Documente Academic
Documente Profesional
Documente Cultură
THREAT
LANDSCAPE REPORT
Primer semestre 2019
THREAT LANSCAPE
LANDSCAPEREPORT
REPORT
El objetivo de este “Threat Landscape Report” es dar a conocer al lector las amenazas más rele-
vantes que a día de hoy existen, tales como vulnerabilidades, malware, APTs, etc., y que pueden
suponer un riesgo a medio y corto plazo. Con el objetivo de ser más visual, el informe ofrecerá
una serie de gráficas que mostrarán la evolución de dichas amenazas de los últimos 6 meses.
Este informe trata de ser una herramienta para comprender el estado de la seguridad desde
diferentes perspectivas, y con el que conocer su estado actual y proyectar posibles tendencias
a corto plazo, que puedan ser accionables en el contexto de una estrategia de ciberdefensa.
01
THREAT LANDSCAPE REPORT
ÍNDICE
Pág. 03 Muestras de Malware
Pág. 05 Vulnerabilidades
Pág. 09 APTs
Pág. 16 Telco
Pág. 19 Hacktivismo
Pág. 21 Conclusiones
Pág. 26 Contacto
02
THREAT LANSCAPE
LANDSCAPEREPORT
REPORT
MUESTRAS DE MALWARE
Análisis realizado por el departamento de Cyber Thrat Intelligence de S21sec de todas las muestras
de malware durante el primer semestre del año.
03
THREAT LANDSCAPE REPORT
TOTAL
MUESTRAS ENERO FEBRERO MARZO ABRIL MAYO JUNIO
ANALIZADAS
Muestras con familia de
189.980 112.570 152.634 86.028 177.770 191.786
malware y sin familia muestras muestras muestras muestras muestras muestras
de malware
04
THREAT LANSCAPE
LANDSCAPEREPORT
REPORT
VULNERABILIDADES
VULNERABILIDADES
Una vulnerabilidad de seguridad es una debilidad o fallo en el diseño, implementación, operación o
gestión de un sistema, que podría ser explotada por un atacante, generando una amenaza, ponien-
do en riesgo la seguridad del sistema y comprometiendo la información que contiene.
Cada vulnerabilidad tiene asociado un riesgo, que es la probabilidad de que se produzca un inci-
dente de seguridad, materializándose una amenaza y causando pérdidas o daños.
05
THREAT LANDSCAPE REPORT
S
De esta forma, S21Sec alerta a los equipos de seguri-
dad de sus clientes sobre:
SISTE AS IN
Vulnerabilidades “dia cero”.
Utilización de las vulnerabilidades por parte de Acto-
M
res específicos y Exploit Kits.
AS
FO
RM Z
Recomendaciones para la prevención y mitigación ÁT
ICO AME
NA
S
de las vulnerabilidades
Durante el primer semestre del 2019 han sido publicadas 7343 vulnerabilidades. A continua-
ción, se presenta una visión global de las mismas.
1000 Low
800
600
400
200
0
Enero Febrero Marzo Abril Mayo Junio
- Source: nist.gov -
Primer semestre 2019 - Source: nist.gov -
Primer semestre 2019
06
THREAT LANDSCAPE REPORT
1,47%
0,46%
3,81%
Aplicaciones vulnerables más
11,07%
usadas en ciberataques (Q1) Office
Java
13,84%
Las vulnerabilidades en Microsoft Office Browser
son las más explotadas debido a su baja Android
dificultad y alta operabilidad. Le siguen, PDF
en orden decreciente de uso, las vulne- Adobe Flash
rabilidades en navegadores en Android y 69,36%
en Java.
07
THREAT LANDSCAPE REPORT
BlueKeep (CVE-2019-0708)
08
THREAT LANSCAPE
LANDSCAPEREPORT
REPORT
APTs
El término APT o “Advanced Persistent Threats” hace referencia a un ciberataque con un alto grado
de sofisticación, así como a grupos patrocinados por estados que llevan a cabo estas campañas
maliciosas.
Durante los últimos años, se han podido observar diversos incidentes de seguridad relacionados
con la acción de estas APTs que han permitido contemplar el alcance global de las campañas que
llevan a cabo estos actores.
