Panorama de amenazas 2021

Nuestro seguimiento al panorama de amenazas correspondiente al Q3 2021, nos ha dejado varias tendencias preocupantes. Por ejemplo, la utilización de tácticas más agresivas por parte de los operadores de ransomware, entre ellas el ataque a infraestructura crítica y ataque a las cadenas de suministros, que causaron una importante movilización coordinada en pos de perseguir a estos ciberactores.

La participación de las fuerzas del orden en estos incidentes que tuvieron gran impacto obligó a varios de los grupos detrás de estas familias de ransomware a abandonar la escena. 

El malware no ha estado ajeno a estos esfuerzos por desmantelar las principales operaciones maliciosas, como lo fue Emotet que luego del cierre de sus operaciones desapareció de la escena, provocando una reorganización del escenario de las amenazas donde trickbot que luego de haberse recuperado de los esfuerzos realizados en su contra el año pasado, ha duplicado en este último periodo su presencia mostrando además nuevas funcionalidades. 

Dentro del panorama de amenazas debemos distinguir entre los principales malware que permiten abrir las puertas al ransomware y las APTs que respaldadas por estados o dirigidas netamente al sector financiero utilizan TTPs específicas que explotan importantes fallos de seguridad abordadas en nuestro "Panorama de vulnerabilidades".

Malware como servicio (MaaS)

Así como las principales organizaciones tecnológicas han evolucionado a lo largo de los años para proporcionar servicios basados ​​en la nube, los ciberdelincuentes también han evolucionado hacia un modelo similar de servicio. 

Las plataformas de MaaS, como característica, ofrecen servicios de alquiler de malware que permiten que cualquier persona con una conexión a Internet obtenga acceso a soluciones de malware personalizadas. Algunos de estos servicios incluso ofrecen garantías de devolución de dinero, mientras que otros operan basados ​​en comisiones vinculadas al éxito de campañas desplegadas.

Las redes de malware como servicio operan generalmente bajo los siguientes tres niveles:

• Nivel programadores: Encargados de desarrollar los kits de malware.
• Nivel Distribuidor: Especializado en identificar vulnerabilidades explotables en los sistemas informáticos que faciliten la inyección de malware durante las campañas de distribución.
• Nivel administrador: Supervisan el funcionamiento correcto de la red. asegurándose que todos los participantes cumplan con las reglas internas. También reciben comisiones de rescate durante las campañas.

El malware ha pasado a representar una peligrosa fauna cibernética, donde destacan algunos por su capacidad disruptiva, otros por la capacidad de comprometer muchas víctimas en cortos periodos de tiempo y otros por el tipo de daño reputacional que infringen. Por esto, como parte de la actualización constante de nuestros panoramas es que queremos destacar las variantes de malware más connotadas durante el tercer trimestre de este 2021 a nivel global:
 

Ranking Malware Q3 2021

FormBook: un ladrón de datos que se distribuye como MaaS

FormBook es un troyano infostealer‍ disponible como malware-as-service (MaaS). Este malware lo utilizan a menudo atacantes con pocos conocimientos técnicos y conocimientos de programación. FormBook se puede utilizar para robar diversa información de máquinas infectadas.

A pesar de lo fácil que es configurarlo y usarlo, el malware tiene funciones de robo avanzadas, incluida la capacidad de extraer información almacenada y registrada del usuario. Además, el ladrón de FormBook es capaz de buscar, ver e interactuar con archivos y tomar capturas de pantalla.

Distribución

FormBook generalmente se distribuye a través de campañas de correo electrónico que utilizan una amplia gama de mecanismos de infección y pueden contener varios archivos adjuntos. Entre los archivos adjuntos más comúnmente observados se encuentran los archivos PDF, DOC o EXE, o ZIP, RAR, ACE e ISO.
 

Lokibot no ha cesado sus actividades criminales robando información

LokiBot es un cargador residente y un ladrón de contraseñas que se vende en foros de ciberdelincuencia. Está diseñado para robar datos privados de máquinas infectadas y enviar esos datos a un servidor de control. Los datos robados incluyen contraseñas almacenadas, información de credenciales de inicio de sesión de navegadores web y una variedad de billeteras de criptomonedas.

Distribución

Este malware se propaga con mayor frecuencia a través de archivos adjuntos de correos maliciosos, también los usuarios pueden ser atacados a través de mensajes de texto smishing, o por sitios web infectados. Ademas, ha sido evidenciado en campañas que utilizan la técnica de desenfocar imágenes en documentos para alentar a los usuarios a habilitar macros. Si bien es bastante simple, esto es bastante común y efectivo contra los usuarios.
 

Lemon Duck presente a nivel nacional

LemonDuck fue descubierto por primera vez el  2019 en China y ha evidenciado su reactivación desde abril del 2021 a la fecha, evolucionado desde un botnet para minería de criptomonedas a un robusto malware capaz de además robar credenciales, eliminar controles de seguridad (AV) y propagarse a través de la red.

Distribución

El descuido en los parchados por parte de los encargados TI de las organizaciones ha sido altamente utilizado como vector para su acceso inicial, elevación de privilegios y movimientos laterales, que permiten el control humano “hands on keyboard” cuando el acceso automatizado del malware ha concluido.
 

Los DDoS más destacados de este año son adjudicados a Botnet Meris

Meris tuvo sus primeras apariciones a finales de junio del 2021, con un origen similar a la ya conocida botnet Mirai. Durante los últimos meses la Botnet Meris ha presentado una fuerte y constante actividad, registrando dos de los ataques DDoS más grande de la historia con un estimado de aproximadamente 250.000 host controlados, principalmente dispositivos IoT y MikroTik a lo largo del mundo.

Distribución

El acceso inicial para productos MikroTik se realiza mediante una vulnerabilidad crítica publicada el 2018 y la posterior creación de Backdoor en dispositivos afectados. Ademas, compromete equipos IoT expuestos a internet configurados indebidamente con credenciales por defecto. 
 

Minero XMRig utilizado por ciberactores en campañas de malware

XMRig es un software de minería de código abierto creado para facilitar el acceso a la criptominería de Monero (Criptomoneda difícil de rastrear). Visto por primera vez el 26 de mayo de 2017, siendo la última versión disponible de este software la 6.12.1 lanzada el 24 de abril de 2021.

Distribución

Dentro de algunas de las amenazas que utilizan a XMRig se encuentran: VictoryGate y la botnet Phorpiex, quienes se dedican a distribuir a este minero en todos equipos que infectan.
 

Mal uso del Spyware Pegasus genera conflictos a nivel mundial

Pegasus es un software de ciberespionaje para dispositivos móviles, completamente legal, desarrollado por la empresa privada Israelí “NSO Group” fundada en 2010 y cuya intención original era ser adquirido únicamente por entidades gubernamentales responsables de todo el mundo.

Distribución

Este software se aprovecha de vulnerabilidades desconocidas para los fabricantes permitiendo la intrusión a teléfonos Android y iPhone sin involucrar la interacción del usuario con un comportamiento casi indetectable para sus víctimas.
 

Qbot, también conocido por los nombres QakBot, QuackBot y Pinkslipbot, es un ladrón de información modular que ha estado activo durante casi 14 años. Un troyano bancario que apareció por primera vez en 2008, diseñado para robar a los usuarios las credenciales bancarias y las pulsaciones de teclas.

Distribución

A menudo distribuido a través de correo electrónico no deseado, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox, para dificultar el análisis y evadir la detección.

Malware emergentes:

Aparición de SquirrelWaffle levanta múltiples alarmas

SquirrelWaffle es un malware tipo troyano evidenciado recientemente por investigadores a principios de septiembre del 2021, llamando la atención por su alta actividad en su corto periodo de operación.

Distribución

Se destaca por aprovechar la ingeniería social mediante correos de phishing, logrando comprometer los equipos con una cantidad mínima de clics. Esto es llevado a cabo por descargas automáticas de documentos ofimáticos que a su vez desencadenan la descarga de malware el cual permite la toma del control remoto por parte de ciberactores.

Este 2021, los grupos de ciberdelincuentes basados ​​en ransomware también han experimentado cambios trascendentales, como algunos grupos que anunciaron el cese de sus operaciones, otros grupos se reorganizaron después de la disolución y algunos grupos suspendieron temporalmente sus actividades. Hay que tener presente que la desaparición de algunos grupos de ciberactores especializados en el chantaje será reemplazada por grupos emergentes, lo que conducirá a un ecosistema de chantaje continuo.

Ransomware como servicio

Este 2021, la amenaza representada por el ransomware sigue creciendo. La tendencia más obvia es que los grupos de ransomware ahora están apuntando a empresas más grandes y, al hacerlo, pueden solicitar pagos más grandes. Sin embargo, otra tendencia importante es el auge del ransomware como servicio. El ransomware ya no es solo una herramienta de ataque; también se ha convertido en un producto de software que se puede alquilar a otros.

El ransomware como servicio (también conocido como RaaS) es un modelo de negocio en el que el ransomware se alquila a los afiliados. Se deriva del modelo de software como servicio que utilizan muchas empresas legítimas. Algunas de sus características son:

• Los afiliados obtienen acceso al software de ransomware más eficaz. Y los desarrolladores del software normalmente piden un porcentaje de las ganancias obtenidas al usarlo. Ambas partes ganan más dinero del que ganarían trabajando por su cuenta.
• Es una oferta atractiva para cualquier ciberdelincuente que quiera usar ransomware pero no sepa cómo hacerlo. RaaS es rentable para los desarrolladores porque la mayoría de los afiliados no son expertos en informática.
• Por lo general, los afiliados pagan un porcentaje de cualquier rescate que reciban. Esta cifra suele estar entre el 20 y el 30 por ciento. Algunos desarrolladores también cobran una tarifa mensual por acceder a sus productos.
• Algunas organizaciones RaaS también cuentan con negociadores profesionales. Una vez que el afiliado logra instalar ransomware en la computadora de la víctima, puede comunicarse con el negociador, quien luego se encargará de todo lo demás.
• Muchas organizaciones de RaaS también siguen prácticas comerciales tradicionales, como ofrecer soporte al cliente, documentación de capacitación y períodos de reembolso.

Si bien a menudo vemos nombres de empresas afectadas a nivel global, con especial hincapié en los Estados Unidos y Europa, el cono sudamericano no ha estado ajeno a los operadores detrás de este tipo de amenazas, es en ese sentido que tenemos que destacar los siguientes grupos de ransomware:
 

RANKING RANSOMWARE Q3 2021

Para más detalles visite nuestro Panorama de Amenazas
 

Conti entre los ransomware con más operaciones vigentes

Conti comienza con sus operaciones en julio del 2020 tras cambios en la operación de la botnet TrickBot, la cual es ampliamente conocida por su uso en el despliegue de Ransomware.

Conti se ofrece bajo un modelo RaaS con un cobro entre el 20 y 30% del rescate, en donde el grupo ofrece el malware junto con la administración de website e información exfiltrada

Entre las características principales de Conti se destaca: 

• Tiene varios métodos de evasión de defensas, entre ellos, ocultar API de Windows utilizadas para la cadena de infección de Conti.
• Habilidades de ejecución de tareas por la línea de comandos, permitiendo el cifrado de direcciones IP específicas dentro de la red con fin de reducir el ruido causado en su intrusión.
• Utiliza servicio vssadmin para asegurar el borrado de las Shadow Volume Copies de Windows, impidiendo que la víctima restaure copias de seguridad.

Campañas

Para el mes de octubre se identifican 26 publicaciones de organizaciones afectadas, sin embargo, durante el mes de septiembre se vio involucrada una compañía nacional del rubro de la manufactura de productos plásticos. El gran número de víctimas mensuales e históricas presentes en el website de este ciberactor está directamente relacionado con su programa de afiliados, ya que no precisamente todos fueron afectados por los creadores del ransomware sino que en su mayoría corresponden a terceros haciendo uso de la herramienta facilitada por los organizadores.

Se publica descifrador gratuito para ransomware BlackByte

BlackByte es un nuevo ransomware cuyas primeras publicaciones en el sitio de extorsión del grupo datan del mes de septiembre. Como parte de su funcionalidad modifica los nombres originales de los archivos bloqueados agregando ‘. blackbyte' como una nueva extensión.

Campañas

Actualmente Blackbyte presenta una gran actividad evidenciada en su portal, donde suman un total de 12 víctimas  en su corto periodo de existencia, destacando 2 víctimas presente en el área LATAM, específicamente a nivel nacional del rubro metalúrgico y de retail, sin embargo solo una de ellas continúa publicada lo que podría significar un posible pago por la recuperación de la data secuestrada.
 

LockBit v2.0 evidenciado con fuertes campañas a nivel global

LockBit identificada en su “Variante 1” por primera vez en septiembre de 2019 y desde esa fecha sus propietarios han promocionado y ofrecido soporte de sus servicios en foros de cibercrimen de habla rusa lo que lo cataloga directamente como un Ransomware as a Service (RaaS). Desde junio 2021 este malware involucra una tercera variante ofrecida como versión 2.0 que contendría funciones adicionales para el robo de información catalogadas como "StealBit" utilizadas para la doble extorsión (secuestro y exfiltración).

Campañas

En estos ultimos mese Ransomware LockBit, ha tomado gran relevancia por una fuerte campaña que ha afectado a empresas de Australia, una compañía multinacional con presencia en Chile y  una petrolífera en España tomando relevancia en el panorama de amenazas.

Lockbit es un ciberactor que presenta gran cantidad de víctimas mensualmente, de similar forma a Conti, solo en el periodo de octubre Lockbit lleva a la fecha aproximadamente 30 organizaciones comprometidas entre las cuales se visualizan grandes corporaciones como el gigante aéreo “AirBus” y numerosas entidades de LATAM ubicadas principalmente de Brasil.
 

Ransomware BlackMatter presente en el panorama de amenazas sudamericano y nacional

BlackMatter es un nuevo programa de afiliados de ransomware como servicio (RaaS) que se fundó en julio de 2021, Según BlackMatter, “el proyecto ha incorporado en sí mismo las mejores características de DarkSide, REvil y LockBit”, anunciando su interés en todas las industrias excepto en el cuidado de la salud y los gobiernos.

Campañas

CISA, la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA) han publicado un Aviso de Ciberseguridad (CSA) conjunto advirtiendo que desde julio de 2021, los actores cibernéticos malintencionados han utilizado el ransomware BlackMatter para apuntar a múltiples entidades de infraestructura crítica de EE. UU ., Incluida una organización del Sector de Alimentos y Agricultura de EE.UU. 
 

WannaCry, que encriptó unos 200.000 equipos en 150 países el año 2017, sigue siendo un claro ejemplo de las graves repercusiones que pueden tener lugar como consecuencia de no aplicar los parches con rapidez. Incluso ahora, cuatro años después, dos tercias de las empresas siguen sin parchear sus sistemas, lo que supone que todavía haya víctimas de WannaCry al día de hoy.

Campañas

Recientes investigaciones han detectado que, junto a otros más modernos, los ciberdelincuentes vuelven a usar WannaCry. Durante lo que va de 2021 los perjudicados han crecido un 53%. las causas de la reaparición no están aún claras, pero se señala que sigue utilizando tácticas que atacan las mismas vulnerabilidades que en 2017 y para las que ya existen parches.

