Vídeo de presentación de Trellix

Presentación de Trellix

Ese momento en la vida de cualquier astrónomo en el que llega la hora de comprar el primer telescopio.

Resumen de la solución XDR

Resumen de la solución XDR

Descubra cómo un ecosistema XDR que se adapta constantemente puede revitalizar su negocio.

 
 
Magic Quadrant de Gartner para plataformas de protección de endpoints

Gartner MQ (Endpoints)

Descargue el informe Magic Quadrant, que evalúa a los 19 proveedores en función de su amplitud de visión y capacidad de ejecución.

Guía de mercado de Gartner (XDR)

Informe de Gartner®: Guía de mercado para XDR

Según Gartner, "XDR es una tecnología emergente que ofrece funciones mejoradas de prevención, detección y respuesta a amenazas.".

 
 
Log4J y la memoria - Noticias

Predicciones de amenazas para 2022

¿A qué amenazas de ciberseguridad deberían prestar atención las empresas durante 2022?

Log4J y la memoria - Noticias

Log4J y la memoria que sabía demasiado

En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.

 
 
McAfee Enterprise and FireEye se convierten en Trellix

McAfee Enterprise y FireEye se convierten en Trellix

Dos líderes reconocidos del mercado de la ciberseguridad han unido fuerzas para crear un mundo digital resiliente.

CEO de Trellix

La opinión de nuestro CEO sobre la seguridad evolutiva

Bryan Palma, CEO de Trellix, explica la imperiosa necesidad de contar con una seguridad que aprenda y evolucione.

Informe Trellix Advanced Threat Research: Enero de 2022

Información detallada sobre la vulnerabilidad de Log4j, el ransomware del tercer trimestre de 2021, las amenazas persistentes avanzadas (APT) y los principales objetivos por sector

En el primer informe sobre amenazas de nuestra nueva empresa, nos hacemos eco del problema de Log4j, que ha dominado no solo los titulares, sino los esfuerzos de los responsables de la seguridad y los equipos de seguridad de las empresas.


Carta de nuestro científico jefe

Le damos la bienvenida a nuestro nuevo informe sobre amenazas y a nuestra nueva empresa.

Ahora que comenzamos el nuevo año, es momento de admitir que el panorama de amenazas nos ha abrumado a todos con un final de año 2021 especialmente complicado. En el primer informe sobre amenazas de nuestra nueva empresa, nos hacemos eco del problema que ha dominado no solo los titulares, sino los esfuerzos de los responsables de la seguridad y los equipos de seguridad de las empresas. También echamos la vista atrás a los últimos dos trimestres de 2021, pero primero detallamos los numerosos recursos que hemos puesto a su disposición para luchar contra Log4j.

Si tenemos en cuenta la acumulación de información sobre la amenaza Log4j, es imperativo que nos sumerjamos en nuestras investigaciones y recursos actualizados para obtener ayuda. Además del estado del producto, estamos continuamente alerta en busca de cualquier campaña activa que aproveche esta vulnerabilidad y hacemos balance del estado de protección frente a las nuevas cargas útiles.

En cuanto empezaron a circular las primeras noticias sobre la vulnerabilidad de Log4j, respondimos rápidamente con la publicación de firmas de red y una descripción de la vulnerabilidad. Rápidamente incorporamos nuevos recursos que detallamos en este informe.

Para entender mejor las actividades maliciosas actuales relacionadas con Log4j y otras amenazas prevalentes, consulte nuestro valioso panel de amenazas.

Además, consulte los artículos del blog del Laboratorio de amenazas de Trellix, donde encontrará nuestros últimos contenidos sobre amenazas, vídeos y enlaces al boletín de seguridad.

Por supuesto, Log4j no es la única amenaza que se cierne contra la seguridad de su empresa. Este informe también destaca la amenaza y las interrupciones provocadas por el ransomware y otros ataques y amenazas prevalentes observados en circulación.

