THREAT LANDSCAPE REPORT

THREAT
LANDSCAPE REPORT
Primer semestre 2019
 THREAT LANSCAPE
LANDSCAPEREPORT
REPORT

Threat Landscape Report

Hace tiempo que la ciberseguridad ha pasado de ser una disciplina marginal del ámbito de los
sistemas de información, a convertirse en una de las preocupaciones principales de Comités
de Dirección y equipos directivos. Aunque existan numerosos controles y elementos técnicos
de seguridad que en muchas ocasiones impiden el robo de información sensible, el riesgo de
INTRODUCCIÓN

poder ser hackeado sigue estando muy presente.

Por ello, desde el departamento de Threat Intelligence de S21sec se ha querido ofrecer un

informe semestral explicando aquellas amenazas existentes que pueden poner en riesgo la
seguridad de las empresas y particulares.

El objetivo de este “Threat Landscape Report” es dar a conocer al lector las amenazas más rele-
vantes que a día de hoy existen, tales como vulnerabilidades, malware, APTs, etc., y que pueden
suponer un riesgo a medio y corto plazo. Con el objetivo de ser más visual, el informe ofrecerá
una serie de gráficas que mostrarán la evolución de dichas amenazas de los últimos 6 meses.

Este informe trata de ser una herramienta para comprender el estado de la seguridad desde
diferentes perspectivas, y con el que conocer su estado actual y proyectar posibles tendencias
a corto plazo, que puedan ser accionables en el contexto de una estrategia de ciberdefensa.

La información recogida se basa en buena parte en la recopilación y síntesis de datos de

S21sec, obtenidos mediante los servicios de seguridad gestionada que prestamos a nues-
tros clientes, contrastados con información pública de fuentes considerados de calidad y el
equipo de Investigaciones de S21Sec.

01
THREAT LANDSCAPE REPORT

ÍNDICE
Pág. 03 Muestras de Malware

Pág. 05 Vulnerabilidades

Pág. 09 APTs

Pág. 11 Malware bancario

Pág. 14 Infraestructuras críticas

Pág. 16 Telco

Pág. 19 Hacktivismo

Pág. 21 Conclusiones

Pág. 23 Servicio de Cyber Threat Intelligence

Pág. 26 Contacto

02
THREAT LANSCAPE
LANDSCAPEREPORT
REPORT

MUESTRAS DE MALWARE
Análisis realizado por el departamento de Cyber Thrat Intelligence de S21sec de todas las muestras
de malware durante el primer semestre del año.

Estas muestras se encuentran desglosadas según el periodo de estudio y

la familia a la que pertenecen.
MUESTRAS DE
MALWARE

03
THREAT LANDSCAPE REPORT
TOTAL
MUESTRAS
ANALIZADAS
Muestras con familia de
malware y sin familia
de malware
Agrupación mensual de muestras por familia
Muestras con familia de malware y sin familia de malware
ENERO
TINBA: 7050 muestras
GANDCRAB: 2968 muestras
BUBLIK: 2365 muestras
FEODO: 1496 muestras
MYDOOM: 693 muestras
NEWGOZ: 616 muestras
CITADEL: 610 muestras
ENCRYPTEDURL: 574 muestras
NJRAT: 536 muestras
BLACKSHADES: 531 muestras
ABRIL
URSINF: 2625 muestras
BUBLIK: 1300 muestras
TINBA: 1094 muestras
ENCRYPTEDURL: 528 muestras
SHIFU: 478 muestras
DRIDEX: 440 muestras
TOFSEE: 339 muestras
BOOYAH: 331 muestras
AGENTTESLA: 239 muestras
GENERIC_BANKER: 157 muestras
04
ENERO FEBRERO MARZO
189.980 112.570 152.634
muestras muestras muestras
FEBRERO
TINBA: 2444 muestras
FEODO: 2076 muestras
URSNIF: 1233 muestras
BUBLIK: 1056 muestras
ENCRYPTEDURL: 607 muestras
NEWGOZ: 569 muestras
MYDOOM: 556 muestras
TOFSEE: 505 muestras
CITADEL: 474 muestras
SHIFU: 446 muestras
MAYO
BUBLIK: 2262 muestras
TINBA: 2081 muestras
MYDOOM: 1988 muestras
ENCRYPTEDURL: 1771 muestras
AGENTTESLA: 1362 muestras
NANOCORE: 986 muestras
TOFSEE: 982 muestras
NJRAT: 974 muestras
FEODO: 886 muestras
BOOYAH: 811 muestras
ABRIL MAYO JUNIO
86.028 177.770 191.786
muestras muestras muestras
MARZO
URSINF: 3810 muestras
FEODO: 3687 muestras
BUBLIK: 2538 muestras
TINBA: 928 muestras
SHIFU: 716 muestras
ENCRYPTEDURL: 711 muestras
AGENTTESLA: 363 muestras
BOOYAH: 319 muestras
DRIDEX: 281 muestras
TESLAAGENT: 274 muestras
JUNIO
BUBLIK: 3205 muestras
AGENTTESLA: 1574 muestras
ENCRYPTEDURL: 1391 muestras
NANOCORE: 1027 muestras
AZORULT: 934 muestras
MYDOOM: 896 muestras
TINBA: 803 muestras
NJRAT: 795 muestras
SHIFU: 647 muestras
GANDCRAB: 646 muestras
 THREAT LANSCAPE
LANDSCAPEREPORT
REPORT

VULNERABILIDADES
VULNERABILIDADES
Una vulnerabilidad de seguridad es una debilidad o fallo en el diseño, implementación, operación o
gestión de un sistema, que podría ser explotada por un atacante, generando una amenaza, ponien-
do en riesgo la seguridad del sistema y comprometiendo la información que contiene.

Cada vulnerabilidad tiene asociado un riesgo, que es la probabilidad de que se produzca un inci-
dente de seguridad, materializándose una amenaza y causando pérdidas o daños.

Las vulnerabilidades son las condiciones y características propias de los

sistemas de una organización que la hacen susceptible a las amenazas.

05
THREAT LANDSCAPE REPORT

El departamento de Threat Intelligence de S21sec lleva a cabo la

monitorización continua de las vulnerabilidades, analizando los
riesgos que éstas suponen para las organizaciones.
ERABILIDA
U LN DE
V

S
De esta forma, S21Sec alerta a los equipos de seguri-
dad de sus clientes sobre:

Nuevas Vulnerabilidades con afectación específica

en los sistemas de nuestros clientes.
RIESGO

SISTE AS IN
Vulnerabilidades “dia cero”.
Utilización de las vulnerabilidades por parte de Acto-

M
res específicos y Exploit Kits.

AS
FO
RM Z
Recomendaciones para la prevención y mitigación ÁT
ICO AME
NA
S
de las vulnerabilidades

NIVEL DE CRITICIDAD DE LAS VULNERABILIDADES

Durante el primer semestre del 2019 han sido publicadas 7343 vulnerabilidades. A continua-
ción, se presenta una visión global de las mismas.

Vulnerabilidades / Mes Gravedad vulnerabilidades (NIST)

1800
High
1600
Medium
1400
1200 Critical

1000 Low
800
600
400
200
0
Enero Febrero Marzo Abril Mayo Junio
- Source: nist.gov -
Primer semestre 2019 - Source: nist.gov -
Primer semestre 2019

06
THREAT LANDSCAPE REPORT

PRODUCTOS MÁS AFECTADOS

1,47%
0,46%
3,81%
Aplicaciones vulnerables más
11,07%
usadas en ciberataques (Q1) Office
Java
13,84%
Las vulnerabilidades en Microsoft Office Browser
son las más explotadas debido a su baja Android
dificultad y alta operabilidad. Le siguen, PDF
en orden decreciente de uso, las vulne- Adobe Flash
rabilidades en navegadores en Android y 69,36%
en Java.

- Source: securelist.com - Primer cuatrimestre 2019

Vulnerabilidades en sistemas Windows Desktop

operativos de escritorio y server Linux Kernel
Ubuntu
Las vulnerabilidades en Windows Ser- Fedora
ver son las más explotadas. A esta le Debian
siguen las vulnerabilidades en Windows Mac OS
Desktop y Debian. Windows Server

- Source: nist.gov - Primer semestre 2019

Vulnerabilidades en sistemas Iphone OS

operativos móviles Watchos
Tvos
En lo referente a las vulnerabilidades en Chrome OS
operativos móviles, Iphone OS lidera la Others
lista, seguido por Watchos y Tvos. Android

- Source: nist.gov - Primer semestre 2019

07
THREAT LANDSCAPE REPORT

BlueKeep (CVE-2019-0708)

