Trellix publicó su informe Threat Labs Report: abril 2022, que examina el comportamiento de los ciberdelincuentes en los últimos seis meses. Las principales conclusiones del informe incluyen que los consumidores individuales son el objetivo número 1 de los ciberdelincuentes, seguidos de cerca por el sector sanitario. Además, los sectores del transporte, el envío, la fabricación y la tecnología de la información mostraron un fuerte aumento de las amenazas.

“Nos encontramos en una coyuntura crítica en materia de ciberseguridad y observamos un comportamiento cada vez más hostil en una superficie de ataque en constante expansión”, afirmó Christiaan Beek, científico jefe e ingeniero principal de Trellix Threat Labs.

“Nuestro mundo ha cambiado fundamentalmente. El cuarto trimestre marcó el cambio de una pandemia de dos años que los ciberdelincuentes utilizaron para obtener beneficios y vio cómo la vulnerabilidad Log4Shell afectaba a cientos de millones de dispositivos, para continuar con el impulso cibernético en el nuevo año donde hemos visto una escalada de la actividad cibernética internacional”, agregó.

Amenazas a las infraestructuras críticas

En el cuarto trimestre de 2021 aumentó la ciberactividad dirigida a sectores esenciales para el funcionamiento de la sociedad:

• El transporte y la navegación fueron el objetivo del 27% de todas las detecciones de amenazas persistentes avanzadas (APT) -actividad de actores adversos y sigilosos-.
• La sanidad fue el segundo sector más atacado, con un 12% del total de detecciones.
• Del tercer al cuarto trimestre de 2021, las amenazas a la industria manufacturera aumentaron un 100%, y las amenazas a la tecnología de la información aumentaron un 36%.
• Entre los clientes de la firma, el sector del transporte fue el objetivo del 62% de todas las detecciones observadas en el cuarto trimestre de 2021.

El informe global de preparación cibernética investiga cómo los proveedores de infraestructuras críticas se están preparando para los ciberataques, y encontró que muchos proveedores de infraestructura crítica no han implementado mejores prácticas de ciberseguridad a pesar de las violaciones de alto perfil.

Amenazas para Ucrania

Estos laboratorios ha investigado el malware Wiper y otras ciberamenazas dirigidas a Ucrania. Los wipers inutilizan los dispositivos de las organizaciones objetivo destruyendo la memoria crítica para el funcionamiento de los dispositivos. Su análisis del malware Whispergate y HermeticWiper utilizado antes y durante la invasión de Ucrania detalla las similitudes y diferencias de las dos cepas utilizadas para desestabilizar los sistemas informáticos ucranianos destruyendo las comunicaciones dentro del país.

El informe enumera los actores de amenazas que tienen como objetivo Ucrania, incluyendo Actinium APT, Gamaredon APT, Nobelium APT (también conocido como APT29), UAC-0056 y Shuckworm APT. De toda la actividad APT que Trellix observó en el cuarto trimestre de 2021, la APT29 representó el 30% de las detecciones. Detalla recomendaciones para las organizaciones que buscan proteger proactivamente su entorno de las tácticas que utilizan estos actores.

Tácticas, técnicas y procedimientos

La compañía observó el uso continuado de los métodos Living off the Land (LoTL), en los que los delincuentes utilizan el software existente y los controles nativos de un dispositivo para ejecutar un ataque. Windows Command Shell (CMD) (53%) y PowerShell (44%) fueron los binarios NativeOS más utilizados, y Remote Services (36%) fue la herramienta administrativa más utilizada en el cuarto trimestre de 2021.

Asimismo, descubrió recientemente técnicas de LotL desplegadas por DarkHotel, un presunto grupo APT surcoreano, que utiliza archivos de Excel para infiltrarse con éxito en hoteles de lujo y obtener información sobre huéspedes destacados que viajan por trabajo y conferencias.

A principios de este año, identificaron un ataque de espionaje en varias fases contra la oficina de un primer ministro para vigilar a altos funcionarios del gobierno y ejecutivos del sector de la defensa. Esta campaña incluía el uso de OneDrive de Microsoft como servidor de mando y control (C2) y de Excel para acceder a los entornos de las víctimas.

Otros métodos y técnicas que están ganando terreno entre los ciberadversarios en los últimos meses:

• Cobalt Strike ocupó el primer lugar entre las herramientas utilizadas por los grupos APT en el cuarto trimestre de 2021, un aumento del 95% respecto al tercer trimestre.
• Los archivos o información ofuscados, seguidos de las credenciales de los navegadores web y el descubrimiento de archivos y directorios fueron las técnicas más observadas en el cuarto trimestre de 2021.
• El malware se utilizó con mayor frecuencia en los incidentes notificados en el cuarto trimestre de 2021, representando el 46% del total de incidentes y aumentando un 15% desde el tercer trimestre de 2021.

Amenazas a las personas

En particular, el informe encontró un aumento significativo -73%- de los incidentes cibernéticos dirigidos a individuos y posicionó a las personas como el principal sector de ataque en el cuarto trimestre de 2021. Esto incluye las amenazas ejecutadas a través de las redes sociales, los dispositivos móviles y otros servicios donde los consumidores almacenan datos y credenciales.

Por ejemplo, en el cuarto trimestre de 2021 Facebook descubrió campañas de spyware dirigidas a usuarios de todo el mundo y otro grupo criminal aprovechó el malware Joker para atacar a usuarios de Android a nivel mundial. Estos ataques suelen tener una motivación política para seguir las interacciones y los contactos de una persona.

Esto sigue a la publicación de In the Crosshairs: Organizations and Nation-State Cyber Threats, un informe de Trellix y el Centro de Estudios Estratégicos e Internacionales que descubrió que el acceso a los datos de los consumidores fue y probablemente seguirá siendo el motivo de casi la mitad de los ciberataques respaldados por el Estado.

Actividad de las amenazas en el cuarto trimestre de 2021

• Familias de ransomware – Lockbit (21%) fue la familia de ransomware más frecuente detectada en el cuarto trimestre de 2021 -un aumento del 21% desde el tercer trimestre-, seguida de Cuba (18%), y Conti (16%).
• Detecciones de ransomware – REvil/Sodinokibi, la familia de ransomware más detectada en el tercer trimestre de 2021, no se situó entre las detecciones más frecuentes en el cuarto trimestre debido a las intervenciones de las fuerzas de seguridad mundiales.
• Aumento del ransomware – Se observaron aumentos sustanciales en la actividad del ransomware en Italia (793%), los Países Bajos (318%) y Suiza (173%) en el cuarto trimestre de 2021. India (70%) y el Reino Unido (47%) también experimentaron notables aumentos en comparación con el tercer trimestre.
• Familias de malware – RedLine Stealer (20%), Raccoon Stealer (17%), Remcos RAT (12%), LokiBot (12%) y Formbook (12%) representaron casi el 75% de las familias de malware observadas en el cuarto trimestre de 2021.

Noticias Relacionadas

En 5 años, Vicente López coloca más de 800 cámaras en las calles5 min read Malware afecta a 318.000 usuarios de Android por vulnerabilidad en navegador3 min read La última estrategia en la lucha contra el fraude de identidad3 min read Grupos de ransomware están apuntando a plantas de tratamiento de agua3 min read