Informe global de inteligencia sobre amenazas

Estas son las amenazas que BlackBerry identificó y contra las que se protege dentro de su propia base de clientes. 

Tipo: Infostealer

Objetivos: Producción alimentaria, sistema judicial, educación

Regiones: APAC, NALA

FormBook y su evolución, xLoader, son familias de malware avanzado que funcionan como infosecuestradores y descargadores versátiles. Se han adaptado sistemáticamente para eludir las ciberdefensas mediante técnicas antimáquina virtual (MV), inyección de procesos y cifrado personalizado. Comercializado como malware como servicio (MaaS), xLoader puede extraer datos de navegadores, clientes de correo electrónico y diversas aplicaciones. Recientes incidentes cibernéticos relacionados con xLoader/FormBook han tenido como objetivo la producción de alimentos en la región APAC, así como los sectores de la educación y la justicia en NALA.

Tipo: Infostealer

Objetivos: Producción alimentaria

Regiones: APAC

Snake Keylogger (también conocido como 404 Keylogger y KrakenKeylogger) es un MaaS que utiliza un keylogger basado en suscripción con una plétora de capacidades. El malware puede robar datos confidenciales y robar credenciales de los navegadores de Internet, así como registrar pulsaciones de teclas y capturar pantallas del escritorio de la víctima.

Lanzado inicialmente en un foro de hacking ruso a finales de 2019, Snake Keylogger ha crecido desde entonces en complejidad, con una mayor diversificación de su infraestructura de comando y control (C2) y la capacidad de cifrar sus cargas útiles de malware. El malware también puede desactivar los servicios antivirus (AV) para que pueda ejecutarse sin obstáculos. Sus métodos de exfiltración son inusualmente completos e incluyen el correo electrónico, FTP, SMTP, Pastebin (un sitio web de almacenamiento de texto) y la aplicación de mensajería Telegram. Cabe destacar que Telegram representó entre el 60 % y el 80 % del tráfico total de Internet en Rusia en 2023 y proporciona un entorno de comunicación casi completamente sin censura en un país donde el acceso a los sitios de Internet está estrictamente controlado.

Tipo: Descargador

Objetivos: Producción alimentaria, Sistema judicial

Regiones: APAC

GuLoader (también conocido como CloudEyE) es un destacado descargador que distribuye malware adicional. Desde 2020, el grupo de amenazas detrás de GuLoader ha añadido técnicas antianálisis para dificultar que los servicios de seguridad identifiquen su presencia en un sistema o implementen contramedidas. GuLoader suele funcionar en tándem con otros programas maliciosos, en concreto infostealers como FormBook, Agent Tesla y Remcos.

Tipo: Infostealer

Objetivos: Sanidad, sector público, educación, producción alimentaria

Regiones: NALA, APAC

RedLine es un infostealer distribuido frecuentemente a través de plataformas MaaS. Sus operadores se mueven principalmente por motivos financieros más que por intereses políticos o de espionaje y emplean una estrategia de ataque "dispersa", atacando todas las industrias y regiones sin parecer centrarse en objetivos específicos.

Los investigadores de BlackBerry han recopilado una lista de ciberataques recientes notables ocurridos este trimestre y de los que se han hecho eco los medios de comunicación y otras organizaciones de ciberseguridad. Nuestro objetivo al hacerlo es ofrecer una visión más amplia del panorama de las ciberamenazas en infraestructuras críticas.

En julio, el grupo de amenazas de ransomware Play (PlayCrypt) atacó a dos organizaciones energéticas: Texas Electric Cooperatives, asociación que representa a 76 cooperativas eléctricas de todo el estado, y 21st Century Energy Group, proveedor de diversos servicios y productos energéticos en Pensilvania y Ohio. Las brechas provocaron pérdidas de información personal y datos contables y fiscales, algunos de los cuales se publicaron en el sitio de filtraciones Play poco después.

Otro ataque en julio tuvo como objetivo el Richland Paris Hospital, una organización sin ánimo de lucro de Luisiana que proporciona servicios sanitarios esenciales a la comunidad rural. Este ataque fue perpetrado por el grupo de ransomware Dispossessor, observado por primera vez en diciembre de 2023. Dispossessor actúa como un intermediario de datos más que como un grupo de ransomware tradicional. En un movimiento inusual, Dispossessor publicó un vídeo en el que mostraba más de 100 páginas de información confidencial de pacientes. En agosto, el FBI, en colaboración con las fuerzas de seguridad locales e internacionales , anunció que había desmantelado la infraestructura del grupo Dispossessor.

A mediados de septiembre, los investigadores de Google observaron un grupo de ciberespionaje apodado UNC2970, que se cree que está vinculado al gobierno de Corea del Norte. Utilizando tácticas de phishing, este grupo se hizo pasar por varias empresas establecidas de los sectores energético y aeroespacial, creando anuncios de trabajo falsos diseñados para atraer a objetivos específicos. Una vez que la víctima caía en la trampa, recibía una "descripción del trabajo" en PDF dentro de un archivo ZIP. Para abrir este archivo, los atacantes proporcionaban una versión maliciosamente modificada de SumatraPDF. Cuando se ejecutaba, se iniciaba una cadena de ejecución facilitada por BURNBOOK, un lanzador de malware diseñado en C/C++, que finalmente desplegaba una puerta trasera MISTPEN. MISTPEN es una versión troyanizada de binhex.dll, un plugin de Notepad++, que fue alterado para incluir una puerta trasera, comprometiendo el ordenador del usuario objetivo.

Estas son las amenazas que BlackBerry identificó y contra las que se protege dentro de su propia base de clientes. 

Tipo: Infostealer

Objetivos: Comercio al por menor y al por mayor, Servicios comerciales y profesionales

Regiones: APAC, NALA

Observado por primera vez en agosto de 2022, LummaC2 (también conocido como LummaC2 Stealer) es un infostealer, escrito en el lenguaje de programación C, que se dirige tanto a empresas comerciales como a infraestructuras críticas. Centrado en la filtración de datos confidenciales, suele promocionarse y distribuirse a través de foros clandestinos de ciberdelincuentes rusos y grupos de Telegram. Este potente infostealer se ejecuta como una operación MaaS y a menudo se basa en troyanos y spam de correo electrónico para propagarse.

Tipo: Infostealer

Objetivos: Bienes de equipo, servicios comerciales y profesionales

Regiones: APAC, NALA

StealerC es un infostealer basado en C diseñado para robar datos confidenciales de varios programas, navegadores web y clientes de correo electrónico antes de filtrar esta información privada al atacante. Observado por primera vez en 2023, el malware puede soltar más cargas útiles de malware en el dispositivo de la víctima.

Tipo: Infostealer

Objetivos: Comercio al por menor y al por mayor, servicios comerciales y profesionales

Regiones: NALA, APAC

FormBook (observado por primera vez en 2016) y su evolución, xLoader, son sofisticadas familias de malware que operan como complejos ladrones de información y versátiles descargadores de malware adicional. Siguen evolucionando para eludir las ciberdefensas mediante técnicas anti-VM, inyección de procesos y rutinas de cifrado personalizadas. xLoader puede robar datos de navegadores y clientes de correo electrónico y realizar una amplia gama de otras acciones. Como se vende como MaaS, su presencia en un sistema o red no apunta necesariamente a un actor de amenazas específico. Este modelo operativo flexible le permite dirigirse a una amplia gama de sectores industriales en todo el mundo.

Tipo: Descargador

Objetivos: Comercio al por menor y al por mayor, Servicios comerciales y profesionales

Regiones: APAC, NALA

GuLoader (también conocido como CloudEyE) es un destacado descargador que distribuye malware. Observado por primera vez en 2020, las técnicas antianálisis de GuLoader dificultan a los equipos de seguridad la identificación de los ataques o el diseño de contramedidas. GuLoader suele funcionar en tándem con otros programas maliciosos, en concreto infostealers como FormBook, Agent Tesla y Remcos.

Tipo: Infostealer

Objetivos: Bienes de equipo, bienes de consumo duraderos y prendas de vestir, servicios comerciales y profesionales.

