Las redes de bots de IoT e infostealers apuntan al sector minorista
Netskope Threat Labs ha publicado su último análisis.
El informe pone de manifiesto que los botnets IoT, las herramientas de acceso remoto y los infostealers fueron las principales familias de malware utilizadas durante el año pasado para atacar a las empresas de distribución. El comercio minorista también ha experimentado un rápido desplazamiento en el último año desde soluciones basadas en la nube de Google hacia aplicaciones de Microsoft como Outlook.
Las principales conclusiones del estudio son:
● Los delincuentes utilizan infostealers para atacar al sector distribución: Los infostealers son una familia de malware muy utilizada por los atacantes en este sector, ya que intentan robar información valiosa, como datos de pago de las empresas y los clientes. Los infostealers también contribuyen al ecosistema de la ciberdelincuencia en general, ya que los delincuentes venden las credenciales y los datos financieros personales robados.
● Botnets y troyanos lanzados contra los dispositivos en red: La familia de botnets Mirai se dirige cada vez más contra dispositivos conectados en red expuestos que ejecutan Linux, como rúters, cámaras y otros dispositivos IoT en el entorno minorista.
○ Los dispositivos IoT a menudo no se ven como un riesgo para la seguridad, pero pueden ser muy eficaces a la hora de proporcionar información visual o de sensores que puede ayudar en la ciberdelincuencia, o incluso para lanzar ataques DDoS contra otros objetivos.
○ Los troyanos de acceso remoto (RAT) son viejos conocidos, ya que permiten acceder a navegadores y cámaras remotas, enviar información a los atacantes o recibir comandos.
○ Desde que se filtró el código fuente del malware Mirai, el número de variantes de este malware ha aumentado de forma considerable y supone un grave problema para el comercio minorista como uno de los sectores con más terminales vulnerables.
● Microsoft Suite se está convirtiendo cada vez más en un objetivo: En el informe del año pasado, las aplicaciones de Google gozaban de una popularidad muy superior en el sector minorista que en otras industrias, pero en el último año los analistas han observado un auge de la popularidad de Microsoft. Esto es especialmente evidente en lo que respecta al almacenamiento, con una diferencia cada vez mayor entre OneDrive y Google Drive en el último año, pues el porcentaje de usuarios ha pasado del 43% al 51% en el caso de OneDrive y del 34 % al 23 % en el de Google Drive. Vemos tendencias similares con Outlook (21 %) desbancando a Gmail (13 %) como la aplicación de correo electrónico más popular.
○ Microsoft OneDrive sigue siendo la principal aplicación en la nube para introducir programas maliciosos en todos los sectores, entre los que se incluye el comercio minorista. Los atacantes se sirven de tácticas que aprovechan la confianza y familiaridad de los usuarios con OneDrive para aumentar la probabilidad de que hagan clic en los enlaces y descarguen el malware.
○ En el caso del comercio minorista, los ataques vía Outlook tienen más éxito que en otros sectores: el comercio minorista registra el doble de descargas de programas maliciosos a través de Outlook (10 %) que la media de otros ramos (5 %).
● La popularidad de WhatsApp en el comercio minorista: La aplicación era tres veces más popular en el sector minorista (14 %) que en otros sectores (5,8 %), tanto en uso medio como en descargas. Sin embargo, WhatsApp no se encuentra entre las principales aplicaciones de descarga de malware. Es posible que esta situación cambie a medida que las amenazas empiecen a ver que su popularidad justifica económicamente la intensificación de los ataques a través de esta aplicación.
○ La popularidad de aplicaciones de redes sociales como X (12 %), Facebook (10 %) e Instagram (1,5 % para la subida de archivos) fue mayor en el comercio minorista que en otros sectores.
Paolo Passeri, director de ciberinteligencia de Netskope, ha declarado: “No deja de ser sorprendente que el sector de la distribución siga viéndose especialmente afectado por redes de bots como Mirai, con las que los atacantes tratan de comprometer dispositivos IoT vulnerables o mal configurados en establecimientos comerciales y utilizarlos para amplificar drásticamente el efecto de un ataque de denegación de servicio distribuido (DDoS). Mirai no podemos decir que sea una amenaza precisamente reciente y, desde que se descubrió en 2016, se están utilizando múltiples variantes. El hecho de que los atacantes continúen usándolo para atacar dispositivos IoT demuestra que hay muchas empresas a las que se les sigue olvidando proteger la seguridad de sus dispositivos conectados a Internet. Esto supone un gran peligro no sólo para los blancos de los ataques lanzados desde la red de bots IoT, sino también para la entidad cuyos dispositivos IoT están atrapados en la red de bots, ya que su explotación puede provocar interrupciones que afecten al funcionamiento normal de la empresa”.
“Esta situación de vulnerabilidad, unida al uso de infostealers y de malware de acceso remoto para robar credenciales y datos financieros de los clientes, convierte al sector de la distribución en un objetivo muy lucrativo".
"Me ha interesado en particular constatar que Qakbot sigue figurando entre las principales amenazas para empresas de distribución, a pesar de que el FBI desarticuló esta organización a finales de agosto de 2023. Su infraestructura ha sido reacondicionada para distribuir cargas útiles de malware adicionales, lo que ha brindado nuevas oportunidades a los atacantes y , también, se han detectado algunas campañas aisladas de Qakbot incluso después de su desmantelamiento".
"Que botnets como Mirai e infostealers como Quakbot sigan estando entre los principales medios utilizados a la hora de atacar a empresas de distribución pone de manifiesto que a los responsables de seguridad aún les queda mucho trabajo por hacer para proteger su infraestructura y sus dispositivos. Afortunadamente, si se siguen unas buenas prácticas fundamentales de ciber higiene, como inspeccionar el tráfico web y en la nube y asegurarse de que se puede bloquear el tráfico malicioso y aislar los dispositivos o dominios comprometidos, es posible reducir el riesgo de ser víctima de estos atacantes".
Netskope Threat Labs recomienda a las empresas del sector de la distribución que evalúen su estado de seguridad y hace varias recomendaciones de buenas prácticas para contrarrestar estas amenazas:
● Inspeccionar todas las descargas HTTP y HTTPS, incluido todo el tráfico web y en la nube, para evitar que el malware se infiltre en la red.
● Asegurarse de que los distintos tipos de archivos de alto riesgo, como los ejecutables y los archivos comprimidos, son inspeccionados minuciosamente mediante una combinación de análisis estáticos y dinámicos antes de ser descargados.
● Configurar políticas para bloquear descargas y cargas de aplicaciones y procesos que no se utilicen en la organización, a fin de reducir la superficie de riesgo a solo aquellas aplicaciones y procesos que sean necesarios para la empresa y minimizar el riesgo de exposición accidental o deliberada de datos por parte de personas internas o el abuso por parte de atacantes.
● Utilizar un sistema de prevención de intrusiones (IPS) que pueda identificar y bloquear patrones de tráfico malicioso, como el tráfico de comando y control asociado al malware más común. El bloqueo de este tipo de comunicación puede evitar daños mayores al limitar la capacidad del atacante para realizar acciones adicionales.
● Utilizar la tecnología de Aislamiento Remoto del Navegador (RBI) para proporcionar protección adicional cuando exista la necesidad de visitar sitios web que entran dentro de categorías que pueden presentar mayor peligro, como dominios recién descubiertos y recién registrados.
El informe se basa en datos de uso anónimos recopilados sobre un subconjunto de empresas del sector de la distribución de entre los más de 2.500 clientes de Netskope, todos los cuales han dado su autorización previa para que sus datos se analicen.