Le deseo todo lo mejor para el año 2022 y le doy la bienvenida a nuestra nueva empresa.


Log4j: la memoria que sabía demasiado

En lo que parece estar convirtiéndose en una triste tradición, Log4j, una nueva vulnerabilidad que afecta a una biblioteca de Log4j de uso generalizado, se hizo pública poco antes de las fiestas. Esta vulnerabilidad, considerada como el fallo de ciberseguridad más grave de las últimas décadas, obligó a la movilización de Trellix y al resto del sector de la ciberseguridad durante el último trimestre de 2021. La vulnerabilidad de Log4j amenazaba con tener un impacto masivo en todos los productos que hubieran integrado la biblioteca Log4j en sus aplicaciones y sitios web, incluidos productos y servicios de Apple iCloud, Steam, Samsung Cloud y muchos otros.

Desde su descubrimiento, nuestro equipo ha sometido a Log4j a una estrecha vigilancia. Publicamos la firma de red KB95088 para los clientes que utilizaran la solución Network Security Platform (NSP). La firma detecta los intentos de explotación de la vulnerabilidad CVE-2021-44228 a través de LDAP y puede ampliarse para incluir otros protocolos o servicios. Pueden publicarse otras firmas para complementar la cobertura.

Cronología de la vulnerabilidad de Log4j

Esta es una breve cronología del fallo de Log4j y de nuestra investigación:

  • 9 de diciembre: se publica la vulnerabilidad de Log4j (CVE-2021-44228) en Twitter, junto con una prueba de concepto en Github para la biblioteca de registro Log4j de Apache. El fallo se había comunicado inicialmente a Apache el 24 de noviembre.
  • 10 de diciembre: Steve Povolny y Douglas McKee publican un artículo de blog de Log4j con una descripción de nuestros hallazgos. Nuestro objetivo inicial era determinar la facilidad de explotación de esta vulnerabilidad usando la prueba de concepto pública, que hemos reproducido y confirmado. Esto se llevó a cabo usando el contenedor Docker público y una arquitectura cliente-servidor que usa tanto LDAP como RMI, junto con la herramienta marshalsec, para aprovechar la versión 2.14.1 de Log4j .
  • 14 de diciembre: se publica la vulnerabilidad de Log4j (CVE-2021-44228) en Twitter, junto con una prueba de concepto en Github para la biblioteca de registro Log4j de Apache. El fallo se había comunicado inicialmente a Apache el 24 de noviembre.
  • 18 de diciembre: se descubre una nueva vulnerabilidad de denegación de servicio (DoS), CVE-2021-45105, que afecta a las versiones desde la 2.0-alpha1 hasta la 2.16.0 de Log4j.

Consulte los artículos del blog del Laboratorio de amenazas de Trellix y el panel de amenazas para obtener más información sobre nuestras últimas investigaciones sobre los mecanismos de defensa frente a Log4j. Nuestro equipo recopila y analiza datos de varias fuentes abiertas y cerradas antes de publicar los informes.

Ataque de la vulnerabilidad de Log4j

Nuestro equipo no tardó en investigar y describir las diferentes actividades que se realizan durante la ejecución de un ataque web Log4j clásico:

Flujo de ejecución de Log4j

Flowchart showing Log4j Flow of execution.
  • Etapa 1: un ciberdelincuente envía una cadena diseñada específicamente al servidor web que aloja la aplicación vulnerable. Como hemos visto, la cadena, puede enmascararse para eludir las firmas de red.
  • Etapa 2: la aplicación desenmascara esta cadena para cargarla en memoria. Una vez cargada en memoria, la aplicación inicia una conexión LDAP para solicitar la dirección de la ubicación de la clase maliciosa.
  • Etapa 3: el servidor LDAP controlado por el ciberdelincuente responde con la ubicación del archivo de clase maliciosa indicando la dirección URL HTTP donde está alojada.
  • Etapa 4: la aplicación vulnerable inicia la descarga del archivo de clase maliciosa.
  • Etapa 5: la aplicación vulnerable carga y ejecuta el archivo de clase maliciosa de la etapa 4.