Spook es un nuevo ransomware cuyas primeras publicaciones en el sitio de extorsión del grupo datan de los últimos días del mes de septiembre, siguiendo el modelo de un ransomware de doble extorsión.

Campañas

Actualmente Spook ransomware presenta una gran actividad evidenciada en su portal, solo en lo que lleva del mes de octubre aparecen 30 nuevas víctimas, sumando un total de 37 en su corto periodo de existencia. De esto debemos destacar que 6 víctimas estarían presentes en el área LATAM, de las cuales 2 serían del sector nacional.
 

Hive Ransomware es un ransomware de doble extorsión que comenzó a operar en junio utilizando todas las herramientas de extorsión disponibles para crear presión sobre la víctima, incluida la fecha del compromiso inicial, la cuenta regresiva, la fecha en que la filtración se reveló en su sitio e incluso la opción de compartir la filtración revelada en las redes sociales.

Campañas

Hive ha impactado a más de 40 organizaciones que ahora figuran en el sitio de extorsión del grupo, incluida una compañía aérea europea y tres organizaciones con sede en Estados Unidos. Además, se ha evidenciado en LATAM afectando sólo a una empresa de Perú.

Alias: Red Kelpie - Bronze Atlas - BARIUM - TG-2633 - Wicked Panda - VANADINITE - Grayfly - Blackfly

APT41 es un grupo de espionaje altamente sofisticado respaldado por el estado chino que ha estado activo desde al menos 2012, también se ha involucrado en campañas motivadas financieramente para su beneficio. Ha aprovechado los certificados de firma de código robados para firmar malware. Generalmente utiliza sitios web legítimos como C2 para evitar la detección.

Objetivos

El grupo de amenazas se ha dirigido a organizaciones de atención médica, medios de comunicación, productos farmacéuticos, comercio minorista, software, telecomunicaciones, servicios de viajes, juegos y monedas virtuales en 14 países diferentes.
 

Alias: Greenbug - OilRig Group - Helix Kitten - Chrysene - IRN2 - Helminth - Cobalt Gypsy - Crambus - PIPEFISH - ITG13

APT34 es un actor de amenazas con habilidades y recursos notables activo desde el 2014, se especula que esta organización de piratería está patrocinada por el gobierno iraní, el grupo comúnmente usa spear phishing para engañar a las víctimas para que descarguen ejecutables maliciosos.

Objetivos

Recopilar información interna de alto valor relacionada con las organizaciones del sector público y privado en el Medio Oriente y Estados Unidos.
 

Alias: Bronze Vinewood - Zirconium - Judgment Panda - RedBravo - Red Keres

APT31 es un grupo APT patrocinado por un estado chino que está activo desde al menos 2016. Las tácticas del grupo consisten en apuntar a los gobiernos a través de su cadena de suministro, por lo que también apuntan a otras empresas e individuos que mantienen relaciones con el gobierno. APT31 está profundamente comprometido con el proceso de reconocimiento inicial de las víctimas potenciales: el software de terceros ha sido atacado en el pasado a través de ataques de inyección SQL; en otros casos, APT31 aprovecha los puntos de acceso remoto menos utilizados; y con frecuencia el grupo intenta robar credenciales legítimas para obtener acceso inicial y mantener el acceso.

Objetivos

Robo de información y espionaje, con especial énfasis en propiedad intelectual y sector de defensa.
 

Grupo Hotarus Corp evidenciado en campañas que afectarían a importantes empresas de Ecuador

Alias: hotarusteam - corphotarus - Hotarus Team 

Hotarus Corp es un grupo de amenazas que apareció en febrero de 2021 informando violaciones de datos en Twitter y hackeo de sitios web objetivo. El grupo de amenazas ha apuntado a las organizaciones ecuatorianas como el Banco Pichincha, el Ministerio de Finanzas de Ecuador.