Una de las vulnerabilidades más notables de este

periodo ha sido la llamada BlueKeep (CVE-2019- Si bien no se han
0708). Ésta se trata de una vulnerabilidad que re- detectado eviden-
side en el componente “Remote Desktop Services” cias de ataques rea-
integrado en Windows 7, Windows Server 2008 R2 y
les que empleen BlueKeep,
Windows Server 2008.
cada día se detectan más re-
portes de pruebas de concep-
Se trata de una vulnerabilidad de ejecución de códi-
to exitosas.
go en el Escritorio Remoto que permite a un atacan-
te no autenticado conectarse al sistema de destino
utilizando el protocolo de escritorio remoto y envía
solicitudes especialmente diseñadas.

Vulnerabilidad en el kernel de macOS

El equipo de analistas de seguridad de Google pu-

blicaron el pasado marzo una vulnerabilidad de ele- Esta vulnerabilidad
vado riesgo en el kernel de macOS (XNU), afectando puede llevar a mu-
al mecanismo de gestión de memoria chos tipos de ata-
copy-on-write (CoW). ques, ya que un usuario sin
privilegios puede llegar a es-
calar los mismos hasta obte-
ner permisos de root , siendo
capaz de hacerse con todos
los recursos del sistema.

08
THREAT LANSCAPE
LANDSCAPEREPORT
REPORT

APTs
El término APT o “Advanced Persistent Threats” hace referencia a un ciberataque con un alto grado
de sofisticación, así como a grupos patrocinados por estados que llevan a cabo estas campañas
maliciosas.

Durante los últimos años, se han podido observar diversos incidentes de seguridad relacionados
con la acción de estas APTs que han permitido contemplar el alcance global de las campañas que
llevan a cabo estos actores.

En los primeros 6 meses de 2019 se han detectado más de 50 campañas

llevadas a cabo por APTs.
APTs

09
THREAT
THREAT LANDSCAPE REPORT
LANSCAPE REPORT

5 DE LAS CAMPAÑAS MÁS DESTACADAS

POR APTs DURANTE EL PRIMER SEMES-
TRE DE 2019

01
Descubierta: 2018
Plataformas atacadas: Windows
SHADOWHAMMER Tipo: backdoor, ataque a la cadena de suministro
Propagación: infección de archivos
Objetivo: empresas tecnológicas

02
Descubierta: 2014
Plataformas atacadas: Linux, Windows, iOS
SOFACY Tipo: backdoor, troyano
Propagación: ingeniería social
Objetivo: industrias tecnológicas, gobiernos y
entidades militares

03
Descubierta: 2014
Plataformas atacadas: Windows
CARBANAK Tipo: backdoor
Propagación: ingeniería social
Objetivo: entidades financieras

04
Descubierta: 2016
Plataformas atacadas: Windows
LAZARUS Tipo: toolkit de ciberespionaje
Propagación: ataques de watering hole
Objetivo: entidades financieras, militares y
gubernamentales

05
Descubierta: 2017
Plataformas atacadas: Windows
MUDDYWATER Tipo: backdoor, RAT
Propagación: spearphishing, ingeniería social
Objetivo: compañías de telecomunicaciones,
gobiernos
10
 THREAT LANSCAPE
LANDSCAPEREPORT
REPORT

MALWARE BANCARIO
MALWARE BANCARIO
Entre las diferentes familias de malware conocidas, se encuentra un tipo de malware enfocado
específicamente en el robo de credenciales bancarias. Estos programas maliciosos monitorizan la
actividad del usuario infectado esperando a que navegue por la página web de su entidad bancaria.
Una vez la víctima accede a su banca electrónica, sus credenciales de acceso son enviadas al panel
de control de los criminales.

Tradicionalmente, estas credenciales se usaban para realizar transferencias fraudulentas. No obs-

tante, con la adopción de mecanismos de seguridad como los segundos factores de autenticación
por parte de las entidades bancarias, los autores de este tipo de troyanos han tenido que adaptarse
incluyendo mecanismos más creativos para realizar las transferencias fraudulentas, trucos de in-
geniería social e incluso herramientas de administración remota (RAT) para intentar superar estas
barreras.

Un claro ejemplo es BackSwap, que en lugar de intentar robar el segundo

factor de autenticación de las bancas electrónicas, modificaba el destina-
tario de las transferencias que el propio usuario realizaba para sustraer el
dinero de sus víctimas.

