Get best of the week

52 mil millones de ataques: amenazas de Trend Micro 2019

imagen
Trend Micro 52 , — BEC-. 2019 Annual Security Roundup: The Sprawling Reach of Complex Threats, . — , .

La principal conclusión del estudio es que los ciberdelincuentes con motivación financiera trabajan juntos y compiten a diario para aprovechar al máximo a sus víctimas. El número de amenazas está creciendo junto con su diversidad, ya que las inversiones en plataformas en la nube, así como el movimiento de la infraestructura de la compañía en las nubes, han expandido significativamente la superficie atacada de las empresas modernas. Entre las principales herramientas de cibercrimen que registramos en 2019, se pueden observar las siguientes:

  • Secuestro de datos;
  • phishing y BEC;
  • explotación de vulnerabilidades críticas;
  • ataques a la cadena de suministro;
  • amenazas móviles

Extorsionistas


En 2019, el ransomware mantuvo una posición de liderazgo entre otras amenazas cibernéticas. La cantidad de incidentes detectados con este tipo de malware aumentó en un 10% en comparación con 2018. Los principales objetivos de las campañas de extorsión son:

  • asistencia sanitaria, en la que más de 700 organizaciones fueron afectadas por ataques;
  • organizaciones gubernamentales: solo en los Estados Unidos, al menos 110 instituciones estatales y municipales se convirtieron en víctimas de ransomware;
  • Instituciones educacionales.

Rusia continúa liderando el número de virus ransomware detectados en Europa del Este, que representan el 4.15% del número total de encriptadores en el mundo.
Es de destacar que a pesar del aumento en el número de ataques, los nuevos tipos de ransomware se registraron un 57% con menos frecuencia. Lo más probable es que la razón sea que los desarrolladores de campañas maliciosas se centraron en identificar los objetivos más asequibles que tienen más probabilidades de pagar un rescate, en lugar de crear nuevas herramientas.

El deseo de aumentar la efectividad de los virus ransomware ha llevado a la creación de colaboraciones de delitos informáticos. Por ejemplo, el ransomware Sodinokibi se utilizó para realizar ataques coordinados contra 22 unidades estatales de Texas. Las ganancias de los atacantes ascendieron a $ 2.5 millones.

En esta serie de ataques, se utilizó un nuevo método de ganancias cibercriminales: el acceso como servicio, en el que algunos atacantes vendían o alquilaban el acceso a la infraestructura de red de las empresas a otros. Como parte del servicio, a un precio de 3 a 20 mil dólares estadounidenses, se ofrecieron varios servicios, hasta el acceso total a servidores y VPN corporativas.

Phishing y BEC


La cantidad de ataques de phishing registrados en 2019 disminuyó en comparación con 2018, tanto en los intentos registrados de acceder a las URL de phishing como en la cantidad de sistemas de clientes que se convirtieron en víctimas de ataques fraudulentos.

imagen
Incidentes de phishing reportados en 2018-2019 Fuente: Trend Micro

A pesar de la reducción general en el número de ataques, las campañas dirigidas para usuarios de servicios de Office 365 se han duplicado en número. Su número ha aumentado en un 101%.

Entre los métodos de phishing más populares de 2019 se encuentran los siguientes:

  • comprometer la extensión web SingleFile para crear copias fraudulentas de páginas de autenticación legítimas en varios servicios;
  • robo de contraseña de un solo uso (OTP) usando una página bancaria falsa;
  • Intercepción de resultados de búsqueda web en Google para redirigir a las víctimas a una página de phishing;
  • uso de 404 páginas no encontradas para formularios de inicio de sesión falsos.

En 2019, los cibercriminales centraron sus esfuerzos en las áreas más rentables, lo que confirma el crecimiento en el número de ataques de phishing con correspondencia comercial comprometida (BEC).

En términos de la cantidad de amenazas WEB identificadas, Rusia ocupa el cuarto lugar en el mundo con el 3.9% de los indicadores globales. En las primeras posiciones están los Estados Unidos, China y Brasil. Ucrania representa el 1,3%, Kazajstán, menos del 0,5%.

imagen
Distribución de publicaciones atacadas en ataques BEC. Fuente: Trend Micro

Los objetivos más populares en los ataques BEC son ejecutivos financieros, departamentos de contabilidad y profesores.