Defensas desplegadas por el equipo ATR de Trellix contra Log4j

Para proteger un entorno frente a ataques como Log4j, una estrategia multicapa compuesta por seguridad de red y análisis selectivos de la memoria de los endpoints permite a los equipos de seguridad detectar y prevenir eficazmente el flujo de ejecución del ataque contra los sistemas vulnerables expuestos mediante vectores de red. Algunas medidas, como los análisis personalizado y las reglas de experto de la solución ENS, están diseñadas para permitir a los equipos de seguridad aplicar contramedidas precisas frente a estas amenazas emergentes.

El sitio CISA.gov también proporciona un analizador de Log4j para ayudar a las empresas a identificar servicios web potencialmente vulnerables afectados por las vulnerabilidades de Log4j.


Ransomware

En el tercer trimestre de 2021, varios grupos de ransomware de conocidos desaparecieron, reaparecieron, se reestructuraron e incluso intentaron cambiar de imagen, pero eso no les impidió continuar siendo una amenaza real, prevalente y potencialmente devastadora contra un número cada vez más elevado de sectores.

Aunque las actividades de ransomware se denunciaron y se prohibieron en numerosos foros de ciberdelincuentes durante el segundo trimestre de 2021, nuestro equipo ha observado actividad de los mismos ciberdelincuentes en varios foros, bajo otros perfiles ficticios.

Trellix participa en detecciones de grupos de ransomware y en confiscaciones de rescates

En diciembre de 2021, Trellix aportó información que ayudó al FBI y Europol a arrestar a afiliados a REvil y a la incautación de dos millones de dólares procedentes de rescates.

Estas son algunas de las principales tendencias y campañas observadas durante el tercer trimestre de 2021:

  • BlackMatter: esta amenaza de ransomware, descubierta a finales de julio de 2021, comenzó con una campaña de ataques de envergadura que pretendían revelar datos empresariales privados de New Cooperative, una empresa de cadena de suministro agrícola con sede en Estados Unidos. New Cooperative denunció el bloqueo de funciones de gestión de la cadena de suministro y de las programaciones de alimentación de animales y calculó que el 40 % de la producción de cereales de Estados Unidos podía estar afectada. Si bien BlackMatter afirmaba utilizar los elementos más eficaces de otros tipos de malware, como GandCrab, LockBit y DarkSide, dudamos seriamente que haya un nuevo grupo de desarrolladores detrás de la campaña. El malware BlackMatter tiene demasiados puntos en común con el malware DarkSide, el malware asociado con el ataque a Colonial Pipeline.
  • Tenemos la convicción de que el grupo Groove está asociado con el grupo Babuk, ya sea como antiguo afiliado o como subgrupo.
  • REvil/Sodinokibi reivindicó la responsabilidad de la infección de más de un millón de usuarios mediante un ataque de ransomware contra el proveedor de software de servicios gestionados Kaseya VSA. La demanda de rescate de 70 millones de dólares por parte de REvil constituye la cantidad más importante revelada públicamente hasta el momento. El ataque obligó a varios cientos de supermercados a cerrar sus puertas durante varios días.
  • LockBit 2.0 apareció en julio de 2021 y llegó a publicar en su sitio web de divulgación de datos una lista de más de 200 víctimas en su página de fuga de datos.

Respuesta gubernamental a las amenazas de ransomware

En el tercer trimestre, el Gobierno de EE. UU. inició una campaña proactiva para reducir la prevalencia del ransomware gracias al lanzamiento del portal StopRansomware.gov, una plataforma que ofrece recompensas de hasta diez millones de dólares por información susceptible de identificar o de localizar ciberdelincuentes a sueldo de Estados implicados en ciberataques a infraestructuras críticas estadounidenses

Para obtener más información sobre cómo estas actividades de ransomware y las nuevas campañas podrían amenazar a las empresas en los próximos meses, consulte el informe Predicciones de Trellix sobre amenazas para 2022.