Objetivos

Ganancia financiera
 

"FIN12" es un grupo de amenazas activo desde al menos octubre de 2018. Parece ser un actor de amenazas de habla rusa que opera fuera de la región de la CEI. El grupo no se ha dirigido a organizaciones con sede en CIS. FIN12 se basa en gran medida en los tipos de operaciones de "golpe y fuga" en lugar de la doble extorsión. Se sabe que el grupo ha utilizado el malware Ryuk y Conti y ha mantenido una asociación con los operadores BazarLoader y TrickBot.

Objetivos

Robo financiero
 

Alias: Calcium - Gold Niagara - Combi Security

FIN7 es un grupo de amenazas con motivaciones financieras que se ha dirigido principalmente a los sectores minorista y hotelero. El grupo utiliza el phishing para distribuir malware en el punto de venta (POS), a menudo combinado con técnicas de ingeniería social. FIN7 normalmente ofrece sus cartas comprometidas a la venta en la tienda clandestina Joker's Stash.

Objetivos:

FIN7 es un grupo motivado financieramente. 
 

Se cree que FamousSparrow cuya especialidad es el espionaje cibernético, ha estado activo desde al menos 2019. Al igual que otros APT, se cree que explotaron una cadena de vulnerabilidades conocida como ProxyLogon desde marzo de 2021. De esta forma, comprometieron la seguridad de los servidores de Microsoft Exchange de gobiernos, organizaciones internacionales, hospitales y otras instituciones. Además, se cree que utilizan variantes personalizadas de robo de credenciales Mimikatz una vez que el sistema se ve afectado.

Objetivos

Entre sus objetivos se encuentran gobiernos, empresas de ingeniería, oficiales legales, organizaciones internacionales e instituciones de la sanidad.
 

FoggyWeb de Nobelium afecta los Active Directory de Microsoft

Alias: The Dukes - APT29 - Cozy Bear - Yttrium - Iron Hemlock - ITG11 - ATK 7 - Group 100 - SVR - Служба Внешней Разведки - Office Monkeys - CozyCar - CozyDuke - UNC2452 - Dark Halo - UNC2062 - SolarStorm - StellarParticle - DarkHalo

Nobelium es un grupo de ciberactores identificados como APT29 con presencia activa desde 2008, vinculado directamente con operaciones de ciberespionaje del gobierno Ruso centrados principalmente en compañías de infraestructura y servicios críticos. Este ciberactor ha utilizado múltiples herramientas diseñadas y utilizadas únicamente por APT29,  como parte de sus técnicas se encuentra el abuso de vulnerabilidades conocidas (CVE) y técnicas como spearphishing. Recientemente Microsoft ha advertido sobre la utilizacion por parte de este ciberactor de una nueva herramienta llamada Foggyweb la cual opera como puerta trasera para acceder a servidores de Microsoft Active Directory Federation Services (AD FS).

Objetivos

Si bien sus ataques han sido ampliamente enfocados en Europa y Estados Unidos, existen registros de organizaciones afectadas en todos los continentes, mientras actualmente LATAM no ha estado ajeno a este ciberactor evidenciándose en Brasil afectaciones que corresponden a "FroggyWeb.
 

Anonymous es una red internacional asociada de entidades activistas y hacktivistas. Descrito como "una reunión de Internet" con "una estructura de mando muy flexible y descentralizada que opera sobre ideas en lugar de directivas". Cualquiera puede decir que forma parte del colectivo Anonymous porque no es un grupo coordinado u organizado, sino un movimiento de personas que intenta luchar contra ciertas injusticias mediante el uso de ataques de hacktivismo y activismo online.

Los simpatizantes anónimos usan el hashtag #OpNewBlood en Twitter para alentar a más personas a involucrarse en las operaciones de Anonymous. El grupo ofrece formación gratuita sobre piratería y asesoramiento sobre seguridad operativa (OPSEC) en Twitter y salas de chat especializadas. Además, los seguidores con poca o ninguna habilidad aún pueden participar en Twitter Storms, definido como una acción de colaboración abierta diseñada para crear tweets usando hashtags específicos y para crear una gran ola de atención sobre un tema determinado elevándolo a los hashtags de tendencia de Twitter.