09
THREAT
THREAT LANDSCAPE REPORT
LANSCAPE REPORT
01
Descubierta: 2018
Plataformas atacadas: Windows
SHADOWHAMMER Tipo: backdoor, ataque a la cadena de suministro
Propagación: infección de archivos
Objetivo: empresas tecnológicas
02
Descubierta: 2014
Plataformas atacadas: Linux, Windows, iOS
SOFACY Tipo: backdoor, troyano
Propagación: ingeniería social
Objetivo: industrias tecnológicas, gobiernos y
entidades militares
03
Descubierta: 2014
Plataformas atacadas: Windows
CARBANAK Tipo: backdoor
Propagación: ingeniería social
Objetivo: entidades financieras
04
Descubierta: 2016
Plataformas atacadas: Windows
LAZARUS Tipo: toolkit de ciberespionaje
Propagación: ataques de watering hole
Objetivo: entidades financieras, militares y
gubernamentales
05
Descubierta: 2017
Plataformas atacadas: Windows
MUDDYWATER Tipo: backdoor, RAT
Propagación: spearphishing, ingeniería social
Objetivo: compañías de telecomunicaciones,
gobiernos
10
THREAT LANSCAPE
LANDSCAPEREPORT
REPORT
MALWARE BANCARIO
MALWARE BANCARIO
Entre las diferentes familias de malware conocidas, se encuentra un tipo de malware enfocado
específicamente en el robo de credenciales bancarias. Estos programas maliciosos monitorizan la
actividad del usuario infectado esperando a que navegue por la página web de su entidad bancaria.
Una vez la víctima accede a su banca electrónica, sus credenciales de acceso son enviadas al panel
de control de los criminales.
11
THREAT LANDSCAPE REPORT
Novaloader
Recientemente el equipo de Analistas de S21Sec detectó una nueva campaña de malware
bancario brasileño con afectación a entidades españolas, chilenas y bolivianas.
El vector de entrada es vía correo electrónico, enviando una URL a la víctima que descargaba
un archivo comprimido que contenía un .vbs.
En cuanto a su comportamiento como troyano bancario, posee una lista de URLs de las que
pretende extraer las credenciales. Para ello, monitoriza la ventana del navegador y queda a la
espera de que el usuario acceda a la página del banco.
Una vez esto se realiza, guarda todas las acciones del usuario (clicks, pulsaciones de
teclado, etc...), obteniendo con ello usuarios y credenciales, que serán enviados al C&C.
12
THREAT LANDSCAPE REPORT
BackSwap
BackSwap es un malware bancario descubierto en mayo de 2018 por investigadores de ESET.
En ese momento el malware bancario estaba afectando a entidades financieras polacas.
Sin embargo, fue a partir de ese momento cuando el equipo de Threat Intelligence de S21sec
crea reglas para detectar esta nueva amenaza y poder seguir su evolución.
A partir de ahí se empieza a investigar más exhaustivamente a esta familia, hasta el punto que
se crea un tracker de mulas que es capaz de obtener las mulas bancarias en tiempo real con
el objetivo de avisar a los clientes de S21sec para que puedan bloquear las transferencias frau-
dulentas, además de notificar a las Fuerzas de Seguridad del Estado para que inicien las inves-
tigaciones pertinentes.
Este seguimiento en activo termina en diciembre de 2018 donde parecía que el malware
bancario cesaba su actividad.
Pero, poco después, en abril de 2019, se vuelve a detectar esta amenaza afectando de
nuevo a entidades españolas, aunque en este caso el método para robar las credencia-
les ha cambiado, optando por el uso de redirecciones a páginas de phishing, en lugar de
inyectar el código malicioso en el navegador para redirigir las transferencias fraudulentas
hacia cuentas mula.
13
THREAT LANSCAPE
LANDSCAPEREPORT
REPORT
CRÍTICAS
INFRAESTRUCTURAS
INFRAESTRUCTURAS
CRÍTICAS
Las infraestructuras críticas son potenciales objetivos de grupos de atacantes con motivaciones
como el espionaje, o incluso causar un daño físico, tanto a la estructura como a la industria.
Durante los últimos años se ha visto cómo muchos grupos, entre los que se encuentran aquellos
financiados por gobiernos (APTs) o con intereses más allá de lo económico, han dirigido sus ataques
a infraestructuras críticas como compañías eléctricas, de gas, transporte, hospitales, etc.
14
THREAT LANDSCAPE REPORT
MALWARE TRITÓN
El malware Tritón (conocido como Trisis o Xenotime) es
conocido desde su ataque a una planta petroquímica de El objetivo de Triton
Arabia Saudí en 2017. no es el ciberespio-
naje, sino que busca
Durante los primeros seis meses de este año el malware causar la disrupción de los
Tritón ha vuelto a tomar relevancia, especialmente tras la servicios de las infraestruc-
publicación de FireEye en el mes de mayo, en la que se turas críticas, e incluso la des-
advertía que este malware habría atacado a una segun- trucción de sus tecnologías,
da infraestructura crítica. lo que tendría un elevado im-
pacto en los países en los que
De acuerdo con información de Dragos, durante prin- se encuentren estas infraes-
cipios de este año se están observando intentos de tructuras críticas.
este malware de expandir su actividad a otros sectores,
como el eléctrico.