Investigaciones de Trellix sobre ransomware

Para ayudar a las empresas a entender mejor los ataques de ransomware y a protegerse en el paisaje actual de amenazas, nuestro equipo presenta investigaciones sobre la prevalencia de una amplia variedad de amenazas de ransomware, lo cual incluye familias, técnicas, países, sectores y vectores implicados.

Detecciones por familia de ransomware

Sodinokibi
DarkSide
Egregor
Cuba
Ryuk
Conti
Lockbit
Maze
Phobos
RagnarLocker

Sodinokibi (41 %) es la familia de ransomware más prevalente detectada en el tercer trimestre de 2021, seguida por DarkSide (14 %) y Egregor (13 %)..

Consulte la sección Ransomware: sectores y países atacados, y técnicas MITRE ATT&CK.

Técnicas y patrones de ataque

El equipo realiza el seguimiento y vigilancia de las campañas de amenazas persistentes avanzadas (APT), junto con sus indicadores y técnicas asociadas. La investigación de nuestro equipo incluye ciberdelincuentes especializados en APT, sus herramientas, los países y sectores de los clientes atacados y las técnicas MITRE ATT&CK del tercer trimestre de 2021.

Grupos de ciberdelincuentes APT

APT41
APT29
TA505
UNC2452
MuddyWater
Garmaredon Group
APT34
Bronze Butler
Winnti Group
Mustang Panda

En el tercer trimestre de 2021, APT41 (24 %) y APT29 (22 %) fueron los grupos de ciberdelincuentes APT más prolíficos, y se les atribuye prácticamente la mitad de todas las actividades APT supervisadas.

Herramientas APT

El equipo ha identificado indicadores de peligro que pertenecen a las campañas APT supervisadas, a las que se asocian las siguientes herramientas. Los grupos de APT son conocidos por usar herramientas de sistema comunes para eludir los controles de seguridad y llevar a cabo sus actividades maliciosas:

Cobalt Strike
Mimikatz
Net.exe
PsExec
ipconfig
Systeminfo
Tasklist
PlugX
China Chopper
Aprovechamiento de recursos locales
njRAT

Cobalt Strike (34 %) ha sido la herramienta maliciosa más prevalente en el tercer trimestre de 2021, seguida de Mimikatz (27 %), Net.exe (26 %) y PsExec (20 %). La suite de ataques Cobalt Strike, utilizada por ciberdelincuentes a sueldo de Estados, se identificó en más de un tercio de las actividades de APT.

Consulte la sección APT: sectores y países atacados, y técnicas MITRE ATT&CK.

Advanced Threat Research

Nuestro equipo ha realizado un seguimiento de un gran número de categorías de amenazas en el tercer trimestre de 2021. Los resultados de la investigación reflejan los porcentajes de detecciones del tipo de malware de ATR utilizado, los países y sectores de los clientes atacados, las técnicas MITRE ATT&CK usadas.

Herramientas ATR

Sodinokibi
DarkSide
Egregor
Cuba
Ryuk
Conti
Lockbit
Maze
Phobos
RagnarLocker

Formbook (36 %), Remcos RAT (24 %) y LokiBot (19 %) representan casi el 80 % de las detecciones de amenazas ATR en el tercer trimestre de 2021.

Consulte la sección ATR: sectores y países atacados, y técnicas MITRE ATT&CK.


Amenazas contra países, continentes y sectores, y vectores de ataque

Países y continentes: tercer trimestre de 2021

Incrementos destacables del número de incidentes denunciados públicamente por países y continentes, durante el tercer trimestre de 2021:

  • Norteamérica fue el continente más afectado en cuanto a incidentes, aunque registró un descenso del 12 % entre el segundo y el tercer trimestre de 2021.
  • Estados Unidos registró la mayoría de los incidentes notificados en el tercer trimestre de 2021, pero disminuyeron un 9 % respecto al segundo trimestre de 2021.
  • Francia registró el mayor incremento (400 %) en el número de incidentes notificados en el tercer trimestre de 2021.
  • Rusia experimentó el mayor descenso (-79 %) en el número de incidentes en el tercer trimestre de 2021 respecto al segundo trimestre de 2021.

