El underground del cibercrimen y los foros en la deep web, grandes fuentes de tendencias
Se observa una media de 480 nuevas amenazas por minuto en el tercer trimestre de 2018. Los criptomineros aprovechan los dispositivos IoT y el sector financiero experimenta un 20 por ciento más de brechas de seguridad.
McAfee, la compañía de ciberseguridad del dispositivo a la nube, ha presentado su informe McAfee Labs Threats Report: Diciembre 2018, que analiza la actividad del mundo underground del cibercrimen y la evolución de las amenazas en el tercer trimestre de 2018. McAfee Labs observó una media de 480 nuevas amenazas por minuto y un incremento notable en el malware dirigido a dispositivos IoT. El efecto dominó que provocó el desmantelamiento en 2017 de los mercados de la dark web Hansa y AlphaBay continuó y los cibercriminales más emprendedores tomaron nuevas medidas para evadir la ley.
“Los ciberdelincuentes están ávidos de explotar vulnerabilidades nuevas y antiguas. Además, el número de productos y servicios a los que se puede acceder en la actualidad a través de los mercados underground ha incrementado de forma dramática y son mucho más efectivos”, comenta Christiaan Beek, lead scientist en McAfee. “Mientras los usuarios sigan pagando rescates y los ataques relativamente sencillos, como el phishing, sigan teniendo éxito, los malos continuarán utilizando estas técnicas. Por eso, dar seguimiento a las tendencias de la deep web ayuda a la comunidad de ciberseguridad a defendernos de los ataques actuales y a mantenernos un paso por delante de los ataques del futuro”.
Cada trimestre McAfee evalúa la evolución y tendencias de las ciberamenazas basándose en un estudio en profundidad del panorama y un análisis detallado de esta investigación. Además, cuenta con los datos recogidos por el cloud McAfee Global Threat Intelligence, que compila información de más de mil millones de sensores en múltiples vectores de amenazas en todo el mundo.
El underground del cibercrimen y los foros en la deep web, grandes fuentes de tendencias
En el tercer trimestre de 2018, McAfee Labs observó a los mercados Dream, Wall Street y Olympus luchar por hacerse con su parte del negocio, hasta la misteriosa desaparición de este último. En un esfuerzo por evadir la ley y cultivar la confianza de sus clientes, algunos cibercriminales emprendedores se han alejado de los grandes mercados para vender sus productos y han comenzado a crear sus propias tiendas especializadas. Este cambio ha abierto toda una nueva línea de negocio para los diseñadores web, que se ofrecen a construir mercados ocultos para los nuevos emprendedores underground.
“Los cibercriminales son oportunistas por naturaleza”, comenta John Fokker, Director de Investigaciones Cibercriminales de McAfee. “Las ciberamenazas a las que nos enfrentamos hoy empezaron como conversaciones en foros ocultos y han crecido hasta convertirse en productos y servicios disponibles en mercados underground. Además, las grandes marcas emergentes ofrecen mucho a los cibercriminales, pero sobre todo les facilitan mayores ratios de infección, además de seguridad operacional y financiera”.
Los foros de hackers ofrecen un espacio de conversación para debatir sobre cibercrimen con otros ciberdelincuentes. Los investigadores de McAfee han sido testigos de algunos de estos temas durante el tercer trimestre:
• Las brechas de seguridad exitosas abastecen a los mercados underground para los ataques de datos y de usurpación de identidad
o Credenciales de usuarios. Dado que las últimas grandes brechas de seguridad han sido exitosas, la información personal de los usuarios es un tema popular. Las cuentas de email hackeadas tienen particular interés para los cibercriminales, puesto que se usan para hacerse con las credenciales de acceso a otros servicios online.
o Malware en webs de e-commerce. Los cibercriminales han cambiado su foco de los sistemas de punto de venta a las plataformas de pago en las grandes webs de e-commerce. Grupos de cibercriminales como Magecart se han hecho con miles de números de tarjetas de crédito desde la web de sus víctimas, lo que ha activado la demanda de estos datos y de las herramientas que se utilizaron para robarlos. Además, conforme las organizaciones implementan medidas de seguridad adicionales, los cibercriminales están respondiendo en la misma línea. Por ejemplo, algunas organizaciones han añadido verificaciones de localización geográfica por IP para compras online y, en consonancia, la demanda de ordenadores comprometidos en el mismo código postal que los números de las tarjetas de crédito robados han incrementado.
• Los métodos de entrada y ataque comunes siguen siendo populares
o Vulnerabilidad y Exposición Comunes (CVE, por sus siglas en inglés). Los investigadores de McAfee han presenciado numerosas menciones de CVEs en debates centrados en kits de explotación de exploradores, como RIG, Grandsoft y Fallout, así como en el ransomware GandCrab. La popularidad de estos temas es síntoma de que la gestión de vulnerabilidades debería ser de vital importancia para organizaciones de todo el mundo.
o Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés). Continúan siendo populares los negocios en la deep web que ofrecen credenciales para acceder a ordenadores y sistemas en todo el mundo, desde hogares de consumidores hasta dispositivos médicos o sistemas gubernamentales. Estos negocios ofrecen una compra rápida para cibercriminales que buscan cometer fraude, vendiendo acceso RDP, así como números de la Seguridad Social, detalles bancarios y acceso a cuentas online.
o Ransomware-as-a-Service (RaaS). El ransomware sigue siendo popular, lo que explica su crecimiento del 45% en el último año y un fuerte interés en los foros underground por familias de RaaS como GandCrab. El número de familias únicas de ransomware se ha reducido desde el último trimestre de 2017 a causa del aumento de alianzas entre servicios esenciales, como la que tuvo lugar este último trimestre entre el ransomware GandCrab y el servicio criptológico NTCrypt. En este sentido, las alianzas y los programas de afiliación han mejorado el nivel de servicio ofrecido a los clientes e incrementado las tasas de infección.
Actividad de las amenazas en el tercer trimestre de 2018
Criptominería e IoT. Las cámaras de fotos o vídeo no han sido tradicionalmente usadas para la criptominería, pues carecen del poder que tienen las CPUs y los portátiles. Sin embargo, los cibercriminales han detectado un crecimiento en el número de dispositivos IoT, así como las laxas medidas de seguridad que muchos de ellos poseen, y han comenzado a centrarse en ellos, aprovechando miles de dispositivos para crear un súper-ordenador de minería. El nuevo malware dirigido a los dispositivos IoT ha crecido en un 72%, lo que supone un incremento total del 203% en el último año. Por su parte, el nuevo malware de criptominería de monedas ha crecido casi en un 55%, lo que se traduce en un incremento del total de malware del 4.467% en los últimos cuatro trimestres.
Malware fileless. El nuevo malware para JavaScript ha crecido en un 45%, mientras que el nuevo malware para PowerShell lo ha hecho en un 24%.
Incidentes de seguridad. McAfee Labs ha contado 215 incidentes de seguridad que se han hecho públicos, un 12% menos que el trimestre pasado. El 44% de estos incidentes públicos tuvo lugar en América, seguidos de un 17% en Europa y un 13% en Asia-Pacífico.
Objetivos en sectores verticales. Los incidentes que tenían por objetivo a instituciones financieras han crecido en un 20%. Los investigadores de McAfee han observado un incremento en las campañas de spam que aprovechaban tipos de archivo poco comunes, en una estrategia para aumentar las opciones de esquivar las protecciones básicas de los sistemas de email. Desde McAfee también han observado que el malware dirigido al sector bancario incluye operaciones de doble factor en inyecciones web para evadir la autenticación de doble factor. Estas tácticas responden a los grandes esfuerzos de las instituciones financieras para incrementar las medidas de seguridad en los últimos años.
Por otro lado, los incidentes de seguridad que tenían por objetivo al sector sanitario se han mantenido, mientras que el sector público ha visto disminuir sus ataques en un 2% y el sector educativo en un 14%.
Objetivos regionales. Los investigadores de McAfee han descubierto una nueva familia de malware, CamuBot, que tiene por objetivo Brasil. CamuBot intenta camuflarse como un módulo de seguridad requerido por las instituciones financieras a las que se dirige. Aunque las bandas organizadas de cibercriminales en Brasil son muy activas en ataques a su propia población, sus campañas habían sido más rudimentarias en el pasado. Con CamuBot, los cibercriminales brasileños parecen haber aprendido de sus iguales, adaptando su malware para hacerlo más sofisticado y comparable al que existe en otros continentes.
Por otro lado, los incidentes de seguridad han caído un 18% en América y un 22% en Asia-Pacífico. No obstante, en Europa han incrementado un 38%.
Vectores de ataque. El malware fue el claro líder entre los vectores de ataque en el tercer trimestre de 2018. Lo siguieron el secuestro de cuentas, las filtraciones, el acceso no autorizado y las vulnerabilidades.
Ransomware. GandCrab, una de las familias más activas del trimestre, incrementó el precio de su rescate, de 1.000 a 2.400 dólares. Los kits de explotación, que sirven de vehículo para muchos ciberataques, añadieron soporte para vulnerabilidades y ransomware. Las nuevas muestras de ransomware crecieron un 10%, lo que se traduce en un incremento total del 45% en el último año.
Malware para dispositivos móviles. El nuevo malware para dispositivos móviles se redujo en un 24%. A pesar de esta tendencia a la baja, aparecieron algunas amenazas inusuales para móviles, incluida una falsa app de Fortnite y una aplicación de citas ficticia. Dirigida a miembros de las Fuerzas de Defensa de Israel, esta última app permitía a los cibercriminales acceder a la ubicación del dispositivo, la lista de contactos y la cámara, y tenía la capacidad de realizar escuchas de las llamadas telefónicas.
Malware en general. Las nuevas muestras de malware crecieron un 53%, lo que supone un incremento del 34% desde 2017.
Malware para Mac. Las nuevas muestras de malware para Mac OS crecieron un 9% El crecimiento total de estas muestras con respecto a los últimos cuatro trimestres es del 51%.
Malware macro. Las nuevas muestras de malware macro incrementaron un 32%, lo que implica un crecimiento del 24% en el último año.
Campañas de spam. El 53% del tráfico de botnets de spam en el tercer trimestre del año fue responsabilidad de Gamut, el principal autor de las campañas de “sextorsión” fraudulenta. Estos mensajes de spam falsos exigen un pago a cambio de no revelar los hábitos de navegación de la víctima.