Documente Academic
Documente Profesional
Documente Cultură
23
EL DOCUMENTO ESTÁ DISPONIBLE “TAL COMO ESTÁ” Y TODAS LAS CONDICIONES, GARANTÍAS EXPLÍCITAS O IMPLÍCITAS, INCLUSO CUALQUIER
GARANTÍA IMPLÍCITA DE COMERCIALIZACIÓN, ADECUACIÓN A UN DETERMINADO FIN O NO VIOLACIÓN, SON RENUNCIADAS, EXCEPTO EN LA MEDIDA
EN QUE TALES EXENCIONES SEAN DETERMINADAS LEGALMENTE INVÁLIDAS.
SYMANTEC CORPORATION NO SE RESPONSABILIZARÁ POR DAÑOS ACCIDENTALES O CONSECUENCIALES RELACIONADAS AL SUMINISTRO,
DESEMPEÑO O USO DE ESTE DOCUMENTO. LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO ESTÁ SUJETA A ALTERACIONES SIN AVISO PREVIO. SE
CONSIDERA QUE LA INFORMACIÓN OBTENIDA DE FUENTES DE TERCEROS ES CONFIABLE, SIN EMBARGO, LA MISMAS NO ES GARANTIZADA.
PRODUCTOS DE SEGURIDAD, SERVICIOS TÉCNICOS Y OTROS DATOS TÉCNICOS REFERENCIADOS EN ESTE DOCUMENTO (“ITEMS CONTROLADOS”)
ESTÁN SUJETOS AL CONTROL DE EXPORTACIÓN, LEYES DE SANCIÓN COMERCIAL, REGLAMENTOS Y REQUISITOS DE EE.UU. Y PUEDEN ESTAR SUJETOS
A REGLAMENTOS DE EXPORTACIÓN O IMPORTACIÓN EN OTROS PAÍSES.
USTED ESTÁ DE ACUERDO EN CUMPLIR RIGUROSAMENTE ESTAS LEYES, REGLAMENTOS Y REQUISITOS, Y RECONOCE QUE TIENE LA RESPONSABILIDAD
DE OBTENER CUALQUIER LICENCIA, PERMISO U OTRAS APROBACIONES QUE PUEDAN SER NECESARIAS PARA EXPORTACIÓN, REEXPORTACIÓN,
TRANSFERENCIA DENTRO DEL PAÍS O IMPORTACIÓN DE ÍTEMS CONTROLADOS.
01 Introducción 03 Hechos y Cifras
Resumen Ejecutivo Malware
Grandes Números
Amenazas Web
Metodología
Correo Electrónico
Vulnerabilidades
Ataques Dirigidos
Ransomware:
04
Más que Cibercrimen
Predicciones
Infección de la Cadena de
Suministros de Software
El Escenario de Amenazas
Contra Dispositivos Móviles
ÍNDICE
Intro
Sección
01
01 Introducción Página 5 ISTR Marzo 2018
Resumen Ejecutivo
De la propagación repentina de WannaCry y Petya/ Aumento en los ataques a la cadena de
NotPetya al rápido crecimiento de minadores de suministros de software
criptomonedas, 2017 nos proporcionó otra alerta
A pesar de que el exploit EternalBlue causó daños en 2017, la
que las amenazas a la seguridad digital pueden
realidad es que se vuelve cada vez más difícil para los grupos de
provenir de fuentes nuevas e inesperadas. Cada ataque identificar y explotar las vulnerabilidades. En respuesta
año, además del aumento de la cantidad absoluta a este escenario, Symantec ahora observa un aumento en las
de amenazas, el escenario de amenazas se ha situaciones donde los grupos de ataque inyectan implantes
vuelto más diverso, con un mayor trabajo de los de malware en la cadena de suministros para infiltrarse en
grupos de ataque para descubrir nuevos caminos organizaciones desprevenidas, con un aumento del 200% en
de ataques y cubrir las pistas que dejan. esos ataques - uno por mes en 2017 en comparación con cuatro
ataques por año en los años anteriores.
Explosión de ataques a la minería de El secuestro de actualizaciones de software brinda a los grupos
criptomonedas de ataque un punto de entrada para afectar objetivos bien
Los ciberdelincuentes quienes habian estado fuertemente protegidos o para afectar una región o sector específico. El brote
enfocados en ransomware para generar ingresos ahora de Petya/NotPetya (Ransom.Petya) fue el ejemplo más notable:
empiezan a explotar otras oportunidades. Durante el luego de explotar un software de contabilidad ucraniano como
año pasado, el ascenso astronómico en los valores de punto de entrada, Petya/NotPetya usó una variedad de métodos,
criptomonedas inspiró a muchos ciberdelincuentes a alterar propagándose por las redes corporativas para implantar la carga
su objetivo central para minar monedas como una fuente malintencionada de los grupos de ataque.
alternativa de ingresos. Esa corrida del oro de la minería
de criptomonedas produjo un aumento del 8.500% en las Negocios de ransomware enfrentan
detecciones de minadores de monedas en computadoras de corrección de mercado
endpoints en 2017.
Al ser analizado como un negocio, se torna evidente que la
Con una barrera reducida de acceso - al exigir apenas algunas rentabilidad del ransomware en 2016 generó un mercado
líneas de código para operar - los ciberdelincuentes utilizan disputado con demandas de rescate de valores exorbitantes.
minadores de monedas para robar el poder de procesamiento En 2017, el ‘mercado’ de ransomware sufrió una corrección
de la computadora y el uso de la CPU en la nube de con menos familias de ransomware y demandas de rescate
consumidores y compañías para minar criptomonedas. Si bien con valores más bajos - lo que indica que el ransomware se
el impacto inmediato de la minería de monedas es relacionado ha vuelto un commodity. Muchos ciberdelincuentes pueden
con frecuencia al desempeño - lentitud de dispositivos, haber cambiado su enfoque hacia la minería de monedas como
sobrecalentamiento de baterías y, en algunos casos, inutilización una alternativa para aprovechar los altos valores actuales de
de dispositivos - existen consecuencias más amplias, las criptomonedas. Así mismo, también han reaparecido en
especialmente para las organizaciones. Las redes corporativas el mercado algunas amenazas a plataformas de banca online,
están en riesgo de interrupción debido a los minadores de debido al intento de diversificación de los grupos establecidos
monedas propagados de forma agresiva en todo su entorno. de ransomware.
También pueden existir consecuencias financieras para las
El año pasado, el promedio de demanda de rescate bajó para
entidades que acaban siendo impactadas en el rendimineto de
US$ 522, menos de la mitad del promedio del año anterior.
sus equipos a causa de los mineros de la CPU en la nube.
Al tiempo que la cantidad de variantes de ransomware aumentó
A medida que evoluciona la minería malintencionada de 46%, lo que indica que los grupos criminales establecidos se
criptomonedas, los dispositivos de IoT continuarán siendo mantienen bastante productivos, bajó la cantidad de familias
blancos precisos para su explotación. Symantec™ ya identificó un de ransomware. Estas cifras sugieren que los grupos están
aumento de 600% en los ataques globales de IoT en 2017, lo que innovando menos y pueden haber cambiado su atención hacia
significa que los ciberdelincuentes podrían explotar la naturaleza nuevos objetivos de mayor valor.
conectada de esos dispositivos para la minería masiva.
Volver al Índice
01 Introducción Página 6 ISTR Marzo 2018
Volver al Índice
Grandes Números
Amenazas Web
Más de
1.000 millones
de solicitudes Web analizadas por día
5% más que en 2016
1 de cada 13
solicitudes Web con presencia de malware
3% más que en 2016
Malware
92%
Aumento en
nuevas variantes
de descargas 8.500 %
Aumento en
80 % las detecciones
de mineros de
Aumento de
nuevas instancias criptomonedas
de malware en Macs
Correo Electrónico
2017
Porcentaje de
Tasa de Spam
2015
53% 53%
2016
55%
Ransomware
5,4 bi
Ataques WannaCry
bloqueados
46%
Aumento en
nuevas variantes
de ransomware
IoT (Internet de las Cosas)
2017
50K
600%
Aumento
en Ataques
2016
6K
Origen del Ataque
Federación Rusa
6%
17K 54%
2017
27K
Número promedio de aplicaciones
24.000 malintencionadas bloqueadas para
dispositivos móviles cada día
Las categorías de
aplicaciones que poseen las 27% Estilo de Vida
aplicaciones móviles más
malintencionadas son: 20% Música y Audio
Aplicaciones Indiscretas –
63 % Número de
¿cuáles son las informaciones Teléfono
confidenciales que
Ubicación de
normalmente filtran? 37% Dispositivo
Vulnerabilidades
13%
Aumento general
en vulnerabilidades
informadas
29%
vulnerabilidades
relacionadas
a los sistemas
de control
industrial (ICS)
01 Introducción Página 12 ISTR Marzo 2018
Metodología
Symantec creó la red global de recopilación de amenazas civiles das a través de nuestra alianza con más de 15.000 de las principales
más grande del mundo y una de las más completas colecciones de empresas globales.
inteligencia sobre amenazas a la ciberseguridad a través de Syman-
ID Analytics™ e ID: Labs (nuestro grupo dedicado de investigación
tec Global Intelligence Network™. La Red de Inteligencia Global de
de identidades), proporciona información completa sobre riesgos
Symantec incluye más de 126,5 millones de sensores de ataque, re-
de crédito y fraude y tiene el soporte de ID Network™. ID Network es
gistra miles de eventos de amenazas a cada segundo y contiene más
un repositorio exclusivo de información actualizada de consumido-
de cinco petabytes de datos de amenazas la seguridad. Esa red moni-
res en diversos segmentos, que ofrece una perspectiva única sobre
torea las actividades de amenazas en más de 157 países y territorios
los riesgos relacionados a las identidades y el fraude. ID Network
a través de una combinación de productos, tecnologías y servicios
también recibe datos de comportamiento de resultados de empresas
de Symantec, incluso el software Symantec Endpoint Protection™,
tercerizadas que confirman cuando un solicitante fue identificado
el servicio de inteligencia Symantec DeepSight™, la oferta Symantec
como fraudulento en su portafolio. Esa base de datos actualizada de
Managed Security Services™, productos de consumo Norton™ y otras
forma continua de los datos de comportamiento de consumidores en
fuentes de datos de terceros.
diversos segmentos permite que Symantec identifique el 1% de apli-
Así mismo, Symantec mantiene una de las bases de datos de caciones que presenta los principales riesgos, por ejemplo, incluyen-
vulnerabilidades más amplia del mundo, actualmente compuesta do aplicaciones para tarjetas de crédito, préstamos para automóviles
por más de 95.800 vulnerabilidades registradas (recopiladas du- y servicios de telefonía inalámbrica.
rante más de dos décadas) de 25.000 proveedores que represen- Symantec Endpoint Protection Mobile (SEP Mobile) ofrece un análisis
tan más de 78.700 productos. profundo inigualable de la inteligencia sobre amenazas de dispositi-
El análisis de tendencias de malware de spam, phishing y correo vos móviles, utilizada para predecir, detectar y proteger contra la más
electrónico es recopilada de una variedad de tecnologías de segu- amplia gama de amenazas existentes y desconocidas. La tecnología
ridad de Symantec que procesan más de 2.400 millones de correos predictiva de SEP Mobile utiliza un abordaje en capas que respalda
electrónicos por día, que incluyen: Symantec Messaging Gateway for la inteligencia de amenazas generada de forma colaborativa, además
Service Providers, Symantec Email Security.cloud, Symantec Advan- de análisis basados en dispositivos y servidores, para proteger de
ced Threat Protection for Email, Symantec’s CloudSOC™ Service e manera proactiva los dispositivos móviles de malware, amenazas de
Symantec Probe Network. red y vulnerabilidades de aplicaciones y SO.
Al filtrar más de 338 millones de correos electrónicos y más de 1.800 ISTR también incluye el análisis por segmento industrial, para el cual
millones de solicitudes web por día, la tecnología propietaria de el sistema Standard Industry Classification (SIC) fue utilizado para
Symantec Skeptic™ brinda soporte a los servicios de Symantec Email identificar los segmentos industriales. Los datos relacionados a los
and Web Security.cloud™, con la utilización del aprendizaje de má- clientes y consumidores de Symantec son anonimizados antes del
quina avanzado, análisis de tráfico de red y análisis comportamental análisis y agrupados de acuerdo con los principales atributos, como
para detectar las amenazas más furtivas y persistentes. Así mismo, sector, tamaño de la empresa y ubicación geográfica.
la solución de Symantec Advanced Threat Protection for Email Symantec toma todos los cuidados y precauciones para garantizar
identifica los ataques avanzados por correo electrónico, al adicionar que todos los datos presentados en este informe se produzcan
sandboxing basado en la nube, protección adicional contra spear de acuerdo con las más exigentes normas y presenten una visión
phishing y recursos exclusivos de identificación de ataques dirigidos. imparcial y objetiva del escenario de amenazas. Ocasionalmente,
Symantec también recopila información de phishing por medio de fue necesario filtrar o ajustar los datos para evitar distorsiones o
una amplia comunidad antifraude, compuesta por empresas, provee- desvíos, y eso se indica en el informe, cuando es necesario. Para más
dores de seguridad y partners. información acerca de los productos, servicios y tecnologías mencio-
Más de 1 billón de direcciones URL se procesan y analizan todos los nadas, consulte la sección Información Adicional y Contactos en el
días por las soluciones Secure Web Gateway de Symantec, incluyen- final de este informe.
do ProxySG™, Advanced Secure Gateway (ASG) y Web Security Solu- Estos recursos brindan a los analistas de Symantec fuentes inigua-
tion (WSS), todas soportadas por la tecnología WebPulse Collabora- lables de datos para identificar, analizar y proporcionar comentarios
tive Defense y Sistema de Análisis de Contenido en tiempo real. Esas actualizados sobre las amenazas emergentes de ataques, actividades
soluciones identifican y protegen contra cargas malintencionadas y de códigos malintencionados, phishing y spam. El resultado es el
controlan el contenido confidencial basado en la web. Ese número se Informe sobre las Amenazas para la Seguridad en Internet™, de pe-
extrae de un total de 6.000 millones de solicitudes de análisis web. riodicidad anual, que ofrece a las corporaciones, pequeñas empresas
La tecnología tiene el soporte de nuestra Red de Inteligencia Global, y consumidores información esencial para proteger sus sistemas de
que incluye información de inteligencia web y de amenazas adquiri- forma eficaz, ahora y en el futuro.
Volver al Índice
Retrospectiva
Sección
del Año
02
El Escenario
de Amenazas
y Cibercrímenes
El Escenario de Amenazas de Cibercrímenes Página 15 ISTR Marzo 2018
2017 fue un año interesante en el escenario En los últimos meses de 2017 fue inmenso el crecimiento de la
de amenazas de cibercrímenes. Los ataques minería de criptomonedas. Las actividades generales de mine-
WannaCry y Petya/NotPetya dominaron las ría de criptomonedas aumentaron 34.000% a lo largo del año;
mientras que la detección de archivos de minado de monedas en
principales noticias, pero fueron excepciones y
máquinas de endpoints aumentó 8.500%. Apenas en diciembre
sirvieron para ocultar los primeros indicios de
de 2017, más de 8 millones de eventos de minería de criptomone-
un cambio, especialmente en el escenario de das fueron bloqueados por Symantec. Estas cifras son bastante
ransomware. Si bien el ransomware continúa impresionantes, pero esta explosión en las actividades puede
siendo una gran amenaza, parece que algunos durar poco tiempo. La actividad de minería de monedas está fuer-
criminales de ransomware centraron la atención temente relacionada al aumento del valor de muchas criptomone-
en diversificar su portafolio: en algunos casos, das; una disminución en su valor puede ocasionar un descenso en
mediante la distribución de troyanos financieros estas actividades, tan rápida como fue su crecimiento.
y, en otros casos, al recurrir a la minería de
criptomonedas. Ransomware
Algunas amenazas a las plataformas de banca online sintieron el El escenario de ransomware en 2017 estuvo dominado por las
impacto para combatir grandes acciones que se produjeron en el historias de los ataques WannaCry (Ransom.Wannacry) y Petya/
final de 2016, pero otras lograron éxito en sus actividades. Espe- NotPetya (Ransom.Petya), pero estos no eran ataques “típicos” de
cialmente, el troyano bancario Emotet (Trojan. Emotet) resurgió ransomware y no representan la tendencia general de ransomware
tras un largo intervalo. en 2017. En realidad, Petya/NotPetya no era un ransomware ver-
dadero, era un agente destructivo para eliminar información que
La actividad de Emotet creció en los últimos meses de 2017, se disfrazaba de ransomware. Por esos motivos, en este capítulo
con un aumento de 2.000% en las detecciones en este período. omitimos las detecciones de esas amenazas de nuestras cifras de
Al mismo tiempo, las noticias de crecimiento de los minadores detección de ransomware. El impacto y la importancia de esos ata-
de criptomonedas y su uso por los ciberdelincuentes fueron ques se abordan en otras secciones de este informe, en el artículo
destacados en las principales noticias. sobre Ransomware: Más que Cibercrimen.
Las infecciones de ransomware han aumentado todos los años
“fueEninmenso
desde 2013 y llegaron al récord de 1.271 detecciones por día
los últimos meses de 2017 en 2016. Las detecciones de ransomware no lograron romper
300
Volver al Índice
3,0
Millones
Hubo un
aumento de
1,6 92
en bloqueos
%
de descargadores
en 2017
0,4
2015 2016 2017
”
do y bloqueando antes que distribuyan sus cargas útiles finales.
cargas útiles finales.
Al analizarlo como un negocio, se torna evidente que la rentabili-
dad del ransomware en 2016 generó un disputado mercado con
valores exorbitantes de pedidos de rescate realizados por delin-
cuentes ambiciosos. En 2017, el mercado de ransomware sufrió
Volver al Índice
El Escenario de Amenazas de Cibercrímenes Página 17 ISTR Marzo 2018
una corrección con menos familias de ransomware y pedidos de Nuevas variantes de ransomware 2015-2017
rescate con valores más bajos. Los responsables de ataques de La cifra de nuevas variantes de ransomware vistas aumentó 46% en 2017
ransomware mejoraron su modelo de negocios en 2017 y encon-
traron el valor ideal que las víctimas están dispuestas a pagar.
El pedido promedio de rescate en 2017 fue de US$ 522, que es
menos de la mitad del valor de US$ 1.070 en 2016 y también
representa una disminución en relación al promedio del primer
semestre del año, que fue de US$ 544.
En 2017, surgieron 28 nuevas familias de ransomware, lo que
acompaña la cifra de 2014 y 2015, sin embargo una disminución
en relación con 2016, cuando se identificó la cifra nunca antes
vista de 98 nuevas familias.
“reducción
También se identificó una
en las actividades
algunas de las grandes familias de ransomware.
Cerber (Ransom.Cerber), Locky (Ransom.Locky) y TorrentLocker
(Ransom.TorrentLocker) prácticamente desaparecieron del
escenario a lo largo del año.
de algunas de las grandes En cambio, el botnet Necurs (Backdoor.Necurs), uno de los
familias de ransomware en 2017. principales distribuidores de Locky, tuvo un gran impacto en el
escenario de amenazas de cibercrimen en 2017. Necurs desapa-
Cerber, Locky, y TorrentLocker reció durante gran parte de los primeros tres meses de 2017 y
reapareció de repente el 20 de marzo, cuando comenzó a enviar
prácticamente desaparecieron automáticamente spam. En esos tres meses, su ausencia fue
del escenario a lo largo del año.
” notada de inmediato, con una gran disminución en las tasas de
malware y de spam de correo electrónico. Las tasas aumentaron
constantemente durante el resto del año, si bien no llegó a los
niveles de 2016.
Nuevas familias de ransomware 2015-2017
Tras un brote de nuevas familias observadas en 2016 esa cifra se estabilizó en
2017 Tasa de malware de correo electrónico 2016-2017 (1 de cada)
El impacto de la ausencia de Necurs a inicios de 2017 es claramente visible
Volver al Índice
El Escenario de Amenazas de Cibercrímenes Página 18 ISTR Marzo 2018
Necurs envió casi 15 millones de correos electrónicos malinten- desaparecieron en 2017, porque las bandas delictivas que los
cionados en 2017, 80% enviado en el segundo semestre del año. operaban fueron afectadas por acciones de las autoridades legales
El botnet Necurs envió todos los días más de 67.000 correos a fines de 2016. Esos dos troyanos se detectaron en cientos de
electrónicos malintencionados en los últimos seis meses de 2017. miles de máquinas en 2016, por lo que su ausencia tuvo un gran
impacto en las cifras totales de troyanos financieros. Un descenso
Campañas de malware de correo electrónico de Necurs en 2017 en las cifras de troyanos financieros por año es una tendencia
La principal parte de las actividades se produjo en el segundo semestre del año que hemos visto en los últimos dos años. Además de las acciones
de las autoridades legales, parte de ese descenso puede ser
explicado por mejores detecciones implantadas más upstream en
la cadena, similar a la situación con ransomware, lo que significa
que la carga útil final del troyano financiero tal vez no logre llegar
al equipo de la víctima.
Volver al Índice
El Escenario de Amenazas de Cibercrímenes Página 19 ISTR Marzo 2018
Detecciones del Emotet software instalado en los dispositivos que infectó. Si detecta un
Las detecciones del Emotet aumentaron bruscamente en los últimos meses de software de contabilidad, permitirá el acceso remoto y tratará de
2017 realizar fraudes mayores, en vez de apenas robar credenciales de
plataformas de banca online. En otro ejemplo de una amenaza
que evolucionó en 2017, Trickybot (Trojan.Trickybot) integró el
exploit EternalBlue para permitir que se propague por las redes.
EternalBlue, lógicamente, se convirtió en el más conocido por su
uso en los ataques WannaCry y Petya/NotPetya, y aparentemente
fue incorporado por Trickybot tras el brote de Petya/NotPetya.
Volver al Índice
Detecciones de minería
El Escenario de Amenazas de Cibercrímenes Página 20 ISTR Marzo 2018
Precio Promedio
del Monero Volver al Índice
El Escenario de Amenazas de Cibercrímenes Página 21 ISTR Marzo 2018
La minería de criptomonedas basada en archivos involucra la des- to es pequeño, tal vez las víctimas no vinculen el problema con
carga y la ejecución de un archivo ejecutable en su computadora. La la minería de monedas. Eso permite que los ciberdelincuentes
minería de criptomonedas basada en navegadores, cuya prevalen- ganen dinero sin que las víctimas adviertan que hay algo inde-
cia presentó gran crecimiento en 2017, se produce en un navegador seado en su máquina o en la página web que están visitando. El
de la Web y se implanta con el uso de lenguajes de script. ransomware no permite que los ciberdelincuentes ejecuten sus
acciones de esta manera tan oculta.
La minería de monedas no es ilegal y en la actualidad muchas
Es acentuado el crecimiento de los eventos de minería de
personas deciden ejecutar archivos o scripts en sus computa-
criptomonedas bloqueados por Symantec en los últimos meses
doras para realizar la minería de monedas. Y, de hecho, muchas
de 2017, con un fuerte aumento en las detecciones en el último
personas no se opondrán al uso de una parte de su poder de
trimestre del año. Más de 8 millones de eventos de minería de
procesamiento para minar criptomonedas cuando visitan una
criptomonedas fueron bloqueados en diciembre - un aumento
determinada página web. Puede ser una alternativa aceptada en
de 34.000% desde el inicio del año. Las detecciones basadas en
lugar de ver anuncios o pagar por el contenido de otras formas.
archivos en los endpoints por los productos de Symantec para
Por ejemplo, la página web de la revista digital Salon.com solicitó
esos minadores aumentaron 8.500% en 2017. Gran parte de
a sus visitantes que utilicen un bloqueador de anuncios para
ese aumento es impulsada por JS.Webcoinminer, que detecta la
inhabilitar o permitir que su computadora se utilice para realizar
actividad asociada a los minadores de criptomonedas con base en
minería de criptomonedas mientras navegan en la página web.
los navegadores.
Los problemas surgen cuando las personas no saben que sus
computadoras se están usando para la minería de criptomone-
“losEnminadores
das, o si los ciberdelincuentes instalan de manera clandestina
minadores en las computadoras de las víctimas o en los dispositi- diciembre de 2017
vos del Internet de las Cosas (IoT) sin su conocimiento.
de monedas
Algunos factores pueden ayudar a explicar el aumento de la
popularidad de los minadores de monedas entre los ciberdelin- representaron 24% de todos
cuentes a fines de 2017: los ataques web bloqueados, y
{{ Se estima que la principal fuerza propulsora seguramente fue el
repentino aumento del valor de muchas criptomonedas en los
16% de los ataques web fueron
últimos meses de 2017. bloqueados en los últimos tres
{{ El lanzamiento de un nuevo servicio de minería basado en
navegadores en septiembre por Coinhive también causó un
meses de 2017, lo que demuestra
interés renovado en el área de minería basada en navegadores. el gran impacto de esos
Analizamos eso en un blog publicado en diciembre de 2017.
Coinhive se comercializa como una alternativa a los anuncios minadores de criptomonedas con
”
de páginas web para generar ingresos. La solución recomienda
que sus usuarios sean transparentes con los visitantes del sitio base en los navegadores.
web sobre su presencia, pero no posee un control integral para
impedir que los operadores inescrupulosos lo usen para realizar
minería secreta con la intención de pasar inadvertidos por los Eventos relacionados a la minería de criptomonedas en 2017
usuarios. El total de actividades de minería de criptomonedas bloqueadas por Symantec
aumentó más de 34.000% durante 2017
{{ Realizar la minería de monedas basada en navegadores no exige
el mismo nivel de habilidad que desarrollar un exploit e instalar-
lo en las computadoras de las víctimas, y también significa que
incluso las personas cuyas máquinas están totalmente actuali-
zadas pueden ser potenciales víctimas.
Volver al Índice
El Escenario de Amenazas de Cibercrímenes Página 22 ISTR Marzo 2018
En diciembre de 2017, los minadores de monedas representaron Detecciones de minadores de criptomonedas por mes en
24% de todos los ataques web bloqueados y 16% de los ataques computadoras Mac
web fueron bloqueados en los últimos tres meses de 2017, lo que En los últimos tres meses del año se observa un gran aumento en las
demuestra el gran impacto de esos minadores de criptomonedas detecciones
“a unAsísistema
como no están limitados
operativo, los
{{ El grupo de ataque responsable del ransomware VenusLocker
alteró su actividad de distribución de malware por medio de
campañas de correo electrónico para distribuir un minador
ciberdelincuentes que distribuyen del Monero.
Volver al Índice
e s
q u os s
ta
A rig id ro
i me
D Nú
E n
Ataques Dirigidos - En Números Página 24 ISTR Marzo 2018
¿Qué tan probable es que su organización sea Incluso dentro de esta definición, existen algunos ataques que no
atacada? Y si sufre el ataque, ¿cuáles son los encajan exactamente en el concepto. Por ejemplo, los ataques de
motivos y medios de ataque más probables de los Petya/NotPetya (Ransom.Petya) fueron el trabajo de un grupo de
ataque patrocinado por una nación, pero fueron indiscriminados
atacantes?
(si bien dirigidos principalmente a Ucrania).
Hemos invertido mucho tiempo en la investigación de los ataques
dirigidos y, durante los últimos años, hemos destacado regular-
Grupos
mente a los grupos previamente desconocidos. Con frecuencia,
recibimos solicitudes para proporcionar un resumen del esce- Lo primero que observamos fue cuantos grupos operan en la
nario de ataques dirigidos. Las personas quieren saber el nivel actualidad y si esa cifra presenta un crecimiento en el transcurso
general de actividades, si habrá un aumento o disminución en del tiempo. Actualmente, existen 140 grupos de ataques dirigidos
el volumen de actividades, quiénes son las víctimas y dónde se conocidos por Symantec. Incluso esta cifra exige una explicación.
ubican. Esto es algo que generalmente hacemos con otros tipos ¿Qué es un grupo de ataques dirigidos? Difícilmente dejan su tar-
de amenazas, como ransomware o troyanos financieros. jeta de visita y esto significa que puede llevar algún tiempo para
juntar las evidencias e identificar que herramientas y técnicas
Sin embargo, es bastante difícil presentar un escenario macro de son el trabajo de un grupo específico.
los ataques dirigidos. ¿Por qué? Para empezar, los ataques dirigi-
dos son exactamente lo que el nombre indica, dirigidos. General- En un mundo donde pocas cosas son ciertas, hacer esta distin-
mente, no se producen en grandes cantidades, lo que torna más ción puede ser difícil. Por ejemplo, los grupos afiliados a una
difícil analizar las cifras. Incluso una cifra demasiado pequeña de nación específica a veces son conocidos por compartir infraes-
ataques puede ocasionar grandes variaciones en el porcentaje. tructura y herramientas, lo que puede llevar a algunas preguntas
sobre o más grupos son entidades distintas o parte de la misma
Cuando analizamos con más profundidad, observamos que operación. Los proveedores suelen hacer diferentes evaluaciones
podríamos usar un abordaje alternativo. Mantenemos muchos con base en la información que poseen, lo que significa que la
datos de los propios grupos responsables de los ataques dirigidos. información total de los grupos conocidos, mantenida por dos
Al agregar estos datos, podríamos establecer las premisas de un proveedores distintos, posiblemente será diferente.
grupo común responsable de los ataques dirigidos. Y a partir de
“cibercrímenes,
este punto, podríamos informar a las personas cuáles son los mé-
todos más comunes que utilizan estos grupos para atacar a una Al contrario del mundo de
organización y cuáles son sus principales motivaciones.
donde las bandas
¿Qué clasificamos como un ataque dirigido? desaparecen con frecuencia, para
Antes de continuar, es importante aclarar qué entendemos por
“ataque dirigido”. Si bien el término parece ser autoexplicativo,
dar paso a nuevas amenazas, el
un ataque dirigido a una o a varias víctimas específicas, en lugar mundo del ciberespionaje se está
de campañas indiscriminadas a larga escala, existen ciertas
distinciones a realizar. El trabajo de individuos generalmente tornando un mercado cada vez más
”
no se clasifica como un ataque dirigido. Por ejemplo, si alguien
decide invadir la computadora de otra persona conocida, eso no disputado.
se clasifica como un ataque dirigido.
En los últimos tres años, hemos observado un promedio de 29
En cambio, los ataques dirigidos representan el trabajo de grupos
nuevos grupos por año, si bien el ritmo de nuevos grupos disminuyó
organizados. La mayoría de esos grupos son patrocinados por
un poco durante 2017, cuando registramos un total de 19 nuevos
naciones (si bien existe un pequeño número de operadores priva-
grupos. A pesar de ello, esos números brindan una buena idea del
dos) y generalmente se enfocan en un numero limitado de obje-
ritmo de expansión en este sector. Cuando se compara esa informa-
tivos número limitado de intereses: recopilación de información,
ción con el total de grupos conocidos, la cifra de nuevos jugadores
interrupción de actividades, sabotaje o intereses financieros. En
que aparecen todos los años en el mercado es bastante considera-
términos generales, los “ataques dirigidos” corresponden a actos
ble. Así mismo, la mayoría de los grupos más antiguos no muestra
de espionaje, a pesar de que los límites de estas definiciones
señales de que desaparecerán del mercado. Lo que los grupos de
están comenzando a cambiar y, en los últimos tiempos, hemos
ataques hacen después de infectar una organización, como cuáles
observado a varios grupos propagarse más allá del espionaje.
computadoras son establecidas como víctimas y cuál información
(si es el caso) es robada, lo cual puede ofrecer mayores insights.
Volver al Índice
Symantec
Ataques Dirigidos - En Números Página 25 ISTR Marzo 2018
expuso un
promedio
de 3
nuevos
grupos de
ataques
dirigidos
por año.
Grupos de ataques dirigidos conocidos por Symantec Cuando tenemos demasiados datos para crear un perfil útil,
Número total de grupos de ataques dirigidos conocidos por Symantec. En los normalmente publicamos nuestra investigación y, de esos 140
últimos tres años, observamos un promedio de 29 nuevos grupos por año. grupos que conocemos, 28 fueron expuestos inicialmente por
Symantec. En promedio, somos responsables de la exposición de
tres nuevos grupos por año.
Motivos
Si bien raramente tenemos los insights de lo que pasa por la
cabeza de los grupos de ataque, generalmente con el transcurso
del tiempo, llegamos a algunas conclusiones sobre los intereses
de los grupos de ataques dirigidos. Tenemos algunas maneras de
hacerlo. Observar el tipo de organización que esos grupos esta-
blecen como blanco generalmente puede desvelar mucho sobre
lo que tienen interés. El análisis de las capacidades y recursos de
Uno de los trabajos más interesantes, más intensivos, que hace- las herramientas proporciona todavía más insights. Qué hacen
mos es descubrir e investigar nuevos grupos de ataques dirigidos, los grupos de ataque tras invadir a una organización, como cuáles
a fin de proteger a nuestros clientes de estos grupos y alertar de computadoras son establecidas como víctimas y cuál información
forma general al mundo. (si es el caso) es robada, puede proporcionar más insights.
Volver al Índice
Ataques Dirigidos - En Números Página 26 ISTR Marzo 2018
HISTORIAS DE ANALISTAS
Conversamos con algunos de nuestros investigadores de Por ejemplo, su estructura de watering hole de Venom es un
amenazas y les pedimos que nos contaran sobre los grupos nivel superior de lo que normalmente observamos. Fueron
que fueron objeto de su trabajo. uno de los primeros grupos en emplear las técnicas de huella
digital de sistema, a través de las cuales analizaban a los
visitantes en busca de watering holes y recopilaban infor-
¿Cuál es el grupo más interesante que ha mación suficiente para determinar si la víctima potencial era
encontrado? de interés para el grupo y, en caso afirmativo, determinar
el mejor exploit que podía suministrar para establecer su
posición dentro de la organización de la víctima. Sin embar-
Gavin O’Gorman go, también existía la capacidad de infectar varios servidores
“Posiblemente, Butterfly es el grupo más interesante con el para alojar su estructura de kit de exploits como una forma
cual trabajé. Era uno de los pocos grupos de ataque dirigidos de afectar a las víctimas. Obviamente poseían una variedad
que no parecía estar afiliado a ningún país y estaba involu- de habilidades a su disposición y eso se demostraba por
crado en espionaje corporativo, tal vez por intereses financie- el nivel diversificado de sofisticación de las herramientas
ros. En pocos años, infectaron a varias grandes corporacio- utilizadas, su capacidad de operar en múltiples entornos y
nes como Twitter™, Facebook™, Apple®, y Microsoft®. el hecho de que permanecieron activos por un largo período,
afectando a múltiples gobiernos. Hasta el día de hoy, Turla
Siempre que voy a una conferencia, las personas me pregun-
sigue sus operaciones y continúa siendo uno de los grupos
tan sobre este grupo, queriendo saber si logramos observar
rastreados más interesantes.”
más ataques. La respuesta es que han desaparecido por
completo. La seguridad operativa del grupo fue una de las
mejores que ya hemos visto. Stephen Doherty
Por ejemplo, ellos ejecutaban servidores de comando y con- “Dragonfly es definitivamente el grupo más interesante con
trol en máquinas virtuales cifradas en servidores afectados. el cual trabajé recientemente, principalmente porque han di-
Eso es algo que no observamos todos los días. rigido sus ataques a infraestructura crítica. Hubo una época
en la que ese tipo de ataque era inimaginable, por lo menos
¿Será que se jubilaron? Lo dudo. Las vulnerabilidades de día
hasta que apareció Stuxnet. Sin embargo, en la actualidad
cero que usaban exigían mucho tiempo y habilidad para ser
varios grupos ejecutan este tipo de ataques. Dragonfly afecta
adquiridas por cuenta propia y, posiblemente, en vez de eso,
a plantas de energía eléctrica desde por lo menos 2011.
fueron compradas. Esas vulnerabilidades de día cero cuestan
mucho, lo que significa que deben estar ganando mucho Con el transcurso del tiempo, comenzaron a utilizar más
dinero. herramientas disponibles en el mercado y tácticas de “Her-
ramientas del día a día”, lo que significa que se volvió más
Si tuviese que adivinar, diría que interrumpieron sus activi-
difícil atribuir ataques al grupo. Es necesario ser muy preciso
dades temporalmente y desarrollaron un conjunto comple-
porque, al considerar sus víctimas, si uno se equivoca, creará
tamente nuevo de herramientas. Estaban ganando mucho
una alarma innecesaria.
dinero para simplemente abandonar sus actividades.”
¿Cuál es el objetivo central de sus actividades? De acuerdo
con nuestro análisis, están centrados en obtener y mantener
Alan Neville el acceso a redes de energía eléctrica y recopilar información
“Turla fue una de las primeras grandes investigaciones en sobre sus operaciones.
la cual trabajé y todavía es una de las más interesantes.
Sabemos que tienen la capacidad de ocasionar graves
Utilizaban muchas herramientas y trucos que nunca había
interrupciones a las redes de energía eléctrica, pero hasta el
visto antes y realmente demostraban el nivel de sofisticación
momento nunca optaron por adoptar esas medidas extre-
de operación de estos grupos. Al rastrear el desarrollo de su
madas. Lo peligroso es que tienen esta capacidad, cuando
kit de herramientas, se tornó evidente que este era un grupo
consideren que es el momento oportuno. De todos los grupos
grande y bien organizado que tenía dinero para respaldar sus
que analizamos, posiblemente Dragonfly es el que más se
operaciones. Obviamente, había mucho trabajo especializado
aproxima a cruzar la frontera entre la recopilación de infor-
que involucraba a diferentes personas en el desarrollo de
mación y algo más hostil, como el sabotaje”.
cada componente.
Volver al Índice
Ataques Dirigidos - En Números Página 27 ISTR Marzo 2018
“también
Los ataques disruptivos
se consideran mucho
más hostiles y agresivos que
la recopilación de información Si bien apenas un pequeño porcentaje de los grupos está involu-
y cualquier persona que los crado en los ataques disruptivos, un porcentaje aún menor está
involucrado en actividades que pueden clasificarse como destruc-
organice corre el riesgo de tivas, como eliminar la información de discos (limpieza de disco).
”
De los grupos que encontramos, apenas 6% fueron identificados
sufrir represalias. por el uso de malware destructivo en algún momento.
La tercera categoría de intereses que observamos es financiera,
Si bien los ataques disruptivos se han destacado en los últimos observada en poco más de 9% de los grupos. Una vez más, eso no
dos años, como una motivación, la interrupción de actividades es demasiado sorprendente. La mayoría de los grupos de ataques
aún es un distante segundo lugar detrás de la recopilación dirigidos es patrocinada por naciones y esto significa que poseen
de información, con 11% de los grupos involucrados en esta los recursos de todo un país para financiar sus actividades.
actividad. Esto no nos sorprende. A pesar de que hayan ocurrido
Ellos no necesitan dinero o para ser preciso, no necesitan más
algunos ataques disruptivos de alto nivel, todavía son una
dinero.
propuesta arriesgada. Debido a sus propias características, estos
ataques llaman mucho la atención. Existen excepciones. La más notable en los últimos años es
posiblemente el grupo Lazarus, un grupo grande y muy activo,
La exposición dificulta la realización de ataques adicionales por
que se destacó gracias a las operaciones de espionaje en larga
parte de los grupos, ya que sus herramientas y técnicas habrán
escala y algunos ataques disruptivos de gran notoriedad,
sido minuciosamente investigadas y, como resultado, las orga-
principalmente el ataque de Sony Pictures™ en 2014, que
nizaciones probablemente reforzarán sus defensas. Los ataques
ocasionó el robo de grandes cantidades de información, incluso
disruptivos también se consideran mucho más hostiles y agresi-
películas no estrenadas, además de la información eliminada de
vos que la recopilación de información y cualquier persona que
las computadoras por malware.
los organice corre el riesgo de sufrir represalias. En la mayoría de
los casos, especialmente cuando existe sabotaje, se utilizan con Más recientemente, Lazarus también pasó a trabajar en operacio-
moderación y generalmente parecen calibrados para enviar un nes con intereses financieros. El grupo estaba asociado al robo de
mensaje al objetivo destinado. US$ 81 millones del Banco Central de Bangladesh en 2016, junto
con una serie de otros robos virtuales. ¿Por qué Lazarus estaba
robando bancos? El FBI dijo que el gobierno de Corea del Norte
fue responsable del ataque de Sony Pictures mencionado antes.
Sujeta a las sanciones actuales relacionadas a su programa
de armamento nuclear, se sabe que Corea del Norte necesita
moneda extranjera y el cibercrimen puede ser una forma de
levantar estos fondos. Lazarus también estaba asociado al
brote de ransomware WannaCry en mayo de 2017 (para más
información, consulte “Ransomware: Más que Cibercrimen”).
Volver al Índice
Ataques Dirigidos - En Números Página 28 ISTR Marzo 2018
Intereses de ataque dirigidos una organización establecida como blanco y, a seguir invadir el
Intereses conocidos de los grupos de ataques dirigidos. La mayoría de los entorno, pasan para las computadoras específicas de interés, al
grupos están centrados en la recopilación de información. mapear y recorrer la red de la organización. Los grupos con una
buena seguridad operativa generalmente eliminan sus pistas a
medida que avanzan, retirando sus herramientas de cualquier
computadora que no necesiten más. Esto significa que los rastros
de la infección inicial fueron eliminados por los invasores cuando
se descubre un ataque.
Los correos electrónicos de spear phishing surgieron como el vector
de infección más utilizado, empleado por 71% de los grupos.
El objetivo de spear phishing es engañar al destinatario para abrir
un adjunto o hacer clic en un enlace malintencionado, y la popula-
ridad de esta estrategia ilustra cuantas veces la persona sentada
detrás de una computadora puede ser el eslabón más débil en la
Si bien Lazarus está involucrado en ataques de diferentes moti- seguridad de una organización. Además de una solución sólida de
vaciones, el grupo es una excepción a la regla. La mayoría de los seguridad de correo electrónico, educar a los funcionarios acerca
grupos de ataques dirigidos que encontramos están mucho más de los peligros de los correos electrónicos de spear phishing y cómo
enfocados, con 85% de los grupos con solo un interés determi- identificarlos ayudará a reducir el riesgo de compromiso.
nado. Apenas 12% de los grupos tienen dos o más intereses co-
nocidos. Para un pequeño número de grupos (3%), aún no hemos
logrado identificar un motivo.
Número de intereses
“dominan
Los correos de spear phishing
el segmento como el
Número de intereses por grupo. La mayoría (85%) tiene apenas un interés
conocido. vector de infección más utilizado,
empleado por 71% de los grupos.
El segundo vector de infección más popular es el uso de watering
”
holes, páginas web que fueron afectadas por el grupo de ataque,
generalmente sin el conocimiento del propietario de la página web.
Los grupos de ataque generalmente infectan una página web que
posiblemente se visitará por las víctimas establecidas. Por ejem-
plo, si su víctima esta en el sector de aviación, pueden afectar a
un foro de aviación.
Los ataques de watering hole tienden a ser métodos de infección
menos eficientes. Los grupos de ataque no pueden garantizar que
Vectores: la víctima establecida visitará la página web afectada. También
¿De qué forma los grupos afectan a sus existe el riesgo de daños colaterales, en la forma de infecciones
víctimas? no intencionales de víctimas fuera de la organización estableci-
da como objetivo. Normalmente, los grupos de ataque intentan
Una de las principales informaciones que buscamos al investigar
reducir el riesgo de esta ocurrencia al emplear un kit de exploit
los ataques dirigidos es el vector de infección, es decir, en primer
que infectará apenas a los usuarios provenientes de un intervalo
lugar de qué forma los grupos de ataque han logrado invadir la
preseleccionado de IPs.
red de la víctima. No es necesario enfatizarlo, pero bloquear los
ataques en el punto de entrada es la manera más eficaz de com- Junto con spear phishing y watering holes, existen algunos vec-
batir los ataques dirigidos. tores específicos de infección de determinados nichos. Es sabido
que 6% de los grupos utilizan actualizaciones de software, en las
Descubrir el vector de infección puede ser demasiado difícil.
que se afectan paquetes legítimos de software, generalmente a
Normalmente, los grupos de ataque intentan afectar a las
través del upload de una versión con troyano del software hacia
organizaciones al infectar alguna computadora disponible en
la página web del desarrollador descuidado.
