EL
INFORME DE CIBERAMENAZAS

EL
INFORME DE CIBERAMENAZAS

Noviembre de 2023

Información obtenida de una red mundial de expertos, sensores, telemetría e inteligencia


Presentado por Trellix Advanced Research Center Logo

Un espía vinculado a China, UNC4841, ataca la red mundial de una empresa del sector de la seguridad, aprovechando la vulnerabilidad CVE-2023-2868.

Como CISO, da instrucciones a su equipo de SecOps para que comience inmediatamente a aplicar parches con el fin de evitar que los sistemas se vean seriamente afectados.

Pero entre sus directivos hay preocupación y solicitan una reunión en persona. Necesitan garantías. No saben nada de ciberseguridad, así que no puede presentarse ante ellos y decir, "ya está, hemos corregido 500 vulnerabilidades".

Debe empezar hablando de las ciberamenazas, y mencionar la inteligencia y los datos recopilados por un millón de sensores.

Bienvenido a la edición de noviembre de 2023 del Informe de Trellix sobre ciberamenazas.


El informe de Trellix sobre ciberamenazas

Elaborado por el Advanced Research Center de Trellix, este informe (1) destaca ideas, inteligencia y recomendaciones obtenidas de múltiples fuentes de datos críticos sobre amenazas de ciberseguridad, y (2) desarrolla interpretaciones expertas, racionales y razonables de estos datos para orientar y facilitar las mejores prácticas en ciberdefensa. Esta edición se centra en las observaciones y datos recogidos entre el 1 de abril y el 30 de septiembre de 2023.

Una alianza crítica

¿Cuál es el panorama real? ¿Qué podemos esperar? ¿Cómo podemos adelantarnos?

Estas son preguntas que nos hacemos a diario. Ustedes los CISO y también sus equipos de operaciones de seguridad, nuestros expertos del Advanced Research Center y yo mismo, todos, vamos de reuniones de crisis con CEO y juntas directivas a misiones intensivas de búsqueda y contraataque durante todo el fin de semana para rastrear a bandas de ransomware o cargas maliciosas.

Nuestras misiones dependen en gran medida de nuestra colaboración.

  • Su equipo supervisa la información, tecnología y ciberseguridad de su empresa. Y nosotros estamos aquí para informarle de primera mano sobre los ciberriesgos a los que se enfrenta.
  • Compartimos credenciales similares, como inteligencia a nivel de seguridad nacional, servicio militar o policial, operaciones especiales, contraterrorismo y espionaje, así como experiencia a nivel ejecutivo en áreas como el diseño de la arquitectura de red y la administración de sistemas.

Ya sea trabajando de forma independiente o conjunta, sus equipos y los nuestros representan la primera línea de defensa para prácticamente todas las organizaciones del mundo.

Las repercusiones de los ciberataques siguen evolucionando.

La prevención de estos incidentes y su impacto comienza por la inteligencia. Es preciso conocer el entorno de las amenazas y traducir los datos brutos de telemetría en acciones prácticas para responder a los ciberdelincuentes, las vulnerabilidades y los ataques.

Este informe de Trellix sobre ciberamenazas ha sido elaborado para ayudarle. En esta edición

del 4.º trimestre de 2023 encontrará información sobre los cuatro frentes que conforman el entorno de amenazas: (1) actividades y APT auspiciadas por Estados, (2) la continua evolución del ransomware, (3) cambios en el comportamiento de los ciberdelincuentes y (4) la nueva amenaza que presenta la IA generativa.

La inteligencia configura el campo de batalla. En ciberseguridad, eso empieza aquí.

Portrait of John Fokker, Head of Threat Intelligence and Principal Engineer, Trellix Advanced Research Center
John Fokker
Director de inteligencia de amenazas de Trellix

Introducción

 

Una recesión geopolítica: guerras, agitación e inestabilidad

En ciberseguridad, el contexto internacional juega siempre un papel fundamental. Las guerras y los conflictos desatan pasiones. Las frágiles relaciones entre las naciones son caldo de cultivo para la desconfianza y las tropelías. La inestabilidad económica ofrece a algunos una oportunidad para aprovecharse de los demás. Estos son algunos de los factores que han influido en nuestros datos y análisis de amenazas del 4.º trimestre de 2023:

  • La guerra entre Rusia y Ucrania y la incertidumbre sobre la Rusia posguerra: los hackers que apoyan a Rusia continúan intensificando sus ataques contra Ucrania, concentrándose principalmente en infraestructuras críticas, instalaciones públicas, y centros de mando y control militares. Los ataques de hacktivistas ya se han extendido a la ONU, la OTAN y a Occidente, e incluyen ciberataques contra infraestructuras críticas y sistemas financieros en Estados Unidos y Europa. Anticipamos que mejorarán en sofisticación tras la guerra cuando la nación debilitada se resienta por su aislamiento.
  • China y su capacidad para llevar a cabo acciones de ciberespionaje y robos de propiedad intelectual: la estrategia extremadamente organizada de China en cuanto al robo de propiedad intelectual alcanza nuevas cotas y ha sido calificada como "el robo de propiedad intelectual más prolongado, adaptable y sofisticado..., sin precedentes en la historia de la humanidad", por el director del FBI, Christopher Ray. Otros líderes mundiales también temen que la plataforma TikTok, propiedad de China, pueda servir para la recopilación masiva de datos y para llevar a cabo operaciones de influencia. Mientras tanto, el país intensifica los ciberataques contra Taiwán.
  • Los Estados "paria" Irán y Corea del Norte y sus sofisticados ciberataques: estos estados autócratas están decididos a socavar la democracia a nivel mundial. El mes pasado, Anne Neuberger, asesora adjunta de Seguridad Nacional y Tecnologías Emergentes en el Consejo de Seguridad Nacional estadounidense, señaló que Corea del Norte ya está experimentando con ciberataques basados en inteligencia artificial. Al mismo tiempo, hay grupos iraníes respaldados por el Estado que atacan agresivamente organizaciones de defensa, aeroespaciales y farmacéuticas.
  • La guerra entre Israel y Hamás y la escalada de tensión en Oriente Medio: aunque este conflicto armado estalló a principios de octubre, justo después de la fecha límite del 30 de septiembre para la recopilación de datos y análisis de la edición actual de este informe, su relevancia en el ámbito de la ciberseguridad justifica que lo incluyamos. La guerra en curso ha acentuado enormemente la división entre los partidarios de ambos bandos del prolongado conflicto israelí-palestino, tanto en Oriente Medio como en Europa, y amenaza con extenderse a otros países de la región.
  • La inteligencia artificial como ciberarma: en los últimos meses, los ciberdelincuentes han comenzado a incorporar la inteligencia artificial (IA) a la mecánica del diseño de los ataques. Esto incluye la identificación de los sistemas ya infectados con cargas útiles destructivas, la generación de mensajes de correo electrónico de mejor calidad, la respuesta a preguntas complejas en chatbots secuestrados, la resolución de problemas y la generación de código nuevo. A medida que se simplifique el acceso a las herramientas de IA generativa, los ciberdelincuentes serán capaces de lanzar ataques de manera más fácil y barata, sin necesidad de contar con conocimientos técnicos.
  • Tensión política, hacktivismo y desinformación: tal como anticipamos a finales de 2022, el hacktivismo político (piratería informática con motivaciones políticas o sociales) va en aumento, impulsado en gran medida por la creciente polarización política en Estados Unidos de cara a las elecciones presidenciales de 2024, así como en otros países como Canadá, Suiza, Brasil y Nueva Zelanda. Algunos de estos grupos están adoptando tácticas y herramientas cibernéticas para dar más repercusión a sus mensajes, propagar la desinformación y generar caos.