Regiones: APAC, NALA

RedLine es un infostealer de malware ampliamente distribuido, observado por primera vez en marzo de 2020 y a menudo vendido como MaaS. El grupo de amenazas que distribuye el malware parece estar motivado por el beneficio económico más que por la política, la destrucción de datos o el espionaje. Por este motivo, RedLine aparece constantemente en nuestro radar y se dirige activamente a una gama inusualmente amplia de sectores y regiones geográficas.

Tipo: Acceso remoto

Objetivos: Comercio minorista y mayorista, servicios comerciales y profesionales

Regiones: APAC, NALA

Remcos, abreviatura de Remote Control and Surveillance (Control y Vigilancia Remotos), es un troyano de acceso remoto (RAT) de tipo comercial utilizado para controlar remotamente un ordenador o dispositivo. Aunque se anuncia como software legítimo, a menudo se abusa de él para obtener acceso ilegal a la máquina o red de la víctima.

Los investigadores de BlackBerry han recopilado una lista de ciberataques recientes notables, de los que han informado los medios de comunicación y otras organizaciones de ciberseguridad, para ofrecer una visión más amplia del panorama de las ciberamenazas para las empresas comerciales.

En julio, Empereon Constar, una empresa de externalización de procesos empresariales con sede en Arizona, sufrió una brecha por parte de operadores del ransomware Akira, que presuntamente robaron 800 GB de datos, entre ellos información de clientes, archivos de empleados y registros financieros. El grupo emplea una doble táctica de extorsión, exigiendo un rescate tanto por el descifrado como por la no divulgación de información confidencial. Si no se paga, amenazan con publicar los datos robados en sitios de filtración tanto de la web de superficie como de la web oscura.

A finales de julio, el Odyssey Fitness Center de Pensilvania fue blanco del grupo de ransomware Play (también conocido como PlayCrypt). El grupo de ciberdelincuentes, responsable de más de 300 ataques de ransomware en todo el mundo, utilizó su característico método de doble extorsión, cifrando los sistemas del gimnasio después de extraer los datos confidenciales.

A finales de septiembre, el grupo KILLSEC atacó la tienda india de electrónica Poorvika Mobiles. La brecha expuso una gran cantidad de datos de clientes, incluidos nombres, direcciones, números de teléfono, números de identificación fiscal, detalles de entrega de productos, números de factura, importes de transacciones y documentación fiscal.

Esta sección se adentra en el dinámico mundo de las ciberamenazas, comenzando con un análisis de los actores de amenazas más destacados.

Salt Typhoon (también conocido como Earth Estries) es un sofisticado actor de amenazas estrechamente vinculado al Ministerio de Seguridad del Estado (MSS) de China que salió a la luz pública en 2024. El grupo comprometió a varios de los principales proveedores de telecomunicaciones y de servicios de Internet de Estados Unidos aprovechando las puertas traseras de los sistemas de los proveedores de servicios de Internet, originalmente implementadas para el cumplimiento de la ley aprobado por los tribunales. El grupo ha demostrado capacidades avanzadas para mantener la ocultación a largo plazo, en este caso permaneciendo sin ser detectado en las redes de telecomunicaciones durante más de un año.

Una vez establecida su persistencia en la red, Salt Typhoon obtuvo acceso a gran cantidad de datos, incluidas las listas de escuchas telefónicas de interceptación legal del Departamento de Justicia de Estados Unidos, registros de llamadas, mensajes de texto no cifrados, grabaciones de audio y tráfico de Internet que circulaba por las redes de los proveedores. El hecho de que se dirigieran contra altos cargos del Gobierno y personalidades políticas estadounidenses provocó medidas de respuesta sin precedentes, como una reunión de la Sala de Situación de la Casa Blanca con ejecutivos de las telecomunicaciones y advertencias de las agencias federales sobre el uso de los dispositivos móviles. Los miembros del Congreso en la Cámara de Representantes y el Senado han expresado su grave preocupación por estos incidentes y han pedido a las agencias federales estadounidenses que proporcionen más información sobre los ataques. Lea la sección sobre seguridad de las comunicaciones para conocer con más detalle las amenazas a las infraestructuras críticas.

