HayCanal.com

El impacto global del troyano Emotet es cada vez mayor

El impacto global del troyano Emotet es cada vez mayor

Proofpoint, una de las empresas líderes en ciberseguridad y cumplimiento normativo, ha publicado su informe sobre amenazas durante el tercer trimestre de 2019, en el que señala las tendencias en ataques hacia su base de clientes globales dentro de un panorama más amplio de las ciberamenazas.

Entre lo más destacado, Proofpoint destaca que -a pesar de una ausencia de casi cuatro meses- Emotet reapareció en escena en las dos últimas semanas de septiembre y representó casi el 12 por ciento de todas las muestras de correo electrónico malicioso en el tercer trimestre, entregando millones de mensajes con URLs o archivos adjuntos maliciosos.

"El regreso de Emotet al panorama actual y el último software malicioso de sextorsión son sólo los últimos ejemplos de cómo los ciberdelincuentes renuevan y amplían continuamente el alcance de sus ataques, con la esperanza de dirigirse más eficazmente a las personas dentro de las organizaciones", dijo Fernando Anaya, Responsable de desarrollo de negocio para España y Portugal. "A medida que los atacantes aprovechan mayores niveles de ingeniería social y sofisticación, es fundamental que las organizaciones implementen un enfoque de seguridad centrado en las personas que defienda y eduque a sus usuarios, ya que ellos siguen siendo el objetivo principal".

TA542, el grupo ciberdelincuente responsable de la distribución de Emotet, también amplió sus objetivos regionales durante este período a varios nuevos países, entre los que se incluyen Italia, España, Japón, Hong Kong y Singapur. Volviendo a los métodos que el grupo había abandonado a principios de 2019, el resurgimiento del TA542 incluyó señuelos estacionales y tópicos muy específicos y relevantes para el momento, en lugar de temas financieros genéricos. Por ejemplo, el 23 de septiembre, Proofpoint observó al actor aprovechando el gancho de las noticias relacionadas con el caso "Snowden".

Además de Emotet, los investigadores de Proofpoint notaron un cambio sustancial en la operativa de sextorsión, con la aparición de un nuevo malware que puede proporcionar a los ciberdelincuentes evidencia tangible de la actividad efectuada por sus víctimas. PsiXBot, un troyano de acceso remoto (RAT), amplió sus capacidades de comunicación en septiembre con la inclusión de un nuevo "Módulo Porno", que contiene un diccionario con palabras clave relacionadas con la pornografía que se utiliza para controlar los títulos de las ventanas abiertas. Si una ventana coincide con el texto, comenzará a grabar audio y vídeo en el equipo infectado. Una vez grabado, el vídeo se guarda con una extensión ".avi" y se envía al servidor de comando y control, y luego (supuestamente) se utiliza con fines de extorsión. En general, la extorsión sexual siguió siendo generalizada en el tercer trimestre, con campañas notables que aprovecharon la ingeniería social enviada a través de la red de bots Phorpiex.

Conclusiones adicionales del tercer trimestre de 2019 sobre amenazas de Proofpoint

- El volumen global combinado de URLs maliciosas y mensajes adjuntos disminuyó casi un 40% en comparación con el segundo trimestre, en gran medida como resultado de la ausencia de Emotet durante las primeras 10 semanas del trimestre.

- Las URLs maliciosas representaron el 88% del volumen global combinado de URLs maliciosas y mensajes adjuntos, lo que supone un ligero aumento con respecto al segundo trimestre, pero en línea con la tendencia de 2019.

- Más del 26 por ciento de los dominios fraudulentos utilizaron certificados SSL, más del triple de la tasa de dominios en la Web. Esto contribuye dramáticamente a la ingeniería social alrededor de estos dominios, ya que hemos sido condicionados a buscar el icono del candado como una señal de seguridad y protección mientras navegamos.

- El ransomware permaneció prácticamente ausente como carga útil dominante en los correos electrónicos maliciosos, con la excepción de las campañas más pequeñas que generalmente distribuyeron Troldesh y Sodinokibi.

- Los actores de las amenazas aprovecharon el TDS de Keitaro tanto en ataques de publicidad maliciosa como en ataques por correo electrónico basados en URL, aprovechando la tendencia de cadenas de ataque y redirecciones más complejas para ocultar sus actividades y explotar múltiples vectores, incluidos los kits de explotación.


Últimas Noticias

Lo más leido

Nombramientos