Sectores atacados: tercer trimestre de 2021

Estos son los incidentes notables hechos públicos por sector en el tercer trimestre de 2021:

  • La categoría "Varios sectores" (28 %) fue la que sufrió más ataques, seguida del sector sanitario (17 %) y el sector público (15 %).
  • Los aumentos más significativos entre el segundo y el tercer trimestre de 2021 se produjeron en los sectores bancario/seguros (21 %) y el sanitario (7 %).

Vectores de ataque: tercer trimestre de 2021

Estos son los incidentes notables hechos públicos por vector en el tercer trimestre de 2021:

  • El malware fue la técnica más usada entre los incidentes notificados en el tercer trimestre de 2021, si bien disminuyeron un 24 % respecto al segundo trimestre de 2021.
  • Los aumentos más significativos entre el segundo y el tercer trimestre de 2021 se produjeron en la denegación de servicio distribuido (112 %) y los ataques selectivos (55 %).

Aprovechamiento de recursos locales

Los ciberdelincuentes utilizan los recursos locales (LotL, Living off the Land), que utilizan software y funciones legítimas de un sistema, para llevar a cabo actividades maliciosas en el propio sistema. A partir de los acontecimientos del tercer trimestre, Trellix ha identificado una tendencia en las herramientas usadas por los ciberdelincuentes para evitar ser detectados. Si bien los colectivos de amenazas patrocinados por Estados y los grupos cibercriminales más importantes tienen recursos para desarrollar herramientas internamente, muchos usan archivos binarios y software instalado por los administradores ya presentes en el sistema atacado para lanzar las distintas fases del ataque.

Para identificar archivos binarios o software de administración durante una fase de reconocimiento en el caso de un objetivo importante, los ciberdelincuentes podrían recopilar información sobre las tecnologías usadas a partir de publicaciones de ofertas de trabajo, testimonios de clientes publicados por proveedores o cómplices internos.

Archivos binarios nativos del sistema operativo Comentarios

PowerShell (41,53 %)

T1059.001

PowerShell se usa a menudo para ejecutar scripts y comandos de PowerShell.

Windows Command Shell (CMD) (40,40 %)

T1059.003

El shell de comandos de Windows es la principal interfaz de línea de comandos de Windows y se usa a menudo para ejecutar archivos y comandos en otro flujo de datos.

Rundll32 (16.96%)

T1218.011, T1564.004

Rundll32 puede usarse para ejecutar archivos DLL locales, archivos DLL de un recurso compartido, archivos DLL descargados de Internet y otros flujos de datos.

WMIC (12,87 %)

T1218, 1564.004

WMIC es una interfaz de línea de comandos del servicio WMI que los ciberdelincuentes pueden usar para ejecutar comandos o cargas útiles virtuales de forma local, por otros flujos de datos o desde un sistema remoto.

Excel (12,30 %)

T1105

Aunque no están instalados de forma nativa, muchos sistemas cuentan con una aplicación de hoja de cálculo. Los ciberdelincuentes pueden enviar archivos adjuntos al usuario que contienen código o scripts maliciosos que, cuando se ejecutan, permiten recuperar cargas útiles desde una ubicación remota.

Schtasks (11,70 %)

T1053.005

Un agresor podría programar tareas para garantizar la persistencia, ejecutar malware adicional o llevar a cabo tareas automatizadas.

Regsvr32 (10.53%)

T1218.010

Los ciberdelincuentes pueden usar Regsvr32 para registrar archivos DLL, ejecutar código malicioso y eludir las listas blancas de aplicaciones.

