EL INFORME DE AMENAZAS

EL INFORME DE AMENAZAS

Febrero de 2023

Febrero de 2023

Presentado por Trellix Advanced Research Center Logo

Visión de conjunto de las amenazas, 4.º trimestre de 2022

Durante los meses finales del año los ciberdelincuentes han demostrado una vez más ser un formidable adversario. Por su parte, el Trellix Advanced Research Center ha contraatacado dotando con todavía más recursos de inteligencia de amenazas a nuestro equipo formado por cientos de analistas e investigadores de seguridad de élite.

"En otras palabras: hemos llevado nuestra inteligencia de amenazas a otro nivel, para aportar serenidad al caos de sus equipos de SecOps con una protección más sencilla y para ofrecer mejores resultados de seguridad con menos estrés. Las amenazas siguen evolucionando. Y usted también puede avanzar".

En este informe, compartimos nuestra privilegiada visión sobre los ciberdelincuentes, familias, campañas y técnicas que despuntaron durante el último trimestre. Pero hay más. También hemos ampliado nuestras fuentes y ahora recogemos datos de sitios en los que se publican las filtraciones de ransomware, así como de informes del sector de la seguridad. Al mismo tiempo, también hemos aumentado las categorías de investigación de amenazas que ahora incluyen seguridad de redes, incidentes en la nube, incidentes de endpoints y operaciones de seguridad.

Desde nuestro último informe sobre amenazas, el Trellix Advanced Research Center ha participado en investigaciones y estudios en todo el mundo sobre aspectos como el vínculo entre Gamaredon y el enorme incremento de ciberataques contra Ucrania durante el cuarto trimestre, y la aplicación de parches a 61 000 proyectos de código abierto vulnerables, además de publicar su análisis de los ataques del nuevo año en el informe Predicciones de amenazas para 2022.

El siguiente resumen, que incorpora las mejoras del informe sobre amenazas, es un ejemplo de cómo el trabajo del Trellix Advanced Research Center permite a los clientes y al sector de la seguridad obtener un mejor resultado en la lucha contra las amenazas:

Ransomware

  • Reveladoras investigaciones sobre la prominencia de LockBit 3.0, que es el grupo de ransomware que más impacto ha tenido en el cuarto trimestre.
  • La continua prevalencia del ransomware en todo el mundo y, en especial, en Estados Unidos.
  • Los sectores afectados por el ransomware, como el de bienes y servicios industriales.

Ataques auspiciados por Estados

  • Sectores afectados por estos ataques, como los de Administración pública y transporte y distribución.
  • Empresas con sede en Estados Unidos afectadas por actividad auspiciada por Estados.

Aprovechamiento de recursos locales (LOLBIN)

  • Análisis más detallado de la actuación de Cobalt Strike en circulación, utilizando metodología de detección del Advanced Research Center.
  • El gran número de servidores de Cobalt Strike Team que alojan proveedores de la nube chinos.
  • Windows Command Shell se utiliza en las campañas denunciadas para ejecutar casi la mitad de los 10 principales archivos binarios del sistema operativo.

Ciberdelincuentes

  • China, Corea del Norte y Rusia encabezan la lista de países en cuanto a origen de la ciberactividad.

Tendencias de la seguridad del correo electrónico

  • El acusado incremento de mensajes maliciosos en países árabes observado durante el Mundial de  fútbol.
  • Análisis de las campañas de phishing y vishing, con información de las técnicas de suplantación y los temas habituales entre empresas que emplea el vishing.

Seguridad de redes

  • Las webshells, herramientas y técnicas utilizadas, así como los ataques más relevantes, significativos y devastadores del trimestre.

Telemetría de operaciones de seguridad basada en Trellix XDR

  • Alertas de seguridad, exploits, fuentes de registros y técnicas MITRE ATT&CK más destacadas
  • Incidentes en la nube
  • Técnicas y detecciones para Azure, AWS y GCP
  • Principales técnicas y detecciones

Carta de nuestro director de Inteligencia de amenazas

Nuestro equipo del Trellix Advanced Research Center tiene el placer de compartir los nuevos datos del informe de amenazas del 4.º trimestre de 2022, para cerrar el año. Se puede observar cómo evoluciona el informe, con la incorporación de nuevos datos procedentes de nuestros sensores de productos, combinados con análisis de otras fuentes, como los sitios de filtraciones de ransomware y nuestra infraestructura de seguimiento de ataques en circulación. En Trellix, seguimos firmes en nuestro propósito de proteger a nuestros clientes contra la ciberdelincuencia en un momento en el que los atacantes se muestran muy activos y son cada vez más multifacéticos. Ante el complicado panorama geopolítico y económico actual, y dada la inquietud que esto genera, se impone la necesidad de contar con inteligencia de amenazas a nivel mundial.

La incertidumbre financiera causada por la guerra de Ucrania ha provocado un enorme aumento del precio de la energía, que no se observaba desde los años 70, con consecuencias en todas las economías del planeta. El regreso de la guerra a Europa también ha sido utilizado como una llamada de atención por aquellos que se cuestionaban la estrategia de seguridad y defensa de la Unión Europea y su capacidad para defender sus intereses, en particular en el ciberespacio. La Administración estadounidense también ha reconocido la necesidad de abordar la competición geoestratégica, proteger las infraestructuras críticas y luchar contra la manipulación y la interferencia de otros países en la información. SolarWinds, Hafnium, la situación en Ucrania y otros eventos exigen una actuación conjunta de la Administración y el Congreso de Estados Unidos para implantar nuevas normas de seguridad y abordar la financiación de manera que se capitalice el compromiso y el trabajo realizado por gobiernos anteriores. ¿Cómo afecta esta incertidumbre a la ciberseguridad de nuestras empresas, nuestras instituciones públicas y privadas, y nuestros valores democráticos?

En el último trimestre, nuestro equipo observó ciberactividad a nivel de gobiernos, en las áreas de espionaje, estrategia militar y desinformación, al servicio de objetivos políticos, económicos y territoriales. La guerra de Ucrania ha sido escenario también de nuevas formas de ciberataques y los hacktivistas son cada vez más audaces a la hora de falsificar sitios, filtrar información y llevar a cabo ataques DDos. Por otro lado, los métodos tradicionales de ciberataque siguen vigentes. Se observan con frecuencia tácticas basadas en ingeniería social, como el phishing, para engañar y manipular al usuario con el objetivo de que divulgue información personal o confidencial.

Empresas de todo el mundo siguen sufriendo la plaga del ransomware. Como ocurrió durante la pandemia de COVID-19, los ciberdelincuentes no dudan en aprovechar los períodos de crisis e incertidumbre. Y, al igual que el panorama de las ciberamenazas, también avanzan nuestras investigaciones. Sin embargo, nuestro objetivo es siempre el mismo: mejorar sistemáticamente la eficacia de nuestros productos y proporcionar inteligencia práctica para garantizar que se pueda proteger lo que más importa. En este informe, podrá comprobar la importancia del trabajo que hacemos para todos los miembros del Advanced Research Center. Todos y cada uno de los investigadores y expertos que componen nuestro equipo ponen en nuestros proyectos todo su empeño y dedicación.

No dude en comunicarme sus impresiones sobre este informe completo y si considera que hay áreas que merecerían un análisis más detallado, contacte conmigo o con nuestro equipo @TrellixARC en Twitter. Esperamos verle en la conferencia RSA en San Francisco en abril.

Metodología

Los sistemas backend de Trellix proporcionan la telemetría que nos sirve como base para nuestros informes trimestrales de amenazas. Combinamos nuestra telemetría con inteligencia de acceso público sobre amenazas y nuestras propias investigaciones sobre amenazas prevalentes, como ransomware, actividad financiada por Estados, etc.

Cuando hablamos de telemetría, nos referimos a detecciones, no a infecciones. Una detección se registra cuando uno de nuestros productos detecta un archivo, URL, dirección IP u otro indicador y nos informa al respecto. 

Por ejemplo, sabemos que cada vez más organizaciones aplican estrategias de comprobación de la eficacia que emplean muestras de malware reales. Esto aparecerá como una detección, pero sin duda, no es una infección. 

El proceso para analizar y filtrar falsos positivos en telemetría está en continuo desarrollo, por lo que se pueden generar nuevas categorías de amenazas respecto a las ediciones anteriores.

Además, también se añadirán nuevas categorías cuando otros equipos de organizaciones de Trellix aporten sus datos a este informe trimestral.

La privacidad de nuestros clientes es primordial, lo que es importante a la hora de generar datos de telemetría y asociar esta información a los sectores y países de nuestros clientes. Las bases de clientes por país varían y en ocasiones los incrementos requieren un examen más detenido de los datos. Un ejemplo: el sector de las telecomunicaciones a menudo presenta cifras elevadas en nuestros datos. Pero no necesariamente significa que este sector reciba muchos ataques. El sector de las telecomunicaciones incluye también proveedores de servicios de Internet que son propietarios de espacios de direcciones IP que pueden comprar las empresas. ¿Qué significa esto? Submissions from the IP-address space of the ISP are showing up as Telecom detections but could be from ISP clients that are operating in a different sector.

Ransomware, 4.º trimestre de 2022

 

En esta sección ofrecemos la información que hemos recopilado sobre la actividad de los grupos de ransomware. Esta información se recopila de múltiples fuentes para obtener una imagen más clara y objetiva del panorama de las amenazas y nos ayuda a determinar qué familia de ransomware tuvo más impacto en el cuarto trimestre de 2022. La primera fuente es cuantitativa y representa estadísticas de campañas de ransomware extraídas de la correlación de indicadores de peligro (IoC) y telemetría de los clientes de Trellix. La segunda es cualitativa y muestra el análisis de varios informes publicados por el sector de la seguridad que han sido filtrados, analizados y depurados por el grupo de inteligencia de amenazas. Por último, la tercera fuente, que es una categoría nueva, incluye datos de víctimas del ransomware extraídos de distintos "sitios de filtraciones" de grupos de ransomware y posteriormente normalizados, completados y analizados para obtener una versión anonimizada de los resultados.

A través de estos diferentes puntos de vista pretendemos proporcionar muchas de las piezas del rompecabezas que compone el panorama de las amenazas actual. Por separado, cada uno presenta sus propias limitaciones y ninguno es suficiente. Nadie tiene acceso a todos los registros de todos los sistemas conectados a Internet, no se denuncian todos los incidentes de seguridad y no todas las víctimas sufren extorsión ni son incluidas en sitios de filtraciones. Sin embargo, combinando las distintas visiones se obtiene un mejor conocimiento de las distintas amenazas y, al mismo tiempo, se reducen los vacíos de información.

La conjunción de datos cuantitativos y cualitativos procedentes de distintas fuentes permite alcanzar una conclusión fundamentada, tomando en consideración los inconvenientes y carencias potenciales.

Datos sobre ransomware, 4.º trimestre de 2022

Grupo de ransomware con mayor impacto en el cuarto trimestre: LockBit 3.0

  • 1º El sitio de filtraciones de LockBit 3.0 es el que incluye más víctimas entre todos grupos de ransomware en este trimestre. LockBit ha sido el grupo que más ha presionado a las víctimas amenazándolas con exponer sus identidades con el correspondiente perjuicio para su reputación.
  • 2º LockBit 3.0 ocupa el segundo puesto, junto con el ransomware Cuba, entre los grupos de ransomware más denunciados por el sector de la seguridad, según los análisis de varias campañas obtenidos por el grupo de inteligencia de amenazas.
  • 3rd LockBit 3.0 ranked third among the most prevalent ransomware groups in the quarter according to the ransomware telemetry analysis gleaned from the Trellix’s global sensors.

Estas son otras categorías de LockBit y conclusiones sobre el cuarto trimestre de 2022:

Sectores más afectados por LockBit 3.0, 4.º trimestre de 2022

29

El sector de bienes y servicios industriales fue el más afectado por LockBit 3.0 en el cuarto trimestre de 2022, según el sitio de filtraciones de víctimas de LockBit 3.0.

Países con empresas afectadas por LockBit 3.0, 4.º trimestre de 2022

49

Las empresas de Estados Unidos fueron las más afectadas (49 %) por LockBit 3.0 en el cuarto trimestre de 2022, seguidas por las del Reino Unido, según el sitio de filtraciones de víctimas de LockBit 3.0.

El ransomware observado a través de nuestra telemetría

Las siguientes estadísticas se basan en las correlaciones entre nuestra telemetría y nuestra base de conocimientos de inteligencia de amenazas. Tras una fase de análisis, identificamos un grupo de campañas a partir de los datos en el período de tiempo seleccionado y extraemos sus características. Las estadísticas mostradas corresponden a las campañas, no a las propias detecciones. Nuestra telemetría global mostró indicadores de peligro (IoC) que pertenecen a varias campañas de distintos grupos de ransomware. Las siguientes familias de ransomware, junto con sus respectivas herramientas y técnicas empleadas, son las más prevalentes en las campañas identificadas. Del mismo modo, los países y sectores que siguen son los más golpeados por las campañas identificadas

Familias de ransomware más prevalentes, 4.º trimestre de 2022

22

Cuba fue la familia de ransomware más prevalente en el cuarto trimestre de 2022. El ransomware Zeppelin fue muy utilizada por Vice Society. Más información sobre las filtraciones de comunicaciones de Yanluowang.

Herramientas no maliciosas más prevalentes utilizadas por grupos de ransomware, 4. trimestre de 2022

41

Cobalt Strike fue la herramienta más prevalente utilizada por grupos de ransomware en el cuarto trimestre de 2022.

1.

Cobalt Strike

41 %

2.

Mimikatz

23 %

3.

BURNTCIGAR

13 %

4.

VMProtect

12 %

5.

POORTRY

11 %

Técnicas MITRE-ATT&CK utilizadas por grupos de ransomware más observadas, 4.º trimestre de 2022

1.

Datos cifrados por impacto

17 %

2.

Descubrimiento de información del sistema

11 %

3.

PowerShell

10 %

4.

Ingress Tool Transfer

10 %

5.

Windows Command Shell

9 %

Herramientas no maliciosas más prevalentes utilizadas por grupos de ransomware, 4. trimestre de 2022

21

Cmd fue la herramienta no maliciosa más prevalente utilizada por grupos de ransomware en el cuarto trimestre de 2022.

1.

Cmd

21 %

2.

PowerShell

14 %

3.

Net

10 %

4.

Reg

8 %

5.

PsExec

8 %

Países más afectados por grupos de ransomware, 4.º trimestre de 2022

29

Estados Unidos fue el país más afectado por el ransomware en el cuarto trimestre de 2022, según la telemetría de Trellix.

Sectores más afectados por familias de ransomware, 4.º trimestre de 2022

29

El sector de externalización y alojamiento fue el más afectado por el ransomware en el cuarto trimestre de 2022, según la telemetría de Trellix. Esto guarda relación con el tamaño medio de la empresa de las víctimas incluidas en sitios de filtraciones de ransomware. Estas empresas no suelen tener un bloque de IP asignado y dependen de proveedores de alojamiento externos.

Ransomware denunciado por el sector de la seguridad

Las estadísticas siguientes se basan en informes públicos, así como en investigaciones realizadas internamente. Tenga en cuenta que no todos los incidentes de ransomware son denunciados. Muchas familias de ransomware ya llevan un tiempo activas y en determinados períodos obtienen menos atención que las familias nuevas. Según estos criterios, estos datos se refieren a las familias de ransomware que, según el sector de la seguridad, tuvieron más impacto y relevancia durante el trimestre.

Familias de ransomware más prevalentes, 4.º trimestre de 2022

15

Black Basta y Magniber fueron las familias de ransomware más denunciadas en el cuarto trimestre de 2022, según los informes del sector de la seguridad.

Principales técnicas de ataque por familias de ransomware, 4.º trimestre de 2022

19

La técnica de ataque más denunciada en el cuarto trimestre de 2022 fue el cifrado de datos para causar daños, según los informes del sector de la seguridad.

1.

Datos cifrados por impacto

19 %

2.

Windows Command Shell

11 %

3.

Descubrimiento de información del sistema

10 %

4.

Ingress Tool Transfer

10 %

5.

PowerShell

10 %

Principales sectores atacados por familias de ransomware, 4. º trimestre de 2022

16

El sector sanitario fue el más atacado por familias de ransomware en el cuarto trimestre de 2022, según los informes del sector de la seguridad.

Países más atacados por familias de ransomware, 4. º trimestre de 2022

19

Estados Unidos fue el país más atacado por familias de ransomware en el cuarto trimestre de 2022, según los informes del sector de la seguridad.

Técnicas MITRE-ATT&CK utilizadas por grupos de ransomware más observadas, 4.º trimestre de 2022 2022

1.

CVE-2021-31207
CVE-2021-34474
CVE-2021-34523

16 %
16 %
16 %

2.

CVE-2021-34527

13 %

3.

CVE-2021-26855
CVE-2021-27065

9 %
9 %

Herramientas maliciosas utilizadas por familias de ransomware, 4.º trimestre de 2022

44

Cobalt Strike fue la herramienta maliciosa más utilizada por las familias de ransomware denunciadas en el cuarto trimestre de 2022, según los informes del sector de la seguridad.

1.

Cobalt Strike

44 %

2.

QakBot

13 %

3.

IcedID

9 %

4.

BURNTCIGAR

7 %

5.

Carbanak
SystemBC

7 %
7 %

Herramientas no maliciosas utilizadas por familias de ransomware, 4.º trimestre de 2022

21

PowerShell fue la herramienta no maliciosa más utilizada por las familias de ransomware denunciadas en el cuarto trimestre de 2022, según los informes del sector de la seguridad.

1.

PowerShell

21 %

2.

Cmd

18 %

3.

Rund1132

11 %

4.

VSSAdmin

10 %

5.

WMIC

9 %

Víctimas en "sitios de filtraciones" de ransomware, 4.º trimestre de 2022

Los datos de esta sección se han recopilado a partir de "sitios de filtraciones" que utilizan los distintos grupos de ransomware para divulgar datos de sus víctimas. Estos grupos extorsionan a las víctimas publicando su información en estos sitios web. Cuando se estancan las negociaciones o las víctimas no acceden a pagar el rescate en la fecha tope que establece el grupo de ransomware, los ciberdelincuentes hacen pública la información que les han robado. Nosotros usamos la herramienta de código abierto RansomLook para obtener la información publicada y procesamos internamente los datos para normalizar y completar los resultados y ofrecer una versión anonimizada del análisis victimiológico.

Es importante destacar que no todas las víctimas de ransomware aparecen en los sitios de filtraciones correspondientes. Muchas pagan el rescate y su información no se divulga. Estos datos reflejan las víctimas que han sufrido extorsiones o represalias por parte de los grupos de ransomware y no deben confundirse con la cantidad total de víctimas.

Grupos de ransomware con más víctimas, 4.º trimestre 2022

26

LockBit 3.0 representó el 26 % de los 10 principales grupos de ransomware con mayor número de víctimas según sus respectivos sitios de filtraciones, en el cuarto trimestre de 2022.

Sectores afectados por grupos de ransomware según sus sitios de filtraciones, 4.º trimestre de 2022

32

El sector de bienes y servicios industriales fue el más afectado por grupos de ransomware según sus sitios de filtraciones, en el cuarto trimestre de 2022. El sector de bienes y servicios industriales engloba todos los productos materiales y servicios intangibles que se emplean principalmente en construcción y fabricación.

Países de empresas afectadas por grupos de ransomware según sus sitios de filtraciones, 4.º trimestre de 2022

63

de las 10 principales empresas mostradas por los grupos de ransomware en sus respectivos sitios de filtraciones en el cuarto trimestre de 2022 tienen sede en Estados Unidos, seguidas por las del Reino Unido (8 %) y Canadá

Estadísticas por Estados, 4.º trimestre de 2022

 

Este apartado ofrece información recopilada sobre la actividad de los grupos patrocinados por Estados. Esta información se obtiene de múltiples fuentes con el fin de crear una imagen más precisa del panorama de las amenazas y reducir los sesgos en la observación. En primer lugar, representamos los datos extraídos al correlacionar los IoC de grupos relacionados con Estados con telemetría de clientes de Trellix. En segundo lugar, aportamos datos de los distintos informes publicados por el sector de la seguridad previamente filtrados, analizados y depurados por el grupo de inteligencia de amenazas.

Datos destacados de actividad auspiciada por Estados, 4.º trimestre de 2022

  • Estados Unidos y Alemania experimentaron aumentos importantes en el número de ataques por Estados.
  • China y Vietnam aparecen en el cuarto trimestre por vez primera para este tipo de ataques.

Estadísticas a nivel de Estados observadas a través de nuestra tecnología

Estas estadísticas se basan en las correlaciones entre nuestra telemetría y nuestra base de conocimientos de inteligencia de amenazas. Tras una fase de análisis, identificamos un grupo de campañas a partir de los datos en el período de tiempo seleccionado y extraemos sus características. Las estadísticas mostradas corresponden a las campañas, no a las propias detecciones. Debido a que se agregan varios tipos de registros, al uso que hacen nuestros clientes de las estrategias de simulación de amenazas y al elevado nivel de correlaciones con la base de conocimientos de inteligencia de amenazas, los datos se filtran de forma manual para ajustarse a los criterios necesarios.

Nuestra telemetría global mostró indicadores de peligro (IoC) relacionados con varias campañas de grupos que emplean amenazas persistentes avanzadas (APT). Los siguientes países y ciberdelincuentes, junto con las herramientas y técnicas empleadas, son los más frecuentes en las campañas identificadas. Del mismo modo, los datos sobre los países y sectores equivalen a los más golpeados por las campañas identificadas

Datos de telemetría de actividad auspiciada por Estados

Países más prevalentes en cuanto a ciberactividad auspiciada por Estados, 4.º trimestre de 2022

71

China fue el país más prevalente en cuanto a ciberactividad auspiciada por Estados en el cuarto trimestre de 2022.

Grupos de ciberatacantes más prevalentes, 4.º trimestre de 2022

37

Mustang Panda fue el grupo de ciberatacantes más prevalente en el cuarto trimestre de 2022, según la telemetría de actividad auspiciada por Estados.

Técnicas MITRE ATT&CK más prevalentes empleadas en actividad relacionada con Estados, 4.º trimestre de 2022

1.

DLL Side-Loading

14 %

2.

Rundll32

13 %

3.

Archivos o información ocultos

12 %

4.

Windows Command Shell

11 %

5.

Claves de ejecución del registro/carpeta de inicio

10 %

Herramientas maliciosas más prevalentes empleadas en actividad relacionada con Estados, 4.º trimestre de 2022 2022

1.

PlugX

24 %

2.

BLUEHAZE

23 %

3.

DARKDEW

23 %

4.

MISTCLOAK

23 %

5.

Troyano de acceso remoto ISX

2 %

Herramientas no maliciosas más prevalentes empleadas en actividad auspiciada por Estados, 4.º trimestre de 2022

1.

Rundll32

22 %

2.

Cmd

19 %

3.

Reg

17 %

4.

Ncat

12 %

5.

Regsv132

6 %

Countries Most Impacted by Nation-State Activity Q4 2022

55

Estados Unidos fue el país más afectado por actividad auspiciada por Estados en el 4.º trimestre de 2022.

Sectors Most Impacted by Nation-State Activity Q4 2022

69

El sector de transporte y distribución fue el más afectado en cuanto a ciberactividad auspiciada por Estados en el cuarto trimestre de 2022.

Incidentes por Estados según informes públicos, 4.º trimestre de 2022

Estas estadísticas se basan en informes públicos y en investigaciones realizadas internamente; no proceden de telemetría de registros de los clientes. Tenga en cuenta que no todos los incidentes a nivel de Estados se comunican. Muchas campañas emplean las TTP conocidas y habituales y su divulgación es menos atractiva. La industria tiende a escoger las campañas más novedosas en las que el ciberdelincuente ha intentado algo nuevo o bien ha cometido un fallo. Estos datos son un indicador de lo que el sector ha considerado relevante y significativo durante el cuarto trimestre de 2022.

Países más denunciados en campañas auspiciadas por Estados, 4.º trimestre de 2022

37

de las campañas auspiciadas por Estados denunciadas públicamente en el cuarto trimestre de 2022 se originaron en China.

1.

China

37 %

2.

Corea del Norte

24 %

3.

Irán

1 %

4.

Rusia / Россия

1 %

5.

India

1 %

Ciberdelincuentes más prevalentes en denuncias de actividad auspiciada por Estados, 4.º trimestre de 2022

33

Lazarus fue el ciberdelincuente más prevalente en cuanto a actividad patrocinada por Estados en el cuarto trimestre de 2022.

1.

Lazarus

14 %

2.

Mustang Panda

13 %

3.

APT34
АРТ37
APT41
COLDRIVER
Patchwork
Polonium
Side Winder
Winnti Group

cada uno un 1 %

Herramientas no maliciosas más prevalentes empleadas en actividad auspiciada por Estados, 4.º trimestre de 2022

1.

Rund1132

22 %

2.

Cmd

19 %

3.

Reg

17 %

4.

Ncat

12 %

5.

Regsv132

6 %

Países más atacados en campañas relacionadas con Estados denunciadas, 4.º trimestre de 2022

16

Estados Unidos fue el país más atacado en campañas auspiciadas por Estados denunciadas en el cuarto trimestre de 2022.

Sectores más atacados en campañas auspiciadas por Estados, 4.º trimestre

33

La Administración pública fue el sector más atacado en las campañas auspiciadas por Estados en el cuarto trimestre de 2022, seguido por el de Industria militar (11 %) y Telecomunicaciones (11 %).

Herramientas maliciosas más populares empleadas en campañas auspiciadas por Estados, 4.º trimestre de 2022

1.

PlugX

22 %

2.

Cobalt Strike

17 %

3.

Metasploit

13 %

4.

BlindingCan

9 %

5.

Scanbox
ShadowPad
ZeroCleare

9 %  cada una

Herramientas no maliciosas más populares empleadas en campañas auspiciadas por Estados, 4.º trimestre de 2022

1.

Cmd

32 %

2.

Rund1132

20 %

3.

PowerShell

14 %

4.

Reg

8 %

5.

Schtasks.exe

7 %

Técnicas MITRE ATT&CK más populares empleadas en campañas auspiciadas por Estados, 4.º trimestre de 2022

1.

Ingress Tool Transfer

13 %

2.

Descubrimiento de información del sistema

13 %

3.

Archivos o información ocultos

12 %

4.

Protocolos web

11 %

5.

Anulación de ocultación/descodificación de archivos o información

11 %

Vulnerabilidades aprovechadas observadas en campañas auspiciadas por Estados, 4.º trimestre de 2022

CVE-2017-11882

CVE-2020-17143

CVE-2021-44228

CVE-2021-21551

CVE-2018-0802

CVE-2021-26606

CVE-2021-26855

CVE-2021-26857

CVE-2021-27065

CVE-2021-26858

CVE-2021-34473

CVE-2021-28480

CVE-2021-34523

CVE-2021-28481

CVE-2015-2545

CVE-2021-28482

CVE-2017-0144

CVE-2021-28483

CVE-2018-0798

CVE-2021-31196

CVE-2018-8581

CVE-2021-31207

CVE-2019-0604

CVE-2021-40444

CVE-2019-0708

CVE-2021-45046

CVE-2019-16098

CVE-2021-45105

CVE-2020-0688

CVE-2022-1040

CVE-2020-1380

CVE-2022-30190

CVE-2020-1472

CVE-2022-41128

CVE-2020-17141

 

Aprovechamiento de recursos locales (LOLBIN) y herramientas de terceros, 4.º trimestre de 2022

 

Las observaciones y el seguimiento realizados a través de nuestra plataforma Insights nos han permitido recopilar la siguiente información sobre el panorama de amenazas durante el 4.º trimestre de 2022:

Datos destacados sobre LOLBIN, 4.º TRIMESTRE DE 2022

  • El aprovechamiento de recursos locales sigue jugando un papel importante en las etapas de un ataque: acceso inicial, ejecución, descubrimiento, persistencia e impacto.
  • Los datos cuarto trimestre de 2022 muestran una tendencia sostenida de técnicas de ejecución de comandos y scripts mediante Windows Command Shell o PowerShell.
  • El uso es prevalente entre los actores de amenazas, incluidas las sofisticadas APT, los grupos con motivaciones financieras y los hacktivistas.

Los recién llegados, los ciberdelincuentes puntuales o los principiantes que irrumpen en el panorama de amenazas también hacen uso de archivos binarios ya presentes incorporados en infraestructuras de ataques populares, en su intento de pasar desapercibidos e infiltrarse en un sistema o aprovechar una vulnerabilidad.

Las técnicas de aprovechamiento de recursos locales siguen utilizándose en las fases de un ataque: acceso inicial, ejecución, descubrimiento, persistencia e impacto. Los datos del 4.º trimestre de 2022 muestran una tendencia sostenida de técnicas de ejecución de comandos y scripts mediante Windows Command Shell o PowerShell.

Archivos binarios del sistema operativo más prevalentes, 4.º trimestre de 2022

47

Windows Command Shell representó el 47 % (casi la mitad) de los arriba 10 binarios del sistema operativo más prevalentes del 4.º trimestre de 2022, seguido de PowerShell (32 %) y Rundl32 (27 %).

1.

Windows Command Shell

47 %

2.

PowerShell

32 %

3.

Rund132

27 %

4.

Schtasks

23 %

5.

WMI

21 %

Principales herramientas de terceros, T4 2022

1.

Herramientas de acceso remoto

58 %

2.

Transferencia de archivos

22 %

3.

Herramientas posexplotación

20 %

4.

Descubrimiento de la red

16 %

5.

Descubrimiento de AD

10 %

El uso es prevalente entre los actores de amenazas, incluidas las sofisticadas APT, los grupos con motivaciones financieras y los hacktivistas. Los recién llegados, los ciberdelincuentes puntuales o los principiantes que irrumpen en el panorama de amenazas también hacen uso de archivos binarios ya presentes, en su intento de pasar desapercibidos e infiltrarse en un sistema o aprovechar una vulnerabilidad.

Los eventos procesados a través de la plataforma Insights indican que los actores de amenazas utilizaron binarios de Windows para facilitar el despliegue de malware adicional, como un ladrón de información, un troyano de acceso remoto o ransomware. Archivos binarios como MSHTA, WMI o WScript pueden haberse ejecutado para recuperar cargas útiles adicionales de recursos controlados por el atacante.

