Con el aumento de la dependencia de las comunicaciones digitales, Internet se convirtió casi instantáneamente en el canal para la interacción humana efectiva y la principal forma para solventar las interacciones sociales tanto en lo laboral como lo personal. Este aumento en tecnología ha permitido la proliferación de programas maliciosos que buscan infectar nuestros equipos, con intenciones ilícitas.
El malware ha pasado a representar una peligrosa fauna cibernética, donde destacan algunos por su capacidad disruptiva, otros por la capacidad de comprometer muchas víctimas en cortos periodos de tiempo y otros por el tipo de daño reputacional que infringen. Por esto, como parte de la actualización constante de nuestros panoramas es que queremos destacar las variantes de malware más connotadas durante los primeros meses de 2021 a nivel global:
Descripción: Dridex es un troyano bancario que ha permanecido desde 2012 activo con distintas variantes.
Características:
Vectores de ataque:
Descripción: Nanocore es una herramienta de acceso remoto (RAT) lanzada por primera vez en 2013.
Características:
Vectores de ataque:
Más información sobre NanoCore
Descripción: Remcos es un software de vigilancia y control remoto. Se anuncia como una herramienta extensa y poderosa para administrar una o varias computadoras de forma remota.
Características:
Vectores de ataque:
Descripción: QBot, también conocido como QakBot o PinkslipBot, es un ladrón de información modular que surgió en 2007
Características:
Vectores de ataque:
En tiempos de pandemia los dispositivos móviles se utilizan más que nunca para acceder sistemas corporativos, tanto para tareas rutinarias como críticas. Esto ha extendido enormemente la superficie de ataque e hizo que el dispositivo móvil fuera más susceptible a las amenazas cibernéticas como las estafas de phishing, aplicaciones, ataques man-in-the-middle, rootkit y más, haciendo de la seguridad móvil robusta un imperativo empresarial para reducir la superficie de ataque.
El panorama del malware móvil en este comienzo del año 2021 está dominado porMalware de Android, que se explica en base a que posee la mayor cantidad de usuarios.
El vector de acceso inicial suele ser a través de aplicaciones troyanizadas, como juegos o utilidades que están disponibles en tiendas de aplicaciones de terceros.
La recomendación para este vector es que los usuarios de Android solo deben descargar aplicaciones de confianza con desarrolladores y tiendas de aplicaciones verificadas.
Además, las organizaciones que permitan a sus empleados llevar sus propios dispositivos personales a su lugar de trabajo (BYOD) para tener acceso a recursos de la empresa, deben establecer claramente reglas para garantizar que los empleados minimizan el riesgo de descargar malware que podría suponer un riesgo para los datos empresariales.
Malware móvil más prevalente
Vulnerabilidades en Android
Android en su actualización de mayo emito notas de seguridad referente a 4 vulnerabilidades que estarían siendo explotadas. Las cuatro vulnerabilidades podrían permitir a los ciberactores tomar el control completo de un dispositivo Android, y todas ellas afectarían el código de firmware de la GPU.
"Hay indicios de que CVE-2021-1905, CVE-2021-1906, CVE-2021-28663 y CVE-2021-28664 pueden estar bajo explotación limitada y dirigida", dijo Google en una nota destacada.
Los teléfonos Android que usan GPU de la marca ARM o Qualcomm son los únicos afectados por la vulnerabilidad. Google guarda silencio de los detalles de esta vulnerabilidad llamando a los usuarios de Android a descargar la actualización de seguridad de mayo de 2021 que corrige estas vulnerabilidades tan pronto como esté disponible.
Tipos de archivos adjuntos utilizados en correo electrónico maliciosos
El año 2020, los archivos de documentos de Microsoft fueron nominados como la categoría más grande de archivos adjuntos maliciosos, con macros integradas y otros que actúan como descargadores de malware de segunda etapa.
Gran parte de estas tendencias eran atribuibles a la botnet Emotet, antes de su intervención por parte de organismos de seguridad. Emotet cambiaba sus mecanismos de entrega a lo largo del tiempo para lograr una mayor distribución, durante la primera parte del 2021 estas tendencias se mantienen, pero en menor medida.
El siguiente gráfico muestra los tipos de archivos adjuntos maliciosos enviados por correo electrónico en 2020:
Tipos de empaquetados para los archivos de almacenamiento.
Esta figura muestra los tipos de archivos empaquetados de almacenamiento más comunes utilizados para archivos adjuntos maliciosos en 2020
RAR, ZIP e ISO, son los tres principales tipos de archivos maliciosos utilizados en el 2020.
Emotet
En enero de 2021 el malware Emotet, que ha sido catalogado como el más peligroso del mundo según datos de la RCMP, fue interrumpida por una operación policial internacional la cual informamos oportunamente en nuestro boletín: Eliminación de Emotet por Operación Policial Internacional.
Emotet se ha ido, por ahora, pero los ciberdelincuentes a menudo reinician sus operaciones después de tales contratiempos con diferentes nombres y es así como algunos malware recientemente aparecidos con fuertes campañas durante este 2021 se les ha comparado con Emotet, pero no se han mantenido en el tiempo. Dentro del panorama de malware no se descarta el surgimiento de una botnet similar a futuro.
Trickbot
Trickbot comenzó como un troyano bancario avanzado utilizado para recopilar credenciales de los sistemas de las víctimas y el año 2020 se había convertido en un descargador de malware multipropósito y una de las redes de bots más grandes del mundo. Trickbot, fue relacionado con campañas de Emotet, Ryuk y Conti.
Para octubre de 2020, la amenaza de Trickbot fue intervenida por una coalición de empresas de ciberseguridad liderada por Microsoft que provocaron el derribo global contra la botnet Trickbot, eliminando el 94% de la infraestructura C2 de Trickbot. Sin embargo a fines 2020 y comienzos del 2021 se pudo observar a Trickbot reconstruyendo su infraestructura lo que lo ha hecho merecedor de estar dentro de los ranking en los panoramas de amenazas.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: