Emotet se convierte en la familia de malware más detectada durante el primer trimestre del año
Aumento de un 27 por ciento del número de amenazas capturadas, incluyendo el aumento de malware basado en scripts, phishing mediante el contrabando de HTML o HTML smuggling y la reinfección persistente.
HP ha anunciado que el equipo de investigación de amenazas de HP Wolf Security ha identificado un aumento del 27% en las detecciones resultantes de las campañas de spam malicioso Emotet en el primer trimestre de 2022, en comparación con el cuarto trimestre de 2021, cuando Emotet hizo su primera reaparición. El último informe global HP Wolf Security Threat Insights -que proporciona un análisis de los ataques reales de ciberseguridad del mundo - muestra que Emotet ha subido 36 puestos y se ha convertido en la familia de malware más común detectada este trimestre (representando el 9% de todo el malware capturado). Una de estas campañas -dirigida a organizaciones japonesas y que implicaba el secuestro de hilos de correo electrónico (email thread hijacking) para engañar a los destinatarios e infectar sus PC-, fue en gran medida responsable de un aumento del 879% en las muestras de malware .XLSM (Microsoft Excel) capturadas en comparación con el trimestre anterior.
Al aislar las amenazas que han evadido las herramientas de detección y han llegado a los endpoints de los usuarios, HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes. Entre los ejemplos más destacados se encuentran:
• Las alternativas invisibles a los documentos maliciosos de Microsoft Office son cada vez más frecuentes a medida que las macros comienzan a ser eliminadas: Desde que Microsoft ha empezado a desactivar las macros, HP ha observado un aumento de los formatos no basados en Office, incluidos los archivos maliciosos de Java Archive (+476%) y los archivos de JavaScript (+42%), en comparación con el trimestre anterior. Este tipo de ataques son más difíciles de defender para las organizaciones porque los índices de detección de estos tipos de archivos suelen ser bajos, lo que aumenta las posibilidades de infección.
• Los indicios señalan que el contrabando de HTML (HTML smuggling) va en aumento: El tamaño medio del archivo de las amenazas HTML creció de 3KB a 12KB, lo que indica un aumento en el uso del contrabando de HTML, una técnica en la que los ciberdelincuentes incrustan el malware directamente en los archivos HTML para eludir las puertas de enlace del correo electrónico y evadir la detección, antes de obtener acceso y robar información financiera crítica. Recientemente se han visto campañas dirigidas a bancos latinoamericanos y africanos.
• La campaña de malware "Dos por uno" conduce a múltiples infecciones de tipo RAT (remote Access troyans): Se descubrió que un ataque con un script de Visual Basic se utilizaba para iniciar una cadena de ataques que daba lugar a múltiples infecciones en el mismo dispositivo, dando a los atacantes acceso persistente a los sistemas de las víctimas con VW0rm, NjRAT y AsyncRAT.
"Nuestros datos del primer trimestre muestran que esta es, con diferencia, la mayor actividad que hemos visto de Emotet desde que el grupo fue interrumpido a principios de 2021, una clara señal de que sus operadores se están reagrupando, recuperando su fuerza e invirtiendo en el crecimiento de la botnet. Emotet fue descrito en su día por CISA como uno de los malware más destructivos y costosos de remediar y sus operadores suelen colaborar con grupos de ransomware, un patrón que podemos esperar que continúe. Así que su reaparición es una mala noticia tanto para las empresas como para el sector público", explica Alex Holland, analista principal de malware del equipo de investigación de amenazas de HP Wolf Security. "Emotet también ha seguido favoreciendo los ataques con macros, tal vez para conseguir ataques antes de la fecha límite de abril de Microsoft, o simplemente porque la gente todavía tiene las macros habilitadas y puede ser engañada para que haga clic en el objeto equivocado".
Logo Description automatically generatedLos resultados se basan en los datos de muchos millones de endpoints que ejecutan HP Wolf Security. HP Wolf Security rastrea el malware abriendo tareas de riesgo en micro-máquinas virtuales (micro-VM) aisladas para proteger al usuario y comprender y capturar toda la cadena de intentos de infección, mitigando las amenazas que se han escapado de otras herramientas de seguridad. Hasta la fecha, los clientes de HP han hecho clic en más de 18.000 millones de archivos adjuntos de correo electrónico, páginas web y descargas sin que se haya informado de ninguna infracción. Estos datos proporcionan una visión única de cómo los agentes de amenazas utilizan el malware en la realidad.
Otras conclusiones clave del informe son:
• El 9% de las amenazas no se habían visto antes en el momento en que se aislaron, y el 14% del malware de correo electrónico aislado había evitado al menos un escáner de puerta de enlace de correo electrónico.
• Se tardó más de 3 días (79 horas), de media, en ser reconocido por la función hash a otras herramientas de seguridad.
• El 45% de los programas maliciosos aislados por HP Wolf Security eran formatos de archivos de Office.
• Las amenazas utilizaron 545 familias de malware diferentes en sus intentos de infectar a las organizaciones, siendo Emotet, AgentTesla y Nemucod las tres primeras.
• Un exploit de Microsoft Equation Editor (CVE-2017-11882) representó el 18% de todas las muestras maliciosas capturadas.
• El 69% de los programas maliciosos detectados se distribuyeron por correo electrónico, mientras que las descargas web fueron responsables del 18%. Los archivos adjuntos más utilizados para distribuir el malware fueron documentos (29%), archivos (28%), ejecutables (21%) y hojas de cálculo (20%).
• Los archivos adjuntos más utilizados para enviar programas maliciosos fueron hojas de cálculo (33%), ejecutables y scripts (29%), archivos (22%) y documentos (11%).
Los engaños de phishing más comunes eran transacciones comerciales como "Pedido", "Pago", "Compra", "Solicitud" y "Factura".
"Este trimestre hemos visto un aumento significativo del 27% en el volumen de amenazas captadas por HP Wolf Security. A medida que los ciberdelincuentes modifican sus enfoques en respuesta a los cambios en el panorama de las TI, el volumen y la variedad de los ataques siguen aumentando, y se hace más difícil para las herramientas convencionales detectar los ataques", comenta el Dr. Ian Pratt, Director Global de Seguridad para Sistemas Personales de HP. "Con el aumento de los casos en archivos de extensiones alternativos y las técnicas que se utilizan para eludir la detección, las organizaciones deben cambiar el rumbo y adoptar un enfoque por capas para la seguridad de los puntos finales. Aplicando el principio del menor privilegio y aislando los vectores de amenaza más comunes -desde el correo electrónico, los navegadores o las descargas- se consigue que el malware entregado a través de estos vectores sea inofensivo. Esto reduce drásticamente la exposición de las organizaciones a las ciberamenazas".
Al aislar las amenazas que han evadido las herramientas de detección y han llegado a los puntos finales de los usuarios, HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes.