Evolución del malware en la era post pandémica

C1b3rWall Academy C1b3rWall Academy
Noviembre 11, 2021 - 09:25
0
Evolución del malware en la era post pandémica

Tiempo de lectura estimado: 10 minutos

Esta conferencia magistral pertenece al Módulo 2a "Concienciación en ciberseguridad" de C1b3rWall Academy 2021. El objetivo de la misma es hacer un repaso a las amenazas actuales y a cómo los ciberdelincuentes han aprovechado la situación provocada por la pandemia de la Covid-19 para aumentar el número de víctimas tanto entre usuarios domésticos como empresas de todos los tamaños.

Ataques dirigidos a usuarios

Troyanos bancarios para Windows

  • Importante incremento de las familias de troyanos bancarios con origen en América Latina que dirigen sus ataques iniciales a España y Portugal.
  • Utilización de correos electrónicos para propagarse usando plantillas que suplantan la identidad de organismos oficiales del Estado y de empresas del sector de las telecomunicaciones y energía, entre otros.
  • También utilizan plantillas más genéricas como la de un supuesto burofax o el envío de un paquete usando Correos.
  • Utilizan la superposición de pantallas en los equipos infectados cuando la víctima accede a la web de un banco para capturar sus credenciales de acceso y los códigos de confirmación.
  • En España ya se han producido detenciones relacionadas con estas amenazas.

Casos de phishing

  • Aumento de la detección de casos de phishing bancario y suplantando a varias empresas. Uso de plantillas cada vez más convincentes y con webs que cuentan con certificado de seguridad (candado).
  • Operaciones contra los responsables de estas campañas que demuestra un cambio de estrategia de delincuentes tradicionales hacia el ciberdelito.

Fraudes y estafas

  • Las estafas relacionadas con las criptomonedas aumentan debido al incremento del valor de estas.
  • Siguen produciéndose estafas relacionadas con envíos de paquetes y supuestos premios con la finalidad de robar datos de las víctimas.
  • Estafas como la sextorsión y el falso soporte técnico siguen consiguiendo víctimas e incluso innovan en algunos aspectos para ser más convincentes.

Troyanos dirigidos a Android

  • Aumento importante de los troyanos bancarios en Android, usando temáticas relacionadas con el coronavirus.
  • Uso de mensajes SMS con enlaces para descargar apps maliciosas con temáticas como el envío de paquetes o alertas de seguridad.
  • Los troyanos bancarios en Android también usan superposición de pantallas para robar credenciales e interceptan códigos de verificación enviados por SMS.
  • Además de los supuestos envíos de paquetes también se observan campañas que utilizan alertas de seguridad o mensajes de voz como gancho.

Ataques dirigidos a empresas

Teletrabajo

  • Los problemas de las empresas aumentan debido a las medidas que se han tenido que adoptar en consecuencia de la pandemia, especialmente el trabajo remoto y los problemas de seguridad que eso conlleva en caso de que no se protejan adecuadamente los equipos y conexiones de los empleados.

Supuesta sofisticación de los ataques

  • Muchas empresas afirman haber sido víctimas de ataques sofisticados a pesar de que se empleen tácticas, técnicas y procedimientos sobradamente conocidos.
  • Las detenciones de ciertos grupos criminales demuestran que no son tan sofisticados como algunos creen y que realmente aprovechan las debilidades de las empresas.

Vectores de ataque: email

  • El email sigue siendo uno de los principales vectores de ataque. A los delincuentes les resulta relativamente fácil preparar campañas usando el correo electrónico, enviarlas de forma masiva o a objetivos dirigidos y siguen teniendo buenos resultados.
  • En estas campañas los delincuentes suelen suplantar a empresas reconocidas e incluso se aprovechan de incidentes recientes para resultar más creíbles.
  • También se ha producido un importante incremento de las campañas dirigidas a pymes y con la finalidad de robar credenciales de correo, FTPs, VPNs o navegadores enviando emails desde empresas comprometidas previamente.

Vectores de ataque: RDP

  • Debido al teletrabajo, las empresas se vieron obligadas a incrementar el numero de conexiones de escritorio remoto a ordenadores dentro de la red corporativa.
  • Los delincuentes han aprovechado las contraseñas débiles y la falta de implementación del doble factor de autenticación para acceder a los equipos conectados mediante RDP.
  • El incremento de ataques a RDP, especialmente en España, empezó al mismo tiempo que la pandemia y se ha ido manteniendo en el tiempo hasta ahora.

Vectores de ataque: VPN

  • Para proteger las comunicaciones entre los trabajadores remotos y las empresas se empezaron a implementar de forma masiva las VPN.
  • Los delincuentes aprovecharon vulnerabilidades en algunas de las VPN más usadas para acceder a las redes corporativas y realizar sus acciones delictivas entre las que se encuentra el robo y cifrado de información.

Ransomware

  • Una de las amenazas que ha protagonizado más titulares es el ransomware, atacando a empresas de todos los tamaños y aprovechando los vectores de ataque ya comentados, así como todo tipo de vulnerabilidades.
  • El ransomware ha pasado a convertirse en un negocio delictivo con grupos que se encargan de desarrollar nuevas variantes y ofrecer soporte a sus afiliados para luego repartirse los beneficios.
  • Los ataques se suelen producir en varias fases, empezando por la identificación de los posibles agujeros de entrada y la explotación de los mismos para conseguir infectar al menos un sistema dentro de la red. Seguidamente se procede al reconocimiento de la red y a los movimientos laterales para acceder a aquellos sistemas críticos y robar la información antes de cifrarla. Por último, se amenaza con filtrar la información robada para así presionar a la víctima.
  • Otras formas de extorsión incluyen la realización de ataques DDoS a las webs de la víctima y las llamadas a clientes y proveedores avisándoles de que sus datos han sido comprometidos.

Estafa del CEO

  • Este tipo de estafas utilizan la ingeniería social y un reconocimiento previo del objetivo para enviar correos y realizar llamadas a aquellos empleados que tienen la capacidad de realizar transferencias.
  • Suplantando la identidad de algún cargo importante, consiguen que se realicen transferencias de dinero a una cuenta controlada por ellos.

Ataques avanzados

  • A pesar de que muchos de los ataques sufridos por las empresas son catalogados como avanzados, solo un pequeño porcentaje de ellos puede ser catalogado como tal.
  • Los ataques de cadena de suministro podrían ser un ejemplo de ataques avanzados puesto que los atacantes primero comprometen una importante empresa que proporciona software o servicios a muchas otras.
  • Las empresas atacadas reciben actualizaciones maliciosas o conexiones a través de software legítimo que son usadas por los atacantes para comprometer su seguridad.
  • Algunas empresas u organismos también pueden sufrir ataques dirigidos, aunque esto no quiere decir que sean necesariamente avanzados.

Conclusiones

  • Pocos ataques pueden ser considerados como avanzados y la mayoría solo aprovecha los agujeros de seguridad y debilidades presentes en las redes corporativas.
  • Los delincuentes se profesionalizan cada vez más y conocen mucho mejor a sus objetivos.
  • Se pueden evitar una buena parte de los ataques aplicando políticas, medidas y soluciones de seguridad ya existentes.

Ponente: Josep Albors

Josep es responsable de investigación y concienciación en ESET España, con labores de investigación de amenazas y divulgación de ciberseguridad. Además, es profesor en varios cursos de especialización y másteres de ciberseguridad en la Universidad de Castilla-La Mancha, Universidad de Mondragón y Universidad de Extremadura, colaborador y formador de agentes de las Fuerzas y Cuerpos de Seguridad del Estado y miembro de la organización X1RedMasSegura, que busca concienciar en materia de seguridad a menores, padres y usuarios de la tercera edad.

Artículo previo

Marco estratégico del marketing en la transformación digital

Siguiente articulo

¿Cómo innovar rápidamente y con los mínimos costes?

¿Cuál es tu reacción?

like

dislike

love

funny

angry

sad

wow

C1b3rWall Academy

Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/

Posts relacionados

¿Qué haces hoy, ”rompemos” alguna aplicación?

¿Qué haces hoy, ”rompemos” alguna aplicación?

C1b3rWall Academy Marzo 11, 2022 0

Colega, ¿dónde están mis criptomonedas?

Colega, ¿dónde están mis criptomonedas?

C1b3rWall Academy Junio 21, 2021 0

El smartphone, un actor protagonista en ciberseguridad

El smartphone, un actor protagonista en ciberseguridad

C1b3rWall Academy Junio 18, 2024 0

Claves para conseguir un networking efectivo para tus reuniones físicas o virtuales

Claves para conseguir un networking efectivo para tus reuniones físicas o virtuales

C1b3rWall Academy Octubre 13, 2021 0

Planes de continuidad de negocio: quien falla al planear, está planeando fallar

Planes de continuidad de negocio: quien falla al planear, está planeando fallar

C1b3rWall Academy Mayo 22, 2023 0

Análisis de tráfico y forense de red

Análisis de tráfico y forense de red

C1b3rWall Academy Marzo 25, 2022 0