Volver al Índice
Ataques Dirigidos - En Números Página 29 ISTR Marzo 2018
Volver al Índice
Ataques Dirigidos - En Números Página 30 ISTR Marzo 2018
En el pasado, las vulnerabilidades de día cero eran una valiosa y Existen muchas técnicas utilizadas para ejecutar el movimiento
poderosa herramienta para los grupos de ataque dirigidos. Pero lateral y, en la mayoría de los casos, dejan pocas pistas. Hay
los grupos de ataque comenzaron a evitarlas utilizando tácti- registros de algunas técnicas comunes de movimiento lateral.
cas menos renombradas, básicamente, “herramientas del día a
Entre ellas, las credenciales robadas fue la técnica de movimiento
día”, al usar cualquier herramienta que consiga el acceso, como
lateral más observada. Generalmente, los grupos de ataques utili-
software legítimo de administración de red y recursos del sistema
zan herramientas de hackeo de software para obtener las creden-
operativo.
ciales de una computadora afectada y después utilizarlas para
intentar ingresar en otras computadoras de la red. El método
Uso de vulnerabilidades de día cero “pass the hash” - donde los grupos de ataques roban y reutilizan
Aproximadamente 75% de todos los grupos nunca fueron identificados la versión hash subyacente de una contraseña y, sin descodificar-
explotando vulnerabilidades de día cero.
la, es posible utilizarlo para autenticarse en otras computadoras
o servidores - fue usado por poco menos de 6% de los grupos.
Otra técnica común que observamos es la explotación de inter-
cambio de redes abiertas, utilizada por poco más de 4% de los
grupos.
”
tes que utilizan los grupos de ataques dirigidos. Si bien muchos
las que están interesados. grupos dependen del malware ahora es menos que anteriormente
(con el uso de herramientas de hackeo y software legítimo para
el recorrido de red, por ejemplo), el malware todavía es utilizado
con frecuencia en el “momento final” de un ataque común, para
Movimiento lateral
llegar al objetivo final del ataque, ya sea para obtener informa-
Una de las principales fases en la mayoría de los ataques diri- ción, robar, espiar, sabotear o cualquier otro tipo de compromiso.
gidos es conocida como el movimiento lateral. Los grupos de
ataque difícilmente tienen la posibilidad de lograr afectar de Para entender el escenario acerca de la utilización de esas herra-
inmediato las computadoras en las que están interesados. En mientas malintencionadas, hemos seleccionado 20 de los grupos
cambio, generalmente encuentran un camino para invadir la red de ataques dirigidos más activos en los últimos años y analizamos
de la víctima al infectar cualquier computadora disponible y uti- con profundidad las cifras (realizar este ejercicio para cada grupo
lizar esas computadoras como una base. A partir de este punto, implicaría muchos datos, asi que seleccionamos una muestra
explotarán la red, identificarán víctimas de interés y se desplaza- representativa).
rán por la red para infectar esas computadoras.
Volver al Índice
En los
últimos
3 años:
18
Principal cifra de
herramientas utilizadas
42 por un grupo
Cifra promedio
de organizaciones
4
Cifra promedio
afectadas por
de herramientas
grupo
malintencionadas
65
utilizadas por grupo
Cifra promedio
de individuos
1
Menor cifra de
afectados por herramientas utilizada
grupo por un grupo
*Con base en la selección de los 20 grupos más activos en los últimos años
Ataques Dirigidos - En Números Página 32 ISTR Marzo 2018
Identificamos que, entre esos 20 grupos, la cifra promedio de Cuando se segmenta por ubicación geográfica, no nos sorprendió
herramientas utilizadas por cada grupo era 4. La mayor cifra descubrir que Estados Unidos fue el país más afectado por los
identificada fue 18 y está relacionada al grupo Lazarus, mencio- ataques dirigidos en los últimos tres años. Es un país muy pobla-
nado anteriormente. El número refleja el hecho que representa do, próspero y poderoso, de esta forma, es una región evidente de
una operación que se propaga con muchos intereses. interés para los grupos de ataques dirigidos.
¿Cómo se utilizan estas herramientas? En los últimos tres años, Del mismo modo, grandes países como India, Japón y Rusia son
en promedio, fueron afectadas 42 organizaciones por grupo. inclusiones esperadas en la lista. Otra evidente tendencia es que
Durante el mismo período, los mismos grupos afectaron en los países, centro de tensiones regionales con frecuencia son
promedio a 65 individuos. Si nuestra muestra de 20 grupos es atacados, como Taiwán, Ucrania y Corea del Sur.
representativa, un grupo común de ataques dirigidos afectará, en
promedio, a 14 organizaciones y a 22 individuos por año. Los 10 principales países afectados por los ataques dirigidos
Entre 2015 y 2017, EE.UU. fue el país más afectado por los ataques dirigidos.
¿Dónde están las víctimas?
¿Los ataques dirigidos son eventos comunes? ¿Cuán propagados
son estos ataques? Analizamos nuestros datos de infecciones por
malware exclusivamente asociado a los grupos de ataques dirigi-
dos y descubrimos que anualmente cientos de organizaciones son
afectadas por los ataques dirigidos.
Volver al Índice
Ataques Dirigidos - En Números Página 33 ISTR Marzo 2018
Volver al Índice
Ransomware:
Más que
Cibercrimen
Ransomware: Más que Cibercrimen Página 35 ISTR Marzo 2018
Ransomware no es más una exclusividad de los codificada y fue copiada de un pedido de rescate de CryptoWall
ciberdelincuentes. Por varios motivos, los grupos publicada online. Si el ataque no hubiese sido investigado de for-
de ataques dirigidos también se han interesado en ma adecuada, la empresa podría haber asumido simplemente que
había sido afectada por un ataque de ransomware, aceptando sus
este segmento; para levantar fondos en moneda
pérdidas y no realizaría una investigación más detallada.
extranjera o utilizar ransomware falso como
cobertura para otros tipos de ataques. Observamos varios casos en el pasado en los que los grupos de
ataques utilizaron ataques DDoS para disfrazar invasiones. Sin
A fines de 2015, nos enfrentamos con una situación que, en la embargo, en 2015, el uso de ransomware por un grupo de ataques
época, era muy inusual. Una gran empresa en el Sureste Asiático dirigidos como señuelo era algo totalmente nuevo. Todo eso
nos solicitó investigar un ataque de ransomware de gran escala cambió rápidamente y, en 2017, dejó de ser algo inusual. Varios
en su red. Cientos de computadoras fueron afectadas, todas con grupos de ataques dirigidos descubrieron el valor del ransomware.
lo que parecía ser una variante del ransomware CryptoWall Encontraron variedad de usos para el y en la mayoria de los casos,
(Ransom.Cryptowall). Casi de inmediato, observamos que con efectos devastadores.
había algo muy extraño en este ataque.
Cuando analizamos las muestras del malware, descubrimos que,
de hecho, no había cifrado ningún archivo, algo diferente de una
acción normal de ransomware. En cambio, el malware simple-
mente sustituyó los archivos en el disco rígido por datos insig-
“cubrir
... los invasores intentaron
sus pistas, con la
nificantes. El malware era en realidad un agente para eliminar
informaciones (limpiador de disco), camuflado de ransomware. implantación del falso
¿Por qué los responsables del ataque se tomaron el trabajo de
intentar ocultar sus pistas de esa forma?
ransomware para eliminar la
Cuando analizamos el evento con más detalles, comenzamos a información de los discos de las
observar lo que había sucedido. La organización había sido víc-
tima de ataques dirigidos sofisticados y de larga duración. Cinco
meses antes del incidente de “ransomware”, varias computadoras
computadoras infectadas.
”
de la organización fueron afectadas por medio de una combina-
ción de correos electrónicos de spear phishing y páginas web de Ataques que generan ingresos
watering hole. Los grupos de ataques dirigidos generalmente no se involucran
A partir de ese compromiso inicial, los responsables del ataque en ataques con intereses financieros. Esto se debe a que, en la
utilizaron una combinación de malware y herramientas de prueba mayoría de los casos, son subsidiados por una nación y pueden
de penetración para robar credenciales, mapear la red de la orga- pagar por un equipo y herramientas caras (como vulnerabilidades
nización y afectar a varias computadoras, incluso los servidores de día cero).
de archivos, aplicaciones y correo electrónico. Cuando WannaCry (Ransom.Wannacry) apareció por primera
El verdadero objetivo del ataque fue el robo de datos y, durante vez, parecía improbable que un grupo de ataque dirigido fuese el
los cinco meses de invasión, los responsables del ataque lograron responsable. El ataque poseía las características de una opera-
robar miles de archivos de la organización. Cuando terminaron, ción de cibercrimen, algo que la mayoría de los grupos de ataque
los invasores intentaron cubrir sus pistas, con la implantación del dirigidos no adoptarían. Sin embargo, posteriormente descubri-
falso ransomware para eliminar la información de los discos de mos fuertes evidencias que el grupo Lazarus estaba detrás de la
las computadoras infectadas. amenaza.
Disfrazar el limpiador de disco como ransomware fue una acción Apesar de que era posible es posible que el motivo del ataque
inteligente. En la época, los ataques de ransomware comenzaron fuera interrumpir las actividades; si el motivo fuese financiero,
a alcanzar proporciones epidémicas. En una evaluación superfi- no sería la primera vez que Lazarus se involucraría en actividades
cial, el limpiador (que llamamos Trojan.Phonywall) se parecía de- de cibercrímenes, habiendo sido vinculado al asalto del Banco
masiado a CryptoWall, exhibiendo un pedido de rescate idéntico de Bangladesh y a varios otros grandes ataques bancarios. El FBI
al mensaje usado por CryptoWall. La única diferencia era la URL asoció el grupo a Corea del Norte, que está sujeta a sanciones y
de pago. Las URLs de pago de CryptoWall generalmente eran ex- obviamente en falta de reservas en moneda extranjera.
clusivas para cada infección, pero la URL usada por Phonywall era
Volver al Índice
Levantamiento del
ritmo de ataques
Ransomware falso “Phonywall” usado
NOV para ocultar los ataques dirigidos en
2015 el Sureste Asiático
WannaCry tuvo un enorme impacto y tenía el potencial de ser Ransomware como señuelo
extremadamente rentable. La principal razón para eso fue que
Los ataques para despertar la atención de las víctimas no son
incorporó el exploit EternalBlue que se había filtrado y usó dos vul-
nuevos, pero anteriormente, los grupos de ataque dirigidos
nerabilidades conocidas en Windows (CVE-2017-0144 y CVE-2017-
dependían de otros tipos de señuelo, generalmente los ataques
0145) para convertir el ransomware en un gusano, capaz de propa-
distribuidos de negación de servicio (DDoS). Los ataques DDoS
garse en cualquier computadora de la red de la víctima y también
pueden hacer que una organización quede offline, porque los ad-
hacia otras computadoras vulnerables conectadas a Internet.
ministradores de sistemas estarán ocupados en el intento de im-
Pocas horas después de su lanzamiento, WannaCry había infectado
pedir el ataque DDoS y pueden estar demasiado distraídos para
a cientos de miles de computadoras alrededor del mundo.
observar actividades sospechosas en sus redes, que indiquen que
A pesar de que WannaCry haya llamado la atención del mundo un ataque dirigido está en marcha.
y causado una relevante interrupción de actividades, desde el
Como fue mencionado anteriormente, vimos el primer caso de
punto de vista financiero el ataque fue un fracaso. Sus autores
ransomware usado como señuelo a fines de 2015. Sin embargo,
fracasaron en la implementación del mecanismo de pago. El obje-
hasta el final de 2016, otros grupos de ataques dirigidos adopta-
tivo de WannaCry era generar una dirección de cartera de Bitcoin
ron la táctica. Uno de los ejemplos más destacados, fue el grupo
exclusiva para cada computadora infectada, pero, debido a un
de ciberespionaje Sandworm, que creó una nueva versión de su
bug, presentó una falla y fue dirigida a las tres direcciones codi-
destructivo troyano Disakil (Trojan.Disakil), que fue disfrazado de
ficadas de Bitcoin directo al programa para el pago. Los respon-
ransomware.
sables del ataque no tenían como saber cuáles eran las víctimas
que habían pagado usando las direcciones codificadas, de esta Desarrollado para ser ejecutado en computadoras Linux, básica-
forma, cuando se volvió conocimiento público, las víctimas tenían mente los tornaba inutilizables al cifrar los archivos esenciales
poco incentivo para pagar el rescate. del sistema operativo. Cuando finalizaba el cifrado, se mostraba
un mensaje solicitando un rescate de 222 Bitcoin (aproximada-
Así mismo, los autores incluyeron un “killswitch” en el malware.
mente US$ 250.000 en aquel momento). El pago del rescate no
Esta era la dirección de un dominio inexistente. WannaCry veri-
descodificaba los archivos afectados, pues las claves de cifrado
ficaba si el dominio estaba activo y, si lo estuviese, dejaría de ser
generadas en la computadora infectada no eran guardadas local-
instalado. El recurso obviamente tenía el objetivo de permitir que
mente ni en un servidor de comando y control (C&C).
los responsables del ataque lo interrumpiesen si fuera necesario.
No obstante, este detalle fue rápidamente encontrado por un in- Esta versión de Disakil fue usada en varios ataques contra la
vestigador de seguridad que registró el dominio, limitando de esa compañía eléctrica ucraniana y también en intentos de ataques
forma los daños de WannaCry en el mismo día de su lanzamiento. contra el sector financiero y de transporte en Ucrania. Así como
en los ataques DDoS, el uso del ransomware como señuelo tuvo
Si se hubiera configurado de forma correcta, WannaCry podría
un efecto similar, al causar confusión entre las víctimas y atrasar
haber generado ingresos de decenas de millones de dólares para
una respuesta efectiva.
sus creadores.
En los últimos años, la cantidad de ransomware distribuido se
“unaAtaques
expandió de forma rápida, tornándose una de las amenazas más
DDoS pueden hacer que comunes de cibercrímenes. Su omnipresencia hace que sea una
organización quede offline, cobertura perfecta para los ataques. En la actualidad está tan
difundido que los administradores no pueden sorprenderse con
porque los administradores de un ataque de ransomware o cuestionarse una aparente infección
de ransomware.
sistemas estarán ocupados en
el intento de impedir el ataque
DDoS y pueden estar demasiado
distraídos para observar
actividades sospechosas en sus
redes, que indiquen un ataque
dirigido está en marcha.
