Bitdefender: Informe de amenazas | Febrero 2023 :: Bitdefender blog

Bitdefender: Informe de amenazas | Febrero 2023

Noticia de Ciberseguridad - Mar 06, 2023


Pregúntele a cualquier profesional de seguridad cuál es su consejo para las organizaciones y la aplicación de parches suele estar en la parte superior de la lista. Mira, lo entendemos, no es fácil de hacer. La aplicación de parches puede interferir con la productividad, ralentizando o interrumpiendo las funciones comerciales principales. La aplicación de parches cuesta dinero, requiere tiempo, planificación y, por lo general, se realiza a altas horas de la noche o durante el fin de semana. En una discusión reciente entre nuestros analistas del Centro de operaciones de seguridad (SOC), descubrimos problemas como el costo del hardware nuevo o la compatibilidad entre las actualizaciones y el hardware antiguo. Muchas empresas retrasan la aplicación de parches, implementan soluciones "temporales" o simplemente ignoran las cargas de trabajo heredadas y las dejan permanecer indefinidamente.
 
Los actores de amenazas entienden bien estos desafíos. En los últimos años estamos asistiendo a una nueva fórmula mágica que están adoptando los grupos profesionales de ciberdelincuentes:
 
1. Identifique una vulnerabilidad (preferiblemente con un código de prueba de concepto público) que se dirija a muchas empresas
2. Lanzar ataques oportunistas utilizando escáneres de vulnerabilidad (táctica de rociar y rezar)
3. Después de comprometer un sistema vulnerable, implemente una carga útil maliciosa (generalmente un webshell)
 
Incluso si la mayoría de las empresas parchean rápidamente, los actores de amenazas aún se quedan con decenas de miles de servidores vulnerables. Los ataques pueden ser oportunistas: los servidores vulnerables se descubren y atacan automáticamente, pero el alcance de los ataques es limitado. Podemos comparar esto con ataques conocidos como WannaCry: si bien estos ataques pueden llegar a una amplia gama de máquinas, el impacto sigue siendo limitado (es amplio, pero no muy profundo). Los actores de amenazas más sofisticados pueden usar este compromiso inicial como punto de entrada para llevar a cabo una operación mucho más grande.
 
Recientemente escribimos sobre una vulnerabilidad de VMware de 2 años con ESXi que continúa creando problemas para las organizaciones y todavía hay miles de servidores vulnerables. Microsoft Exchange es otro objetivo popular. Incluso después de que se recoge la fruta al alcance de la mano, los actores de amenazas pueden apuntar a los sistemas "inmunes" ajustando un ataque para eludir las mitigaciones.
 
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) tiene un gran recurso que cataloga todas las vulnerabilidades explotadas conocidas. Estas vulnerabilidades deberían ser una prioridad para todas las empresas. Además de desarrollar un plan de acción, asegúrese de completar los parches. En algunos incidentes, hemos visto clientes afectados por exploits de hace meses. La buena noticia es que, según el Informe de investigaciones de violación de datos de Verizon, las organizaciones están mejorando en la aplicación de parches más oportuna, en comparación con hace solo cuatro años. La idea clave aquí es: no paralizar a la organización por la inacción: tener el plan para atacar la aplicación de parches, en función de los aportes de las partes interesadas necesarias, con plazos realistas.
 

Informe de ransomware

 
Los ataques de phishing selectivo a menudo se utilizan como vector de ataque inicial y la infección de ransomware suele ser la etapa final de la cadena de destrucción. Para este informe, analizamos las detecciones de malware recopiladas en enero de 2022 de nuestros motores antimalware estáticos. Nota: solo contamos los casos totales, no la importancia monetaria del impacto de la infección. Los adversarios oportunistas y algunos grupos de Ransomware-as-a-Service (RaaS) representan un porcentaje más alto en comparación con los grupos que son más selectivos con respecto a sus objetivos, ya que prefieren el volumen a un valor más alto.
 
Al mirar estos datos, recuerde que se trata de detecciones de ransomware, no de infecciones.
 

Las 10 principales familias de ransomware

 
Analizamos las detecciones de malware del 1 al 31 de enero. En total, identificamos 234 familias de ransomware. La cantidad de familias de ransomware detectadas puede variar cada mes, según las campañas de ransomware actuales en diferentes países.