11
THREAT LANDSCAPE REPORT

Novaloader
Recientemente el equipo de Analistas de S21Sec detectó una nueva campaña de malware
bancario brasileño con afectación a entidades españolas, chilenas y bolivianas.

El vector de entrada es vía correo electrónico, enviando una URL a la víctima que descargaba
un archivo comprimido que contenía un .vbs.

Dicho VBS, a través de varios stages, resulta en la descarga

de un troyano bancario con capacidades de info-stealer.

En cuanto a su comportamiento como troyano bancario, posee una lista de URLs de las que
pretende extraer las credenciales. Para ello, monitoriza la ventana del navegador y queda a la
espera de que el usuario acceda a la página del banco.

Una vez esto se realiza, guarda todas las acciones del usuario (clicks, pulsaciones de
teclado, etc...), obteniendo con ello usuarios y credenciales, que serán enviados al C&C.

12
THREAT LANDSCAPE REPORT

BackSwap
BackSwap es un malware bancario descubierto en mayo de 2018 por investigadores de ESET.
En ese momento el malware bancario estaba afectando a entidades financieras polacas.

Sin embargo, fue a partir de ese momento cuando el equipo de Threat Intelligence de S21sec
crea reglas para detectar esta nueva amenaza y poder seguir su evolución.

Durante este seguimiento el equipo de Threat Intelligence descubre un

cambio en la afectación de este malware bancario, donde empieza a afec-
tar a entidades financieras españolas, entre ellas a clientes de S21sec.

A partir de ahí se empieza a investigar más exhaustivamente a esta familia, hasta el punto que
se crea un tracker de mulas que es capaz de obtener las mulas bancarias en tiempo real con
el objetivo de avisar a los clientes de S21sec para que puedan bloquear las transferencias frau-
dulentas, además de notificar a las Fuerzas de Seguridad del Estado para que inicien las inves-
tigaciones pertinentes.

Este seguimiento en activo termina en diciembre de 2018 donde parecía que el malware
bancario cesaba su actividad.

Pero, poco después, en abril de 2019, se vuelve a detectar esta amenaza afectando de
nuevo a entidades españolas, aunque en este caso el método para robar las credencia-
les ha cambiado, optando por el uso de redirecciones a páginas de phishing, en lugar de
inyectar el código malicioso en el navegador para redirigir las transferencias fraudulentas
hacia cuentas mula.

Actualmente se continúa con la monitorización.

13
 THREAT LANSCAPE
LANDSCAPEREPORT
REPORT

CRÍTICAS
INFRAESTRUCTURAS
INFRAESTRUCTURAS
CRÍTICAS
Las infraestructuras críticas son potenciales objetivos de grupos de atacantes con motivaciones
como el espionaje, o incluso causar un daño físico, tanto a la estructura como a la industria.

Durante los últimos años se ha visto cómo muchos grupos, entre los que se encuentran aquellos
financiados por gobiernos (APTs) o con intereses más allá de lo económico, han dirigido sus ataques
a infraestructuras críticas como compañías eléctricas, de gas, transporte, hospitales, etc.

Estos ataques no suponen un riesgo únicamente para la empresa atacada,

sino que tiene un impacto directo hacia la sociedad.

14
THREAT LANDSCAPE REPORT

MALWARE TRITÓN
El malware Tritón (conocido como Trisis o Xenotime) es
conocido desde su ataque a una planta petroquímica de El objetivo de Triton
Arabia Saudí en 2017. no es el ciberespio-
naje, sino que busca
Durante los primeros seis meses de este año el malware causar la disrupción de los
Tritón ha vuelto a tomar relevancia, especialmente tras la servicios de las infraestruc-
publicación de FireEye en el mes de mayo, en la que se turas críticas, e incluso la des-
advertía que este malware habría atacado a una segun- trucción de sus tecnologías,
da infraestructura crítica. lo que tendría un elevado im-
pacto en los países en los que
De acuerdo con información de Dragos, durante prin- se encuentren estas infraes-
cipios de este año se están observando intentos de tructuras críticas.
este malware de expandir su actividad a otros sectores,
como el eléctrico.

