El ransomware resurge con fuerza
504 nuevas amenazas por minuto en el primer trimestre de 2019. Las brechas de datos facilitan los ataques a grandes organizaciones.
McAfee, la compañía líder en ciberseguridad del dispositivo a la nube, ha lanzado su informe trimestral de amenazas, McAfee Labs Threat Report: Agosto 2019, que analiza la actividad cibercriminal y la evolución de las ciberamenazas en el primer trimestre del año. En este periodo, McAfee Labs registró una media de 504 nuevas amenazas por minuto y un resurgimiento del ransomware, con nuevas ejecuciones de campañas e innovaciones en el código. También en este tiempo, se colgaron más de 2.200 millones de credenciales de cuentas robadas en la red underground del cibercrimen. El 68% de los ataques dirigidos utilizaron técnicas de spearphishing para el acceso inicial y el 77% dependió de las acciones de los usuarios para la ejecución del ataque.
“El impacto de estas amenazas es muy real”, comenta Raj Samani, Chief Scientist y Fellow de McAfee. “Los números, que hablan de aumentos o disminuciones de ciertos tipos de ataques, sólo cuentan una parte de la historia. Cada infección es otro negocio que debe lidiar con las consecuencias o un usuario que se enfrenta a un caso de fraude importante. No debemos olvidar que cada ciberataque tiene un coste humano”.
Cada trimestre, McAfee evalúa el estado de las ciberamenazas basándose en un estudio en profundidad del panorama y un análisis detallado de esta investigación. Además, cuenta con los datos recogidos por la nube de McAfee Global Threat Intelligence, que recopila información de más de mil millones de sensores en múltiples vectores de amenazas en todo el mundo.
El resurgir del ransomware: innovaciones de código y nuevas tácticas de campaña
La división de McAfee dedicada a la investigación de ciberamenazas, McAfee Advanced Threat Research (ATR), observó innovaciones en las campañas de ransomware, con cambios en los vectores de acceso inicial, gestión de campañas e innovaciones técnicas en el código.
Si bien el spearphishing ha mantenido su popularidad, los ataques de ransomware se han dirigido cada vez más a puntos de acceso remoto expuestos, como el Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés). Estas credenciales pueden ser obtenidas a través de un ataque de fuerza o compradas en la red clandestina underground. Las credenciales RDP se pueden utilizar para obtener privilegios de administrador y otorgan plenos derechos para distribuir y ejecutar malware en redes corporativas.
Los investigadores de McAfee también han observado actores detrás de los ataques de ransomware que utilizan servicios de correo electrónico anónimos para gestionar sus campañas, frente al enfoque tradicional de establecer servidores de mando y control (C2). Las autoridades y las agencias privadas a menudo buscan servidores C2 para obtener claves de descifrado y crear herramientas de evasión. Por lo tanto, el uso de los servicios de correo electrónico es percibido por los actores de la amenaza como un método más anónimo para llevar a cabo actividades delictivas.
Durante el primer trimestre de 2019, las familias más activas de ransomware fueron Dharma (también conocida como Crysis), GandCrab y Ryuk. Otras familias de ransomware relevantes fueron Anatova, expuesta por McAfee Advanced Threat Research antes de tener oportunidad de expandirse ampliamente, y Scarab, una familia de ransomware persistente con nuevas variantes descubiertas regularmente. En general, las nuevas muestras de ransomware aumentaron un 118%.
“Después de una disminución periódica de nuevas familias y desarrollos a finales de 2018, el ransomware volvió fuerte a principios de 2019, con innovaciones en el código y un nuevo enfoque mucho más específico”, explica Christiaan Beek, Científico e Ingeniero Jefe de McAfee. “Pagar rescates financia el negocio del cibercrimen y perpetúa los ataques. Las víctimas de ransomware deben saber que existen otras opciones. Por ejemplo, tienen a su disposición herramientas de desencriptado e información detallada de las campañas gracias a iniciativas como el proyecto No More Ransom”.
Actividad de amenazas en el primer trimestre de 2019
Vectores de ataque. El malware lideró los vectores de ataque, seguido por el secuestro de cuentas y los ataques dirigidos.
Criptominería. El nuevo malware para la minería de monedas creció un 29%. McAfee ATR observó que el malware CookieMiner, dirigido a los usuarios de Apple, intenta obtener credenciales de carteras bitcoin. Además, el malware también obtiene acceso a contraseñas y datos de navegación. El total de muestras de malware para minería de monedas creció un 414% en los últimos cuatro trimestres.
Fileless malware o “malware sin ficheros”. El nuevo malware para JavaScript disminuyó un 13%, mientras que el total de malware creció un 62% en los últimos cuatro trimestres. El nuevo malware para PowerShell aumentó un 460% debido al uso de scripts de descarga. El total de malware ha crecido un 76% en los últimos cuatro trimestres.
IoT. Los cibercriminales han seguido aprovechando la escasa seguridad de los entornos IoT. Las nuevas muestras de malware dirigido a estos dispositivos aumentaron un 10% y el total de malware de IoT creció un 154% en el último año.
Malware en general. Las nuevas muestras de malware aumentaron un 35%. Las muestras de malware para Mac OS se redujeron en un 33%.
Malware para dispositivos móviles. Las nuevas muestras de malware móvil disminuyeron un 15% y el total de malware creció un 29% en los últimos cuatro trimestres.
Incidentes de seguridad. McAfee Labs ha registrado 412 incidentes de seguridad reportados públicamente, lo que supone un aumento del 20% respecto al último trimestre de 2018. El 32% de todos los incidentes de seguridad reportados de forma pública tuvieron lugar en las Américas, seguido por el 13% en Europa y el 13% en Asia-Pacífico.
Objetivos regionales. Los incidentes registrados en la región de Asia-Pacífico crecieron un 126%, en las Américas disminuyeron casi un 3% y en Europa, en un 2%.
Objetivos en sectores verticales. Los incidentes que afectaron a usuarios aumentaron un 78%, los dirigidos al sector de la educación, crecieron un 50%; al sector sanitario, un 18%; al sector público, un 10% y al sector financiero, un 89%.
Ataques dirigidos. McAfee identificó un gran número de campañas que minimizaron eficazmente el reconocimiento de datos necesario para ejecutar con éxito los ataques. Los actores se centraron principalmente en las grandes organizaciones del sector gubernamental/administrativo, seguidos por los sectores financiero, químico, de defensa y de educación. El acceso inicial se obtuvo por medio de técnicas de spearphishing en el 68% de los ataques y el 77% se basó en acciones específicas de los usuarios para la ejecución de los ataques.
El underground del cibercrimen. Más de 2.200 millones de credenciales de cuentas robadas se colgaron en la red underground del cibercrimen a lo largo del trimestre. El mercado más grande de la deep web, Dream Market, anunció su cierre, citando un gran número de ataques de denegación de servicio distribuidos (DDoS). Las autoridades incautaron y cerraron con éxito las operaciones de xDedic, uno de los mayores negocios de RDP que presuntamente vendía acceso a 70.000 dispositivos comprometidos.