Las herramientas de acceso remoto y control se encuentran sistemáticamente entre las más utilizadas por los actores de amenazas. Sin embargo, las herramientas que utilizan los profesionales de la seguridad siguen empleándose con fines maliciosos. Los actores de amenazas pueden utilizarlas para mantener balizas activas, automatizar la filtración o recopilar y comprimir la información perseguida.

Entre las herramientas gratuitas y de código abierto, los actores de amenazas utilizaron los empaquetadores de software para modificar el software legítimo e incluir malware con la intención de eludir las detecciones y dificultar el análisis.

Datos de Cobalt Strike del 4.º TRIMESTRE 2022

El grupo de inteligencia sobre amenazas del Advanced Research Center supervisa el uso de los servidores de Cobalt Strike (Cobalt Strike C2) en entornos reales, mediante la combinación de metodologías detección de cargas útiles y caza de amenazas. Aquí presentamos las principales novedades identificadas durante el análisis de las balizas de Cobalt Strike recopiladas:

15

Licencias de prueba de Cobalt Strike

Solo el 15 % de las balizas de Cobalt Strike identificadas en circulación tenían una licencia de prueba de Cobalt Strike. Esta versión de Cobalt Strike incluye la mayoría de las funciones conocidas de esta infraestructura posexplotación. Sin embargo, añade "avisos" y elimina el cifrado en tránsito para facilitar a los productos de seguridad la detección de la carga útil.

5

Encabezado HTTP de host

Al menos el 5 % de las balizas de Cobalt Strike observadas utilizaban encabezado HTTP de host que facilita el domain fronting con Cobalt Strike. El Domain Fronting es una técnica que abusa de las redes de entrega de contenido (CDN, Content Delivery Networks) que albergan múltiples dominios. Los atacantes ocultan una solicitud HTTPS a un sitio web malicioso bajo una conexión TLS a un sitio web legítimo.

87

Rundll32.exe

Rundll32.exe, el proceso predeterminado utilizado para crear las sesiones y ejecutar tareas posexplotación, se detectó en el 87 % de las balizas identificadas.

22

Balizas DNS

Las balizas DNS representaron el 22 % de las balizas de Cobalt Strike identificadas. Este tipo de carga útil se comunica con el servidor de Cobalt Strike, que es un servidor autoritativo del dominio' a través de consultas DNS para ocultar su actividad.

Principales países que alojan servidores de Cobalt Strike Team, 4.º trimestre de 2022

50

La mitad de los servidores de Cobalt Strike detectados en el 4.º trimestre de 2022 se alojaban en China, sobre todo por el tamaño del alojamiento de nube disponible en este país.

Gootloader, 4.º trimestre de 2022

Gootloader es un malware modular que en ocasiones puede denominarse indistintamente como otro malware identificado como "GootKit" o "GootKit Loader". Las funciones modulares actuales del malware Gootloader se utilizan para distribuir cargas útiles de malware, como REvil, Kronos, Cobalt Strike e Icedid.

En incidentes recientes se ha observado a Gootloader utilizando la optimización de motores de búsqueda (SEO) para dirigir a usuarios desprevenidos a sitios web comprometidos o falsos utilizados para alojar un archivo comprimido con una carga útil de archivos de JS (JavaScript). Sin embargo, esta técnica requiere que el usuario abra el archivo y ejecute el contenido que a su vez ejecuta el código JS malicioso a través de Windows Scripting Host. Tras la ejecución, Gootloader iniciará comunicaciones de mando y control y recuperará malware adicional.

Gootloader es un presunto malware como servicio (MaaS) ofrecido a suscriptores, que permite a los actores de amenazas incorporar varias cargas útiles adicionales, por lo que supone una importante amenaza para los entornos empresariales.

A través de nuestro rastreador de Gootloader interno, hemos identificado una variante reciente, detectada en circulación el 18 de noviembre de 2022, y variantes antiguas que pasaron a estar inactivas el 13 de noviembre de 2022. Las modificaciones en las últimas variantes son las siguientes:

  • Eliminación de la funcionalidad de manipulación del registro.
  • Aumento de las solicitudes remotas de red a 10 URL en lugar de 3.
  • Capacidad de invocar directamente scripts de PowerShell a través de CScript.
  • Persistencia para cada inicio de sesión de usuario.

Nuestro proceso de rastreo de Gootloader

La nueva variante de Gootloader ha evolucionado empleando múltiples capas de ofuscación. Cada etapa anidada tras el desempaquetado utiliza variables cargadas de su etapa anterior, lo que complica más el análisis. Las muestras recopiladas obtenidas por nuestros esfuerzos de caza mediante reglas YARA se incorporan a un análisis estático de JavaScript y PowerShell para extraer los indicadores de peligro (IOC), como servidores de mando y control (C&C, C2) y firmas de ID exclusivas. Estos indicadores de peligro pueden utilizarse para identificar y rastrear instancias específicas de Gootloader en circulación.

Los indicadores de peligro de Gootloader extraídos se procesan entonces realizando una consulta en la base de datos del equipo de reputación de URL de Trellix para identificar cuáles son maliciosas, los dominios legítimos potencialmente comprometidos y los dominios legítimos que se utilizan como señuelos para obstaculizar el análisis.

Datos de telemetría de Gootloader

Las estadísticas que se muestran pertenecen a las campañas identificadas a partir de la correlación de los indicadores de peligro extraídos de los registros de nuestros clientes, no de las propias detecciones. En el caso de Gootloader, la mayoría de las detecciones se basan en resultados de dominios. Puesto que Gootloader utiliza dominios de señuelo, las estadísticas que se muestran podrían interpretarse como maliciosas con un nivel medio de confianza.

Países más afectados por Gootloader, 4º trimestre de 2022

37

Estados Unidos fue el país más afectado por Gootloader en el 4.º trimestre de 2022.

1.

Estados Unidos

37 %

2.

Italia

19 %

3.

India

11 %

4.

Indonesia

9 %

5.

Francia

5 %

Técnicas MITRE ATT&CK más populares empleadas por Gootloader, 4.º trimestre de 2022

1.

Desofuscación/descodificación de archivos o información

2.

JavaScript

3.

Archivos o información ocultos

4.

PowerShell

5.

Vaciado del proceso

Sectores más afectados por Gootloader, 4º trimestre de 2022

56

El sector de las telecomunicaciones fue el más afectado por Googtloader en el 4.º trimestre de 2022.

Técnicas MITRE ATT&CK más populares empleadas por Gootloader, 4.º trimestre de 2022


Anulación de ocultación/descodificación de archivos o información
JavaScript
Archivos o información ocultos
PowerShell
Vaciado del proceso
Carga reflexiva de código
Claves de ejecución del Registro/carpeta de inicio
Rundll32
Tarea programada

Inteligencia sobre vulnerabilidades, 4.º trimestre de 2022

 

Nuestro panel de vulnerabilidades reúne el análisis de las últimas vulnerabilidades de gran impacto. El análisis y clasificación corre a cargo de los expertos en vulnerabilidades sectoriales del Advanced Research Center. Estos investigadores, especializados en ingeniería inversa y análisis de vulnerabilidades, supervisan permanentemente las últimas vulnerabilidades y el uso que hace de ellas los actores de amenazas en sus ataques, para ofrecer orientación sobre las medidas correctivas. Gracias al alto nivel técnico y precisión de las recomendaciones, puede separar el grano de la paja y centrarse en las vulnerabilidades de mayor impacto que pueden afectar a su organización, acelerando así la reacción.

Datos destacados de inteligencia sobre vulnerabilidades, 4.º trimestre de 2022

41

Lanner representó el 41 % de los productos vulnerables y proveedores afectados por vulnerabilidades CVE únicas en el 4.º trimestre de 2022.

29

IAC-AST2500A, versión de firmware 1.10.0 fue la CVE más utilizada por producto en el 4.º trimestre de 2022

Productos vulnerables, proveedores y CVE de mayor impacto, 4.º trimestre de 2022

1.

Lanner

41 %

2.

Microsoft

19 %

3.

BOA 3

15 %

4.

Oracle

8 %

5.

Apple
Chrome
Citrix
Fortinet
Linux

cada uno un 4 %

Vulnerabilidades CVE por producto, 4.º trimestre de 2022

29

IAC-AST2500A, versión de firmware 1.10.0 fue la vulnerabilidad CVE más utilizada por productos en el 4.º trimestre de 2022, seguida del servidor BOA (10 %), IAC-AST2500A (6 %) y Exchange (6 %).

Vulnerabilidades CVE por producto CVE únicas

IAC-AST2500A, versión de firmware 1.10.0

9

Servidor BOA

3

Exchange

3

IAC-AST2500A

1

tvOS 1

1

iPadOS 1

1

iOS

1

Windows

1

Safari

1

SQLite hasta la versión 3.40.0 (incluida) 1

1

Oracle Access Manager, 11.1.2.3.0, 12.2.1.3.0, 12.2.1.4.0

1

MacOS

1

Linux Kernel, anterior a la versión 5.15.61

1

Internet Explorer

1

FortiOS (sslvpnd)

1

Citrix ADC/Citrix Gateway

1

Chrome, versiones anteriores a 108.0.5359.94/.95

1

Servidor BOA, BOA 0.94.13 1

1

Vulnerabilidades CVE, 4.º trimestre de 2022

CVE-2022-1786

CVE-2022-41040

CVE-2022-26134

CVE-2022-41080

CVE-2022-27510

CVE-2022-41082

CVE-2022-27518

CVE-2022-41128

CVE-2022-31685

CVE-2022-41352

CVE-2022-32917

CVE-2022-42468

CVE-2022-32932

CVE-2022-42475

CVE-2022-33679

CVE-2022-4262

CVE-2022-34718

CVE-2022-42856

CVE-2022-35737

CVE-2022-42889

CVE-2022-3602

CVE-2022-43995

CVE-2022-3786

CVE-2022-46908

CVE-2022-37958

CVE-2022-47939

CVE-2022-40684

 

Tendencias de seguridad del correo electrónico, 4.º trimestre de 2022

 

Las estadísticas de seguridad del correo electrónico se basan en datos de telemetría generados de varios appliances de seguridad del correo electrónico desplegados en redes de clientes de todo el mundo. Los registros de las detecciones se agregaron y analizaron para generar las siguientes conclusiones:

Tendencias de seguridad del correo electrónico, 4.º trimestre de 2022

La Copa Mundial de fútbol se celebró durante el 4.º trimestre de 2022. Los ciberdelincuentes no tardaron en aprovechar el mayor evento futbolístico en el mundo entero y lanzaron numerosas campañas de phishing sobre el tema del fútbol contra empresas de países árabes situadas cerca de Qatar, país organizador del evento.

100

El volumen de mensajes de correo electrónico en países árabes descendió un 100 % en octubre, en comparación con los meses de agosto y septiembre

40

Qakbot fue la táctica de malware más utilizada, ya que representó el 40 % de las campañas dirigidas contra países árabes.

42

El sector de las telecomunicaciones fue el más afectado por mensajes de correo electrónico maliciosos en el 4.º trimestre de 2022, el 42 % de las campañas de correo electrónico maliciosas dirigidas contra sectores concretos.

87

Los mensajes de correo electrónico de phishing que utilizan URL maliciosas fueron de largo el vector de ataque más prevalente en el 4.º trimestre de 2022.

64

Los casos de suplantación aumentaron un 64 % respecto al tercer trimestre de 2022.

82

de los mensajes de fraude del CEO se enviaron utilizando servicios de correo electrónico gratuitos.

78

de los ataques Business Email Compromise (BEC) utilizaban frases habituales asociadas al CEO.

142

Los ataques de vishing ocuparon un lugar destacado en el 4.º trimestre de 2022, con un aumento del 142 % respecto al trimestre anterior.

Tácticas de malware de correo electrónico más prevalentes, 4. trimestre de 2022

40

Qakbot fue la táctica de malware de correo electrónico más prevalente utilizada en el 4.º trimestre de 2022.

1.

Oakbot

40 %

2.

Emotet

26 %

3.

Formbook

26 %

4.

Remcos

4 %

5.

QuadAgent

4 %

Productos y marcas más afectadas por phishing por correo electrónico, 4.º trimestre de 2022

1.

Genérico

62 %

2.

Outlook

13 %

3.

Microsoft

11 %

4.

Ekinet

8 %

5.

Cloudfare

3 %

Sectores más afectados por mensajes de correo electrónico maliciosos, 4.º trimestre de 2022

42

El sector de las telecomunicaciones fue el más afectado por correo electrónico malicioso en el 4.º trimestre de 2022.

Tendencias de suplantación del correo electrónico, 4.º trimestre de 2022

100

El volumen de mensajes de correo electrónico en países árabes descendió un 100 % en octubre, en comparación con los meses de agosto y septiembre

40

Qakbot fue la táctica de malware más utilizada, ya que representó el 40 % de las campañas dirigidas contra países árabes.

42

El sector de las telecomunicaciones fue el más afectado por mensajes de correo electrónico maliciosos en el 4.º trimestre de 2022, el 42 % de las campañas de correo electrónico maliciosas dirigidas contra sectores concretos.

Principales frases del CEO utilizadas en ataques BEC en el 4.º trimestre de 2022

"Necesito que me ayudes con algo inmediatamente".

"Necesito que hagas algo; por favor, envíame tu número de teléfono móvil".

"Envíame tu número de teléfono; hay algo urgente que necesito que hagas".

"Envíame tu número de móvil y mira el mensaje de texto que te voy a enviar. Necesito que hagas algo inmediatamente".

"Por favor, mira y confirma tu número de móvil y lee el mensaje con instrucciones que te voy a enviar".

"¿Recibiste mi mensaje de correo electrónico anterior? Tengo un negocio rentable que ofrecerte".

Suplantación (comparativa), 4.º trimestre de 2022

64

Los casos de suplantación aumentaron un 64 % respecto al tercer trimestre de 2022.

Datos sobre campañas de phishing, 4º trimestre de 2022

Los proveedores de alojamiento web utilizados cada vez más para estafar y robar

Vectores de ataque más utilizados en mensajes de phishing

87

Los mensajes de correo electrónico de phishing que utilizan URL maliciosas fueron de largo el vector de ataque más prevalente en el 4.º trimestre de 2022.

1.

URL

87 %

2.

Adjuntos

7 %

3.

Encabezados

6 %

En el 4.º trimestre, observamos un aumento del uso de proveedores de alojamiento web legítimos para estafar a los usuarios y robar las credenciales. Los tres proveedores de servicios más utilizados fueron: dweb.link, ipfs.link, translate.goog. También hemos observado importantes volúmenes de otros dominios de proveedores de servicios como ekinet, storageapi_fleek y selcdn.ru. Además de estas, hubo otros dos proveedores de servicios como ekinet, storageapi_fleek, selcdn.ru. Los ciberdelincuentes siguen utilizando proveedores de servicios nuevos y populares para alojar páginas de phishing y eludir los motores antiphishing. Una razón por la que los ciberdelincuentes han aumentado su interés en proveedores de alojamiento web legítimos: ningún sistema de detección puede incluir estos servicios en listas de bloqueo, ya que su principal objetivo es alojar archivos legítimos y compartir contenido.

Proveedores de alojamiento web más abusados, 4.º trimestre de 2022

154

Si bien Dweb fue el proveedor de alojamiento web más afectado en el 4.º trimestre de 2022, Google Translate experimentó el mayor aumento (154 %) entre el 3.er y el 4.º trimestre de 2022.

1.

Dweb

81%

2.

Ipfs

17 %

3.

Google Translate

10 %

Técnicas de evasión más utilizadas en ataques de phishing, 4.º trimestre de 2022

63

  • La evasión basada en la redirección 302 fue la más prominente en el 4.º trimestre de 2022.
  • Los ataques de phishing de evasión basados en geolocalización aumentaron de manera importante en el 4.º trimestre.
  • Los ataques basados en captcha también aumentaron en el 4.º trimestre.

Datos sobre vishing, 4º. trimestre de 2022

El vishing es otra forma de phishing y está es diseñado para inducir a las víctimas a interactuar con los atacantes, sobre todo mediante un mensaje de correo electrónico, de texto, una llamada de teléfono o mensajes de chat directo.

142

Los ataques de vishing ocuparon un lugar destacado en el 4.º trimestre de 2022, con un aumento del 142 % respecto al trimestre anterior.

85

Los servicios de correo electrónico gratuitos se han convertido en los favoritos entre los ciberdelincuentes que utilizan el vishing. Un alto porcentaje de los ataques de vishing del 4º trimestre de 2022 detectados (85 %) se enviaron a través de un servicio de correo electrónico gratuito.
Norton, McAfee, Geek Squad, Amazon y PayPal fueron los temas más populares utilizados en las campañas de vishing detectadas en el 4º. trimestre.

Seguridad de redes, 4.º trimestre de 2022

 

El equipo de investigación de Trellix ARC se centra en detectar y bloquear los ataques basados en la red que amenaza a nuestros clientes. Inspeccionamos distintas áreas de la cadena de ataque (cyber kill chain): reconocimiento, compromiso inicial, comunicación de mando y control, así como las tácticas, técnicas y procedimientos para el movimiento lateral. Nuestra capacidad para aprovechar al máximo nuestras tecnologías combinadas nos ofrece visibilidad para detectar mejor las amenazas desconocidas.

Técnicas MITRE ATT&CK más populares empleadas contra la seguridad de las redes, 4.º trimestre de 2022

  • T1083 – Descubrimiento de archivos y directorios
  • T1573 – Canal cifrado
  • T1020 – Filtración automatizada
  • T1210 – Aprovechamiento de servicios remotos
  • T1569 – Servicios del sistema
  • T1059 – Intérprete de comandos y scripts Windows Command Shell
  • T1047 – Instrumental de administración de Windows
  • T1087 – Descubrimiento de cuentas
  • T1059 – Intérprete de comandos y scripts
  • T1190 – Exploit de aplicaciones públicas

Ataques de mayor impacto en servicios externos, 4.º trimestre de 2022

Realizamos a diario una gran cantidad de análisis de red para sondear las máquinas externas y buscar un umbral potencial en el entorno de un cliente. Los exploits antiguos buscan constantemente sistemas sin parches.

  • Detección de intento de acceso al archivo /etc/passwd
  • Posible ataque de scripting entre sitios
  • Analizador de seguridad de SIPVicious
  • Analizador de tráfico con Nmap detectado
  • Actividad de análisis - Shellshock, sondeo de servidores web
  • Ejecución remota de código Bash (Shellshock) HTTP CGI (CVE-2014-6278)
  • Oracle WebLogic CVE-2020-14882, Vulnerabilidad de ejecución remota de código
  • Intento transversal de directorios
  • Inserción de secuencia de comandos OGNL ConversionErrorInterceptor en Apache Struts 2
  • Ejecución remota de código CVE-2021-44228 en Log4j de Apache.

Las webshells más relevantes utilizadas como acceso inicial a la red, 4.º trimestre de 2022

Las webshells más relevantes utilizadas como acceso inicial a la red, 4.º trimestre de 2022

  • China Chopper
  • JFolder
  • ASPXSpy
  • C99
  • Tux
  • B374K / Familia RootShell

Herramientas, técnicas y procedimientos más relevantes tras acceder a la red, 4.º trimestre de 2022

Las siguientes webshells suelen utilizarse para intentar controlar un servidor web vulnerable.

Hemos observado un gran volumen de herramientas, técnicas y procedimientos que utilizan los atacantes durante un movimiento lateral, incluido el empleo de vulnerabilidades y herramientas antiguas, como SCShell y PSExec.

  • SCshell: movimiento lateral sin archivos usando el administrador de servicios
  • Llamada a procedimiento remoto de WMI de Windows
  • Invocación del shell de comandos a través de WMIEXEC en el protocolo SMB
  • Exploit EternalBlue detectado
  • Intento de aprovechar CVE-2020-0796, Microsoft SMBv3
  • Ejecución remota de código CVE-2021-44228 - Log4j de Apache
  • Enumeración remota de cuentas de administración de empresa/dominios
  • Acceso remoto a PowerShell sospechoso
  • Reconocimiento de red sospechoso mediante WMIC
  • Comando de enumeración detectado en archivo por lotes
  • Actividad PsExec en SMB

Telemetría de operaciones de seguridad basada en Trellix XDR

 

Estas estadísticas se apoyan en telemetría generada de distintas instancias Helix desplegadas por nuestros clientes. Los registros de las detecciones se agregan y se analizan para elaborar las siguientes secciones:

Incidentes de seguridad de mayor impacto, 4.º trimestre de 2022

A continuación se muestran las alertas de seguridad más prevalentes del 4.º trimestre de 2022:

Vulnerabilidades aprovechadas observadas en campañas auspiciadas por Estados, 4.º trimestre de 2022

EXPLOIT - LOG4J [CVE-2021-44228]

OFFICE 365 ANALYTICS [Inicio de sesión anormal]

OFFICE 365 [Ataque de phishing permitido]

EXPLOIT - FORTINET [CVE-2022-40684]

EXPLOIT - APACHE SERVER [CVE-2021-41773 - Intento]

WINDOWS ANALYTICS [Ataque por fuerza bruta]

EXPLOIT - ATLASSIAN CONFLUENCE [CVE-2022-26134]

EXPLOIT - F5 BIG-IP [CVE-2022-1388 - Intento]

Técnicas MITRE ATT&CK más utilizadas, T4 2022

1.

Explotación de aplicaciones públicas (T1190)

29 %

2.

Protocolo de capa de aplicaciones: DNS (T1071.004)
Phishing (T1566)

14 %
14 %

3.

Manipulación de cuentas (T1098.001)
Fuerza bruta (T1110)
Compromiso por descarga desapercibida (T1189)
Ejecución por usuario: Archivo malicioso (T1204.002)
Cuentas válidas: Cuentas locales (T1078,003)

7 %  cada una

Distribución de los principales orígenes de registros, T4 2022

1.

Red

40 %

2.

Correo electrónico

27 %

3.

Endpoint

27 %

4.

Firewall

6 %

Exploits observados en el 4.º trimestre de 2022

Ciberdelincuentes más prevalentes en denuncias de actividad auspiciada por Estados, 4.º trimestre de 2022

30

Log4j fue el exploit más prevalente observado en el 4.º trimestre de 2022.

1.

Log4j (CVE-2021-44228)

14 %

2.

Fortinet (CVE-2022-40684)

13 %

3.

Apache Server (CVE-2021-41773)

13 %

4.

Atlassian Confluence (CVE-2022-26134)

13 %

5.

F5 BIG- IP (CVE-2022-1388 - Intento]

13 %

6.

Microsoft Exchange (intento de exploit de ProxyShell)

13 %

Incidentes en la nube en el 4.º trimestre de 2022

Los ataques contra la infraestructura de nube no dejan de aumentar en una coyuntura en la que muchas empresas transicionan desde infraestructuras in situ. Gartner analysts predict more than 85% of organizations will embrace a cloud-first principle by 2025.

Durante el análisis de la telemetría del 4.º trimestre de 2022, hemos observado:

  • Las detecciones relacionadas con AWS se sitúan a la cabeza debido a la condición de líder del mercado de la nube de AWS.
  • La mayoría de los ataques se centraron en el acceso inicial mediante ataques por fuerza bruta/difusión de contraseñas contra cuentas válidas, lo que apunta al vector de infección inicial en la superficie de ataque de la nube.
  • La mayoría de las cuentas empresariales tenían activada la autenticación multifactor, por lo que los ataques por fuerza brutal que tienen éxito permiten a los ciberdelincuentes acceder a plataformas MFA, generando un enorme repunte en las detecciones relacionadas con la MFA.

Las siguientes secciones describen brevemente los datos de telemetría de ataques basados en la nube de nuestra base de clientes desglosada por los distintos proveedores de nube.

Distribución de las técnicas MITRE ATT&CK para AWS, T4 2022

1.

Cuentas válidas (T1078)

18 %

2.

Modificación de la infraestructura del servicio de proceso de la cuenta en la nube (T1578)

12 %

3.

Manipulación de cuentas (T1098)

9 %

4.

Cuentas en la nube (T1078.004)

8 %

5.

Fuerza bruta (T1110)
Obstaculización de defensas (T1562) una

6 %
6 %

Principales detecciones de AWS por técnicas MITRE ATT&CK, T4 2022

Técnica MITRE ATT&CK Regla

Manipulación de cuentas (T1098)

Política de privilegios de AWS asociada a identidad
IAM AWS S3 - Eliminar políticas de bucket

Cuentas válidas (T1078)

Inicio de sesión en consola anormal en servicio AWS Analytics
Uso de clave API anormal en el servicio AWS Analytics
Comportamiento de usuario anormal en AWS GuardDuty
Acceso anónimo a AWS GuardDuty concedido

Obstaculización de defensas (T1562)

AWS CloudTrail - Cambios en políticas en CloudTrail
AWS CloudTrail - Eliminación de registro de seguimiento

Credenciales en archivos (T1552.001)

Alerta de posible robo de claves secretas de AWS

Transferencia de datos a cuenta en la nube (T1527)

AWS CloudTrail - Definición de ACL de bucket de S3
AWS CloudTrail - Definición de ACL de bucket de S3
AWS CloudTrail - Definición de ACL de objeto

Principales técnicas MITRE ATT&CK para Azure, T4 2022

1.

Cuentas válidas (T1078)

23 %

2.

Autenticación multifactor (T1111)

19 %

3.

Fuerza bruta (T1110)

14 %

4.

Proxy (T1090)

14 %

5.

Manipulación de cuentas (T1098)

5 %

Principales detecciones de Azure por técnicas MITRE ATT&CK, T4 2022

Técnica MITRE ATT&CK Regla

Cuentas válidas (T1078)

Inicio de sesión peligroso en Azure AD
Inicio de sesión en Azure desde ubicación inusual
Inicio de sesión en Azure por una cuenta inactiva durante 60 días

Fuerza bruta (T1110)

Múltiples errores de autenticación en Azure
Ataque de fuerza bruta contra el portal de Azure Graph
Intentos de descifrado de contraseñas distribuidas

Autenticación multifactor (T1111)

MFA en Azure denegada por alerta de fraude
MFA en Azure denegada porque el usuario está bloqueado
MFA en Azure denegada por código de fraude
MFA en Azure denegada por app de fraude

Servicios remotos externos (T1133)

Inicio de sesión en Azure desde la red TOR

Manipulación de cuentas (T1098)

Restablecimiento de contraseñas de usuario inusual en Azure

Distribución de las técnicas MITRE ATT&CK para GCP, T4 2022

1.

Cuentas válidas (T1078)

36 %

2.

Ejecución a través de API (T0871)

18 %

3.

Descubrimiento de cuentas (T1087.001)
Manipulación de cuentas (T1098)
Obstaculización de defensas (T1562)
Modificación de la infraestructura del servicio de proceso de la cuenta en la nube (T1578)
Servicios remotos (T1021.004) una

9 %  cada una

Principales detecciones de GCP por técnicas MITRE ATT&CK, T4 2022

Técnica MITRE ATT&CK Regla

Cuentas válidas (T1078)

Cuentas GCP - Creación de servicio
GCP Analytics - Actividad anormal
GCP - Creación de clave de cuenta de servicio

Servicios remotos (T1021.004)

GCP - Regla de firewall permite todo el tráfico en el puerto SSH

Manipulación de cuentas (T1098)

GCP - Modificación de directivas de IAM de la empresa

Descubrimiento de cuentas (T1087.001)

Alerta ["gcps net user"]"]

Transferencia de datos a cuenta en la nube (T1527)

GCP - Enrutador de registros modificado

Modificación de la infraestructura del servicio de proceso de la cuenta en la nube (T1578)

GCP - Protección de eliminación desactivada

Redacción e investigación

Alfred Alvarado

Henry Bernabe

Adithya Chandra

Dr. Phuc Duy Pham

Sarah Erman

John Fokker

Lennard Galang

Sparsh Jain

Daksh Kapoor

Maulik Maheta

João Marques

Tim Polzer

Srini Seethapathy

Rohan Shah

Vihar Shah

Swapnil Shashikantpa

Shyava Tripathi

Leandro Velasco

Alfred Alvarado

Henry Bernabe

Adithya Chandra

Dr. Phuc Duy Pham

Sarah Erman

John Fokker

Lennard Galang

Sparsh Jain

Daksh Kapoor

Maulik Maheta

João Marques

Tim Polzer

Srini Seethapathy

Rohan Shah

Vihar Shah

Swapnil Shashikantpa

Shyava Tripathi

Leandro Velasco

Recursos

Para estar al tanto de las amenazas más recientes y que más impacto han producido identificadas por el Trellix Advanced Research Center, consulte estos recursos:

Fotografía del perfil de Twitter de TrellixARC
TrellixARC
Twitter

Acerca del Trellix Advanced Research Center

El Trellix Advanced Research Center posee la carta de ciberseguridad más completa del sector y está a la vanguardia en cuanto al estudio de métodos, tendencias y ciberdelincuentes emergentes en el panorama de las amenazas. Partner ineludible de los equipos de operaciones de seguridad en todo el mundo, el Trellix Advanced Research Center ofrece inteligencia y contenido avanzado a los analistas de seguridad, mientras fomenta nuestra plataforma XDR. Además, el grupo de inteligencia de amenazas del Trellix ofrece varios productos y servicios de inteligencia sobre amenazas a clientes de todo el mundo.

Trellix Advanced Research Center

Acerca de Trellix

Trellix es una empresa mundial que tiene como vocación redefinir el futuro de la ciberseguridad. Su plataforma de detección y respuesta ampliadas (eXtended Detection and Response, XDR), abierta y nativa, ayuda a las organizaciones que se enfrentan a las amenazas más avanzadas en la actualidad a conseguir confianza en la protección y la resiliencia de sus operaciones. Trellix, junto con un nutrido ecosistema de partners, acelera las innovaciones tecnológicas gracias al aprendizaje automático y a la automatización, para reforzar la protección de más de 40 000 clientes de los sectores privado y público mediante una seguridad evolutiva.

Suscríbase para recibir nuestra información sobre amenazas

Este documento y la información que contiene describen investigaciones en el campo de la seguridad informática, con fines informativos y para la conveniencia de los clientes de Trellix. Las investigaciones de Trellix se llevan a cabo de acuerdo con su Política de divulgación razonable de vulnerabilidades | Trellix. Cualquier intento de recrear parte o la totalidad de las actividades descritas serán exclusivamente responsabilidad del usuario, y ni Trellix ni ninguna de sus empresas filiales aceptará responsabilidad alguna

Trellix es una marca comercial registrada o marca registrada de Musarubra US LLC o sus empresas filiales en EE. UU. u otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.