RANSOMWARE LOCKERGOGA
En los primeros seis meses de 2019 se ha observado
cómo empresas relacionadas con infraestructuras criti- Una vez finalizado el
cas como la empresa de ingeniería Altran y la empresa proceso de cifrado,
noruega Norsk Hydro, dedicada al sector del aluminio y LockerGoga mues-
las energías renovables, han sido víctimas de ataques tra en el escritorio una nota de
del ransomware denominado Lockergoga. rescate denominada READ-
ME-NOW.txt. Este ransomwa-
El proceso de infección de este ransomware comienza re no posee ningún código
cuando un archivo malicioso proveniente de un correo para expandirse en el interior
electrónico es ejecutado. de una red, por lo que posi-
blemente utilice para su pro-
Una vez ejecutado, el ransomware se dirige a archivos pagación el Directorio Activo.
de distintos tipos, como DOC, DOT, WBK, DOCX, y co-
mienza el proceso de cifrado, agregando la extensión
“.locked”.

15
THREAT LANSCAPE
LANDSCAPEREPORT
REPORT

TELCO
El mundo se encuentra cada vez más interconectado. El avance de las telecomunicaciones y la era
de Internet ha traído consigo un proceso por el cual personas de cualquier punto del mundo pueden
tener acceso a millones de datos de forma inmediata.

El sector de las telecomunicaciones ha sido, en la revolución tecnológica, un sector clave para el

desarrollo humano.

Sin embargo, junto al desarrollo de las nuevas tecnologías de la comuni-

cación, crecen también los riesgos y amenazas asociados a éstas.
TELCO

16
THREAT LANDSCAPE REPORT

MALWARE ANDROID Además, desde comienzos del año se ha

detectado un incremento en el número
de aplicaciones maliciosas destinadas al
robo de credenciales publicadas en Goo-
En este primer semestre se ha detectado un in-
gle Play, mayoritariamente bankers brasi-
cremento en el malware bancario para disposi-
leños. Aunque el número de infecciones
tivos móviles con respecto al último cuatrimes-
por esta vía ha sido bajo.
tre de 2018.
En cuanto a estadísticas de infección, se
Troyanos bancarios en móviles ha detectado un importante decremento
de instalaciones de paquetes maliciosos
70.000
61.045 en móviles.
60.000
55.101
50.000
40.000 Amenazas en dispositivos móviles
29.841
30.000
18.501 2.200.000
20.000
2.000.000
10.000
1.800.000 1.744.244
0
Q2 2018 Q3 2018 Q4 2018 Q1 2019 1.600.000
1.400.000 1.305.015
1.200.000
- Source: securelist.com- 1.001.019
Primer cuatrimestre 2019 1.000.000 905.174
800.000
600.000
Cabe destacar 2 bankers para dispositivos 400.000
Android: 200.000
0
01 Asacub Q2 2018 Q3 2018 Q4 2018 Q1 2019

Banker ruso que llegó a infectar a 13000 usua-

rios por día. El vector de infección es mediante - Source: securelist.com -
una botnet de móviles infectados que emplea Primer cuatrimestre 2019

para enviar enlaces maliciosos a los contactos

del dispositivo.
Tendencias malware en dispositivos
02 Svpeng móviles 2019
Realiza la infección publicando anuncios en
Google AdSense. Una vez se visita la página del GRAVEDAD BAJA
banner, el malware se descarga sin conocimien- Adware
to del usuario en la tarjeta SD del dispositivo. SMS Subscribers

GRAVEDAD MODERADA
Su funcionalidad principal es el robo de creden-
Cryptocurrency miners
ciales bancarias mediante técnicas de phishing
Spyware
y el control de los SMS. Además, recopila otra Keyloggers y banking trojans
información sensible como historial de llama-
das de navegador y datos de contactos. GRAVEDAD ELEVADA
Android Ransomware
Remote Access y Rooting Trojans

17
THREAT LANDSCAPE REPORT

VULNERABILIDADES EN WPA3

Una de las principales ventajas de WPA3

como sucesora de WPA2 es que el handsha-
ke Dragonfly subyacente hace casi imposible
descifrar la contraseña de la red.
Debido a los fallos en el diseño de WPA3, un
atacante que se encuentre en el radio de al-
cance de la red de la víctima podría recuperar
la clave de red.
Explotando las vulnerabilidades presentes
en WPA3 un atacante podría realizar los si-
guientes ataques, de forma eficiente y con
bajo costo:
Downgrade y de Diccionario contra
WPA3-Transition.
Downgrade del grupo de seguridad.
De canal-lateral basado en tiempo y
basado en caché.
Denegación-de-Servicio (DoS).
Dragonblood
Dragonblood es un ataque contra el handshake
SAE (Simultaneous Authentication for Equals),
conocido como Dragonfly.
Los fallos en el diseño del mismo permiten a
un atacante realizar ataques de particionado
de contraseñas, utilizando para ello filtraciones
side-channel de caché y ataques basados en
tiempo.
Así, el atacante podría obtener acceso a cual-
quier red WPA3-Personal, pudiendo capturar el
tráfico transmitido en la red. Esto posibilita ata-
ques como: DHCP Spoofing, DHCP Starvation,
DNS Cache Poisoning, captura de tráfico HTTP,
etc.

VPN
Durante el mes de mayo el CERT/CC alertó
cómo una multitud de clientes VPN empresa- La debilidad se manifiesta de dos
riales habían sido afectados por una falta de
seguridad en el almacenamiento de las cre-
maneras:
denciales y/o de las cookies de sesión.

Si un atacante tiene acceso persistente al

endpoint de un usuario de VPN o consigue ex-
traer la cookie utilizando otros métodos, pue-
de repetir la sesión y pasar por alto otros mé-
todos de autenticación.
01 Las cookies almacenadas de for-
ma insegura en archivos de regis-
tro.
02 Las cookies almacenadas de for-
ma insegura en la memoria.

Esto implica que, si la red no cuenta con me-

didas de seguridad adicionales, un atacante
podría obtener acceso a la red privada a tra-
vés de dicha VPN.
18
 THREAT LANSCAPE
LANDSCAPEREPORT
REPORT

HACKTIVISMO
El concepto hacktivismo se refiere a la utilización de toda herramienta o medio digital para la reivin-
dicación política o social, siendo las acciones de los colectivos hacktivistas de distinta índole, desde
la realización de ataques cibernéticos de diferentes tipologías a entidades o gobiernos -con la in-
tención de conseguir un determinado fin de carácter político-, hasta la generación de operaciones y
campañas de desinformación para propiciar una reacción en la ciudadanía.

Desde S21sec, el equipo de Threat Intelligence realiza una monitorización continua de las
HACKTIVISMO

operaciones hacktivistas que están teniendo lugar a nivel nacional e internacional, que per-
mite la detección y prevención de ataques por parte de estos grupos, así como el análisis y
la investigación de potenciales amenazas a la seguridad colectiva provenientes del entorno
hacktivista.

19
THREAT LANDSCAPE REPORT

En los primeros seis meses de 2019 se han observado que algunas

de las operaciones ya activas desde años anteriores han continuado,
#OpSudan
apareciendo además nuevas campañas que han obtenido un impac-
to elevado. #OpCatalonia
Estas cuatro campañas destacan por su constante presencia entre
las operaciones más activas durante este periodo, y porque permi-
#OpNicaragua
ten ilustrar la interrelación de las mismas a nivel de actores, ata-
ques y metodología. #FreeAssange
Cabe destacar que el hacktivismo se trata de un movimiento descentralizado. Según su natura-
leza y grado de organización se puede clasificar en:

Colectivos hacktivistas
Actúan a nivel global, como Anonymous, el grupo Pryzraky y Ghost Squad Hackers.

Grupos de activismo digital

Entre los que se encuentran:
Grupos organizados: Han pasado de ser movimientos que exclusivamente actúan en las
calles, a aprovechar los medios digitales como herramienta para continuar con sus rei-
vindicaciones. Entre estos destacan los grupos nacionalistas y agrupaciones como los
Chalecos Amarillos.

Usuarios anónimos: Llevan a cabo acciones concretas contra objetivos específicos, su-
mándose en ocasiones a alguna causa hacktivista, utilizando medios digitales.

OpSudan
FreeAssange
Ghost Squad
Hackers
Anonymous
Chalecos
Amarillos

Grupos OpNicaragua
Nacionalistas Pryzraky
OpCatalonia
Operaciones Hacktivistas
Grupos y colectivos
20
 THREAT LANSCAPE
LANDSCAPEREPORT
REPORT

CONCLUSIONES
El departamento de Threat Intelligence de S21sec ha querido mostrar con este documento los hitos
más destacados durante este primer semestre de 2019, enfocándose en los aspectos más relevan-
tes que pueden ser de interés en el ámbito de la ciberseguridad.
CONCLUSIONES

Tal y como se auguró en las ciberpredicciones que realizó S21sec el pasado

mes de enero, debido al imparable crecimiento y uso de dispositivos móvi-
les por parte de casi todo el mundo, se ha cumplido una de las prediccio-
nes sobre el creciente enfoque criminal en los dispositivos móviles a través
de cualquier medio posible, lo cual ya es una realidad.