Metodología: cómo recopilamos y analizamos los datos

Los expertos de talla mundial de nuestro Advanced Research Center recopilan las estadísticas, tendencias y datos que componen este informe a partir de una amplia gama de fuentes globales, tanto cautivas como abiertas. Los datos agregados se introducen en nuestras plataformas Insights y ATLAS. Aprovechando el aprendizaje automático, la automatización y la agudeza humana, el equipo efectúa una serie de procesos intensivos, integrados e iterativos con el objetivo de normalizar los datos, analizar la información y desarrollar ideas relevantes para los responsables de la ciberseguridad y los equipos SecOps en primera línea de la ciberseguridad en todo el mundo. Para obtener una descripción más detallada de nuestra metodología, consulte el final de este informe.

Aplicación: cómo utilizar esta información

Es imperativo que todo equipo y en cualquier proceso de evaluación vanguardista se conozca, se admita y, en la medida de lo posible, se mitigue el efecto de la parcialidad: la inclinación natural, implícita o invisible a aceptar, rechazar o manipular los hechos y su significado. El mismo precepto es válido para los consumidores de contenidos.

A diferencia de una prueba o experimento matemático altamente estructurado y con base de control, este informe es intrínsecamente una muestra de conveniencia, un tipo de estudio no probabilístico que se utiliza a menudo en pruebas médicas, sanitarias, psicológicas y sociológicas, y que hace uso de datos disponibles y accesibles.

  • En resumen, nuestras conclusiones se basan en lo que podemos observar y, evidentemente, no incluyen pruebas de amenazas, ataques o tácticas que hayan eludido la detección, la notificación y la recopilación de datos.
  • A falta de una información "completa" o una visibilidad "perfecta", este es el tipo de estudio que mejor se adapta al objetivo de este informe: identificar las fuentes conocidas de datos críticos sobre amenazas a la ciberseguridad y desarrollar interpretaciones racionales, expertas y éticas de estos datos que informen y permitan las mejores prácticas en ciberdefensa.

Cómo entender el análisis de este informe

Para comprender los datos y conclusiones de este informe, es preciso tener en cuenta las siguientes consideraciones:

  • Una instantánea en el tiempo: nadie tiene acceso a todos los registros de todos los sistemas conectados a Internet, no se denuncian todos los incidentes de seguridad y no todas las víctimas sufren extorsión ni son incluidas en sitios de filtraciones. Sin embargo, rastrear lo que hay disponible permite comprender mejor las distintas amenazas, al tiempo que se reducen los puntos ciegos analíticos y de investigación.
  • Falsos positivos y falsos negativos: entre las características técnicas de alto rendimiento de los sistemas especiales de rastreo y telemetría de Trellix para recopilar datos se encuentran mecanismos, filtros y tácticas que ayudan a minimizar o eliminar los resultados de falsos positivos y negativos. De esta forma se eleva el nivel de análisis y la calidad de los hallazgos.
  • Detecciones, no infecciones: cuando hablamos de telemetría, hablamos de detecciones, no de infecciones. Una detección se registra cuando uno de nuestros productos descubre un archivo, URL, dirección IP u otro indicador y nos informa al respecto.
  • Captura irregular de datos: algunos conjuntos de datos requieren una interpretación cuidadosa. Los datos de telecomunicaciones, por ejemplo, incluyen telemetría de clientes ISP que operan en muchas otras industrias y sectores.
  • Atribución a Estados: del mismo modo, determinar la responsabilidad de un Estado en varios ciberataques y amenazas puede ser muy difícil, dada la práctica común entre los hackers y ciberdelincuentes vinculados con Estados de suplantarse unos a otros, o disfrazar la actividad maliciosa como si procediera de una fuente de confianza.