MSHTA (8,78%)

T1218.005

Los ciberdelincuentes pueden usar MSHTA para ejecutar archivos JavaScript, JScript y VBScript que pueden estar ocultos en archivos HTA del sistema local y en otros flujos de datos o recuperarse desde una ubicación remota.

Certutil (4,68 %)

T1105, 1564.004, T1027

La utilidad de comandos de Windows permite obtener información de la autoridad de certificación y configurar servicios de certificados. Por su parte, los ciberdelincuentes pueden usar certutil para obtener herramientas y contenidos remotos, cifrar y descifrar archivos y acceder a oros flujos de datos.

Net.exe (4.68%)

T1087 y subtécnicas

La utilidad de línea de comandos de Windows permite a un realizar tareas de reconocimiento, como identificar usuarios, redes y servicios del equipo de la víctima.

Reg.exe (4.10%)

1003.002, 1564.004

Reg.exe permite a los ciberdelincuentes añadir, modificar, eliminar y exportar valores de Registro, que pueden guardarse en otros flujos de datos. Además, reg.exe podría usarse para filtrar credenciales desde un archivo SAM.

Herramientas administrativas Comentarios

Servicios remotos (15,21 %)

T1021.001, T1021.004, T1021.005

AnyDesk
ConnectWise Control
RDP
UltraVNC
PuTTY
WinSCP

Los ciberdelincuentes pueden aprovechar servicios remotos, tanto nativos de Windows como software de terceros, junto con cuentas válidas para acceder a un equipo o infraestructura de forma remota, introducir herramientas y malware o filtrar datos.

Utilidades de archivado (4,68 %)

T1560.001

7-Zip
WinRAR
WinZip

Los ciberdelincuentes pueden usar herramientas de compresión de archivos para comprimir datos recopilados y preparar su filtración, así como para descomprimir archivos y ejecutables.

PsExec (4,68 %)

T1569.002

PsExec es una herramienta utilizada para ejecutar comandos y programas en un sistema remoto.

BITSAdmin (2,93 %)

T1105, T1218, T1564.004

BITSAdmin se usa generalmente para mantener la persistencia, limpiar artefactos e invocar acciones adicionales cuando se cumplen ciertos criterios.

fodhelper.exe (1,17 %)

T1548.002

Fodhelper.exe es una utilidad de Windows que los ciberdelincuentes pueden usar para ejecutar archivos maliciosos con privilegios elevados en el equipo de la víctima.

ADFind (0,59 %)

T1016, T1018, T1069 y subtécnicas, T1087 y subtécnicas, T1482

Utilidad de línea de comandos que pueden usar los ciberdelincuentes para descubrir información de Active Directory, como aprobación de dominios, grupos de permisos, configuraciones y sistemas remotos.


Informe de errores

Errores en circulación

(Douglas McKee, ingeniero jefe e investigador sénior de seguridad y otros blogueros supervisan y analizan vulnerabilidades en el informe mensual de errores).

En final del año 2021 estuvo marcado por la aparición de una gran cantidad de vulnerabilidades. Algunas se eliminaron fácilmente, pero otras dejarán sentir sus efectos durante un tiempo. El equipo supervisa y evalúa nuevas vulnerabilidades (o errores) cada mes desde el momento de su publicación e informa de cuáles piensa que son susceptibles de tener un impacto importante. No se trata de una puntuación CVSS ni de una clasificación OWASP, sino de una intuición basada en años de experiencia.

Un momento para la reflexión

Si nos fijamos en los principales errores notificados en los últimos meses, algunos sobresalen del resto. Apache tuvo un año complicado, tanto su servidor web (CVE-2021-41773) como con el componente Log4j (CVE-2021-44228) golpearon fuerte con errores considerados críticos. Palo Alto también merece una mención especial con un error encontrado en su VPN GlobalProtect (CVE-2021-3064), que tuvo un impacto único durante una pandemia global. Pero el indudable ganador sigue siendo el error de Log4j. Efectivamente, la vulnerabilidad de Apache se lleva la palma siendo de lejos el error más importante de 2021, y posiblemente conservará su primer puesto durante muchos años. Si todavía no ha oído hablar de estas vulnerabilidades, le recomendamos que lea nuestro informe de errores de diciembre. No olvide volver cada mes para para conocer la actualidad sobre las vulnerabilidades más críticas.