RANSOMWARE LOCKERGOGA
En los primeros seis meses de 2019 se ha observado
cómo empresas relacionadas con infraestructuras criti- Una vez finalizado el
cas como la empresa de ingeniería Altran y la empresa proceso de cifrado,
noruega Norsk Hydro, dedicada al sector del aluminio y LockerGoga mues-
las energías renovables, han sido víctimas de ataques tra en el escritorio una nota de
del ransomware denominado Lockergoga. rescate denominada READ-
ME-NOW.txt. Este ransomwa-
El proceso de infección de este ransomware comienza re no posee ningún código
cuando un archivo malicioso proveniente de un correo para expandirse en el interior
electrónico es ejecutado. de una red, por lo que posi-
blemente utilice para su pro-
Una vez ejecutado, el ransomware se dirige a archivos pagación el Directorio Activo.
de distintos tipos, como DOC, DOT, WBK, DOCX, y co-
mienza el proceso de cifrado, agregando la extensión
“.locked”.
15
THREAT LANSCAPE
LANDSCAPEREPORT
REPORT
TELCO
El mundo se encuentra cada vez más interconectado. El avance de las telecomunicaciones y la era
de Internet ha traído consigo un proceso por el cual personas de cualquier punto del mundo pueden
tener acceso a millones de datos de forma inmediata.
16
THREAT LANDSCAPE REPORT
GRAVEDAD MODERADA
Su funcionalidad principal es el robo de creden-
Cryptocurrency miners
ciales bancarias mediante técnicas de phishing
Spyware
y el control de los SMS. Además, recopila otra Keyloggers y banking trojans
información sensible como historial de llama-
das de navegador y datos de contactos. GRAVEDAD ELEVADA
Android Ransomware
Remote Access y Rooting Trojans
17
THREAT LANDSCAPE REPORT
VULNERABILIDADES EN WPA3
VPN
Durante el mes de mayo el CERT/CC alertó
cómo una multitud de clientes VPN empresa- La debilidad se manifiesta de dos
riales habían sido afectados por una falta de
seguridad en el almacenamiento de las cre-
maneras:
denciales y/o de las cookies de sesión.
HACKTIVISMO
El concepto hacktivismo se refiere a la utilización de toda herramienta o medio digital para la reivin-
dicación política o social, siendo las acciones de los colectivos hacktivistas de distinta índole, desde
la realización de ataques cibernéticos de diferentes tipologías a entidades o gobiernos -con la in-
tención de conseguir un determinado fin de carácter político-, hasta la generación de operaciones y
campañas de desinformación para propiciar una reacción en la ciudadanía.
Desde S21sec, el equipo de Threat Intelligence realiza una monitorización continua de las
HACKTIVISMO
operaciones hacktivistas que están teniendo lugar a nivel nacional e internacional, que per-
mite la detección y prevención de ataques por parte de estos grupos, así como el análisis y
la investigación de potenciales amenazas a la seguridad colectiva provenientes del entorno
hacktivista.
19
THREAT LANDSCAPE REPORT
Colectivos hacktivistas
Actúan a nivel global, como Anonymous, el grupo Pryzraky y Ghost Squad Hackers.
Usuarios anónimos: Llevan a cabo acciones concretas contra objetivos específicos, su-
mándose en ocasiones a alguna causa hacktivista, utilizando medios digitales.
OpSudan
FreeAssange
Ghost Squad
Hackers
Anonymous
Chalecos
Amarillos
Grupos OpNicaragua
Nacionalistas Pryzraky
OpCatalonia
Operaciones Hacktivistas
Grupos y colectivos
20
THREAT LANSCAPE
LANDSCAPEREPORT
REPORT
CONCLUSIONES
El departamento de Threat Intelligence de S21sec ha querido mostrar con este documento los hitos
más destacados durante este primer semestre de 2019, enfocándose en los aspectos más relevan-
tes que pueden ser de interés en el ámbito de la ciberseguridad.
CONCLUSIONES
21
THREAT LANDSCAPE REPORT
vulnerabilidades
7343
se han publicado durante los
últimos 6 meses, siendo abril el mes con más vulnerabilidades
publicadas. Entre los productos más afectados, destacan en este
periodo las vulnerabilidades en Microsoft Office, con un 69,36%,
seguido de Java con un 13,84%.