RansomHub (también conocido como Cyclops y Knight) opera a través de un modelo RaaS y recientemente ha ganado una prominencia significativa en el panorama de las amenazas. La eficacia y el éxito de este modelo operativo ha atraído a múltiples afiliados conocidos, como LockBit y ALPHV, que realizan infiltraciones en la red y exfiltraciones de datos.

RansomHub opera a través de un doble enfoque de extorsión. El grupo también emplea una variedad de técnicas para desactivar o terminar las soluciones de detección y respuesta de puntos finales (EDR), lo que le permite evadir la detección y mantener una presencia extendida dentro de las redes comprometidas. Desde su lanzamiento en febrero de 2024, RansomHub se ha expandido rápidamente, atacando y extrayendo datos de más de 210 víctimas en sectores de infraestructuras críticas. Este rápido crecimiento lo ha situado entre los operadores de ransomware más prolíficos en términos de ataques declarados públicamente. Entre los sectores atacados se incluyen:

Sanidad y Farmacia

• Actividad de amenazas: Ataques selectivos de ransomware contra proveedores sanitarios y farmacias
• Impacto notable: La brecha de Rite Aid afectó a 2,2 millones de clientes (julio de 2024)
• Preocupaciones críticas: Robo y exposición de datos sensibles de pacientes, interrupción de los sistemas de gestión de recetas y compromiso de la información sanitaria protegida (PHI).

Energía e industria

• Actividad de la amenaza: Ataques sofisticados dirigidos contra la tecnología operativa y los sistemas empresariales.
• Impacto notable: Interrupción de los sistemas informáticos de un gigante de los servicios de petróleo y gas (agosto de 2024).
• Preocupaciones críticas: Interrupciones de las operaciones comerciales, interrupciones de la cadena de suministro, compromisos del sistema de facturas y pedidos de compra.

Servicios sanitarios y sin ánimo de lucro

• Actividad amenazante: Campañas de robo de datos dirigidas a datos sensibles de la organización
• Impacto notable: Violación de Planned Parenthood Montana (septiembre de 2024), que provocó el robo de datos confidenciales de pacientes y la interrupción de las operaciones.
• Preocupaciones críticas: Exposición de información confidencial de pacientes, violaciones de la privacidad y daños a la reputación.

Play es un grupo de ransomware que apareció por primera vez en junio de 2022. Play ha atacado a cientos de organizaciones de diversos sectores en Norteamérica, Sudamérica y Europa, principalmente en Estados Unidos y Canadá. Play suele emplear tácticas de doble extorsión, amenazando con publicar los datos robados a las organizaciones víctimas.

Para obtener acceso inicial a un sistema o red objetivo, Play abusa de cuentas válidas y aplicaciones vulnerables de cara al público en entornos Windows. Después de mapear las redes con herramientas como AdFind, se mueven lateralmente con herramientas como PsExec y Cobalt Strike, utilizando herramientas adicionales como Mimikatz para obtener credenciales de administrador de dominio. Una vez identificados los dispositivos que contienen información confidencial, el grupo recopila los archivos en archivos .RAR y los exfiltra utilizando WinSCP antes de cifrar finalmente los archivos de los dispositivos saqueados.

En julio, se observó que Play utilizaba una nueva variante para Linux de su ransomware que sólo se dirige a archivos que se ejecutan en entornos VMware ESXi.

Hunters International, identificado por primera vez en octubre de 2023, presenta notables similitudes con el ransomware Hive. Cuando los operadores de Hunters International adquirieron el malware y la infraestructura del grupo Hive, se diferenciaron de este último comercializando capacidades mejoradas.

Sus operaciones se centran principalmente en la doble extorsión, priorizando la exfiltración de datos y utilizando la información robada para presionar a las víctimas para que paguen el rescate. El grupo también emplea el cifrado de archivos mediante ChaCha20-Poly1305 y RSA Optimal Asymmetric Encryption Padding (OAEP), lo que da lugar a archivos marcados con la extensión ".LOCKED".