”
Volver al Índice
Principales ataques
malware destructivo
Descubrimiento del gusano
JUL Stuxnet, dirigido al programa
2010 nuclear iraní
Intentos de infección por malware destructivo se reiniciaba la computadora, cifraba completamente el disco rígido
Intentos mensuales de infección con la participación de malware destructivo y presentaba un pedido de rescate al usuario. Este pedido de rescate
asociado a los grupos de ataques dirigidos. exhibía una “clave de instalación”, que era una cadena de caracteres
generada de forma aleatoria. Una clave Salsa20 generada de forma
aleatoria se utilizaba a continuación para cifrar el disco. El problema
es que no existía relación entre la “clave de instalación” y la clave
Salsa20. Como el disco no podría ser descodificado, Petya/NotPetya
no era realmente un ransomware. Era un limpiador de disco.
Así mismo, al contrario de WannaCry, Petya/NotPetya no fue
desarrollado para propagarse de forma indiscriminada. En cambio, el
ataque fue proyectado para afectar principalmente a organizaciones
en Ucrania. Las infecciones iniciales fueron distribuidas mediante
una versión con troyano de M.E.doc, una solución de software de
contabilidad e impuestos que es ampliamente utilizada en Ucrania.
Los responsables del ataque lograron afectar la página web de
Ransomware como una herramienta M.E.doc y hacer el upload de una versión con troyano de una
disruptiva actualización de software.
La introducción de ransomware como un señuelo, seguida del Los ataques disruptivos son una evolución de los ataques señuelo.
surgimiento del WannaCry, produjo la llegada de un tercer tipo de La inclusión de un mecanismo de autopropagación demuestra que el
ataque, básicamente, el ransomware como una forma de ataque ataque es más amplio. Mientras el ransomware todavía actúa como
disruptivo. señuelo, el objetivo final del ataque no es ocultar, sino interrumpir las
El primer caso y más notable de ese uso fue Petya/NotPetya actividades y generar confusión en las organizaciones afectadas.
(Ransom.Petya). Cuando surgió, inicialmente parecía ser una Al instalarse en una computadora dentro de una organización,
imitación de WannaCry. Petya/NotPetya comenzaba a intentar propagarse hacia otras
computadoras en la red, al construir una lista de direcciones IP y usar
EternalBlue y otras técnicas de distribución SMB para infectarlas. Se
Volver al Índice
¿Por qué los grupos de
ataques dirigidos comenzaron
a usar ransomware?
Decoy
Revenue
Disruption
Señuelo
Ingreso
Disruptivo
Petya/
Disakil NotPetya
{{ Camuflaje perfecto para un
ataque dirigido. Los ataques {{ Tornar el ransomware imposible
de ransomware son bastante de descodificar lo transformó
comunes y pueden no presentar efectivamente en un limpiador
sospechas. de disco.
WannaCry
{{ Fuente potencial de ingreso en moneda
extranjera para naciones con dificultades
financieras.
Así como Petya/NotPetya, BadRabbit era capaz de autopropa- ¿Fenómeno a corto plazo o tendencia a largo
garse e intentaba difundirse por la red de la víctima vía SMB
plazo?
y Mimikatz (Hacktool.Mimikatz), una herramienta de hackeo
utilizada para robar contraseñas. El malware también utiliza una Los grupos de ataques dirigidos que utilizan ransomware son
lista codificada de credenciales estándar comúnmente usadas un desarrollo muy reciente y todavía no se sabe si esa tendencia
para intentar adivinar contraseñas, junto con EternalRomance, continuará en 2018.
un exploit similar a EternalBlue. WannaCry fue el único caso confirmado de un grupo de ata-
Al contrario de Petya/NotPetya, BadRabbit era un ransomware que dirigido que utilizó ransomware para fines financieros. Sin
verdadero y la descodificación era posible. Tras la reinicialización embargo, desde el punto de vista de generación de ingresos, fue
del sistema, se exhibía un pedido de rescate, con la exigencia un fracaso. Su configuración con error produjo rendimientos
de un rescate de 0,05 bitcoins (aproximadamente US$ 280 en el limitados para los responsables del ataque. Lazarus, el grupo
momento del ataque). responsable de WannaCry, tuvo mucho más éxito con asaltos a
bancos virtuales, por lo tanto, es posible que el grupo abandone
El hecho de ser un ransomware funcional puede significar que los el ransomware como un experimento fracasado.
responsables del ataque vieron el impacto de Petya/NotPetya y
de manera oportuna crearon una versión que era una imitación Por una parte, el ransomware es una forma barata y fácil de
en la esperanza de obtener dinero. Sin embargo, si ese fue real- señuelo o interrupción de actividades. No se necesita un comple-
mente el caso, ¿por qué BadRabbit fue dirigido principalmente jo trabajo de desarrollo y, en muchos casos, las variantes no son
a Rusia? ¿Un grupo de ataque en Ucrania pensó que Rusia fue desarrolladas desde cero, en cambio, se adaptan de amenazas
responsable de Petya/NotPetya? Caso afirmativo, ¿BadRabbit fue preexistentes. Incluso la incorporación del exploit EternalBlue
su represalia? Varias preguntas continúan sin respuestas. en WannaCry era poco sofisticado, básicamente una actividad de
copiar y pegar el código. Por otro lado, realizar un ataque DDoS,
la forma tradicional de señuelo, requiere mucho más tiempo,
“queLosutilizan
esfuerzo e infraestructura.
grupos de ataques dirigidos
El ransomware sigue siendo una de las principales amenazas
ransomware son un online enfrentadas por las organizaciones y los consumidores.
Nuestra propia telemetría sugiere que las infecciones por ranso-
desarrollo muy reciente y todavía mware continuaron su crecimiento en 2017. Su omnipresencia
no se sabe si esa tendencia demuestra que puede continuar siendo un disfraz perfecto para
otras formas de ataque.
continuará en 2018.
” Lectura Adicional
Destructive Disakil malware linked to Ukraine power outages also
used against media organizations (Blog)
What you need to know about the WannaCry Ransomware (Blog)
WannaCry: Ransomware attacks show strong links to Lazarus
group (Blog)
Petya/NotPetya ransomware outbreak: Here’s what you need to
know (Blog)
BadRabbit: New strain of ransomware hits Russia and Ukraine
(Blog)
Ransomware 2017: An ISTR special report (white paper)
Volver al Índice
Infectar la
Cadena de
Suministros
de Software
Infectar la Cadena de Suministros de Software Página 43 ISTR Marzo 2018
Hubo por lo menos un gran ataque contra la 04 Infiltración de víctimas aisladas, como aquellas en ambientes
cadena de suministros de actualización de industriales
software reportado por mes en 2017. 05 Es difícil que las víctimas identifiquen los ataques, porque
los procesos confiables son mal utilizados
Esta es una evidente señal de una creciente tendencia, conside-
rando que un promedio de tres casos similares fueron relatados 06 Puede proporcionar privilegios elevados al responsable del
por año entre 2013 y 2016. El número real puede ser mucho ma- ataque durante la instalación
yor, considerando que algunos casos menores pueden no haber
Los responsables de los ataques normalmente utilizan ataques
sido informados al público. Una extensión de la reciente tenden-
a la cadena de suministros de actualización de software para
cia de “uso de herramientas de día a día”, ese tipo de ataque se
infiltrarse en organizaciones bien protegidas, donde los vecto-
produce cuando los grupos de ataques sofisticados manipulan
res tradicionales de infección no obtienen éxito. Es demasiado
las cadenas de suministros de software para infiltrarse hasta en
frecuente que los grupos de ataques dirigidos busquen el eslabón
las redes más protegidas. Uno de los motivos por los cuales los
más débil en la cadena.
responsables de los ataques optaron por secuestrar las actuali-
zaciones de software es que está quedando cada vez más difícil Al distribuir malware a través de un canal de distribución ya esta-
encontrar vulnerabilidades de día cero explotables que puedan blecido, los grupos de ataques pueden afectar a un gran volumen
utilizarse. Por lo tanto, los ataques a la cadena de suministros de computadoras en un corto período, especialmente si el softwa-
son una alternativa eficiente para lograr sus objetivos y posible- re afectado posee un mecanismo de actualización automatizado
mente seguirán creciendo. es posible alcanzar todo esto, sin la necesidad de un exploit que
pueda utilizarse para propagarse en la red.
Un ataque a la cadena de suministros de actualización de sof-
tware en el segmento de seguridad de TI puede ser definido de la
“normalmente
siguiente forma:
Implantar un malware en un paquete de software legítimo
Los responsables de los ataques
en su ubicación de distribución habitual; esto puede ocurrir utilizan ataques
durante la producción en el proveedor del software, en
un local de almacenamiento de terceros o a través de a la cadena de suministros de
redireccionamiento.
actualización de software para
El escenario típico de ataque involucra la sustitución de una
actualización de software legítima por una versión malintencio- infiltrarse en organizaciones
nada, para distribuirla de forma rápida y oculta a las víctimas
deseadas. Cualquier usuario que aplique automáticamente la bastante protegidas, donde
actualización de software tendrá su computadora infectada y
proporcionará al grupo de ataque una posición segura en su red.
los vectores tradicionales de
Esto no se aplica solamente a equipos de escritorio, lo mismo se
aplica a los dispositivos IoT y a los componentes industriales de
control.
infección no logran éxito.
”
De acuerdo con el paquete de software seleccionado, los ataques
a la cadena de suministros pueden permitir infecciones semidi-
Motivaciones para los grupos de ataques rigidas. Por ejemplo, los responsables del ataque pueden tener
Existen seis motivos principales por los cuales la cadena de sumi- como objetivo un sector específico, al aprovechar el software que
nistros de actualización de software es atractiva para los grupos es utilizado principalmente en ese sector. Las actualizaciones de
de ataques: software con troyano también pueden permitir que los grupos de
01 Infiltración de organizaciones bien protegidas, al aprovechar ataques invadan redes “air-gapped”, ya que los administradores
un canal confiable de sistema generalmente copian la actualización de software
para la red separada o la instalan desde un pendrive.
02 Distribución rápida: el número de infecciones puede crecer
de forma rápida conforme a las actualizaciones automáticas El incidente de Petya/NotPetya en junio de 2017 fue un ejemplo
de los usuarios de cómo la cadena de suministros puede ser violada para implan-
tar de forma rápida malware en una región específica.
03 Enfoque en regiones o sectores específicos
Volver al Índice
Métodos de ataque a la
cadena de suministros de
actualización de software
Afectar directamente al
proveedor de software
En el caso de Petya/NotPetya (Ransom.Petya), un software de hasta haber sido puesto en la whitelist de la organización de la
contabilidad ucraniano fue violado para distribuir la carga útil. víctima. Así mismo, la descarga inicia a partir de una aplicación
Por lo tanto, no nos sorprende que más del 96% de las empresas segura que posee el permiso necesario para realizar conexiones
que realizaron la descarga de la actualización malintencionada de red y ejecutar binarios descargados. En algunos casos, incluso
estaban ubicadas en Ucrania. Esta cifra incluye apenas organi- el binario descargado posee un certificado digital válido. Particu-
zaciones que fueron infectadas directamente por la descarga del larmente, eso puede tornar difícil la interrupción de los tipos de
software infectado; no considera a las empresas que fueron pos- ataques.
teriormente infectadas a través del exploit EternalBlue o debido
al uso de credenciales robadas.
Si bien los grupos de ataques no pueden controlar totalmente
quien es infectado en un ataque a la cadena de suministros de
actualización de software, también pueden usar el malware de
“directo
El camino de ataque más
es cuando un grupo de
la primera fase para analizar la víctima y, enseguida, implantar
solamente la carga de segunda fase para las víctimas de interés.
ataque logra afectar al proveedor
Este fue el caso durante el incidente de CCleaner. de un paquete de software
Los ataques a la cadena de suministros bien orquestados son
difíciles de detectar para el usuario común. La actualización con
troyano se descarga de un dominio legítimo y seguro que puede
directamente.
”
Volver al Índice
Infectar la Cadena de Suministros de Software Página 45 ISTR Marzo 2018
Afectar directamente al proveedor de software A veces, ninguna actividad de hackeo está involucrada, si el
El camino de ataque más directo es cuando un grupo de ataque ataque se produce en el momento oportuno. De manera sorpren-
logra afectar al proveedor de un paquete de software directamen- dente, no es difícil que las organizaciones se olviden de renovar
te. Este método fue utilizado con gran eficacia en la campaña de los dominios que adquirieron hace algún tiempo para diversos
ataque Petya/NotPetya en junio de 2017. usos, como por ejemplo promociones por un período limitado. Un
grupo de ataque entonces puede registrar uno de esos dominios y
En un escenario de compromiso directo, el grupo de ataque potencialmente utilizarlo para controlar todos los datos retor-
altera el paquete de actualización con una versión malintencio- nados a los visitantes del dominio. Existen cientos de casos de
nada modificada. La manera más fácil de lograrlo es infectar el subdominios secuestrados de grandes empresas que apuntaban
servidor web donde están alojados los paquetes de actualización, hacia dominios caducados.
por ejemplo, a través de una vulnerabilidad en la herramienta de
gestión de contenido. El grupo de ataque logra éxito absoluto si Border Gateway Protocol (BGP) administra como se rutean los
consigue el acceso total al entorno de desarrollo. Esto se puede paquetes en Internet y, por lo tanto, es responsable de definir el
lograr a través de un ataque exitoso de spear phishing contra un camino por el cual un recurso, como una dirección IP, puede ser
desarrollador, o mediante el uso de cualquier vector común, como alcanzada. A través de la modificación del ruteo de BGP, se puede
sitios web infectados o robo de credenciales. redireccionar direcciones IP que pertenecen a otras entidades
hacia un nuevo destino. Un caso de secuestro de BGP en diciem-
De acuerdo con el acceso obtenido, el grupo de ataque también bre de 2017 produjo que algunas direcciones IP que pertenecen a
puede adquirir certificados digitales, permitiendo que se suscri- Microsoft y Apple, entre otros, fuesen redireccionados por Rusia.
ban con el código de la actualización con un troyano. Eso produce Eso permite que los grupos de ataques intercepten solicitudes
una actualización malintencionada con una suscripción digital de actualizaciones de esas direcciones IP y, a su vez, envíen una
legítima y segura que no puede ser distinguida por el usuario. Es actualización con un troyano. Por supuesto, no siempre es tan
evidente que los grupos de ataques con un acceso tan profundo fácil. Por ejemplo, se necesita suscribir a las actualizaciones de
también pueden modificar cualquier información publicada en el Windows para que se ejecuten por Microsoft, pero, como vimos
sitio web de descarga, como el tamaño del archivo, el número de en el pasado con la amenaza Flamer, pueden haber vulnerabilida-
la versión o el valor de hash de la actualización modificada. Por des que permitan que los grupos de ataques eviten esa medida de
lo tanto, esos atributos no son la garantía de una actualización seguridad.
legítima.