Explotar vulnerabilidades críticas


Las vulnerabilidades en los sistemas operativos y servicios han sido y siguen siendo una fuente seria de problemas. En 2019, la Iniciativa Trend Micro Zero Day (ZDI) identificó un número significativo de vulnerabilidades diferentes. Y aunque hubo menos problemas identificados en general, el número de vulnerabilidades graves aumentó en un 171% en comparación con 2018.

imagen
El número de vulnerabilidades de varios niveles identificados por la Iniciativa Trend Micro Zero Day. Fuente: Trend Micro.

El nivel de peligro también refleja la probabilidad de que estas vulnerabilidades sean utilizadas activamente por los cibercriminales como vectores de ataque.

Hablando de vulnerabilidades, uno no puede ignorar las vulnerabilidades de Internet de las cosas, que continúan siendo explotadas activamente por los ciberdelincuentes para crear botnets. Según nuestros datos, el número de intentos de contraseña en dispositivos IoT durante el año aumentó en un 180%.

Ataques a la cadena de suministro


En lugar de piratear bancos bien protegidos, los piratas informáticos prefieren obtener datos de tarjetas bancarias de lugares más accesibles, por ejemplo, atacando a proveedores de servicios para mercados en línea, tiendas en línea y otros servicios con pago en línea.

Mediante ataques a proveedores, los grupos Magecart y FIN6 pudieron inyectar código malicioso para robar información de pago en muchos sitios. Magecart tiene 227 sitios pirateados, y el grupo FIN6 ha logrado comprometer más de 3 mil sitios en línea.

Otra área de ataque popular fue el compromiso de las herramientas de desarrollo y las bibliotecas populares.

En junio , se detectó un error al configurar la API de Docker Engine - Comunidad, lo que permitió a los atacantes comprometer los contenedores y ejecutar AESDDoS, un tipo de malware de Linux que le permite tomar el control de un servidor y hacerlo parte de una botnet.

En el mismo mes, se supo de la vulnerabilidad CVE-2019-11246 en la interfaz de línea de comandos de Kubernetes , cuyo uso permitió a un atacante usar un contenedor malicioso para crear o reemplazar archivos en el host afectado.

Amenazas móviles


Según el estudio, Rusia se encuentra entre los 15 principales países por el número de tipos detectados de aplicaciones móviles maliciosas, aquí se detecta el 1.1% del número global de malware móvil.

En total, en 2019 Trend Micro registró casi 60 millones de malware móvil, y en la segunda mitad del año su número se redujo casi a la mitad.

Una de las mayores amenazas móviles detectadas en 2019 estaba relacionada con varias aplicaciones maliciosas de Android descargadas 1 millón de veces. Estas aplicaciones se disfrazaron como una variedad de filtros para la cámara del teléfono inteligente y, después de la instalación, se conectaron a servidores de administración maliciosos. Durante el análisis de las muestras, resultó que la naturaleza maliciosa de las aplicaciones es bastante difícil de detectar. Por ejemplo, uno de esos programas durante la instalación se eliminó de la lista de aplicaciones. Como resultado, su desinstalación se volvió casi imposible, porque los usuarios ni siquiera podían detectar la presencia del programa, sin mencionar la eliminación.

Recomendaciones


La protección contra ataques en condiciones modernas requiere el uso de soluciones integradas que combinarían la protección de puertas de enlace, redes, servidores y dispositivos finales. Puede aumentar el nivel de seguridad de TI de la empresa utilizando métodos de lucha contra amenazas, como:

  • segmentación de la infraestructura de red, copias de seguridad periódicas y monitoreo continuo de las condiciones de la red;
  • instalación regular de actualizaciones para el sistema operativo y el software de aplicación para proteger contra la explotación de vulnerabilidades conocidas;
  • Uso de soluciones virtuales, especialmente para sistemas operativos que ya no son compatibles con los desarrolladores;
  • implementación de autenticación de múltiples factores y políticas de acceso para herramientas con soporte para cuentas de administrador separadas, por ejemplo, para acceso remoto a escritorios, PowerShell y herramientas de desarrollador.

More articles:


All Articles