Crecimiento del Fileless Maware e irrupción de nuevas formas de malware
McAfee dió a conocer recientemente su informe de amenazas, McAfee Labs Threat Report: December 2017, que analiza el crecimiento y las tendencias del nuevo malware, ransomware y otras amenazas del tercer trimestre de 2017.
McAfee Labs ha detectado que el malware ha alcanzado un máximo histórico de 57,6 millones de nuevas muestras, o lo que es lo mismo, cuatro nuevas muestras por segundo. De esta forma, se han registrado avances en el nuevo malware Fileless, una nueva versión del ransomware Locky denominada “Lukitus” y nuevas variaciones de los troyanos bancarios Trickbot y Emotet. Además, las amenazas que han intentado aprovechar las vulnerabilidades de la tecnología de Microsoft han sido recurrentes, a pesar de que el proveedor de esta plataforma ha resuelto esta situación con parches desde el primer trimestre de 2017.
"El tercer trimestre muestra que los ciberdelincuentes han sacado partido de las capacidades dinámicas de plataformas tecnológicas como PowerShell, debido, en parte, a la imprudencia de las víctimas de phising y al fallo de las organizaciones a la hora de parchear las vulnerabilidades conocidas con las actualizaciones de seguridad disponibles”, señala Raj Samani, McAfee’s Chief Scientist. “Aunque los ciberdelincuentes siempre buscan nuevas formas de innovar en sus ataques, nuestra industria se enfrenta a un desafío mayor, concienciar a los individuos y a organizaciones de que no se conviertan en sus propios enemigos”.
Cada trimestre, McAfee Labs analiza el estado de las ciberamenazas basándose en los datos que recopila McAfee Global Threat Intelligence a través de cientos de millones de sensores en múltiples vectores de amenazas en todo el mundo. McAfee Advanced Threat Intelligence proporciona a McAfee Labs un análisis de investigación completo sobre ciberataques a nivel mundial.
Vulnerabilidades conocidas
En el tercer trimestre de 2017, los ciberdelincuentes han aprovechado las vulnerabilidades de Microsoft Office, como CVE-2017-0199, para pemitir la ejecución remota de código a través de archivos especialmente diseñados. Para llevar a cabo estos ataques, la mayoría de cibercriminales han utilizado una herramienta disponible a través de GitHub que ofrece una ruta sencilla para crear un ataque y que no requiere una configuración compleja.
Las nuevas variaciones del troyano bancario Trickbot presentan un código que incorpora el exploit EternalBlue, responsable de los ataques masivos de WannaCry y NotPetya en el Q2. A pesar de los continuos esfuerzos de Microsoft por contrarrestar EternalBlue con parches de seguridad, los responsables de Trickbot descubrieron que la técnica continuaba siendo efectiva. Además, añadieron nuevas funciones como el robo de criptomonedas, convirtiendo a las nuevas versiones de Trickbot en los troyanos bancarios más activos del tercer trimestre.
"Una vez que las vulnerabilidades han sido descubiertas y divulgadas, la comunidad de hackers trabaja con el objetivo de desarrollar amenazas más sofisticadas”, afirma Steve Grobman, Chief Technology Officer at McAfee. “El año 2017 será recordado como el año en que las vulnerabilidades han sido aprovechadas con el fin de orquestar ciberataques a gran escala como los ataques de WanaCry y NotPetya o violaciones de datos como la sufrida por Equifax. Inviertiendo más en investigación y remediación de estas vulnerabilidades, los proveedores de tecnología, los gobiernos y las empresas pueden adelantarse a los cibercriminales que trabajan para descubrir y aprovechar estas vulnerabilidades”.
Amenazas Fileless
Las amenazas del tipo Fileless han sido una preocupación en el tercer trimestre, con el malware PowerShell que ha crecido un 119%. Ademas, el troyano bancario Emotet se ha extendido por todo el mundo gracias a la puesta en marcha de grandes campañas de spam que atraían a los usuarios para descargar documentos de Microsoft Word. Esta acción activa Powershell, que descarga e instala el malware en sus sistemas.
"A pesar de que muchos ciberataques dependen de la explotación de vulnerabilidades de seguridad básicas, las amenazas del tipo Fileless aprovechan la utilidad de las funciones de nuestros sistemas”, señala Vicent Weafer, Vice President de McAfee Labs. “Aprovechando aplicaciones de confianza y obteniendo acceso a herramientas del sistema como PowerShell o JavaScript, los atacantes han avanzado mucho en lo relativo a tomar el control de los equipos sin descargar ningún archivo ejecutable, al menos en las primeras fases de un ataque”.
Ransomware Lukitus
Respecto al ransomware, un factor clave ha sido la aparición de Lukitus, una nueva versión del ransomware Locky. Durante las primeras 24 horas del ataque, este ransomware fue distribuido en más de 23 millones de correos spam. A nivel general, las nuevas muestras de ransomware ha crecido un 44% en los últimos cuatro trimestres, alcanzando las 12,3 millones de muestras.
DragonFly: nuevas industrias, nuevos objetivos
El equipo de McAfee Advanced Threat Research ha revelado que DragonFly 2.0, el malware descubierto a principios de 2017 en el sector de la energía, se ha centrado en nuevas industrias como el sector farmacéutico o los servicios financieros. Estos ataques se llevaron a cabo a través de correos electrónicos de spear-phishing, atrayendo a los usuarios a hacer clic en los enlaces con el fin de descargar el troyano y proporcionar a los atacantes acceso a la red.
"Los actores involucrados en los ataques DragonFly 2.0 tienen la fama de iniciar sus ataques con el próposito de obtener información sobre el funcionamiento interno de sectores específicos; principalmente, el sector de la energía y la industria farmaceútica”, señala Christiaan Beek, McAfee Lead Scientist and Principal Engineer. “La propiedad intelectual y la información privilegiada que obtienen al acceder a estos sectores específicos tiene un enorme valor económico”.
Tercer trimestre 2017, actividad de las amenazas
Incidentes de seguridad. McAfee Labs ha registrado 263 incidentes de seguridad que han sido difundidos públicamente en el Q3, una reducción del 15% respecto al segundo trimestre de 2017. Más del 60% de todos los incidentes de seguridad han tenido lugar en América.
Las industrias verticales son los objetivos. La industria de la salud y el sector público representan más del 40% del total de incidentes del Q3.
• América del Norte. Los ataques al sector de la salud han estado a la cabeza de los incidentes de seguridad sobre sectores verticales en el tercer trimestre.
• Asia. El sector público, seguido de la tecnología y los ataques individuales lideran los incidentes en el Q3.
• Europa, Oceanía y África. Los ataques se han producido contra el sector público.
Vectores de ataque. El secuestro de cuentas ha sido uno de los principales vectores de ataque, seguido de filtraciones, malware, DDos y ataques dirigidos.
Malware móvil. El total de malware móvil ha crecido, alcanzando las 21,1 millones de muestras. El nuevo malware móvil ha aumentado en un 60% respecto al Q2, debido, en gran parte, al rápido crecimiento del ransomware de bloqueo de pantalla en Android.
Malware. El número de nuevas muestras de malware se ha incrementado en el tecer trimestre alcanzando los 57,5 millones, lo que representa un aumento del 10%. El número total de muestras de malware ha crecido un 27% en los últimos cuatro trimestres, alcanzando las 781 millones de muestras.
Fileless malware. Si bien el crecimiento del malware JavaScript se ha reducido en un 26% en el Q3, el malware PowerShell se ha duplicado con un 119%.
Ransomware. Las nuevas muestras de ransomware aumentaron un 36% en el Q3. El número total de nuevas muestras de ransomware ha crecido un 14% en el último trimestre alcanzando las 12,2 millones de muestras.
Malware para Mac. Las muestras de malware de Mac OS han aumentado un 7% en el tercer trimestre.
Macro Malware. El número total de macro malware ha continuado creciendo, aumentando un 8% en el Q3.
Campañas de spam. El botnet Gamut sigue siendo el “spamming botnet” más extendido en el Q3, con el botnet Necurs en un segundo lugar. Necurs generó varias campañas de ransomware de Ykcol (Locky) durante todo el trimestre con temas como "Factura de estado", "Su pago" y "Correo electrónico: [Números aleatorios] JPG".