Si el grupo de ataque tiene el control sobre una red establecida
Generalmente, ese tipo de ataque es el más difícil de ser condu- como blanco, tal vez porque creó un punto falso de acceso WiFi o
cido, sin embargo también el más difícil de ser detectado por el porque tienen acceso al ISP usado por la víctima, pueden buscar
usuario. Por ese motivo, es altamente eficaz. la alteración de cualquier actualización solicitada de archivo
a través del uso de un ataque man-in-the-middle (MitM). En
Secuestro de DNS, dominios, ruteo IP o tráfico de red
septiembre de 2017, algunas variantes del malware FinFisher
Algunas veces, incluso la víctima de la cadena de suministros es parecen haber usado ese vector de ataque para afectar a las
atacado indirectamente - un ataque de la cadena de suministros computadoras de sus víctimas.
contra la propia cadena de suministros, por así decirlo. En el
actual mundo interconectado de TI existen muchas interdepen- Secuestro de servicios de alojamiento de terceros
dencias entre empresas que pueden ser utilizadas de manera No todos los proveedores alojan software en su propia infraes-
indebida. Por ejemplo, los grupos de ataques pueden intentar tructura. Algunos utilizan almacenamiento en la nube distribuido
atacar al registrador de dominios para alterar los servidores alrededor del mundo, y otros, especialmente los proyectos de
de nombres registrados de un determinado dominio o incluso código abierto, generalmente están alojados en proveedores de
transferir por completo el dominio. Otro método implica invadir servicios como GitHub. Los grupos de ataques pueden realizar al-
un servidor DNS para alterar la resolución del dominio hacia una teraciones sutiles en el código fuente que pueden ser explotados
dirección IP diferente bajo el control del grupo de ataque. Ambos en campañas futuras. En muchos proyectos, esas modificaciones
ataques redireccionarán a los visitantes del dominio al servidor son revisadas y pueden ser identificadas. Un método más común
del grupo de ataque. Ya hemos observado la presencia de la pla- es robar las credenciales de alguien que posea autorización
taforma online de un banco ser completamente tomada de esta para cargar nuevos binarios. Por lo tanto, no nos sorprende ver
forma. Si bien, en ese caso, el objetivo principal parece haber sido muchos ataques de phishing contra cuentas de desarrolladores,
redireccionar a los visitantes hacia sitios web de phishing, es una lo que puede facilitar futuros ataques a la cadena de suministros
técnica que podría ser fácilmente utilizada para enviar actualiza- de actualización de software.
ciones con troyanos.
Volver al Índice
Ataques a la Cadena
de Suministros
2017
• Versión con troyano de Yeecall Pro para Android usada como RAT
FEB • Campaña Kingslayer secuestra actualizaciones de software del
administrador de sistemas
2015 2016
MAY • Operación WilySupply afecta a las actualizaciones de herramientas
de edición
Software de seguridad
Actualización del EvLog afectada Herramienta de actualización del M.E.Doc utilizada para distribuir
ABR con malware SEP de Corea del Sur utilizado JUN Petya/NotPetya
para instalar malware
Herramienta de procesador
Grupo de ataque secuestra por
MAY de texto japonés utilizada para OCT completo DNS de banco brasileño JUL Software ePrica Pharmacy instala un troyano backdoor
instalar malware
XcodeGhost: Malware Barra de herramientas Ask • Herramienta CCleaner inyectada con malware
JUN encontrado en el entorno
de desarrollo de Apple
NOV Network utilizada para AGO • Backdoor encontrado en el servidor de gestión del software
NetSarang software
instalar malware
Herramienta de actualización
Backdoor encontrado en el • Módulos Python modificados encontrados en el repositorio oficial
DIC firewall de Juniper Networks DIC de Ask Partner Network utilizada SEP • Malware “ExpensiveWall” encontrado en Android SDK
para instalar malware
Otros métodos de ataque a la cadena de suministros el grupo de ataque, antes de llegar al destino establecido como
Existen otros métodos de ataque a la cadena de suministros de objetivo. También observamos grupos de ataque que robaron da-
software que no implantan un backdoor en una actualización de tos de clientes de un proveedor, porque era más fácil afectarlo en
software, pero utilizan de forma indebida la conexión y las rela- lugar del objetivo principal. Para las grandes empresas, es difícil
ciones entre las compañías. A continuación, ejemplos de cómo la controlar muchas veces lo que sucede con los datos confidencia-
cadena de suministros puede ser explotada más allá del secues- les luego que abandonan su propia red.
tro de actualizaciones.
Aplicaciones deliberadamente malintencionadas
Uso indebido de cuentas Incluso hubo algunos ataques en los que, en vez de afectar al
Esos ataques usan de forma indebida el permiso de acceso de proveedor de software, el responsable del ataque simplemente
proveedores de servicios. Si bien son llamados, de manera fre- compró los derechos del paquete de software y envió una actua-
cuente, ataques de la cadena de suministros, presentan algunas lización malintencionada a la base existente de usuarios. No es
diferencias. Uno de los casos más discutidos es un ataque repor- necesario afectar al proveedor del software si es el propietario
tado contra Target™ en 2013 que ocasionó una gran violación de del software. En otros casos, un insider malintencionado o un
datos. Los responsables del ataque supuestamente lograron usar ex-funcionario que aún tenía el acceso alteró de forma deliberada
de forma indebida las credenciales robadas de un proveedor de la actualización de software.
sistemas AVAC para obtener el acceso inicial a la red de la víctima. Un escenario similar ocurre cuando se envían enlaces en correos
Se produjeron innumerables incidentes similares en los cuales los electrónicos de spam que llevan a falsas páginas web con paque-
invasores robaron las credenciales de VPN y SSH de los funciona- tes de software clonados.
rios de prestadores de servicios que tenían el acceso remoto a las
computadoras de interés en las organizaciones establecidas como Del mismo modo, los ataques oportunistas pueden ocurrir si un
objetivos finales. Hubo incluso casos en los que un proveedor de usuario consulta una herramienta, por ejemplo, para edición de
correo electrónico de redefinición de contraseña fue afectado para vídeo, pero es dirigido a una página web falsa que ofrece una
asumir el control de las cuentas. El control del servicio de rede- versión infectada. Tales casos pueden detectarse por medidas
finición permitió que el responsable del ataque definiese nuevas de protección bastante conocidas y el software solamente debe
contraseñas para cualquier cuenta, sin exigir acceso a la misma. descargarse de fuentes seguras. La misma medida debe aplicarse
al comprar equipos de hardware.
“
Infecciones colaterales
No es necesario afectar al Naturalmente, también existen infecciones por daños colaterales
proveedor del software si es el que pueden producirse en un proveedor de software. Por ejemplo,
es posible que la computadora de un desarrollador sea infectado
propietario del software.
” por un archivo con malware que infecta el paquete de software pú-
blico antes de la distribución. Otro ejemplo son los pendrives que
se infectan en el local de fabricación, porque una de las máquinas
Ataques de Watering hole estaba infectada con un gusano que se copió a todos los pendri-
Los ataques a la cadena de suministros de actualización de software ves conectados. Esas infecciones también pueden propagarse de
son diferentes de los ataques clásicos de watering hole, en los que forma rápida, pero generalmente no son intencionales ni dirigidas.
un grupo de ataque afecta a una página web de interés al grupo de
víctimas e implanta un exploit que afectará a las computadoras de
Estudios de caso
las víctimas. Esos ataques de watering hole, que generalmente se
observan durante los ataques dirigidos, intentan explotar una vulne- CCleaner
rabilidad en lugar de secuestrar el proceso de actualización segura. En agosto de 2017, una herramienta popular de limpieza de datos
de sistemas, llamada CCleaner, fue víctima de grupos de ataques
Ataques de Proceso
a la cadena de suministros. Un grupo desconocido de ataque
Una alternativa de ataque similar también existe para los ataques obtuvo el acceso al entorno de desarrollo de la empresa, lo que
disruptivos y los ataques de hardware. Los responsables del ata- les permitió crear y distribuir una versión malintencionada de la
que pueden bloquear a los proveedores de suministrar las piezas herramienta durante el proceso de actualización. El éxito de la
adecuadas para líneas de producción en el tiempo correcto, o campaña fue auxiliado por el hecho de que los responsables del
peor, alterar el orden de algunas piezas, ocasionando la interrup- ataque lograron suscribir la actualización con un troyano con la
ción del proceso de producción. También existe la posibilidad de firma digital oficial del fabricante.
que el hardware recién comprado fue infectado o manipulado por
Volver al Índice
Infectar la Cadena de Suministros de Software Página 48 ISTR Marzo 2018
Volver al Índice
Escenario
de Amenazas
Contra
Dispositivos
Móviles
Escenario de Amenazas Contra Dispositivos Móviles Página 50 ISTR Marzo 2018
Cada año continúan creciendo las amenazas en el Cifra de nuevas familias de malware móviles identificadas
segmento de dispositivos móviles. En 2017, hubo La cifra de nuevas familias de malware para dispositivos móviles creció 12% en
2017, en comparación con 2016.
un aumento de 54% en la cifra de nuevas variantes
de malware y no es apenas el volumen que presenta 2016 2017 Variación
crecimiento. Los grupos de ataques desarrollaron Nuevas Familias de Malware
nuevos métodos de infección y trucos para permanecer 361 405 12%
para Dispositivos Móviles
en los dispositivos afectados por el mayor tiempo
posible. También establecen una variedad de formas
para generar ingresos con los dispositivos, desde
ransomware a la minería de criptomonedas.
Sin embargo, mientras los ataques continúan evolucionando y
“facilitando
Muchos usuarios continúan
la actividad de los
perfeccionándose, no siempre se puede decir lo mismo acerca
de los usuarios de los dispositivos. Muchos usuarios continúan grupos de ataques al utilizar
facilitando la actividad de los grupos de ataques al utilizar siste-
mas operativos más antiguos. Especialmente, apenas 20% de los sistemas operativos más
dispositivos Android ejecuta la versión principal más reciente.
antiguos. Especialmente, apenas
Las amenazas a los dispositivos móviles 20% de los dispositivos Android
continúan aumentando
La cantidad de nuevas variantes de malware para dispositivos
ejecuta la versión principal más
móviles creció un 54% en 2017, en comparación con 2016.
Herramientas 6%
2016 2017
Fotografía 3%
Cifra promedio de instancias de ransomware bloqueadas por mes Juegos Informales 2%
Un promedio de 3.510 instancias de ransomware para dispositivos móviles
fueron bloqueadas por mes en 2017.
2017
Volver al Índice
2017 Eventos relevantes en el
escenario de amenazas contra
dispositivos móviles
ENE FEB
{{ Ransomware adoptó las tácticas de ingeniería {{ Ransomware utilizó el reconocimiento de voz, forzando a
social de malware bancario para contornear las víctimas a decir el código de desbloqueo en lugar de
el nuevo modelo de permisos introducido en digitar la clave.
Android Marshmallow (6.0).
{{ Ransomware utilizó aplicaciones integradas de
mensajería social con SDKs de pago para facilitar pagos
con código de barras.
MAR ABR
{{ Familia MobileSpy de amenazas utilizó herramientas {{ Aumento de los troyanos de facturación WAP originan
reactivas para conectarse a eventos, como SMS de textos las próxima estafas de sucripción de servicio premium al
recibidos, para disparar otras acciones y comandos de visitar de forma oculta páginas de suscripción de servicios
forma remota. WAP y automatizar el proceso de suscripción, inscribiendo
a la víctima en los servicios pagos sin su consentimiento.
{{ Amplia disponibilidad de kits de herramientas de
malware para dispositivos móviles ayuda a automatizar
la creación de nuevas variantes de aplicaciones móviles
malintencionadas en grandes volúmenes.
JUL AGO
{{ La familia Rootnik comienza a utilizar el {{ Los dispositivos infectados por Adclicker fueron
mecanismo de código abierto VirtualApp para transformados en bots de negación de servicio
crear un espacio virtual dentro del dispositivo distribuida (DDoS), dirigidos a visitar de forma
Android que se usa para instalar y ejecutar repetida específicas URLs.
APKs sin restricciones.
SEP OCT
{{ Variantes de malware bancario encontradas {{ Aumento de la cifra de falsas aplicaciones móviles
usando la API de StackTraceElements para con minadores integrados de criptomonedas,
derivar claves de descodificación en tiempo basados en JavaScript.
de ejecución.
NOV
{{ La variante Android.Fakeapp robó credenciales de proveedores agregados de servicios online, ocultando las
pistas al lanzar aplicaciones legítimas con el uso de deep-linking URIs para aplicaciones móviles.
Escenario de Amenazas Contra Dispositivos Móviles Página 52 ISTR Marzo 2018
Particularmente, con 99,9%, la gran mayoría de las instancias o descargar el contenido. Infostealers permitieron a los grupos
descubiertas de malware para dispositivos móviles estaban aloja- de ataques recopilar datos personales de teléfonos móviles que
das en tiendas de aplicaciones de terceros. podrían negociarse en mercados clandestinos.
Grayware está compuesto por programas que no contienen En los últimos años, los grupos de ataques recurrieron al ran-
malware y no son directamente malintencionados, pero pueden somware en celulares, donde los lucros se obtienen al bloquear
ser irritantes o perjudiciales para los usuarios. Ejemplos incluyen dispositivos o cifrar los datos personales y extorsionar un pago
herramientas de hackeo, accessware, spyware, adware, disca- de rescate de la víctima para permitir que recuperen el acceso.
dores y programas de bromas. Así como el malware, grayware En 2017, surgieron varias aplicaciones móviles que permitían
también continuó aumentando en volumen en 2017. que los grupos de ataques generasen su propio ransomware de
manera automatizada, disminuyendo la barrera de entrada para
Cifra de variantes identificadas de grayware para dispositivos los ciberdelincuentes. Otra innovación fue el uso de ransomware
móviles activado por voz. En lugar de establecer la clave del usuario en un
código de desbloqueo, este ransomware contiene un módulo de
2016 2017 Variación reconocimiento de voz que permite que la víctima diga el código
Nuevas Variantes de Grayware de desbloqueo. Los métodos de pago también han evolucionado,
3.055 3.655 20% con algunas variantes de ransomware que aceptan el pago de
para Dispositivos Móviles
códigos de barras de aplicaciones de media social.
Volver al Índice
Exposición acumulativa
Escenario de Amenazas Contra Dispositivos Móviles Página 53 ISTR Marzo 2018
Meses +1 +2 +3 +4
Porcentaje de dispositivos móviles Android que ejecutan la Porcentaje de dispositivos móviles iOS que ejecutan la versión
versión más reciente del sistema operativo más reciente del sistema operativo
Volver al Índice
Escenario de Amenazas Contra Dispositivos Móviles Página 54 ISTR Marzo 2018
”
“desbloquear” un dispositivo iOS, es un medio por el cual el usua-
rio puede obtener mayor control sobre el dispositivo e ignorar usuario y por el dispositivo.
determinados controles de seguridad, al permitir el acceso a más
opciones de personalización y funciones bloqueadas por modelo
estándar por el sistema operativo. Esa actividad presentó dismi-
Porcentaje de dispositivos con cifrado activado por el sistema
nución en los últimos años, porque las versiones más recientes de
operativo
los sistemas operativos ahora ofrecen más funcionalidades. Sin
En relación al cifrado, podemos ver que la proporción de dispositivos Android no
embargo, debido al poder que ese acto puede ofrecer a un grupo cifrados está en descenso, sin embargo aún está en un nivel considerado alto.
de ataque, desbloquear o liberar el acceso “root” en un dispositi-
vo afectado todavía es una meta, y el monitoreo de tal actividad Apenas Android 2016 2017
generalmente puede revelar una señal de compromiso. Corporativo 57,8% 43,1%
2016 2017
Volver al Índice
Hechos
Sección
03
y
Cifras
03 Hechos y Cifras
Malware
Amenazas Web
Correo Electrónico
Vulnerabilidades
Ataques Dirigidos
HECHOS Y
CIFRAS
ÍNDICE
03 Hechos y Cifras Página 57 ISTR Marzo 2018
2015 355.419.881 -
2016 772.018 -
Volver al Índice
03 Hechos y Cifras Página 58 ISTR Marzo 2018
2016 1.602.335
2017 3.072.126
Las 10 principales detecciones de malware por mes
La lista de las 10 principales detecciones estuvo dominada por heurísticas
avanzadas de aprendizaje de máquina utilizadas para detectar nuevas formas
de malware genérico.
Detecciones de descargadores de macros de Office® por mes
W97M.Downloader - Se observó un gran aumento en abril y mayo,
estabilizándose en niveles más altos que los anteriormente vistos.
Volver al Índice
03 Hechos y Cifras Página 59 ISTR Marzo 2018
Detecciones de descargador de JavaScript por mes Distribución de malware para Mac por mes
JS.Downloader - Se observó un aumento significativo en agosto. La frecuencia Hubo un aumento considerable en los ataques contra Macs que comenzaron a
de detecciones del JS.Downloader es mayor que para W97M.Downloader. fines de 2016 y aceleraron en 2017.
Detecciones de downloader VBScript por mes Nuevas variantes de malware en endpoints del Mac por mes
VBS.Downloader - Comenzó un aumento considerable en septiembre y continuó Los ataques a los Macs estuvieron dominados por el crecimiento de las
hasta octubre y en el resto del año, con un aumento en diciembre. variantes JS.Webcoinminer durante el último trimestre del año.
Distribución de malware por sistema operativo Principales nuevas variantes de malware en endpoints de Mac
Los ataques de malware a Macs aumentaron 64% en 2017, impulsados por mes
por JS.Webcoinminer. Los ataques de malware a los dispositivos Windows Las variantes de JS.Webcoinminer en Mac aumentaron en septiembre y
aumentaron 2,5%. continuaron creciendo.
Volver al Índice
03 Hechos y Cifras Página 60 ISTR Marzo 2018
Principales instancias bloqueadas de malware en los endpoints Porcentaje de malware que utiliza SSL
de Mac Malware con uso de SSL para cifrar sus comunicaciones aumentó de 2,8% a
A pesar de que la actividad de JS.Webcoinminer haya sido significativa apenas 4,5% en 2017.
durante el último trimestre del año, fue suficiente para garantizar el tercer lugar
en el ranking anual de las 10 principales instancias. Año Porcentaje
Volver al Índice
03 Hechos y Cifras Página 61 ISTR Marzo 2018
2 China 12,2
3 Japón 10,7
4 India 8,9
5 Italia 4,1
6 Alemania 3,4
7 Brasil 3,1
Nuevas variantes de ransomware por mes
8 México 2,5 La tendencia general del número de variantes de ransomware descubiertas
cada mes indica un aumento general a medida que el año prosiguió.
9 Reino Unido 2,3
10 Canadá 2,1
Detecciones de ransomware
Corporativo x Consumidores - por mes
Si bien los ataques de ransomware contra los consumidores dominaron el inicio
de 2017, los ataques contra empresas dominaron tras el brote de WannaCry en
mayo.
Consumidores Corporativo
Volver al Índice
03 Hechos y Cifras Página 62 ISTR Marzo 2018
Volver al Índice
03 Hechos y Cifras Página 63 ISTR Marzo 2018
Principales detecciones de minadores de criptomonedas por mes Variantes de minadores de criptomonedas en Mac por mes
JS.Webcoinminer fue responsable del mayor número de detecciones de El rápido crecimiento en el número de variantes de JS.Webcoinminer también
malware de minería de criptomonedas en 2017, principalmente después de se observó en los dispositivos Mac, principalmente a fines del año.
septiembre.
1 JS.Webcoinminer 82,6
2 PUA.Bitcoinminer 6,9
3 Trojan.Coinbitminer 5,7
4 PUA.WASMcoinminer 4,6
5 PUA.Gyplyraminer 0,2
Volver al Índice
03 Hechos y Cifras Página 64 ISTR Marzo 2018
4 Trickybot 4,3
5 Emotet 4,0
6 Shylock 2,1
7 Bebloh 1,7
8 Snifula 1,3
9 Pandex 1,2
10 Retefe 0,7
Volver al Índice
03 Hechos y Cifras Página 65 ISTR Marzo 2018
Ataques Web bloqueados por mes Direcciones URLs analizadas por día
El aumento de actividades malintencionadas se produjo en octubre, cuando se El servicio de análisis de clasificación y reputación de URLs de Symantec
bloquearon más de 27,7 millones de ataques web. WebPulse analizó 1.070 millones de direcciones URLs por día en 2017.
2016 1.020.000.000 -
Volver al Índice
03 Hechos y Cifras Página 66 ISTR Marzo 2018
Porcentaje de todas
Porcentaje de URL Variación Diferencia
Año Por día las direcciones Relación Relación
Malintencionadas Porcentual Porcentual
URLs/Día
Porcentaje de todas
Porcentaje de URL Variación Diferencia
Año Por día las direcciones Relación Relación
Malintencionadas Porcentual Porcentual
URLs/Día
Año 1 de cada
2015 220
2016 131
2017 412
Volver al Índice
03 Hechos y Cifras Página 67 ISTR Marzo 2018
Tasa Mensual de Malware de Correo Electrónico Tasa de Malware de Correo Electrónico por Sector
Este gráfico muestra la relación de instancias de malware transmitidas por La mayor tasa de instancias de malware transmitidas por correo electrónico
correo electrónico que usan un enlace malintencionado en vez de un adjunto. fue para organizaciones del sector de Administración Pública. Muchas
organizaciones sufrieron potencialmente tasas mucho más altas que el
promedio anual global.
3 Minería 273
5 Manufactura 384
6 Servicios 400
Correos electrónicos malintencionados por usuario
7 Establecimientos No Clasificables 437
Si bien la tasa general ha disminuido levemente en 2017, el número de correos
electrónicos malintencionados enviados al usuario común a cada mes aumentó 8 Construcción 472
de 9 en enero para 16 en el final del año.
9 Transporte & Servicios Públicos 486
Porcentaje
de Malware
Clasificación Sector
de Correo
Electrónico
1 Construcción 27,2
5 Minería 13,3
8 Servicios 10,6
9 Manufactura 9,5
Volver al Índice
03 Hechos y Cifras Página 68 ISTR Marzo 2018
Malware de correo electrónico por usuario por sector Tasa de malware de URL por tamaño de empresa
En 2017, se enviaron aproximadamente 53 virus de correo electrónico a un Las grandes y pequeñas empresas fueron igualmente afectadas por la
usuario común en el sector de la Administración Pública. proporción de instancias de malware transmitidas por correo electrónico que
contenían un enlace malintencionado.
Malware
de correo Porcentaje de Malware de
Clasificación Sector Tamaño de la Empresa
electrónico Correo Electrónico
por usuario
1-250 12,8
1 Administración Pública 53,1
251-500 8,1
2 Comercio Mayorista 34,4
501-1000 15,0
3 Minería 30,0
1001-1500 11,4
4 Agricultura, Forestal y Pesca 26,5
1501-2500 10,9
5 Manufactura 25,5
2501+ 12,9
6 Establecimientos No Clasificables 21,8
251-500 6
251-500 306
501-1000 425
1001-1500 244
1501-2500 355
2501+ 512
Volver al Índice
03 Hechos y Cifras Página 69 ISTR Marzo 2018
Tasa de malware de correo electrónico por país Principales temas malintencionados de correo electrónico
Austria fue el país que presentó la mayor tasa de malware de correo electrónico Esta tabla muestra los temas más comunes utilizados en líneas de asunto de
en 2017, con 1 de cada 102 correos electrónicos recibidos en el país bloqueado malware de correo electrónico.
como malintencionado.
Clasificación Tema del Asunto Porcentaje
Clasificación País 1 de cada
1 Cuenta 15,9
1 Austria 102
Falla de entrega de correo
2 15.3
2 Hungría 108 electrónico
7 Malasia 216
Palabras clave utilizadas en campañas de spam de malware
8 Kuwait 217 Las palabras utilizadas con más frecuencia en correos electrónicos
malintencionados incluyen, “delivery,” “mail,” “message,” y “sender.”
9 África del Sur 233
Clasificación Palabras Porcentaje
10 Taiwán 234
1 delivery (entrega) 12,1
2 mail 11,8
Tasa de malware de URL por país
Irlanda, Australia y Nueva Zelandia tuvieron la mayor relación de enlaces 3 message (mensaje) 11,3
malintencionados enviados por correo electrónico en 2017.
4 sender (remitente) 11,2
Porcentaje de Malware de
Clasificación País 5 your (su) 11,2
Correo Electrónico
7 México 16,4
8 Suecia 16,1
9 Finlandia 11,5
10 Canadá 11,4
Volver al Índice
03 Hechos y Cifras Página 70 ISTR Marzo 2018
Cargas útiles utilizadas en campañas de spam de malware Clases de cargas útiles utilizadas en campañas de spam de
Visual Basic Script y JavaScript estuvieron entre los ejemplos más frecuentes de malware
adjuntos malintencionados en 2017. Los scripts malintencionados fueron responsables de 61,4% de los adjuntos
malintencionados. Generalmente, los ejecutables son más fáciles de bloquear
Clasificación Clase de Archivo Porcentaje y, por norma estándar, son desactivados para muchas aplicaciones de correo
electrónico.
1 .vbs 27,7
Clasificación Clase de Archivo Porcentaje
2 .js 21,4
1 Scripts 61,4
3 .exe 18,6
2 Ejecutables 29,6
4 .jar 9,8
3 Otros 7,6
5 .docx, .doc, .dot 3,9
Año Promedio
Año Promedio
2017 4,9
Volver al Índice
03 Hechos y Cifras Página 71 ISTR Marzo 2018
Principales líneas de asunto en correos electrónicos de Usuarios de correo electrónico, víctimas de intentos de phishing
scam BECxxx por mes
El análisis de los correos electrónicos BEC muestra que las palabras Con el transcurso del año, el número promedio de usuarios por ataque de
que aparecen con más frecuencia incluyen “payment”, “urgent”, phishing aumentó, tras un descenso en marzo. En enero, 1 de cada 53 usuarios
“request” , y “attention”. recibió un ataque de phishing, en comparación con 1 de cada 33 en el final del
año.
Clasificación Asunto Porcentaje
immediate response
7 1,9
(respuesta inmediata)
Volver al Índice
03 Hechos y Cifras Página 72 ISTR Marzo 2018
Usuarios de correo electrónico, víctimas de intentos de phishing Usuarios de correo electrónico, víctimas de intentos de phishing
por sector por tamaño de empresa
Establecimientos No Clasificables, Minería y Comercio Mayorista tuvieron la La relación de usuarios por ataque de phishing fue más alta en organizaciones
mayor relación de usuarios por ataque de phishing en 2017. con 501 a 1.000 y 1.500 a 2.500 empleados, donde 1 de cada 41 y 1 de cada 42
usuarios de correo electrónico fueron víctimas, respectivamente.
Clasificación Sector 1 de cada
Tamaño de la Empresa 1 de cada
1 Establecimientos No Clasificables 24
1-250 72
2 Minería 30
251-500 64
3 Comercio Mayorista 35
501-1000 41
4 Administración Pública 38
1001-1500 75
5 Agricultura, Forestal y Pesca 39
1501-2500 42
6 Manufactura 41
2501+ 58
7 Comercio Minorista 45
Volver al Índice
03 Hechos y Cifras Página 73 ISTR Marzo 2018
2 Manufactura 103,5
5 Construcción 91,8
6 Minería 91,0
10 Servicios 49,1
Volver al Índice
03 Hechos y Cifras Página 74 ISTR Marzo 2018
1-250 45,2
251-500 55,4
501-1000 95,2
1001-1500 101,8
1501-2500 92,2
Vulnerabilidades de día cero
Hubo un aumento de 7% en el número de vulnerabilidades de día cero
2501+ 54,0 registradas en 2017.
2 China 68,6
3 Brasil 64,7
5 Hungría 60,4
6 Kuwait 59,8
7 Omán 58,9
9 Noruega 56,9
Volver al Índice
03 Hechos y Cifras Página 75 ISTR Marzo 2018
{{ EE.UU. fue el país más valorado en los últimos tres años, repre-
sentando 27% de todas las actividades de ataques dirigidos.
Volver al Índice
03 Hechos y Cifras Página 76 ISTR Marzo 2018
Número de intereses por grupo Países más afectados por grupos de ataques dirigidos
Un análisis más profundo reveló que, para 85% de los ataques, apenas Esta tabla muestra las ubicaciones geográficas que fueron el objetivo central
involucraba un interés. más frecuente de los ataques dirigidos en 2017.
2 India 133
3 Japón 87
4 Taiwán 59
5 Ucrania 49
7 Brunéi 34
Vectores de infección
8 Rusia 32
En 2017, 71,4% de los ataques dirigidos involucraron el uso de correos
electrónicos de spear phishing. 9 Vietnán 29
10 Paquistán 22
Volver al Índice
03 Hechos y Cifras Página 77 ISTR Marzo 2018
2016 17.214
2017 26.579
Volver al Índice
03 Hechos y Cifras Página 78 ISTR Marzo 2018
Porcentaje de
Clasificación Sector
Malware Nuevas familias de malware para dispositivos móviles
El número de nuevas familias de malware para dispositivos móviles aumentó
1 Estilo de Vida 27,3 12,2% entre 2016 y 201.
4 Entretenimiento 6,2
5 Herramientas 5,5
6 Casa 4,5
7 Educación 3,9
9 Fotografía 2,7
Volver al Índice
03 Hechos y Cifras Página 79 ISTR Marzo 2018
Nuevas variantes de grayware para dispositivos móviles Principales países con malware para dispositivos móviles
El número de nuevas variantes de grayware para dispositivos móviles aumentó Lista de los 10 principales países en que el malware para dispositivos móviles
19,6% en 2017. fue bloqueado con más frecuencia en 2017
Volver al Índice
03 Hechos y Cifras Página 80 ISTR Marzo 2018
Internet de las Cosas Nombres de usuarios más utilizados por los ataques de IoT
Esta tabla muestra los nombres de usuario utilizados con más frecuencia para
los ataques contra dispositivos IoT.
Principales Hallazgos
2017 2016
2017 2016
{{ Hubo un aumento de 600% en los ataques de IoT de 2016 a Clasificación Nombre de Nombre de
Porcentaje Porcentaje
usuario usuario
2017.
1 root 40 root 33,5
{{ Más de la mitad de los intentos de ataques contra dispositivos
IoT se dirigieron al servicio Telnet. 2 admin 17,3 admin 14,1
2 Estados Unidos 10,6 Estados Unidos 18,7 8 ubnt 0,9 postgres 0,7
4 Federación Rusa 6,4 Federación Rusa 5,5 10 supervisor 0,5 123321 0,6
8 2,3 admin123 1
Volver al Índice
03 Hechos y Cifras Página 81 ISTR Marzo 2018
Principales amenazas detectadas por honeypot IoT en 2017 Los 10 principales puertos atacados en el honeypot IoT en el
Esta tabla muestra las instancias de malware bloqueadas con más frecuencia, 4 trimestre de 2017
dirigidas a los dispositivos IoT en 2017. Los puertos IoT explorados con más frecuencia en los ataques basados en la red
en el último trimestre de 2017.
Clasificación Nombre de la Amenaza Porcentaje
Clasificación Puerto Porcentaje
1 Linux.Lightaidra 57,5
1 23/tcp (Telnet) 43,1
2 Trojan.Gen.NPE 10,2
2 80/tcp (HTTP) 31,6
3 Linux.Mirai 8,7
3 443/tcp (HTTPS) 7,7
4 Trojan.Gen.NPE.2 4
4 2323/tcp (Telnet) 7,2
5 Linux.Kaiten 3,6
5 445/tcp (SMB) 5,8
6 Downloader.Trojan 3
6 22/tcp (SSH) 1,9
7 Linux.Gafgyt 2,7
7 1900/udp (UPnP) 0,9
8 Trojan.Gen.8!cloud 2,2
8 8080/tcp (HTTP) 0,8
9 SecurityRisk.gen1 1,9
9 2222/tcp (SSH) 0,2
10 Trojan.Gen.6 1,7
10 21/tcp (FTP) 0,2
Volver al Índice
03 Hechos y Cifras Página 82 ISTR Marzo 2018
Principal reputación del dispositivo que atacó el honeypot IoT Intentos de fraude
Un análisis más profundo de las direcciones IP de los ataques revela que 1,2% de las solicitudes de crédito en EE.UU. realizadas en 2017 fueron
casi la mitad no estaba anteriormente en la blacklist, o involucrada con otras consideradas fraudulentas.
actividades malintencionadas.
2 Bot 17
3 Spam 16,1
4 Ataques 9,8
5 Malware 8,1
Malware
Spyware US$15-50
Volver al Índice
03 Hechos y Cifras Página 83 ISTR Marzo 2018
Servicios Identidades
Contratación de hacker US$ 100+ Identidad, carnet de conducir, pasaporte falso US$ 10-600
Perjudicar la presencia online de individuos US$ 500 Cuenta bancaria IBAN anónima US$ 7
Servicio de redireccionamiento de
2,5-15% del valor
dinero hacia cuentas bancarias
Volver al Índice
Predicciones
04
Sección
Escenario de Amenazas Contra Dispositivos Móviles Página 85 ISTR Marzo 2018
Predicciones para 2018 Los grupos de ataques, sin duda, observaron la eficacia de
las dos amenazas. EternalBlue puede no ser más útil en este
momento, ya que la mayoría de las organizaciones aplicó
Los proveedores de servicios maduros en los parches de corrección, pero existen otras técnicas que
la nube de nivel intermedio posiblemente pueden emplearse. Petya/NotPetya utilizó otras técnicas de
sentirán el impacto de las vulnerabilidades diseminación SMB con el uso de herramientas legítimas, como
Meltdown y Specter PsExec y Windows Management Instrumentation Command-
line (WMIC), para ser distribuido al uso compartido de red con
En el inicio de enero de 2018, se descubrieron dos
el uso de credenciales robadas. El empleo de estas técnicas de
vulnerabilidades graves que afectaron a casi todos los chips
“uso de herramientas del día a día” permite que los ataques
de procesadores modernos. Conocidas como Meltdown y
pasen inadvertidos, por lo tanto, son más atractivos para los
Spectre, las vulnerabilidades pueden permitir que los grupos de
grupos de ataques. Es posible que se observe un aumento en
ataques obtengan el acceso no autorizado a la memoria de una
las amenazas que se autopropagan con el uso de esas técnicas.
computadora.
Meltdown y Spectre pueden afectar a todas las clases de Los ataques de IoT posiblemente se
computadoras, pero el impacto potencial más alarmante está
diversificarán a medida que los grupos de
en la nube, porque un ataque en un único servidor puede
afectar a varias máquinas virtuales en ejecución en ese
ataques busquen nuevos tipos de dispositivos
servidor. para adicionar a los botnets
En 2016, oímos mucho acerca de los ataques de IoT, pues el
Fabricantes de chips, proveedores de software y proveedores
botnet Mirai apareció y causó interrupciones considerables de
de servicios en la nube han trabajado de forma ardua, antes
actividades con ataques DDoS de gran porte. A pesar de que los
y después de la divulgación de las vulnerabilidades, para
ataques de IoT no fueron destacados en las principales portadas
garantizar que se instalen los parches de actualización. Si
en 2017, seguramente no han desaparecido. En realidad, los
bien los principales proveedores de servicios en la nube
ataques contra dispositivos IoT aumentaron 600% el año
poseen los recursos para garantizar que las mitigaciones
pasado.
estén disponibles, las empresas menores de servicios en la
nube y menos preparadas, como los proveedores menores Nuestra investigación actual muestra que los grupos de ataques
de alojamientos, pueden presentar dificultad de respuesta, aún están enfocados principalmente en ruteadores y modems,
dejando a sus clientes expuestos. y utilizan dispositivos infectados para alimentar los botnets.
Ahora, los ataques son tan frecuentes que los operadores
WannaCry y Petya/NotPetya pueden inspirar de botnets se disputan por el mismo grupo de dispositivos y
necesitan configurar su malware para identificar y remover
la nueva generación de amenazas de
malware que pertenece a otros botnets.
autopropagación
Gusanos—malware de autopropagación—presentaron su IoT continúa siendo afectada por la falta de seguridad, con el
auge en el cambio del siglo XX. Por ejemplo, en 2003, el virus uso común de contraseñas estándar y vulnerabilidades sin
Slammer logró infectar la mayoría de sus víctimas en una hora. parches de corrección. Algunos grupos de ataques de IoT ya
Hasta mayo de 2017, parecía improbable que otra amenaza comenzaron a buscar opciones, más allá de los ruteadores
pudiese ocasionar un impacto disruptivo global de la misma y comenzaron a establecer seriamente como víctimas otros
forma. dispositivos conectados.
Volver al Índice
Escenario de Amenazas Contra Dispositivos Móviles Página 86 ISTR Marzo 2018
Las actividades de minadores de criptomonedas posiblemente No obstante, si el valor de todas las criptomonedas retrocede,
continuarán creciendo, pero el objetivo central en las los grupos de ataques posiblemente perderán rápidamente el
organizaciones aumentará 2017 fue un año lucrativo para interés en la minería de criptomonedas. En la actualidad, la
los ciberdelincuentes con la minería de criptomonedas. Las minería de criptomonedas es más lucrativa que el ransomware,
detecciones de minadores de criptomonedas tuvieron un pero si las criptomonedas pierden su valor, es posible que los
extraordinario aumento de 8.500%. Eso no es sorprendente, grupos de ataques escojan algo más lucrativo.
considerando que los precios del Bitcoin en el inicio del año
estaban un poco por debajo de US$ 1.000 y terminaron por Los ataques en infraestructura crítica deben
encima de US$ 14.000 en el final de 2017.
intensificarse en 2018
Los ataques de minería de criptomonedas deben continuar En los últimos años, los grupos de ataques han demostrado
en 2018 y los responsables de los ataques invertirán tiempo un creciente interés en infraestructura crítica y la escala y la
y energía para identificar formas más creativas y eficaces de persistencia de esos ataques están alcanzando proporciones
ataques. De forma general, sus estrategias probablemente alarmantes. Nuestras investigaciones más recientes sobre el
seguirán tres direcciones: grupo Dragonfly descubrieron que continuará como objetivo
01 Minería distribuida, ya sea por medio de botnets conven- central el sector energético en Europa y en América del Norte.
cionales de dispositivos IoT y computadoras infectadas Por el momento, Dragonfly parece estar centrado en obtener
por malware o minadores de criptomonedas basados en acceso a sistemas operativos y recopilar la máxima inteligencia
navegadores, alojados en páginas web. posible sobre cómo operan esas plantas.
02 La segunda ruta de ataque posiblemente será establecer Esos ataques posiblemente proporcionarían a Dragonfly la
como objetivo las redes corporativas u organizativas para capacidad de sabotear u obtener el control de esos sistemas
aprovechar el poder de servidores o súpercomputadoras. en caso de decidirse hacerlo. No obstante, parece improbable
que cualquier grupo llegue a esos límites, a menos que
03 Finalmente, los servicios en la nube ofrecen la posibilidad esté preparado para lanzar ataques disruptivos. A pesar de
de minería de alta capacidad de procesamiento. Eso tiene ello, existe un riesgo real de que, en algún momento, los
un posible impacto financiero para los clientes de servi- responsables del Dragonfly decidan utilizar esa estrategia.
cios en la nube que pagan con base en el uso de la CPU.
A pesar de que las recompensas inmediatas puedan parecer
menores, la minería de criptomonedas ofrece un flujo de
ingresos pasivos y de largo plazo, si los minadores logran
permanecer ocultos por más tiempo. Creemos que la actividad
de minería de criptomonedas aumentará en el segmento de
dispositivos móviles en 2018 y en el futuro. Vimos un aumento
en el fin de 2017 y, si la actividad es lucrativa, el volumen puede
crecer.
Esas predicciones probablemente dependerán de algo: si los
valores de criptomonedas permanecen elevados. Los precios
del Bitcoin comenzaron a disminuir en los últimos meses. Sin
embargo, eso tal vez se vea como un ajuste de mercado. El
Bitcoin no es la única criptomoneda, por lo tanto los eventos
también dependen de cómo otras criptomonedas se comporten,
especialmente el Monero. Acreditamos en un cambio de la
lengua franca de cibercrimen del Bitcoin a alternativas como
Ethereum, Monero y Zcash, que obtendrán popularidad debido
a sus características más fuertes de anonimato. La volatilidad
continua en el mercado de Bitcoin se tornará un gran obstáculo,
particularmente para las transacciones menores.
Volver al Índice
Página 87 ISTR Marzo 2018
Créditos
Equipo Colaboradores
Gillian Cleary Shaun Aimoto
Mayee Corpin Pravin Bange
Orla Cox Albert Cooley
Hon Lau Stephen Doherty
Benjamin Nahorney Brian Duckering
Dick O’Brien James Duff
Brigid O’Gorman Daniel Grady
John-Paul Power Sara Groves
Scott Wallace Kevin Haley
Paul Wood Dermot Harnett
Candid Wueest Robert Keith
Sean Kiernan
Anudeep Kumar
Chris Larsen
Carmel Maher
Matt Nagel
Alan Neville
Gavin O’Gorman
Hitesh Patel
Yun Shen
Dennis Tan
Tor Skaar
Parveen Vashishtha
Pierre-Antoine Vervier
William Wright
Volver al Índice
Acerca de Symantec
Symantec Corporation (NASDAQ: SYMC) es líder mundial en
soluciones de ciberseguridad y ayuda a las compañías, gobiernos
e individuos a proteger sus datos más importantes en cualquier
lugar. Compañías en todo el mundo buscan a Symantec para
soluciones estratégicas e integradas para defenderse contra
ataques sofisticados en endpoints, en la nube e infraestructura.
Del mismo modo, una comunidad global de más de 50 millones
de personas y familias dependen de la suite de productos Norton
de Symantec para protección en casa y en todos sus dispositivos.
Symantec opera una de las redes civiles de ciberinteligencia más
grande del mundo, lo que le permite ver y proteger contra las
amenazas más avanzadas.
Más información
Symantec Managed Security Services: https://www.symantec.com/services/cyber-security-services
DeepSight Intelligence Service: https://www.symantec.com/services/cyber-security-services/deepsight-intelligence
Symantec Messaging Gateway: https://www.symantec.com/products/messaging-gateway
Symantec Email.cloud: https://www.symantec.com/products/email-security-cloud
Symantec’s Advanced Threat Protection for Email: https://www.symantec.com/products/advanced-threat-protection-for-email
Symantec Web Security.cloud: https://www.symantec.com/products/cloud-delivered-web-security-services
Symantec On-Premise Secure Web Gateway: https://www.symantec.com/products/secure-web-gateway-proxy-sg-and-asg
Symantec CloudSOC: https://www.symantec.com/products/cloud-application-security-cloudsoc
Symantec Endpoint Protection (SEP): https://www.symantec.com/products/endpoint-protection
SEP Mobile: https://www.symantec.com/products/endpoint-protection-mobile
Norton: https://www.norton.com
ID Analytics: https://www.idanalytics.com/
Sede Mundial de Para escritorios regionales y
Symantec números de contacto específico, por
350 Ellis Street favor acceda a nuestra página web.
Mountain View, CA 94043 Para obtener más información sobre
USA los productos en los Estados Unidos,
llame al número de teléfono gratuito
+1 650 527–8000 (800) 745 6054.
+1 800 721–3934
Symantec.com
03/18
Copyright © 2018 Symantec
Corporation.
ISTR