Las cadenas de ataque típicas comienzan con campañas de phishing o la explotación de una vulnerabilidad. El grupo se dirige a diversos sectores, como la industria manufacturera, la sanidad y la educación, y adopta un enfoque oportunista sin centrarse en ninguna región o industria en particular, comprometiendo objetivos en Norteamérica, Europa y África. Una herramienta clave de su arsenal es SharpRhino, una puerta trasera disfrazada de software legítimo, que se utiliza junto con medidas agresivas para inutilizar los sistemas de copia de seguridad mediante la ejecución de una serie de comandos y el intento de terminar servicios y procesos específicos normalmente asociados con la recuperación del sistema.

En el último trimestre, Hunters International ha estado muy activo, atacando todo tipo de organizaciones, industrias y regiones geográficas, lo que subraya su adaptabilidad y amplio potencial de amenaza. Son bien conocidos por su táctica un tanto rencorosa de reinfectar a las víctimas que han conseguido restaurar sus sistemas a partir de copias de seguridad sin pagar el rescate, ya sea con una segunda dosis de su propio ransomware o con una variante diferente.

Meow Leaks es un grupo de amenazas con posibles vínculos con el grupo de ransomware Meow (también rastreado como MeowCorp y Meow2022) que surgió en 2022 como una variante del ransomware Conti. Este nuevo grupo Meow, que surgió a finales de 2023, centra sus esfuerzos en la venta de datos robados a través de un sitio epónimo "Meow Leaks" basado en Tor.

Meow afirma no dedicarse al ransomware; el grupo ha declarado públicamente en una entrevista que no está involucrado con Conti y que no tiene ninguna afiliación actual con MeowCorp. Dicho esto, es posible que este nuevo grupo carezca de experiencia en el desarrollo de ransomware, una teoría que se refleja en su limitada lista de víctimas en la Dark Web, que hasta ahora se ha centrado principalmente en objetivos estadounidenses, aunque tiene algunas víctimas internacionales. Esto los clasifica principalmente como un grupo de amenazas basado en la extorsión, ya que no pueden confiar en el cifrado de los datos originales para presionar a las víctimas a pagar.

Independientemente de sus conexiones con el grupo inicial de ransomware, el nuevo grupo de amenazas Meow Leaks tuvo un pico significativo de actividad este trimestre, como lo demuestra su creciente sitio de filtraciones. Los investigadores de seguridad publicaron en marzo un descifrador gratuito para las víctimas de MeowCorp llamado RakhniDecryptor. La herramienta de descifrado funciona para descifrar archivos con las extensiones .KREMLIN, .RUSSIA y .PUTIN. (Los ataques anteriores de MeowCorp con el encriptador basado en Conti iban dirigidos inicialmente a organizaciones rusas).

Qilin es un RaaS, activo desde 2022, que sigue dirigiéndose a la sanidad y a otros sectores de todo el mundo. Lanzada originalmente como "Agenda" en julio de 2022, la operación se renombró como "Qilin" y ahora opera con ese nombre.

El ransomware Qilin incluye variantes escritas en Golang y Rust y suele obtener acceso inicial a la víctima a través de ataques de spearphishing. El grupo utiliza herramientas de supervisión y gestión remotas (RMM) y Cobalt Strike para el despliegue de binarios. Durante un ataque, Qilin localiza el controlador de dominio del objetivo y ejecuta un script de recolección de credenciales que se dirige específicamente a las contraseñas almacenadas en Google Chrome para usuarios autenticados. Conocido por sus estrategias de doble extorsión, Qilin exige el pago de rescates para evitar la divulgación pública de los datos robados.

Herramientas como AnyDesk, PowerShell y Cobalt Strike son vitales para la gestión de datos, las pruebas de penetración y el mantenimiento de sistemas. Su flexibilidad y accesibilidad también las convierten en herramientas útiles para ser utilizadas indebidamente por los actores de amenazas.

Microsoft PowerShell es un potente shell de línea de comandos y lenguaje de scripting diseñado para automatizar tareas y gestionar sistemas Windows. Ampliamente utilizado por administradores y profesionales de la seguridad de todo el mundo, permite automatizar tareas rutinarias, gestionar sistemas y responder a incidentes de seguridad. Sin embargo, su versatilidad también lo convierte en objetivo de abuso por parte de atacantes que pueden explotar PowerShell para obtener acceso no autorizado y ejecutar código malicioso. El verdadero peligro reside en la capacidad de PowerShell para ejecutar scripts tanto desde el disco como directamente en la memoria, lo que permite ataques de malware "sin archivos" difíciles de detectar.

