Group-IB: amenazas en los e-mails maliciosos en el 1er H de 2020

Group-IB, una compañía global de caza e inteligencia de amenazas con sede en Singapur, evidenció la transformación de la cartera de amenazas durante la primera mitad de 2020.

Para Group-IB no fue ninguna sorpresa que el phishing web dirigido a varios servicios en línea casi se duplicara durante la pandemia de COVID-19. : representó el 46% del número total de páginas web falsas.

El ransomware, el tema principal del semestre anterior, salió del escenario:

Solo el 1 por ciento de los correos electrónicos analizados por el Equipo de Respuesta a Emergencias Informáticas del Group-IB (CERT-GIB) contenían este tipo de malware.

Mientras tanto, cada tercer correo electrónico contenía software espía, que los actores de amenazas utilizan para robar datos de pago u otra información confidencial para luego ponerlos a la venta en la red oscura o chantajear a su propietario.

Los descargadores, destinados a la instalación de malware adicional, y puertas traseras, que otorgan a los ciber delincuentes acceso remoto a las computadoras de las víctimas, también llegaron al top 3.

Les siguen los troyanos bancarios, cuya participación en la cantidad total de archivos adjuntos maliciosos mostró un crecimiento por primera vez en mucho tiempo.

El correo electrónico abierto permite espiar

El informe de CERT-GIB se basa en datos recopilados y analizados por el Polígono del Sistema de Detección de Amenazas (TDS) como parte de las operaciones para prevenir y detectar amenazas distribuidas en línea en el primer semestre de 2020.

Según los datos de CERT-GIB, en el primer semestre de 2020, el 43 por ciento de los correos electrónicos maliciosos en los radares del sistema de detección de amenazas Group-IB tenían archivos adjuntos con software espía o enlaces que conducían a su descarga.

Otro 17 por ciento contenía descargadores, mientras que las puertas traseras y los troyanos bancarios ocuparon el tercer lugar con un 16 y un 15 por ciento de acciones, respectivamente.

El ransomware, que en la segunda mitad de 2019 se escondió en cada segundo correo electrónico malicioso, casi desapareció de los buzones de correo en los primeros seis meses de este año con una participación de menos del 1 por ciento.

Estos hallazgos confirman el creciente interés de los adversarios por la caza mayor.

Según el informe técnico reciente de Group-IB “Ransomware descubierto: los últimos métodos de los atacantes“: los operadores de ransomware han pasado de los ataques en masa a las redes individuales a las corporativas.

Por lo tanto, al atacar a grandes empresas, en lugar de infectar la computadora de un individuo separado inmediatamente después del compromiso, los atacantes usan la máquina infectada para moverse lateralmente en la red, escalar los privilegios en el sistema y distribuir ransomware en tantos hosts como sea posible.

Las 10 herramientas principales utilizadas en los ataques rastreados por CERT-GIB en el período del informe fueron el troyano bancario RTM (30%); software espía LOKI PWS (24%), AgentTesla (10%), Hawkeye (5%) y Azorult (1%); y los backdoors Formbook (12%), Nanocore (7%), Adwind (3%), Emotet (1%) y Netwire (1%).

Los nuevos instrumentos detectados en el primer semestre del año incluyeron Quasar, una herramienta de acceso remoto basada en el código abierto; software espía Gomorrah que extrae las credenciales de inicio de sesión de los usuarios de varias aplicaciones; y 404 Keylogger, un software para recolectar datos de usuarios que se distribuye bajo el modelo de malware como servicio.

Casi el 70% de los archivos maliciosos se entregaron a la computadora de la víctima con la ayuda de archivos, otro 18% de los archivos maliciosos se enmascararon como documentos de Office (con extensiones de archivo .doc, .xls y .pdf), mientras que un 14% más se disfrazaron como archivos ejecutables y scripts.

Web-phishing seguro

En los primeros seis meses de 2020, CERT-GIB bloqueó un total de 9304 recursos web de phishing, lo que representa un aumento del 9 por ciento en comparación con el año anterior.

La principal tendencia del período observado fue el doble aumento en la cantidad de recursos que utilizan una conexión segura SSL / TLS: su cantidad creció del 33 por ciento al 69 por ciento en solo medio año.

Esto se explica por el deseo de los ciberdelincuentes de retener su grupo de víctimas: la mayoría de los navegadores web etiquetan los sitios web sin conexión SSL / TLS como peligrosos a priori, lo que tiene un impacto negativo en la efectividad de las campañas de phishing.

Los expertos de Group-IB predicen que la proporción de web-phishing con conexión insegura seguirá disminuyendo, mientras que los sitios web que no admiten SSL / TLS se convertirán en una excepción.

Crónica de la pandemia

Al igual que en el segundo semestre de 2019, en el primer semestre de este año, los servicios online, como los sitios web de comercio electrónico, resultaron ser el principal objetivo de los phishers web.

A la luz de la pandemia mundial y la inmersión de las empresas en el mundo en línea, la proporción de esta categoría de phishing aumentó a un notable 46%.

El atractivo de los servicios en línea se explica por el hecho de que al robar las credenciales de inicio de sesión de los usuarios, los actores de amenazas también obtienen acceso a los datos de las tarjetas bancarias vinculadas a las cuentas de los usuarios.

Los servicios en línea son seguidos por los proveedores de servicios de correo electrónico (24%), cuya participación, después de una disminución en 2019, reanudó el crecimiento en 2020, y las organizaciones financieras (11%).

Las principales categorías de objetivos de phishing web también incluían servicios de pago, almacenamiento en la nube, redes sociales y sitios web de citas.

El liderazgo en términos de la cantidad de recursos de phishing registrados ha sido mantenido de manera persistente por la zona de dominio .com: representa casi la mitad (44%) de los recursos de phishing detectados en el período de revisión.

Otras zonas de dominio populares entre los phishers incluyeron .ru (9%), .br (6%), .net (3%) y .org (2%).

Web Phishing

“El comienzo de este año estuvo marcado por cambios en la parte superior de las amenazas urgentes que se esconden en los correos electrónicos maliciosos, comenta el subdirector del CERT-GIB, Yaroslav Kargalev.

Los operadores de ransomware se han centrado en ataques dirigidos, eligiendo grandes víctimas con una mayor capacidad de pago.

La elaboración precisa de estos ataques separados afectó a la participación de ransomware en las principales amenazas distribuidas por correo electrónico en masa.

Su lugar fue ocupado por las puertas traseras y el software espía, con la ayuda de los cuales los actores de amenazas primero roban información confidencial y luego chantajean a la víctima, exigiendo un rescate y, en caso de que la demanda sea rechazada, divulgando la información públicamente.

Es probable que el deseo de los operadores de ransomware de obtener una buena puntuación resulte en un aumento del número de ataques dirigidos.

Dado que la suplantación de identidad por correo electrónico sigue siendo el canal principal de distribución, la urgencia de proteger las comunicaciones por correo es más relevante que nunca”.

 

Por Marcelo Lozano – General Publisher IT Connect Latam