Campañas por APTs han sido detectadas, siendo las más desta-
cadas las de ShadowHammer y Sofacy, cuyo objetivo han sido empresas
tecnológicas, mientras que las plataformas atacadas han sido los sistemas
Windows.
+50
>>
El fenómeno del hacktivismo se ha convertido en una amenaza latente a día de hoy debi-
do a su mayor participación en operaciones cibernéticas, la facilidad de los actores atacan-
tes para llevar a cabo acciones maliciosas y la mayor conectividad entre los dispositivos
y sistemas informáticos ubicados en los objetivos de los mismos.
22
THREAT LANSCAPE
LANDSCAPEREPORT
REPORT
SERVICIO DE CYBER
THREAT INTELLIGENCE
Actualmente, la mayoría de las compañías carece de los recursos, tanto personales como tecno-
CYBER THREAT
lógicos, para llevar a cabo actividades de ciber inteligencia, ya que se tratan de actividades espe-
cializadas que requieren tener el conocimiento y que consumen mucho tiempo. Además, las orga-
INTELLIGENCE
nizaciones son el objetivo de amenazas cada vez más complejas donde disponer de información
actualizada puede marcar la diferencia a la hora de proteger, detectar y responder.
23
THREAT LANDSCAPE REPORT
Se observa una cada vez más creciente evolución de las amenazas en el mundo digital de
hoy. Nuestra misión es reducir la exposición de las organizaciones y las personas a los peli-
gros del cibercrimen. Por ello, S21sec tiene el centro de inteligencia definitivo para detectar,
mitigar y responder a las ciberamenazas más avanzadas.
S21sec ofrece a sus clientes una completa gama de servicios de seguridad que es necesario
contemplar en los procesos de transformación digital en los que se encuentran sumergidos las
empresas. Estos servicios cubren por completo el ciclo de gestión de los riesgos cibernéticos,
según está descrito en el Cybersecurity Framework del NIST (Instituto Nacional de estándares
y tecnología de los Estados Unidos), un marco de trabajo internacionalmente empleado para
administrar la ciberseguridad de las empresas.
Adaptación de planes
de ciberseguridad Auditoría y verificación de
vulnerabilidades
Coordinación con TI para
recuperación de sistemas Cumplimiento regulatorio
R 1 ID
OVE EN
Gestión y operación EC T
Planificación de
R
de soluciones de
IF
5
ciberseguridad
Y
seguridad 24x7
Respuesta ante
ENTERPRISE Formación y
Access, data, people, concienciación
incidentes y análisis
ECT
4 RESPO
de soluciones
ND
Reversing
Vigilancia Digital
(Internet & Dark Web) Monitorización de eventos
La transformación digital del mundo de los negocios ha sido un proceso continuo desde el
cambio de siglo; actualmente es algo común para todas las empresas modernas. Este pro-
ceso de transformación digital ha abierto la puerta a numerosas vulnerabilidades que son
explotadas por los ciberdelincuentes de una manera cada vez más profesional y sistemática,
creando un escenario complejo de riesgo cibernético que se está convirtiendo en un desafío
relevante para nuestra sociedad en general y para las empresas en particular.
24
THREAT LANDSCAPE REPORT
25
THREAT LANDSCAPE REPORT
OFICINAS S21SEC
Madrid Bilbao
C/ Ramírez de Arellano, 21. CP 28043 Parque Científico y Tecnológico de Bizkaia
T: +34 902 222 521 C/ Camino de Laida Edificio 207, Bloque B 1º
F: +43 916 616 679 planta, Zamudio, 48170 T: +34 944 035 555
Pamplona León
P. E. La Muga, 11, 1ª Planta Edificio CEBT, Calle Santos Ovejero 1.
31160, Orkoien (Navarra) Oficina PB08 | 24008
T: +34 902 222 521 T +34 902 22 25 21
Barcelona Lisboa
C/Tarragona, 141-157, Piso 14, CP 08014 Rua do Viriato, 13B, 4º Andar. 1050-233, PT
T: +34 902 222 521 T: +351 220107120
F: +43 936 746 144 F: +351 220107121
Vitoria-Gasteiz Porto
Edificio Azucarera, Avda. de los Lugar do Espido, via norte. 4470-177. Maia
Huetos 75, oficina 38 T: +351 220107120
T: +34 900 840 730 F: +351 220107121
twitter.com/@S21sec marketings21sec@s21sec.com
linkedin.com/company/s21sec www.s21sec.com
26
THREAT LANDSCAPE REPORT
www.s21sec.com
Madrid · Bilbao · Donostia-San Sebastián
Vitoria-Gasteiz · Pamplona · León · Barcelona
Lisboa · Porto · Mexico City