Lo más destacado del 4.º trimestre de 2023 de un vistazo

 
  1. Socioeconomía, Estados y APT
    • La geopolítica impulsa la actividad de las amenazas: con la escalada de conflictos geopolíticos en países como Rusia, Ucrania, China, Taiwán e Israel se recrudece la actividad de los grupos de APT y los hacktivistas en todo el mundo. La actividad de grupos vinculados a Estados ha aumentado más de un 50 % en tan solo seis meses.
    • Países y regiones atacadas: Los ciberdelincuentes auspiciados por Estados participan cada vez más en actividades de espionaje digital, campañas de desinformación y acciones de ciberguerra. Además de China y Estados Unidos, las recientes olas de ataques empiezan a afectar a países como India, Turquía y Vietnam./li>
    • Vuelven los ataques a dispositivos perimetrales: las amenazas tradicionales contra dispositivos situados en el perímetro de las redes aumentan de nuevo, ya que los ciberdelincuentes, incluidos los grupos de APT, regresan a esta frontera. Entre los incidentes más graves, se encuentran los recientes ataques que afectan a Ivanti, MOVEit y Barracuda Networks.
  2. Ligeros cambios en el panorama del ransomware
    • Familias más pequeñas dando grandes pasos: el ransomware sigue siendo el "rey del malware", pero algunos ciberadversarios más pequeños, como Agrius, Bl00dy y FusionCore, tienen un papel cada vez más destacado.
    • Actividad del ransomware relacionada con la dinámica de las APT: India, Turquía, Israel y Ucrania sufren grandes volúmenes de ataques, lo que puede ser indicio de una convergencia entre el ransomware y las APT.
  3. Evolución del submundo de la ciberdelincuencia
    • Colaboración entre ciberdelincuentes: los principales ciberdelincuentes comienzan a colaborar para alcanzar objetivos prácticos, como compartir o vender exploits y vulnerabilidades zero day, y políticos.
    • Los ciberdelincuentes se coordinan y comparten vulnerabilidades zero day: las tácticas de ataque están cambiando. En lugar de ocultar los descubrimientos de vulnerabilidades más prometedores, los venden en el mercado libre. De esta forma, la proliferación de exploits de tipo zero day alcanza niveles nunca vistos.
    • Nuevos lenguajes del malware cobran protagonismo: Nim, Rust, Golang y otros lenguajes de programación nuevos ofrecen atractivas funcionalidades a los ciberdelincuentes. En concreto, el malware basado en Golang es muy utilizado en ransomware (32 %), puertas traseras (26 %) y troyanos (20 %).
  4. La aparición de la IA maliciosa
    • Vuelven los "script kiddies": las herramientas de IA, como ChatGPT, ayudan a todo tipo de grupos ciberdelictivos, ya sean grandes o pequeños, a superar retos importantes. Al mejorar su eficacia, pueden realizar ataques de mayor envergadura y seleccionar mejor sus objetivos.
    • Desarrollo de herramientas de LLM maliciosas para hackers: ya existen imitaciones de ChatGPT diseñadas específicamente para los ciberdelincuentes. El volumen y sofisticación de los ataques de phishing en los últimos años indica que los ciberdelincuentes ya están empezando a sacar partido de algunas de estas herramientas.

Análisis, perspectivas y datos del informe

 

Estados y amenazas avanzadas persistentes (APT)

Los ciberdelincuentes auspiciados por Estados participan cada vez más en actividades de espionaje digital, campañas de desinformación y acciones de ciberguerra. De hecho, a medida que aumentan las hostilidades entre distintas entidadess, como Rusia y Ucrania, China y Taiwán, Israel y Hamás, y muchas otras, la ciberactividad, tanto de grupos de APT como de hacktivistas, se ha intensificado en todo el mundo, y lo ha hecho a un ritmo mucho mayor que en 2022 y en años anteriores. Solo en los seis últimos meses, la actividad de grupos auspiciados por Estados ha aumentado más de un 50 %.

Estados y grupos de APT activos

Solo en función de los datos de telemetría, los Estados más prominentes fueron China, Rusia y Corea del Norte. Si se tienen en cuenta únicamente los incidentes públicos, el Estado más prominente fue Corea del Norte, con 36 denuncias de grupos vinculados, entre ellos, Lazarus, Kimsuky, APT37 y BlueNoroff. El segundo Estado más representado fue China, con 33 incidentes denunciados, muchos de ellos relacionados con Mustang Panda. Los ciberdelincuentes vinculados a Rusia representaron el tercer grupo más destacado, con 29 incidentes denunciados, relacionados con Gamaredon, APT28, APT29 y otras amenazas.

Países destacados en cuanto a ciberdelincuencia, segundo y tercer trimestre*

* Porcentaje del total de detecciones de APT por telemetría de Trellix y los incidentes denunciados por la industria.

Países predominantes en ciberdelincuentes, por incidentes en el sector, 2.º y 3er trimestre*

* Porcentaje del total de detecciones de APT por telemetría de Trellix y los incidentes denunciados por la industria.

Países predominantes en ciberdelincuentes, por detecciones de telemetría, 2.º y 3er trimestre*

1.

China

75,46 %

2.

Rusia

9,38 %

3.

Corea del Norte

7,37 %

4.

Irán

4,28 %

5.

Vietnam

1,17 %

* Porcentaje del total de detecciones de APT, por telemetría de Trellix.

Los grupos de APT más identificados en los incidentes denunciados en el segundo y tercer trimestre corresponden a Mustang Panda, de China, Lazarus, de Corea del Norte, y Gamaredon, de Rusia. Esto no implica necesariamente que esos grupos fueran los más activos, como reflejan los datos de telemetría a nivel mundial, sin embargo, sí es indicativo de los ataques y fugas de datos que provocaron un mayor impacto.

Como ocurre en muchos ataques APT auspiciados por China, el objetivo de Mustang Panda es recopilar inteligencia en otras regiones. Por ello, el grupo aplica una estrategia más metódica, prioriza el empleo de herramientas y malware personalizado y se centra exclusivamente en sectores y objetivos concretos. Por consiguiente, comparativamente es más probable identificar y denunciar las acciones de Mustang Panda.

Por otro lado, Lazarus, como muchos otros grupos de APT asociados a Corea del Norte, muestra un elevado porcentaje en los dos parámetros. Esto se debe a que el grupo (que probablemente es el autor de la campaña de ciberespionaje "Operation Dream Job") persigue fundamentalmente el beneficio económico, aprovecha una mayor variedad de herramientas y se dirige a un grupo de organizaciones más amplio, además de por sus prioridades estratégicas, como los ataques a infraestructuras militares, en sectores que incluyen la defensa y la ingeniería nuclear de alto nivel, en Estados Unidos, Israel, Australia y Rusia.

Grupos DE ciberdelincuentes predominantes, por detecciones de telemetría, 2.º y 3er trimestre*

1.

APT40

42,28 %

2.

Mustang Panda

15,93 %

3.

Lazarus

5,12 %

4.

APT1O

2,82 %

5.

Garmaredon Group

2,66 %

* Porcentaje del total de detecciones de APT, por telemetría de Trellix.

Grupos predominantes en ciberdelincuentes, por incidentes en el sector, 2.º y 3er trimestre*

* Porcentaje del total de detecciones de APT, por incidentes denunciados por la industria.