De la misma forma, y siguiendo las líneas de las ciberpredicciones, las

nuevas familias de malware bancario como BackSwap causaron incerti-
dumbre y caos entre las instituciones financieras durante el pasado año.

21
THREAT LANDSCAPE REPORT

vulnerabilidades
7343
se han publicado durante los
últimos 6 meses, siendo abril el mes con más vulnerabilidades
publicadas. Entre los productos más afectados, destacan en este
periodo las vulnerabilidades en Microsoft Office, con un 69,36%,
seguido de Java con un 13,84%.

Campañas por APTs han sido detectadas, siendo las más desta-
cadas las de ShadowHammer y Sofacy, cuyo objetivo han sido empresas
tecnológicas, mientras que las plataformas atacadas han sido los sistemas
Windows.
+50
>>

En este primer semestre se ha detectado un incremento en el malware banca-

rio para dispositivos móviles en el último cuatrimestre de 2018, siendo los bankers Asacub
y Svpeng los más importantes durante estos últimos seis meses.

B ackSwap es uno de los malware bancarios que, debido a su evolu-

ción y los riesgos que supone para los usuarios de entidades financieras, tanto de
Polonia como de España, se seguirá monitorizando activamente.

El fenómeno del hacktivismo se ha convertido en una amenaza latente a día de hoy debi-
do a su mayor participación en operaciones cibernéticas, la facilidad de los actores atacan-
tes para llevar a cabo acciones maliciosas y la mayor conectividad entre los dispositivos
y sistemas informáticos ubicados en los objetivos de los mismos.

22
THREAT LANSCAPE
LANDSCAPEREPORT
REPORT

SERVICIO DE CYBER
THREAT INTELLIGENCE
Actualmente, la mayoría de las compañías carece de los recursos, tanto personales como tecno-
CYBER THREAT

lógicos, para llevar a cabo actividades de ciber inteligencia, ya que se tratan de actividades espe-
cializadas que requieren tener el conocimiento y que consumen mucho tiempo. Además, las orga-
INTELLIGENCE
nizaciones son el objetivo de amenazas cada vez más complejas donde disponer de información
actualizada puede marcar la diferencia a la hora de proteger, detectar y responder.

S21sec dispone de la unidad Cyber Threat Intelligence que vigila constan-

temente las amenazas emergentes y el entorno digital de su empresa me-
diante el uso de tecnologías propias y de terceros líderes en el mercado.
De este modo, se proporcionan las capacidades de detección y respuesta
adecuadas para mantener protegida su organización.

23
THREAT LANDSCAPE REPORT

Se observa una cada vez más creciente evolución de las amenazas en el mundo digital de
hoy. Nuestra misión es reducir la exposición de las organizaciones y las personas a los peli-
gros del cibercrimen. Por ello, S21sec tiene el centro de inteligencia definitivo para detectar,
mitigar y responder a las ciberamenazas más avanzadas.

S21sec ofrece a sus clientes una completa gama de servicios de seguridad que es necesario
contemplar en los procesos de transformación digital en los que se encuentran sumergidos las
empresas. Estos servicios cubren por completo el ciclo de gestión de los riesgos cibernéticos,
según está descrito en el Cybersecurity Framework del NIST (Instituto Nacional de estándares
y tecnología de los Estados Unidos), un marco de trabajo internacionalmente empleado para
administrar la ciberseguridad de las empresas.

Capacidades y competencias para la implementación del ciclo completo

de ciberseguridad del NIST
Los proveedores “pure player” son los mejores posicionados para ofrecer una implementación 360º

