Ciberataques contra la industria de la salud y los usuarios de redes sociales
El sector de la salud presenta el mayor número de incidentes de seguridad en 2016 y 2017. Faceliker manipula las cuentas de Facebook para potenciar nuevos sitios web y otros contenidos.
McAfee ha dado a conocer su informe de amenazas McAfee Labs Threats Report: September 2017, que examina el aumento del script-based malware, sugiere cinco métodos efectivos de caza de amenazas, analiza los recientes ataques de WannaCry y NotPetya, evalúa los ataques reportados a través de diferentes industrias y revela las tendencias de crecimiento del malware, ransomware, mobile malware y otras amenazas acaecidas en el segundo trimestre de 2017. Además, McAfee Labs ha detectado que la industria de la salud ha superado al sector público en cuanto a número de incidentes en el Q2. Por último, Faceliker Trojan ha ayudado a impulsar un crecimiento global del 67% del malware en el entorno de las redes sociales.
Durante el segundo trimestre de 2017, Facebook ha emergido como un notable vector de ataque, con Faceliker representando hasta un 8,9% de los 52 millones de muestras de malware detectadas en el trimestre. Este troyano infecta el navegador de un usuario cuando visita sitios web maliciosos o comprometidos. A continuación, hackea los “likes” de Facebook con el objetivo de promocionar el contenido sin que el usuario tenga ningún conocimiento o permiso. Si este tipo de ataques se realizan a gran escala puede generar grandes beneficios para los cibercriminales que están detrás de Faceliker. Esto se debe principalmente a que los clics hackeados pueden hacer que un sitio web o una aplicación parezca más popular de lo que realmente es.
"Faceliker aprovecha y manipula las redes sociales y las comunicaciones basadas en aplicaciones que usamos diariamente", dijo Vincent Weafer, Vicepresidente de McAfee Labs. "Haciendo que las aplicaciones o las noticias sean más populares, confiables y legítimas entre los usuarios, los cibercriminales pueden influir de manera encubierta en la forma en que percibimos el valor y hasta la verdad de estos contenidos”.
McAfee Labs ha revelado que, a nivel global, la industria sanitaria, con el 26% de los incidentes, ha sido el sector más atacado en el segundo trimestre. Si bien la mayoría de brechas en los datos sanitarios se deben a errores humanos o revelaciones accidentales, la realidad es que los ciberataques en la industria de la salud continúan aumentando. Esta tendencia comenzó en el primer trimestre de 2016 cuando numerosos hospitales de todo el mundo fueron atacados por ataques de ransomware. Los ataques paralizaron algunos departamentos e incluso algunos hospitales tuvieron que trasladar a sus pacientes y posponer operaciones.
“Ya sean físicas o digitales, las brechas de datos en la industria sanitaria ponen de manifiesto el valor de la información personal que las organizaciones de este sector gestionan”, afirma Weafer. “Además, refuerza la necesidad de contar con políticas de seguridad corporativa más fuertes que trabajen para garantizar la gestión segura de esta información”.
Segundo trimestre 2017, actividad de las amenazas
En el segundo trimestre de 2017, la red global de inteligencia de amenazas de McAfee ha registrado un notable crecimiento de las ciberamenazas e incidentes relacionados con ciberataques a diferentes industrias.
Incidentes de seguridad. McAfee Labs ha registrado 311 incidentes de seguridad que fueron difundidos públicamente en el Q2, un aumento del 3% respecto al primer trimestre de 2017. El 78% de todos los incidentes de seguridad tuvieron lugar en América.
Las industrias verticales son los objetivos. La industria de la salud, el sector público y la educación representan más del 50% del total de incidentes del mundo entre 2016-2017.
Vectores de ataque. El secuestro de cuentas ha sido uno de los principales ataques, seguidos por DDoS, filtraciones, ataques dirigidos, malware e inyecciones de SQL.
Malware. El número de nuevas muestras de malware se ha incrementado en el segundo trimestre alcanzando los 52 millones, lo que significa un aumento del 67%. Este incremento se debe principalmente a un aumento significativo en los instaladores de malware y al troyano Faceliker. Estos últimos representaron hasta el 8,9% de todas las nuevas muestras de malware. El número total de muestras de malware ha aumentado en un 23% en los últimos cuatro trimestres, alcanzando los 723 millones de muestras.
Ransomware. Las nuevas muestras de ransomware se han vuelto a disparar durante el segundo trimestre, un 54%. El número total de muestras de ransomware ha crecido en un 47% en los últimos cuatro trimestres alcanzando los 10,7 millones de muestras.
Malware móvil. El total de malware móvil ha crecido en un 61% en los últimos cuatro trimestres alcanzando los 18,4 millones de muestras. Las infecciones a dispositivos móviles a nivel mundial aumentaron un 8% en el segundo trimestre, con Asía nuevamente liderando la clasificación con un 18%.
Malware para Mac. Con la caída de un exceso de adware, el malware de Mac OS ha vuelto a los niveles históricos, creciendo en sólo 27.000 en el segundo trimestre. Aunque continúa siendo pequeño en comparación con las amenazas de Windows, el número total de muestras de malware de Mac OS creció un 4% en el Q2.
Macro malware. El nuevo macro malware ha aumentado un 35% en el segundo trimestre. Las 91,000 nuevas muestras han incrementado el registro total de macro malware, que asciende a 1,1 millones.
Campañas de spam. El botnet Gamut lidera el ranking en volumen durante el Q2, continuando, así su tendencia de spam a través de trabajo y productos farmacéuticos falsos. El botnet Necurs fue el más disruptivo, generando multitud de estafas durante este trimestre.
Más allá del análisis: WannaCry y NotPetya
El análisis de McAfee sobre los ataques WannaCry y NotPetya se basa en la investigación anterior de la organización, ofreciendo más información sobre cómo los atacantes emplearon una serie de tácticas relativamente sencillas, fusionando una vulnerabilidad exploit, un ransomware previamente probado y una propagación de gusano conocida. McAfee ha observado que ambas campañas carecían de las capacidades de pago y descifrado para extorsionar con éxito a sus víctimas y desbloquear sus sistemas.
"Algunas informaciones apuntan a que estas campañas de ransomware no han tenido éxito por la cantidad de dinero que consiguieron", señala Raj Samani, Chief Scientist en McAfee. "Sin embargo, es muy probable que la motivación de WannaCry y NotPetya no fuese ganar dinero per se, sino algo más. En este sentido, si el objetivo era la disrupción, ambas campañas fueron increíblemente eficaces. En la actualidad, vivimos en un mundo en el que el objetivo del ransomware va mucho más allá de extorsionar económicamente, bienvenido al mundo del pseudo-ransomware".
El auge del Script-Based Malware
Los investigadores de McAfee también destacan un aumento en los dos últimos años del script-based malware. Este lenguaje de programación de Microsoft se utiliza para automatizar tareas de administración tales como ejecutar background commands, verificar servicios instalados en el sistema, finalizar procesos y gestionar configuraciones de sistemas y servidores. Las secuencias de comandos maliciosos PowerShell llegan al dispositivo del usuario a través de emails spam, apoyándose en la ingeniería social en lugar de vulnerabilidades de software y aprovechando las capacidades de los scripts para comprometer el sistema.
La tendencia de malware basada en secuencias de comandos también incluye el uso de JavaScript, VBScript y otros tipos de módulos no ejecutables usando .doc, PDF, .xls, HTML y otros estándares benignos de computación personal.
Caza de amenazas. Best Practices
El informe de septiembre también sugiere técnicas para ayudar a los cazadores de amenazas a detectar la presencia de adversarios en su entorno. Comenzando con los principios de lo que el grupo Foundstone de McAfee denomina "three big knows" - "conoce al enemigo, conoce su red y conoce sus herramientas". El informe ofrece las mejores prácticas para la caza de comandos y control, persistencia, escalada de privilegios, movimiento lateral y exfiltración.
"Una hipótesis básica es que a cada momento hay al menos un sistema comprometido en la red debido a que un ataque ha logrado evadir las medidas preventivas de seguridad de una organización”, señala Ismael Valenzuela, Principal Engineer, Threat Hunting and Security Analytics en McAfee. “Los cazadores de amenazas deben encontrar rápidamente pruebas que puedan indicar la presencia de un adversario en la red, ayudando a contener y eliminar un ataque antes de que salten las alarmas o se produzca una violación de datos”.