps
14 https://twitter.com/vxunderground/status/1632464810863390721
16 https://nvd.nist.gov/vuln/detail/CVE-2023-0669
24 https://darktrace.com/blog/living-off-the-land-how-hackers-blend-into-your-environment
25 https://techcrunch.com/2023/04/20/3cx-supply-chain-xtrader-mandiant
26 https://www.ncsc.gov.uk/news/heightened-threat-of-state-aligned-groups
27 https://www.cyber.gc.ca/en/guidance/national-cyber-threat-assessment-2023-2024
28 https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf
29 https://www.cyber.gc.ca/sites/default/files/cyber-threat-oil-gas-e.pdf
30 https://www.cisa.gov/news-events/cybersecurity-advisories?page=0
37 https://attack.mitre.org/groups/G0032/
38 https://www.usna.edu/CyberCenter/_files/documents/Operation-Blockbuster-Report.pdf
39 https://www.cisa.gov/news-events/analysis-reports/ar20-133a
40 https://attack.mitre.org/software/S0154/
42 https://archive.f-secure.com/weblog/archives/00002356.html
44 https://www.theverge.com/2021/5/18/22440813/android-devices-active-number-smartphones-google-2021
46 https://cyware.com/news/spynote-infections-on-the-rise-after-source-code-leak-c5d36dce
47 https://www.threatfabric.com/blogs/spynote-rat-targeting-financial-institutions
48 https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Spy.SpinOk/README.adoc
50 https://news.drweb.com/show/?i=14705&lng=en
51 https://www.scamwatch.gov.au/types-of-scams/buying-or-selling/mobile-premium-services
52 https://threatpost.com/gafgyt-botnet-ddos-mirai/165424/
54 https://blog.talosintelligence.com/prometei-botnet-improves/
55 https://unit42.paloaltonetworks.com/trigona-ransomware-update/
56 https://blog.cyble.com/2023/04/06/demystifying-money-message-ransomware/
57 https://www.rsaconference.com/library/presentation/usa/2023/macOS
58 https://blog.cyble.com/2023/04/26/threat-actor-selling-new-atomic-macos-amos-stealer-on-telegram/
59 https://attack.mitre.org/groups/G0121/
60 https://nvd.nist.gov/vuln/detail/cve-2017-0199
61 https://nakedsecurity.sophos.com/2012/07/31/server-side-polymorphism-malware/
63 https://www.3cx.com/blog/news/desktopapp-security-alert/
65 https://www.3cx.com/blog/news/desktopapp-security-alert/
66 https://www.3cx.com/blog/news/mandiant-initial-results/
67 https://attack.mitre.org/software/S0634/
68 https://support.microsoft.com/en-us/topic/what-is-typosquatting-54a18872-8459-4d47-b3e3-d84d9a362eb0
69 https://www.cisecurity.org/insights/blog/malvertising
70 https://www.papercut.com/blog/news/rce-security-exploit-in-papercut-servers/
71 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27350
72 https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-131a
74 https://twitter.com/MsftSecIntel/status/1654610012457648129
76 https://www.cronup.com/ejercito-de-chile-es-atacado-por-la-nueva-banda-de-ransomware-rhysida/
77 https://izoologic.com/2023/06/19/rhysida-ransomware-exposes-stolen-data-from-the-chilean-army/
78 https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
79 https://nvd.nist.gov/vuln/detail/CVE-2023-34362
81 https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
82 https://www.alliedmarketresearch.com/mobile-banking-market
83 https://www.bankrate.com/banking/what-is-a-neobank/
84 https://blog.cyble.com/2022/12/20/godfather-malware-returns-targeting-banking-users/
85 https://www.cleafy.com/cleafy-labs/nexus-a-new-android-botnet#3
86 https://www.darkreading.com/endpoint/ai-blackmamba-keylogging-edr-security
*La solución para la vulnerabilidad del 31 de mayo se puso a disposición 48 horas después de descubrirla. Para más detalles, lea https://www.ipswitch.com/blog/update-steps-we-are-taking-protect-moveit-customers.