Lea el relato de nuestro equipo de MDR sobre un incidente con PowerShell.

Cobalt Strike sirve como un sofisticado marco de simulación de adversarios, meticulosamente diseñado para replicar la presencia persistente de actores de amenazas en entornos de red. Estructurado en torno a dos componentes fundamentales -un Agente (Beacon) y un Servidor (Team Server)- Cobalt Strike orquesta una interacción sin fisuras. El Servidor de Equipo de Cobalt Strike, que funciona como un servidor C2 a largo plazo alojado en Internet, mantiene una comunicación constante con las cargas útiles de Beacon desplegadas en las máquinas de las víctimas.

Aunque Cobalt Strike se utiliza principalmente como herramienta legítima para que los especialistas en pruebas de penetración y los equipos rojos evalúen la situación de seguridad de las redes, también ha sido explotado por agentes de amenazas con fines nefastos. También se han producido casos de filtración de su código en Internet, lo que ha provocado su rápida utilización como arma por parte de diversos adversarios. Esta doble naturaleza pone de relieve la importancia de la vigilancia y de unas medidas de ciberseguridad sólidas para mitigar los riesgos asociados a su uso indebido.

WinSCP (Windows Secure Copy) es un cliente gratuito de código abierto para los protocolos SFTP, FTP, WebDAV y SCP, diseñado para Microsoft Windows. Facilita la transferencia segura de archivos entre ordenadores locales y remotos, aprovechando protocolos cifrados como SFTP para garantizar la seguridad de los datos. Sin embargo, sus capacidades también lo convierten en una herramienta de elección para los actores de amenazas. Los atacantes pueden utilizar WinSCP para exfiltrar sigilosamente grandes volúmenes de datos, cargar malware en servidores objetivo para comprometer aún más el sistema y obtener acceso remoto para ejecutar comandos arbitrarios o desplegar software malicioso adicional, manteniendo un control persistente sobre los sistemas comprometidos.

En nuestra sección CylanceMDR Threats and Mitigations, nuestro equipo de CylanceMDR revisó las herramientas más frecuentes que podrían utilizarse para la exfiltración en los entornos de nuestros clientes. El equipo descubrió que WinSCP constituía el 51% de las herramientas de exfiltración de las que más se abusaba en los sistemas cliente.

Las nuevas amenazas y grupos de amenazas evolucionan constantemente y plantean nuevos retos. Las organizaciones que pretenden proteger sus activos digitales deben adoptar una estrategia de ciberseguridad integral, que incorpore medidas de mitigación sólidas junto con la formación de los empleados. Aquí exploramos varias estrategias clave que pueden aplicarse para frustrar ciberamenazas como las que plantea el grupo de ransomware Lynx.

Implementar la segmentación de la red es un paso fundamental para contener las posibles brechas.

• Táctica: Al dividir la red en segmentos distintos según una política de clasificación de sistemas, las organizaciones pueden crear puntos de estrangulamiento que limiten la capacidad de maniobra de un atacante, ampliando el tiempo de protección y creando más oportunidades para la detección del adversario.
• Ejemplo: Un importante proveedor de servicios sanitarios frustra un ciberataque aislando sus servidores de datos de pacientes de su red de uso general, lo que garantiza que los datos críticos permanezcan seguros aunque otras partes de la red se vean comprometidas.

Las organizaciones deben mantener copias offline actualizadas de los datos almacenados en una infraestructura de copias de seguridad separada e inaccesible desde las redes primarias.

• Táctica: Mantener una infraestructura de copias de seguridad independiente.
• Ejemplo: Este enfoque es adoptado con éxito por una empresa de fabricación global que realiza regularmente instantáneas de datos y las almacena sin conexión, lo que garantiza la integridad y disponibilidad de los datos incluso después de un ataque de ransomware.