 

Los 10 países principales

 
En total, detectamos ransomware de 153 países en nuestro conjunto de datos este mes. El ransomware sigue siendo una amenaza que afecta a casi todo el mundo. A continuación se muestra una lista de los 10 países más afectados por el ransomware. Muchos ataques de ransomware siguen siendo oportunistas y el tamaño de la población se correlaciona con la cantidad de detecciones.
 
 

Troyanos de Android

 
A continuación se muestran los 10 principales troyanos dirigidos a Android que hemos visto en nuestra telemetría durante enero de 2023.

SMSSend.AYE: malware que intenta registrarse como la aplicación de SMS predeterminada en la primera ejecución solicitando el consentimiento del usuario. Si tiene éxito, recopila los mensajes entrantes y salientes del usuario y los reenvía a un servidor de comando y control (C&C).
 
Downloader.DN: aplicaciones reempaquetadas tomadas de Google App Store y empaquetadas con adware agresivo. Algunos adware descargan otras variantes de malware.
 
Triada.LC: malware que recopila información confidencial sobre un dispositivo (ID de dispositivo, ID de suscriptor, direcciones MAC) y la envía a un servidor C&C malicioso. El servidor de C&C responde devolviendo un enlace a una carga útil que el malware descarga y ejecuta.
 
HiddenApp.AID: adware agresivo que se hace pasar por las aplicaciones de AdBlock. Cuando se ejecuta por primera vez, solicita permiso para mostrarse encima de otras aplicaciones. Con este permiso, la aplicación puede ocultarse del lanzador.
 
Banker.XJ: aplicaciones que descargan e instalan módulos cifrados. Este troyano otorga privilegios de administrador de dispositivos y obtiene acceso para administrar llamadas telefónicas y mensajes de texto. Después de la implementación, mantiene una conexión con el servidor C&C para recibir comandos y cargar información confidencial.
 
Banker.ACI, YI - Aplicaciones polimórficas que se hacen pasar por aplicaciones legítimas (Google, Facebook, Sagawa Express...). Una vez instalado, localiza las aplicaciones bancarias en el dispositivo e intenta descargar una versión troyana del servidor C&C.
 
Banker.ACX: aplicaciones que se hacen pasar por aplicaciones bancarias coreanas para grabar audio y video, recopilar información confidencial (mensajes SMS, contactos, ubicación GPS...) y subirla a un servidor C&C.
 
SpyAgent.GC: aplicaciones que filtran datos confidenciales como mensajes SMS, registros de llamadas, contactos o ubicación GPS.
 
Banker.ZF, ZX: aplicaciones que se disfrazan de aplicaciones bancarias y pueden imitar una conversación con el servicio de atención al cliente. Cuando el malware se ejecuta por primera vez, solicita permisos para acceder a contactos, micrófono, geolocalización y cámara. Una vez que se otorgan los permisos, el malware puede recibir comandos del servidor C&C para filtrar datos confidenciales del teléfono.
 

Informe de phishing homógrafo

 
Los ataques homógrafos funcionan para abusar de los nombres de dominio internacionales (IDN). Los actores de amenazas crean nombres de dominio internacionales que falsifican un nombre de dominio de destino. Cuando hablamos de "objetivo" de los ataques de phishing homógrafos de IDN, nos referimos al dominio que los actores de amenazas intentan suplantar. Puede leer más sobre este tipo de ataque en uno de nuestros informes anteriores.
 
A continuación se muestra la lista de los 10 objetivos más comunes de los sitios de phishing:
 
 

Acerca del Informe de amenazas de Bitdefender

 
Bitdefender Threat Debrief (BDTD) es una serie mensual que analiza noticias, tendencias e investigaciones sobre amenazas del mes anterior. 
 
Bitdefender proporciona soluciones de ciberseguridad y protección avanzada contra amenazas a cientos de millones de puntos finales en todo el mundo. Más de 150 marcas de tecnología han licenciado y agregado la tecnología de Bitdefender a sus ofertas de productos o servicios. Este vasto ecosistema OEM complementa los datos de telemetría ya recopilados de nuestras soluciones comerciales y de consumo. Para darle una idea de la escala, Bitdefender Labs descubre más de 400 amenazas nuevas cada minuto y valida 30 mil millones de consultas de amenazas diariamente. Esto nos brinda una de las vistas en tiempo real más completas de la industria del panorama de amenazas en evolución.
 
Fuente: Bitdefender