Regiones y países atacados

La comparación de telemetría global y la denuncias de la industria permite perfilar las tendencias que reflejan algunos de los conflictos militares y las tensiones socioeconómicas a nivel mundial en 2023. Los grupos de APT auspiciados por Rusia siguen ejecutando ciberataques coordinados contra organizaciones y agencias ucranianas. Al mismo tiempo, mientras China hace ostentación militar en el Estrecho de Taiwán, los ciberdelincuentes asociados a China intensifican sus ataques contra la isla. Del mismo modo, los grupos de APT de Corea del Norte atacan Corea del Sur.

Los datos de amenazas que afectan a otros países también se reflejan en incidentes a nivel global. Aunque su vinculación con conflictos o acontecimientos geopolíticos más importantes aún no está demostrada, hay indicios de que hay grupos mayores y más consolidados que dirigen su atención o amplían sus ataques a regiones específicas.

  • La guerra entre Israel y Hamás: aunque las hostilidades no comenzaron hasta octubre y, por lo tanto, no se reflejan en los datos empleados en la elaboración de este informe, las denuncias de la industria y las detecciones en esa región aumentaron ostensiblemente en los meses previos. Aunque no está claro si esta actividad fue el detonante de los incidentes posteriores, es indudable que las actividades de grupos de APT paquistaníes, iraníes y saudíes contribuyeron a desestabilizar todavía más la región.
  • El eje India-Paquistán: por ejemplo, APT36, un grupo de amenazas vinculado a Paquistán tiene una larga historia de ataques contra organismos gubernamentales y de defensa indios. Sin embargo, en los dos últimos trimestres la actividad del grupo refleja un mayor interés por el sector educativo en lo que sería un intento estratégico de controlar y posiblemente poner en riesgo los avances indios en investigación y tecnología. India está recibiendo ataques de otros grupos de APT, probablemente a raíz de su presidencia del G20 desde diciembre de 2022 (y por su condición de anfitrión de la cumbre del G20 en septiembre de 2023).
  • Turquía y Oriente Medio: la actividad de APT también ha aumentado con ataques contra Turquía, otro miembro del G20. La estrategia de GoldenJackal parece estar relacionada con el interés creciente del grupo en atacar a países en Oriente Próximo. Asimismo, SideWinder –cuyo objetivo principal era Paquistán y Sri Lanka– dirige ahora su atención a Turquía, aunque el motivo no está claro aún.

En los próximos meses haremos un seguimiento exhaustivo de estos nuevos patrones de ataque.

Principales países atacados, 2.º y 3.er trimestre

* Porcentaje del total de detecciones de ransomware, por telemetría de Trellix e incidentes denunciados por la industria.

Evolución del panorama del ransomware

 

El ransomware sigue siendo el tipo de ciberataque más extendido en todo el mundo. Las detecciones y los incidentes comunicados por la industria a nivel mundial, particularmente en el segundo trimestre, reflejan variaciones poco habituales en las familias de ransomware, así como en cuanto a los países y regiones atacadas. Los datos del primer trimestre se incluyen para ofrecer contexto.

Detecciones de ransomware en 2023*

* Número del total de detecciones de ransomware, por telemetría de Trellix.

Incidentes de ransomware en 2023*

* Número del total de incidentes de ransomware, por incidentes denunciados por la industria.

Estados y grupos de APT activos

El análisis de la actividad del segundo y tercer trimestre indica que los "sospechosos habituales" siguen en los primeros puestos de la lista. LockBit se detectó con mucha más frecuencia (54 %) que otras variantes, seguido por BlackCat (22 %) y Cuba (20 %). Los incidentes más denunciados por la industria, sin embargo, fueron los relacionados con BlackCat y Trigona (ambos con un porcentaje del 6 %).

Principales variantes de ransomware, 2.º y 3.er trimestre*

* Porcentaje del total de incidentes de ransomware, por telemetría de Trellix e incidentes denunciados por la industria.
El gran titular: Cl0p y MOVEit

El mayor incidente de ransomware durante este período fue el ataque contra MOVEit de Cl0P, un exploit de filtración de datos que afectó a más de 2500 organizaciones. Cl0P aprovechó una vulnerabilidad específica contra el software de transferencia de archivos gestionada MOVEit, que le permitió filtrar datos a gran escala.

A pesar del nivel de sofisticación del ataque, parece que Cl0P tuvo dificultades para gestionar el volumen de datos y comunicarse con las víctimas. Este factor, junto con los recursos y tiempo que Cl0p invirtió para conseguir unos beneficios mínimos, plantea interrogantes sobre el verdadero objetivo de los atacantes.

A principios del año, los grupos de ciberdelincuentes más destacados en 2022, como LockBit y Royal, seguían dominando la escena.

Sin embargo, en el 2.º trimestre, se incorporaron otros actores menos conocidos. BlackCat fue la variante más detectada (51 %), seguida por las familias Black Basta, Trigona, Rorschach y Cyclance. Rorschach (6 %) y Black Basta (4 %) se encontraron también entre las variantes más denunciadas, al igual que Trigona (9 %), durante un breve período de tiempo, hasta que un grupo conocido como Ukrainian Cyber Alliance eliminó sus servidores.

En el tercer trimestre, observamos una vuelta a la normalidad, ya que los principales actores recuperaron su prominencia, tanto en cuanto a telemetría global como a incidentes denunciados por la industria. Los más destacados fueron LockBit (60 % de las detecciones, 9 % de las denuncias), BlackCat (22 % de las detecciones, 9 % de las denuncias), y Cuba (19 % de las detecciones, 6 % de las denuncias).

Pequeños actores: ¿Están asumiendo el protagonismo?

Los actores y grupos de ransomware están aprovechando rápidamente las relaciones entre afiliados, una mayor colaboración y una comunicación más activa en el submundo de la ciberdelincuencia. Ahora pueden lanzar ataques sofisticados y a gran escala con mucha más facilidad que en el pasado.

¿Convergencia?
Una nueva tendencia a seguir

Los países que sufren una mayor actividad de ransomware guardan una inquietante correlación con las tendencias de APT vinculadas a Estados.

Es posible que esto sea solo una coincidencia.
Pero también podría ser un indicio inicial de que las víctimas, los objetivos y los métodos de ataque en el caso del ransomware y de los grupos de APT empiezan a converger.