Adaptación de planes
de ciberseguridad Auditoría y verificación de
vulnerabilidades
Coordinación con TI para
recuperación de sistemas Cumplimiento regulatorio
R 1 ID
OVE EN
Gestión y operación EC T
Planificación de
R

de soluciones de
IF
5

ciberseguridad
Y

seguridad 24x7

Respuesta ante
ENTERPRISE Formación y
Access, data, people, concienciación
incidentes y análisis
ECT
4 RESPO

forense Processes and

ROT

Finances Desarrollo y configuración

Análisis de Malware y
2P

de soluciones
ND

Reversing

Anti-Phising y Integración de soluciones a

Anti-Breakdowns 3 DETECT nivel SOC

Vigilancia Digital
(Internet & Dark Web) Monitorización de eventos

Integración de indicadores de ataque

(IoA) e indicadores de compromisos

La transformación digital del mundo de los negocios ha sido un proceso continuo desde el
cambio de siglo; actualmente es algo común para todas las empresas modernas. Este pro-
ceso de transformación digital ha abierto la puerta a numerosas vulnerabilidades que son
explotadas por los ciberdelincuentes de una manera cada vez más profesional y sistemática,
creando un escenario complejo de riesgo cibernético que se está convirtiendo en un desafío
relevante para nuestra sociedad en general y para las empresas en particular.

24
THREAT LANDSCAPE REPORT

SERVICIOS DE THREAT INTELLIGENCE DE S21SEC

La unidad Cyber Threat Intelligence analiza constantemente fuentes públicas y privadas para extraer indicadores y
reunirlos en una plataforma de inteligencia compartida y mantener protegidos a sus clientes.

Detección de Monitoriza las posibles fugas de información confidencial (Tarje-

Fraude y Fugas de tas de crédito, propiedad intelectual…) de los clientes y sus causas
Información (phishing, botnets, dominios similares…).

Intermedia con los posibles proveedores (ISPs, Stores, CERTs,…)

Cierres de sitios
para bloquear sitios/apps maliciosas, vigilando para que no se
fraudulentos vuelvan a replicar.

Integra Indicadores de compromiso (IoC) de clientes, así como de

feeds y trackers públicos y privados, en una plataforma unificada
MISP Premium proporcionando a los clientes capacidades de integración para
alimentar sus dispositivos de seguridad.

El grupo de expertos en análisis y reversing de malware analiza

muestras de malware de los clientes, bien porque el propio clien-
Análisis de Malware te las haya proporcionado o porque el SOC las haya detectado,
para identificar la familia de malware y generar los IoCs corres-
pondientes.

Alerta temprana sobre amenazas emergentes que afectan a los

Alertas Tempranas negocios de los clientes .

Información sobre actividades de cibercrimen y hacktivismo que

puedan afectar a los clientes, así como de amenazas referidas
Vigilancia Digital a sus activos digitales (reputación de su marca, directivos...), en
fuentes abiertas - redes sociales -, Deep Web, Dark Web, etc.

25
 THREAT LANDSCAPE REPORT

OFICINAS S21SEC
Madrid Bilbao
C/ Ramírez de Arellano, 21. CP 28043 Parque Científico y Tecnológico de Bizkaia
T: +34 902 222 521 C/ Camino de Laida Edificio 207, Bloque B 1º
F: +43 916 616 679 planta, Zamudio, 48170 T: +34 944 035 555

Pamplona León
P. E. La Muga, 11, 1ª Planta Edificio CEBT, Calle Santos Ovejero 1.
31160, Orkoien (Navarra) Oficina PB08 | 24008
T: +34 902 222 521 T +34 902 22 25 21

Barcelona Lisboa
C/Tarragona, 141-157, Piso 14, CP 08014 Rua do Viriato, 13B, 4º Andar. 1050-233, PT
T: +34 902 222 521 T: +351 220107120
F: +43 936 746 144 F: +351 220107121

Vitoria-Gasteiz Porto
Edificio Azucarera, Avda. de los Lugar do Espido, via norte. 4470-177. Maia
Huetos 75, oficina 38 T: +351 220107120
T: +34 900 840 730 F: +351 220107121

San Sebastián Ciudad de México

P.E. Zuatzu, Ed. Urgull, 2º local 10, Colonia Cuauhtémoc, Delegación Cuauhtémoc,
CP 20018 Rio Panuco 108. Ciudad de México C.P. 06500
T: +34 902 222 521 | F: +43 936 746 144 T +52 78 22 01 27 | +52 78 22 01 29
S21SEC

CONTACTO & SOCIAL MEDIA

facebook.com/pages/S21sec instagram.com/s21_sec

twitter.com/@S21sec marketings21sec@s21sec.com

linkedin.com/company/s21sec www.s21sec.com

26
THREAT LANDSCAPE REPORT

www.s21sec.com
Madrid · Bilbao · Donostia-San Sebastián
Vitoria-Gasteiz · Pamplona · León · Barcelona
Lisboa · Porto · Mexico City