La red de bots Emotet impulsó el 61 por ciento de las cargas maliciosas el primer trimestre
Proofpoint, una de las empresas líderes en ciberseguridad y cumplimiento normativo, ha publicado su informe sobre amenazas durante el primer trimestre de 2019, en el que señala las tendencias en ataques hacia su base de clientes globales dentro de un panorama más amplio de las ciberamenazas.
Entre lo más destacado, la compañía ha detectado que el 61% de las cargas maliciosas en este periodo han sido impulsadas por el distribuidor de la red de bots Emotet. Proofpoint ha mapeado la creciente prevalencia de Emotet, desde su clasificación como troyano bancario hasta botnet, desbancando en gran medida a ladrones de credenciales, descargadores independientes y herramientas de control remoto (RAT) en el escenario general de amenazas.
La popularidad de Emotet se refleja en el continuo incremento de ataques con URLs maliciosas frente a aquellos que contienen archivos adjuntos maliciosos. Según Proofpoint, los correos electrónicos fraudulentos con enlaces de este tipo superaban en número a los de archivos adjuntos en una proporción de aproximadamente cinco a uno en el primer trimestre de 2019, un 180% más en comparación con el mismo periodo de 2018. Gran parte de este tráfico, tanto de forma general como en los casos de mensajes con links maliciosos, ha sido impulsado por la red de bots Emotet.
“Esta enorme evolución en la prevalencia y la clasificación de Emotet pone de manifiesto la rapidez con la que los ciberdelincuentes están adoptando nuevas herramientas y técnicas para sus ataques", señala Sherrod DeGrippo, director sénior de Detección e Investigación de Amenazas para Proofpoint. "Para enfrentarse con más garantías a un panorama de amenazas tan cambiante, es fundamental que las organizaciones implementen un enfoque de seguridad centrado en las personas, que defienda y eduque a sus usuarios más vulnerables, ofreciendo además protección contra ataques de ingeniería social a través del correo electrónico, las redes sociales y la web".
A diario, Proofpoint analiza más de cinco mil millones de mensajes de correo electrónico, cientos de millones de publicaciones en redes sociales y más de 250 millones de muestras de malware, con el fin de proteger a organizaciones de todo el mundo de avanzadas amenazas, lo que le aporta asimismo un punto de vista único desde el que revelar y analizar las tácticas, las herramientas y los objetivos de los ciberataques en la actualidad.
Conclusiones adicionales de Proofpoint sobre las amenazas en el primer trimestre de 2019:
· Los troyanos bancarios han constituido solo un 21% de las cargas maliciosas por correo electrónico durante el primer trimestre del año, siendo los principales IcedID, The Trick, Qbot y Ursnif.
· Sin contar las campañas de menor tamaño de Gandcrab, el ransomware ha estado ausente de manera virtual a principios de 2019, ya que el 82% de las cargas maliciosas ha correspondido a Emotet o bancarios.
· El concepto "pago" ha sido uno de los más incluidos en mails fraudulentos, hasta llegar a los seis puntos porcentuales respecto al cuarto trimestre de 2018.
· En el primer trimestre de 2019, los sectores de ingeniería, automoción y educación han sido los objetivos principales de los ataques por correo electrónico.
· En todas las industrias, las organizaciones objetivo han tenido una media de 47 ataques de este tipo, unas cifras algo inferiores respecto a los máximos históricos del último trimestre de 2018. Aun así, esto puede deberse a una mayor selección de los objetivos de ataque y a variaciones estacionales.
Ataques basados en web
· Las muestras de Coinhive han repuntado a finales de enero a 4,9 veces la media semanal del trimestre. No es sorprendente que los eventos detectados hayan bajado casi a cero después del cierre de Coinhive en marzo. Sin embargo, otros han llenado este vacío en minería ilícita de criptomonedas, ya que los actores de amenazas siguen operando en este entorno pese a la continua volatilidad del mercado.
· Los ataques de ingeniería social a través de webs comprometidas y publicidad maliciosa han estado por debajo de los niveles del cuarto trimestre de 2018, en torno a un 50%, lo cual puede ser un indicativo de estacionalidad. A pesar de ello, la actividad seguía siendo 16 veces superior al mismo trimestre de 2018.
Fraudes con dominios
· En el primer trimestre de 2019, más del triple de dominios fraudulentos contaban con un certificado SSL, al igual que los dominios legítimos, lo que proporciona una falta sensación de seguridad a los usuarios cuando se encuentran con estos dominios online y en casos de ataques por correo electrónico.
· Durante este periodo, la proporción de dominios identificados como potencialmente fraudulentos que se resolvían en una dirección IP ha sido 26 puntos porcentuales superior a la de todos los dominios en la web. La proporción de respuestas HTTP generadas ha sido 43 puntos porcentuales superior a la de todos los dominios.
· Durante marzo, los registros de dominios similares a otros han igualado casi en número a los de los dos meses anteriores juntos.
Pasos para mejorar la estrategia de ciberseguridad
Las organizaciones pueden proteger mejor su negocio y marca en los próximos meses, siguiendo esta serie de pautas:
· Asumir que los usuarios harán clic donde no deben. Cada vez más la ingeniería social se posiciona como una de las prácticas favoritas a la hora de lanzar ataques por correo electrónico, y los cibercriminales siguen buscando nuevas formas de explotar el factor humano. Por tanto, conviene desarrollar una solución que detecte y ponga en cuarentena tanto las amenazas entrantes a empleados como aquellas salientes que se dirigen a los clientes, antes de que lleguen a la bandeja de entrada.
· Crear una sólida defensa frente al fraude por mail. Las estafas BEC (Business Email Compromise) de bajo volumen y muy dirigidas no suelen tener carga maliciosa, por lo que son difíciles de detectar. Al respecto, se aconseja invertir en una solución que tenga capacidades de clasificación dinámica con las que poder crear políticas de bloqueo.
· Proteger la reputación de marca y a los clientes. Hay que luchar contra los ciberataques dirigidos a clientes a través de las redes sociales, el correo electrónico o el móvil, y, en especial, contra aquellas cuentas que buscan aprovecharse de una marca. Para ello, se necesita buscar una solución integral de seguridad que analice todas las redes sociales y reporte toda actividad fraudulenta.
· Colaborar con un proveedor de inteligencia de amenazas. Los ataques a menor escala y muy dirigidos requieren de una sofisticada inteligencia de amenazas, de ahí que se recomiende una solución que combine técnicas estáticas y dinámicas para detectar tácticas, herramientas y objetivos de ataque, así como aprender a partir de esta información.
· Formar a los usuarios para que detecten y denuncien los mails fraudulentos. Una formación continua de concienciación de ciberseguridad, junto con simulaciones de ciberataques, puede ayudar a detener muchos ataques e identificar a aquellos individuos especialmente vulnerables. Las mejores prácticas en este sentido reproducen las técnicas de ciberataque del mundo real, por lo que se deben buscar soluciones ajustadas a las tendencias actuales y a la información más reciente sobre amenazas.