Regiones y países atacados

En cuanto a las regiones, durante el segundo y tercer trimestre observamos un asombroso nivel de actividad. India representó la inmensa mayoría de las detecciones de ransomware (77 %) y ocupó un destacado puesto en cuanto a incidentes denunciados en el industria (7 %). Los dos

países número de detecciones e incidentes fueron Estados Unidos y Turquía. Israel, Ucrania y Rusia también registraron un alto porcentaje de actividad de ransomware en este período.

Dispersión geográfica del ransomware, 2.º y 3.er trimestre*

* Porcentaje del total de incidentes de ransomware, por telemetría de Trellix e incidentes denunciados por la industria.

Industrias y sectores afectados por el ransomware, 2.º y  3.er trimestre*

* Número total de incidentes de ransomware, por telemetría de Trellix e incidentes denunciados en el sector.

Cambios del comportamiento de los ciberdelincuentes

 
Acerca de "Las Cinco Familias"

Una reciente y destacada colaboración, una amplia red conocida como "Las Cinco Familias", es un excelente ejemplo de cómo los ciberdelincuentes unen fuerzas para acelerar, mejorar la eficacia operativa y aumentar el impacto de sus ataques.

La coalición, poco organizada y con más de 2000 miembros, está formada por el grupo de ransomware Stormous, así como por el grupo de foros clandestinos Blackforums.

Colaboración entre ciberdelincuentes

En la segunda mitad de 2023 surgió una tendencia preocupante que habíamos previsto hace tiempo. Los ciberdelincuentes comenzaron a colaborar. Este nuevo comportamiento persigue tanto objetivos prácticos (compartir o vender vulnerabilidades y exploits de tipo zero day) como políticos. La colaboración se realiza por distintos medios, según los intereses, motivaciones e ideología política que compartan los grupos,

que aprovechan las capacidades que aporta cada uno para maximizar las ventajas. En lugar de centrarse exclusivamente en ataques con motivaciones políticas mediante el empleo de denegaciones de servicio distribuidas (DDoS), suplantación de sitios web y fugas de datos, ahora se dedican principalmente a las actividades de ransomware, incorporando una estrategia de doble extorsión.

Otras colaboraciones tienen fines políticos. Hemos observado un marcado incremento en el número de colectivos hacktivistas que operan en el marco del protagonismo digital del conflicto entre Rusia y Ucrania. Algunos actores, como los que se citan a continuación, unen sus recursos y esfuerzos, particularmente los que están a favor de Rusia.

  • Darknet Parliament: este grupo lanza ataques contra la infraestructura de pago SWIFT dirigidos al sistema bancario del mundo occidental.
  • Net Worker Alliance: este colectivo es una alianza que aglutina grupos prorrusos unidos contra un enemigo común: los países de la OTAN y Occidente en general.

Asimismo, aumenta la colaboración entre ciberdelincuentes en la periferia del conflicto Israel-Hamás. Justo después del comienzo de la guerra en octubre, nuestro equipo observó un acusado aumento de la ciberactividad. Desde el principio del conflicto, hemos identificado a casi 80 grupos propalestinos lanzando ciberataques contra organizaciones israelíes y más de dos docenas de atacantes proisraelíes participando en actividades contra Palestina. De los cientos de ataques realizados hasta el momento por estas dos partes, algunos incidentes destacados incluyen el compromiso de datos personales de soldados de las Fuerzas de Defensa de Israel y su venta en la web oscura, la filtración de credenciales robadas relacionadas con varias oficinas del gobierno palestino, y ciberataques y compromisos que han fortalecido a ambas partes en su confrontación contra la infraestructura crítica del adversario.

Proliferación de ataques zero day

Durante la última parte de 2023, hemos seguido observando cómo algunos ciberdelincuentes clandestinos promocionan de forma activa exploits de tipo zero day que aprovechan vulnerabilidades tanto de sistemas Windows como Linux. Estas son algunas de las vulnerabilidades destacadas que más se citan en la web oscura:

  • Elevación de privilegios locales (LPE): en los foros clandestinos hay numerosos anuncios de vulnerabilidades de LPE zero day en sistemas operativos Windows.
    • Función e impacto: estas vulnerabilidades permiten a los ciberdelincuentes elevar los privilegios del usuario al nivel de administrador de sistema o de dominio. Con frecuencia se agrupan con características como la omisión de control de cuentas de usuario (UAC) y la capacidad para inhabilitar el software antivirus.
    • Ejemplos de exploits vendidos: incluyen exploits zero day que aprovechan las vulnerabilidades CVE-2023-36874, CVE-2023-29336 y CVE-2023-36874, entre otras.
  • Ejecución remota de código (RCE): en la web oscura, hemos observado la venta de exploits zero day de RCE que afectan a varias aplicaciones de software y sistemas.
    • Función e impacto: se ha descubierto que estas vulnerabilidades afectan a productos Citrix, la aplicación Discord, el software Veeam y dispositivos de red de proveedores como Draytek, TP-Link y SonicWall.
    • Ejemplos de exploits vendidos: una vulnerabilidad RCE zero day especialmente destacable se asoció con el cliente qTox, que ha sido ampliamente adoptado por ciberdelincuentes para mensajes instantáneos cifrados. El descubrimiento de esta vulnerabilidad ha generado preocupación entre la comunidad de ciberdelincuentes, ya que existe el riesgo de que deje expuestas las identidades reales de los atacantes. Como resultado, muchos han dejado de utilizar la plataforma de mensajería TOX o bien han cambiado a otros clientes TOX.

Las vulnerabilidades que facilitan exploits de tipo RCE y LPE son las más atractivas para los ciberdelincuentes. Aunque se requiere un cierto nivel de experiencia para vender este tipo de exploits, y algunos ciberdelincuentes especializados han diseñado su modelo empresarial específicamente para su desarrollo y venta, la prevalencia de estos exploits zero day en el mercado clandestino ha aumentado significativamente.

De hecho, las vulnerabilidades zero day descubiertas actualmente se distribuyen a toda velocidad por la red clandestina de ciberdelincuentes y acaban rápidamente en manos de los grupos más sofisticados y peligrosos. Estas vulnerabilidades son una amenaza más acuciante que nunca, ya que los grandes ciberdelincuentes esperan con anhelo la próxima gran vulnerabilidad (Log4J, MOVEit o BlueKeep) para extremar los daños y conseguir extraordinarios beneficios económicos.

Malware políglota

En los últimos años, ha aumentado considerablemente el empleo de lenguajes de programación nuevos, como Golang (o Go, como se conoce formalmente), Nim y Rust, para desarrollar software malicioso. Aunque el volumen sigue siendo bajo en comparación con lenguajes más antiguos, como Python o C++, los ciberdelincuentes están aprovechando claramente esta nueva capacidad.

Estos lenguajes son atractivos para los ciberdelincuentes por muchas razones. Nim se centra en el rendimiento y la expresividad, por lo que resulta útil para crear malware complejo. Las funciones de gestión de memoria de Rust son interesantes para los grupos de ransomware a los que preocupa la eficacia del cifrado de sus muestras. Gracias a su simplicidad y capacidad de concurrencia, Go es la opción favorita para elaborar malware ligero y rápido. En 2023, hemos observado un notable aumento de la popularidad del malware basado en Golang entre los ciberdelincuentes y hemos identificado varios patrones emergentes que seguiremos de cerca en los próximos meses.

Porcentaje de malware Golang

* Porcentaje del total de detecciones de APT, por incidentes denunciados por la industria.

En un principio, los ciberdelincuentes empleaban Golang principalmente para crear muestras de ladrones de información destinados a obtener datos confidenciales de las víctimas, una práctica que en la actualidad solo representa el 3,66 % de las detecciones. Este año, los ciberdelincuentes que utilizan Golang como ransomware representan casi un tercio de las detecciones (32 %). El hecho de que los autores de malware hayan utilizado Golang para crear ransomware a esta escala supone un cambio preocupante en cuanto a complejidad y madurez. Las muestras de puertas traseras y troyanos prevalecen entre las muestras de Golang, representando alrededor del 25 y el 20 % respectivamente. Estos tipos de malware suelen distribuirse utilizando software falso para infectar a cualquier usuario que lo descargue.

Sin embargo, cabe destacar los incidentes en los que grupos de APT han desarrollado malware utilizando Golang entre sus métodos y tácticas. Por ejemplo, a principios de este año, los investigadores de seguridad descubrieron un nuevo ataque de Sandworm en Ucrania. El eliminador de datos SwiftSlicer de este grupo de APT se desarrolló con Golang. Se han observado otros incidentes, por ejemplo, el grupo APT28 auspiciado por Rusia distribuyó una versión de su malware Zebrocy basada en Go, y el grupo de APT Mustang Panda, vinculado a China, empleó un nuevo cargador basado en Go en varios ataques recientes. Estas observaciones ponen de manifiesto cómo los ciberdelincuentes se están adaptando al panorama de las amenazas mediante el empleo de nuevas tecnologías.

Dispositivos perimetrales

Se está produciendo un cambio importante y hasta cierto punto inadvertido en el panorama de las amenazas, que afecta a los dispositivos perimetrales, que no suelen recibir la debida atención. La superficie de ataque crece de manera significativa debido al aumento del número y diversidad de dispositivos conectados en las empresas, y los dispositivos periféricos, como los enrutadores y puntos de acceso, se están convirtiendo en la nueva frontera para los ciberdelincuentes, incluidos los grupos de APT.

Las detecciones de malware dirigido contra este tipo de dispositivos perimetrales siguen aumentando en todos los proveedores de dispositivos de punto de acceso. Los ciberdelincuentes aprovechan las vulnerabilidades de estos dispositivos para muchos fines, como establecerse para facilitar la investigación de la red, crear webshells o puertas traseras en la red, elevar los privilegios, utilizar los dispositivos para su uso en botnets de DDoS; e incluso llevar a cabo acciones de ciberespionaje estratégicas para Estados.

Lo que distingue las amenazas contra dispositivos periféricos de las demás es su nivel de sutileza. No se trata de las vulnerabilidades del Internet de las cosas (IoT) fácilmente previsibles, sino de los retos menos visibles que plantean los propios dispositivos. Los dispositivos perimetrales presentan sus propias complejidades. Sin embargo, no pueden detectar intrusiones. A diferencia de los componentes de red tradicionales, no basta con conectarlos a otro IDS o IPS. Las puertas de entrada a nuestro mundo digital son, por definición, la primera y la última línea de defensa. Por eso son tanto objetivo de ataques como ángulo muerto. La evolución de las tácticas que emplean los ciberdelincuentes, junto con la variedad de arquitecturas de los dispositivos perimetrales plantean retos impresionantes.

En 2023, nos enfrentamos a varios incidentes en los que grupos de APT y sofisticadas familias de ransomware aprovecharon las vulnerabilidades de los dispositivos perimetrales para llevar a cabo ataques importantes:

  • Ivanti Endpoint Manager Mobile
    Se encontraron las vulnerabilidades CVE-2023-35081 y CVE-2023-35078 en Ivanti Endpoint Manager Mobile. La primera era una vulnerabilidad de tipo cruce de rutas, mientras que en el segundo caso se trataba de una vulnerabilidad de omisión de autenticación. Aunque ambas han sido ya corregidas, en julio de 2023 se aprovecharon sin ser detectadas para una serie de ataques selectivos contra Noruega y su sector público. La identidad específica del ciberdelincuente aún no se conoce, pero, teniendo en cuenta sus objetivos, muchos expertos, incluidos nuestros equipos, sospechan que se trata de un grupo de APT.
  • Barracuda Email Security Gateway
    CVE-2023-2868 era una vulnerabilidad de Barracuda Email Security Gateway, de inyección remota de comandos, de tipo zero day. Este fallo fue aprovechado por malware en numerosas ocasiones ya desde octubre de 2022, antes de que se corrigiera mediante el parche BNSF-36456 en mayo de 2023. Se ha observado que UNC4841, un ciberespía vinculado a la República Popular China, utilizó ampliamente este exploit para atacar a instituciones educativas, organismos públicos y agencias de investigación en China, Hong Kong y Taiwán.
  • Progress MOVEit Transfer
    CVE-2023-34362 era una vulnerabilidad de inyección de SQL detectada en la aplicación de transferencia web MOVEit. La familia de ransomware Cl0p aprovechó esta vulnerabilidad en mayo y junio de 2023. El grupo tenía como objetivo los sectores financiero, educativo, energético, sanitario, tecnológico y público en países como Alemania, Bélgica, Canadá, Estados Unidos, Francia, Luxemburgo, Reino Unido y Suiza. Las acciones del grupo tras la filtración de datos, sin embargo, indican que su objetivo principal estaba probablemente más encaminado a actividades de APT que relacionado con el pago de un rescate.

La amenaza de la IA generativa

 

Ventajas para los ciberdelincuentes

Con el avance y la evolución de la tecnología de inteligencia artificial (IA) y los nuevos grandes modelos de lenguaje (LLM), observamos cómo las nuevas soluciones y aplicaciones de ciberseguridad aprovechan estas innovaciones. Sin embargo, aunque estos LLM tienen un potencial tecnológico considerable para aplicaciones positivas, su naturaleza de uso dual también los expone a la explotación maliciosa por parte de ciberdelincuentes. Las principales aplicaciones de inteligencia artificial, como GPT-3.5, GPT-4, Claude y PaLM2, han alcanzado un nivel de eficacia incomparable en cuanto a generación de textos coherentes, respuesta a consultas complejas, resolución de problemas y codificación, entre otras áreas relacionadas con el lenguaje natural.

Sin embargo, a nuestro equipo le preocupa bastante, y no sin razón, su posible utilización indebida por parte de ciberdelincuentes en ataques a gran escala. A diferencia de los anteriores sistemas de inteligencia artificial menos sofisticados, las aplicaciones de IA actuales ofrecen una herramienta potente y rentable para los hackers, lo que elimina la necesidad de poseer grandes conocimientos, tiempo y recursos. Estas aplicaciones de inteligencia artificial pueden mitigar los importantes retos a los que se enfrentan los ciberdelincuentes, tanto los más pequeños que buscan aumentar la escala de sus actividades como los grupos más grandes que pretenden mejorar la focalización o la eficiencia. Estos son algunos ejemplos de los retos que implican los ataques de phishing:

  • Nivel de competencia: los ciberdelincuentes con poca experiencia y conocimientos técnicos limitados pueden utilizar las herramientas de IA a nivel avanzado para escribir malware para sus ataques. Estas aplicaciones permiten a los atacantes dedicar su atención a la planificación y ejecución avanzadas, ofrecen un enfoque más optimizado que potencia el impacto general de sus actividades maliciosas.
  • Calidad por cantidad: la creación de mensajes de phishing personalizados es muy laboriosa, especialmente en el caso del phishing selectivo. Sin embargo, con la inteligencia artificial generativa se elaboran mensajes de correo electrónico que imitan la redacción humana, con una mínima intervención del atacante. De esta forma, los atacantes pueden generar volúmenes considerables de mensajes de phishing convincentes, con un alto nivel de precisión ortográfica, en breves períodos de tiempo.
  • Carga de trabajo operativa: estas herramientas gestionan hábilmente volúmenes importantes de datos no estructurados durante la fase inicial de recopilación de datos, además de funcionar de forma continua. Pueden reducir considerablemente el coste por usuario de un ataque, de manera que para los ciberdelincuentes sea económicamente viable ampliar su alcance. Con la constante disminución del coste de los recursos cognitivos, esta inversión es ahora incluso más insignificante.
  • Ingeniería social automatizada: los ciberdelincuentes recurren cada vez más a la tecnología para automatizar la ingeniería social. Se emplean bots para recopilar datos y engañar a las víctimas para conseguir que compartan información sensible, como las contraseñas de un solo uso (OTP). Esta estrategia reduce la necesidad de contar con amplia participación humana y minimiza el rastro que se deja tras un ataque. Como consecuencia, han surgido mercados clandestinos que ofrecen herramientas automatizadas de ingeniería social, como bots OTP/SMS y rastreadores web basados en grandes modelos de lenguaje (LLM).
Ahora es más probable que las estafas de ingeniería social incluyan voces generadas por inteligencia artificial

Estas voces pueden imitar fielmente los patrones y matices del habla humana, por lo que distinguir las que son auténticas de las que son falsas será cada vez más difícil.

Además, pueden programarse para hablar varios idiomas, lo que permite a los estafadores dirigirse a víctimas de diversas regiones geográficas y orígenes lingüísticos— automatizando y ampliando el alcance y la eficacia de sus actividades fraudulentas.

LLM al servicio de hackers "Blackhat"

La disponibilidad de software gratuito y de código abierto es lo que originalmente dio lugar al auge de los conocidos como "script kiddies", o personas con poca o ninguna experiencia técnica que utilizan herramientas automatizadas o scripts existentes para lanzar ataques contra sistemas o redes informáticos. Aunque a menudo se les tacha de aficionados inexpertos o aspirantes a hackers maliciosos (o Blackhats), con la creciente disponibilidad de herramientas avanzadas de IA generativa y su gran potencial en el ámbito del malware, casi cualquier ciberdelincuente puede representar una amenaza significativa y creciente para el mercado.

Los ciberdelincuentes pueden aprovechar las herramientas LLM para mejorar las fases clave de una campaña de phishing de éxito, con recopilación de información de contexto, extracción de datos para elaborar contenido a medida y generación de mensajes de phishing a gran escala, por un coste marginal reducido. Si bien aún existen pocas pruebas concluyentes que sugieran que esto ya está empezando a ocurrir, dado el uso malicioso de LLM para ataques, hay ciertas tendencias en la actividad que apuntan a que se trata de una posibilidad real. La velocidad y la escala a la que crecen los ataques de phishing, con cientos de millones de nuevos ataques cada trimestre, indica que los atacantes están utilizando herramientas LLM para sus actividades.

Sin embargo, el uso malicioso de la inteligencia artificial generativa es solo el principio. Están apareciendo herramientas más avanzadas que utilizan la IA generativa para burlar la seguridad de los endpoints, creando malware que elude las firmas y presenta una amenaza estratégica persistente para la ciberseguridad. Las futuras aplicaciones maliciosas basadas en IA generativa ofrecerán elusión integral de las defensas, anonimato casi total y dificultad para atribuir la responsabilidad, lo que complicará para los equipos de seguridad seguir el rastro de los ataques. Esto ampliará los tiempos de permanencia, facilitando los ataques estilo APT "discretos y lentos". Inevitablemente, la IA generativa democratizará el uso de estas capacidades poniéndolas a disposición de todos los atacantes, con lo que la interpretación del comportamiento, la detección de anomalías y la supervisión exhaustiva de los endpoints se convierten en funciones esenciales.