Las organizaciones deben vigilar indicadores específicos; en el caso de un ataque Lynx, vigilar la aparición de extensiones de archivo como ".LYNX" o la creación de archivos con el nombre "README.txt", que es un nombre de archivo típico que se da a las notas de rescate.

• Táctica: Los sistemas de alerta temprana pueden detectar patrones inusuales de transferencia de datos o modificaciones masivas de archivos, permitiendo una respuesta rápida ante posibles violaciones.
• Ejemplo: Una institución financiera evita una importante filtración de datos mediante el despliegue de un sistema de detección y respuesta de endpoints que detectó el acceso no autorizado a sus sistemas de copia de seguridad fuera del horario laboral.

La gestión de accesos es una práctica de seguridad centrada en el control y la supervisión del acceso a sistemas, recursos y datos dentro de una organización. La implantación de una supervisión exhaustiva del control de accesos puede ayudar a las organizaciones a detectar y evitar intentos de acceso no autorizados a sistemas críticos.

• Táctica: Despliegue un registro detallado de todos los intentos de acceso a sistemas y datos sensibles. Revise periódicamente los registros de acceso en busca de patrones sospechosos. Implemente alertas automáticas para detectar comportamientos de acceso inusuales. Mantenga listas de control de acceso (ACL) estrictas con auditorías periódicas de los permisos de usuario.
• Ejemplo: Una empresa de servicios financieros detecta y previene una posible filtración de datos identificando patrones de acceso inusuales a través de su sistema de supervisión, que podría señalar múltiples intentos fallidos de inicio de sesión desde una cuenta de usuario autorizada fuera del horario laboral normal.

Un plan de respuesta a incidentes (IR) bien definido permite a las organizaciones reaccionar con rapidez y eficacia ante incidentes de ciberseguridad, minimizando los daños potenciales y el tiempo de recuperación.

• Táctica: Elabore procedimientos detallados de respuesta a incidentes, establezca funciones y responsabilidades claras, mantenga actualizadas las listas de contactos de las principales partes interesadas y los recursos externos (fuerzas de seguridad, empresas de respuesta a incidentes) y realice ejercicios teóricos periódicos para comprobar la eficacia de la respuesta.
• Ejemplo: Una empresa de fabricación podría contener un incidente de ransomware en cuestión de horas siguiendo su plan de respuesta a incidentes probado, que incluía procedimientos de aislamiento inmediato del sistema y canales de comunicación preestablecidos con su equipo de respuesta a incidentes.

Evaluar la postura de seguridad de los productos clave con acceso a su red es fundamental.

• Táctica: Implantar un programa de gestión de riesgos en la cadena de suministro, una práctica de pruebas de seguridad para los productos con acceso a sistemas críticos y revisar periódicamente los permisos de acceso de terceros para mitigar los riesgos en la cadena de suministro.
• Ejemplo: Una empresa farmacéutica podría mejorar la seguridad de su cadena de suministro realizando evaluaciones de seguridad exhaustivas, asegurándose de que todos los socios se adhieren a estrictas normas de ciberseguridad.

El uso de tecnologías de seguridad avanzadas, como soluciones EDR, filtrado de correo electrónico y listas blancas de aplicaciones en sistemas críticos, puede mejorar considerablemente la seguridad de una organización.

• Táctica: Establecer capacidades de supervisión continua de la red y de caza de amenazas.
• Ejemplo: Una empresa de telecomunicaciones identifica y neutraliza una amenaza persistente avanzada (APT) mediante la caza proactiva de amenazas.

El equipo de Investigación e Inteligencia de Amenazas de BlackBerry analizó las siguientes Técnicas de MITRE utilizadas a menudo por los actores de amenazas:

Evasión de Virtualización/Sandbox (T1497) es una técnica bajo la táctica de Evasión de Defensa (TA0005). Esta técnica se utiliza para detectar entornos virtualizados o aislados que suelen emplear las soluciones de análisis de malware y detección de amenazas. Al identificar estos entornos, los actores maliciosos pueden evadir la detección deteniendo o alterando el comportamiento de su carga útil, lo que impide que las herramientas de análisis evalúen la amenaza con precisión.