Objetivo

Defender una determinada causa alineada con sus valores, para promover una agenda política o cambio social.
 

Una importante parte de las campañas de phishing que están intentando obtener credenciales de acceso a los servicios de banca en línea en instituciones financieras provienen de troyanos bancarios provenientes de Brasil. Los ciberactores detrás de estos malware llevan mucho tiempo robando credenciales bancarias de usuarios de varios países y parece que el número de víctimas sigue siendo lo suficientemente interesante como para continuar con este tipo de acciones delictivas.

REvil, también conocido como Sodinokibi uno de los grupos de ransomware más notorios volvió a aparecer silenciosamente en línea luego de su desaparición en Julio. Algunos hitos de este importante grupo de amenazas durante este último tiempo son los siguientes:

• El 2 de julio, la banda de ransomware REvil atacó  la plataforma MSP basada en la nube de Kaseya, lo que  afectó a los MSP y a sus clientes.
•  El ataque llamó la atención de los medios de comunicación y las autoridades policiales que aumentaron la presión sobre el grupo.
• A partir del 13 de julio, la infraestructura y los sitios web utilizados por la banda de ransomware REvil eran misteriosamente inalcanzables. 
• El grupo regresó en septiembre de 2021 siendo evidenciado realizando ataques DDoS basados ​​en extorsión contra ITSP en el Reino Unido y Canadá.
• Recientemente REvil anunció su cierre en una publicación que reveló que los servicios Tor de la pandilla REvil fueron presuntamente secuestrados y quien quiera que los pirateó reemplazó los servicios con una copia de las claves privadas de la pandilla, que debieron haber obtenido de una copia de seguridad anterior. Se afirmó que el servidor estaba "comprometido". 

Esta última interrupción parece ser causada por peleas internas o un posible derribo ofensivo. ¿Será este el golpe final para REvil?, solo el tiempo nos responderá

Uno de los vectores de entrada más utilizados ha sido el compromiso del protocolo RDP (escritorio remoto de Windows). El cual es ampliamente investigado en nuestro boletín “Protocolo de Escritorio Remoto: un potente vector de entrada de amenazas en tu red. Siendo importante destacar que credenciales RDP para una dirección IP empresarial se pueden comprar por tan solo US$ 20 en mercados negros. En combinación con kits de ransomware baratos, los costos para llevar a cabo ataques en máquinas con RDP abierto son demasiado lucrativos económicamente, ya que permiten el acceso completo al sistema para así continuar con escalamientos verticales u horizontales dentro de la red.

Otra tendencia claramente durante este 2021 es el aumento de campañas de phishing. Los correos electrónicos que contienen macros maliciosas en documentos adjuntos siguen siendo una opción popular para la entrega de malware.

En general, lo que hemos evidenciado durante este año 2021 y en concordancia con nuestro informe “Informe de Ciberseguridad 2020 de Entel CyberSecure", es que los actores de amenazas han seguido aprovechando la tendencia del teletrabajo y al aprendizaje remoto para centrar sus ataques en obtener información privada de sus víctimas a través de innovadoras técnicas de ingeniería social, explotación del protocolo RDP y vulnerabilidades no parcheadas, focalizándose en obtener mejores oportunidades y formas de forzar el pago de rescates de información.

Este 2021 se ha caracterizado por la aplicación de la ley por parte de los organismos de seguridad, quienes han llevado a cabo arrestos, derribos de infraestructura y una interrupción general de las actividades de los actores de amenazas más connotados. No es descabellado decir que los ciberdelincuentes tienen una clara sensación de que ha aumentado el riesgo de ser un actor de ransomware y también los costos que esto involucra. Por lo que debiera ser lógico prever una disminución en la rentabilidad del mundo de la extorsión.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.