Conclusiones

 

Información e inteligencia sobre amenazas, de Trellix: la historia comienza aquí

Compartimos nuestra inteligencia sobre ciberamenazas para ofrecerle una plataforma sólida y basada en hechos que respalde algunas de las decisiones más importantes que tomará en el próximo año. Nuestro propósito es ayudarle a mejorar sustancialmente sus capacidades de ciberdefensa y respuesta en 2024 y en el futuro, con independencia de cómo decida emplear la información que incluye este informe.

Aplicación: cómo utilizar esta información

  • Planificación estratégica: use esta información para informar y educar al CEO y al consejo de administración sobre la creciente complejidad, peligrosidad y capacidad de anonimato de las ciberamenazas este año. Trellix ayuda a muchos CISO y otros responsables de seguridad a desarrollar casos de uso adaptados a sus empresas.
  • Validación financiera: compártala como una justificación independiente y objetiva de los proyectos y gastos en ciberdefensa realizados durante 2023.
  • Racionalización del presupuesto: incorpore esta información para justificar la actualización de sus capacidades existentes de detección de amenazas y respuesta a incidentes con una tecnología mejor.
  • Soporte para las operaciones: invite a su equipo de SecOps a leer esta información, que es un recurso fundamental y además ofrece una perspectiva sobre el contexto más amplio y estratégico de su trabajo.

Cada uno de estos usos comienza con la inteligencia sobre ciberseguridad. La inteligencia le ayuda a conformar el campo de batalla y a comunicar sus argumentos al CEO y al consejo de administración. Lo que está haciendo y por qué. Lo que necesita hacer y lo que cuesta. La importancia de apoyar su agenda estratégica.

Esa historia empieza aquí.

Metodología

 

Recopilación: los avezados expertos del Advanced Research Center recopilan las estadísticas, tendencias y datos que componen este informe a partir de una amplia gama de fuentes globales.

  • Fuentes cautivas: en algunos casos, la telemetría la generan las soluciones de seguridad de Trellix en las redes de ciberseguridad de los clientes y los marcos de defensa desplegados en todo el mundo en redes tanto del sector público como del privado, incluidas las que prestan servicios de tecnología, infraestructuras o datos. Estos sistemas, que se cuentan por millones, generan datos procedentes de mil millones de sensores.
  • Fuentes abiertas: en otros casos, Trellix aprovecha una combinación de herramientas patentadas, propias y de código abierto para rastrear sitios, registros y repositorios de datos en Internet, así como en la web oscura, como los "sitios de filtraciones" donde los actores maliciosos publican información sobre sus víctimas de ransomware o de su propiedad.

Normalización: los datos agregados se introducen en nuestras plataformas Insights y ATLAS. Aprovechando el aprendizaje automático, la automatización y la agudeza humana, el equipo efectúa una serie de procesos intensivos, integrados e iterativos con el objetivo de normalizar los datos, analizar la información y desarrollar ideas relevantes para los responsables de la ciberseguridad y los equipos SecOps en primera línea de la ciberseguridad en todo el mundo.

Análisis: a continuación, Trellix analiza esta vasta reserva de información, en relación con (1) su amplia base de conocimientos de inteligencia sobre amenazas, (2) informes del sector de la ciberseguridad de fuentes muy respetadas y acreditadas, y (3) la experiencia y los conocimientos de los analistas de ciberseguridad, investigadores, especialistas en ingeniería inversa, investigadores forenses y expertos en vulnerabilidades de Trellix.

Interpretación: por último, el equipo de Trellix extrae, revisa y valida información relevante que puede ayudar a los responsables de ciberseguridad y a los equipos de SecOps a (1) conocer las últimas tendencias en el entorno de las ciberamenazas, y (2) utilizar esta perspectiva para mejorar su capacidad para anticipar, prevenir y defender a su organización de ciberataques en el futuro.

Fotografía del perfil de Twitter de Trellix Advanced Research Center
Trellix Advanced Research Center
Twitter

Acerca del Trellix Advanced Research Center

Trellix Advanced Research Center posee la carta de ciberseguridad más completa del sector y está a la vanguardia de los métodos, tendencias y ciberdelincuentes emergentes en el panorama mundial de las amenazas y es partner ineludible de los CISO, líderes de seguridad y sus equipos de operaciones de seguridad en todo el mundo. El Trellix Advanced Research Center ofrece inteligencia y contenido avanzado a los analistas de seguridad, mientras fomenta nuestra plataforma XDR. Además, el grupo de inteligencia de amenazas del Trellix Advanced Research Center ofrece productos y servicios de inteligencia sobre amenazas a clientes de todo el mundo.

Leer nuestro blog sobre investigaciones

Acerca de Trellix

Trellix es una empresa mundial que tiene como vocación redefinir el futuro de la ciberseguridad. Su plataforma de detección y respuesta ampliadas (eXtended Detection and Response, XDR), abierta y nativa, ayuda a organizaciones que se enfrentan a las amenazas más avanzadas en la actualidad a conseguir confianza en la protección y la resiliencia de sus operaciones. Trellix, junto con un nutrido ecosistema de partners ha acelerado las innovaciones tecnológicas gracias al aprendizaje automático y a la automatización para reforzar la protección de más de 40 000 clientes de los sectores privado y público mediante una seguridad evolutiva.

Suscríbase para recibir nuestra información sobre amenazas

Este documento y la información que contiene describen investigaciones en el campo de la seguridad informática, con fines informativos y para la conveniencia de los clientes de Trellix. Las investigaciones de Trellix se llevan a cabo de acuerdo con su Política de divulgación razonable de vulnerabilidades | Trellix. El riesgo por cualquier intento de recrear una parte o la totalidad de las actividades descritas será asumido exclusivamente por el usuario, y ni Trellix ni ninguna de sus empresas filiales asumirá responsabilidad alguna.

Trellix es una marca comercial registrada o marca registrada de Musarubra US LLC o sus empresas filiales en EE. UU. y otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.