Los agresores utilizan la técnica de evasión de virtualización/andbox para verificar si su carga útil se está ejecutando en un entorno de análisis en lugar de en un host auténtico. Esto es fundamental para eludir la detección y permite al malware permanecer oculto. La carga útil puede configurarse para comportarse de forma diferente en función de las comprobaciones del entorno, ejecutándose únicamente en entornos reales y evitando su activación cuando se detectan entornos virtuales o sandbox.

Los indicadores comunes de la presencia de un adversario pueden incluir:

• Entradas de registro y artefactos del sistema asociados a las máquinas virtuales.
• Indicios de configuración de hardware, como controladores de virtualización específicos o límites de recursos bajos, que pueden indicar un entorno aislado.
• Procesos o rutas de archivos vinculados a herramientas populares de sandboxing o entornos virtuales.
• Comportamiento del sistema o comprobaciones de tiempo de actividad para detectar si el entorno se ha inicializado recientemente, un rasgo común de las configuraciones sandbox.

Los atacantes suelen emplear PowerShell o secuencias de comandos por lotes con comprobaciones del sistema incrustadas para detectar condiciones virtualizadas. A continuación se muestra un ejemplo de un comando PowerShell utilizado para evadir el análisis de sandbox mediante la comprobación de la presencia de una VM:

Get-WmiObject -Class Win32_BIOS | Select-String "VMware|VirtualBox|Xen"

Si el comando devuelve una coincidencia, la carga útil puede alterar su ruta de ejecución o terminar, evadiendo análisis posteriores dentro de un entorno virtualizado.

Las aplicaciones Electron son aplicaciones de escritorio creadas con tecnologías web como HTML, CSS y JavaScript. Se desarrollan en el marco Electron, que combina el motor de renderizado Chromium con el tiempo de ejecución Node.js.

Dado que las aplicaciones Electron pueden solicitar importantes permisos del sistema, un adversario puede aprovechar este acceso para ejecutar comandos o scripts con los mismos privilegios que la propia aplicación.

Los actores de amenazas pueden aprovechar la capacidad de ejecutar comandos arbitrarios para ejecutar código malicioso a través de procesos legítimos mediante el uso de System Binary Proxy Execution. Ejemplo: chrome.exe --disable-gpu-sandbox --gpu-launcher="C:\Windows\system32\cmd.exe /c calc.exe" demuestra cómo puede explotarse la ejecución de proxy binario del sistema. Mediante el uso de --disable-gpu-sandbox el actor de la amenaza debilita la seguridad de Chrome desactivando el aislamiento de procesos. La dirección --gpu-launcher="C:\Windows\system32\cmd.exe /c calc.exe" permite a los adversarios ejecutar comandos arbitrarios a través de cmd.exe.

Otro ejemplo es: teams.exe --disable-gpu-sandbox --gpu-launcher="C:\Windows\system32\cmd.exe /c ping google.com &&" que genera cmd.exe como un proceso hijo para ejecutar el comando arbitrario mientras desactiva el sandboxing de GPU, permitiendo que el proceso se ejecute sin aislamiento.

Durante la actualización más reciente de MITRE V15, la técnica original de System Script Proxy Execution (T1216) se ha ampliado con una nueva subtécnica, identificada como T1216.002 y denominada SyncAppvPublishingServer. Esta sub-técnica cae bajo la táctica de Evasión de Defensa (TA0005) y es manipulada por adversarios para proxy la ejecución de comandos PowerShell maliciosos.

SyncAppvPublishingServer.vbs es un script legítimo de Visual Basic asociado con Microsoft y su Virtualización de Aplicaciones (App-V) que permite a Windows virtualizar aplicaciones. El script SyncAppvPublishingServer.vbs está firmado por Microsoft, lo que le da credibilidad. 

Los actores maliciosos explotan esta subtécnica para eludir las restricciones de ejecución de PowerShell y evadir los sistemas de detección mediante la utilización de procesos nativos de confianza, un método comúnmente conocido como "vivir de la tierra". Esto permite la ejecución de comandos maliciosos mientras se mezclan con las operaciones nativas del sistema.

Here is an example command line of how this can be invoked:
“SyncAppvPublishingServer.vbs "n; {Malicious PowerShell Command}"”