Analicemos las razones de la gravedad de estos errores. En pocas palabras, por qué pueden aprovecharse de forma remota, sin autenticación, en herramientas instaladas en el perímetro de su red. Pueden servir de punto de entrada inicial a una red sin que un agresor tenga que centrarse en un componente particular. Dicho de otra forma, abren la puerta a un ataque de mayor envergadura.

Si a su director de seguridad informática le gustan los riesgos y dice que pueden aplicarse parches a un solo producto, recomendamos sin ninguna duda dar prioridad a la vulnerabilidad de Log4j, ya que es fácil de ejecutar y la han aprovechado activamente un gran número de grupos cibercriminales. Aunque el fallo observado en la VPN de Palo Alto es grave, y han aumentado los ataques a VPN desde 2020, no llega a la gravedad de Log4j y las otras vulnerabilidades de Apache, ya que afecta a una versión antigua del software de VPN y aún no se ha detectado todavía ninguna explotación activa.

Termitas

Algunas vulnerabilidades, al igual que las termitas, pueden pasar desapercibidas durante mucho tiempo y tener efectos devastadores.

Un error de elevación de privilegios locales en el servicio Microsoft Windows Installer, etiquetado como CVE-2021-41379, se llevó la palma entre los errores de noviembre. Microsoft reveló el fallo afirmando requería acceso local y supuestamente lo corrigió con un parche oficial, pero la estrategia se volvió contra ellos cuando el parche no funcionó como se esperaba.

Con un parche fallido y una prueba de concepto disponible públicamente, los ciberdelincuentes no tardaron en incluirlo en su repertorio, como lo revela el estudio de Insights. Para rematar la faena, nuestro equipo ha observado versiones operativas del exploit en la web oscura (Dark Web).


Otros datos y estudios del tercer trimestre de 2021

Países de clientes atacados con ransomware

Estados Unidos
Turquía
Alemania
Israel
Suiza
México
Reino Unido
Sudáfrica
Bélgica
India

Los clientes ubicados en EE. UU. representaron más de un tercio del número total de detecciones de ransomware en el tercer trimestre de 2021.

Sectores de clientes atacados con ransomware

Banca/finanzas
Servicios públicos
Comercio minorista
Educación
Sector público
Industria
Externalización y hosting
Construcción
Seguros
Distribución mayorista

Banca/finanzas (22 %), servicios públicos (20 %) y comercio minorista (16 %) representan casi el 60 % del número total de detecciones totales de ransomware de nuestros clientes en el tercer trimestre de 2021.

Técnicas MITRE ATT&CK de ransomware

Data Entry
File and Directory Discovery
Obfuscated Files or Information
Inhibit System Recovery
Process Injection
Service Stop
System Information Discovery
PowerShell
Modify Registry
Cuentas válidas

La introducción de datos (2,6 %), la detección de archivos y directorios (2,5 %) y los archivos o datos enmascarados (2,4 %) fueron las principales técnicas MITRE ATT&CK de ransomware detectadas en el tercer trimestre de 2021.

Países de clientes atacados con amenazas APT

Turquía
Estados Unidos
Israel
Alemania
México
Suiza
Reino Unido
Canadá
Brasil
India

Las detecciones de técnicas APT en clientes de Turquía representaron el 17 % del número total de detecciones en el tercer trimestre de 2021, seguido de los clientes de Estados Unidos (15 %) e Israel (12 %).

Sectores de clientes atacados con amenazas APT

Banca/Finanzas
Servicios públicos
Comercio minorista
Sector público
Procesos de transformación
Externalización
Seguros
Transporte
Industria
Tecnología

La mayoría de las detecciones de APT en el tercer trimestre de 2021 se produjeron en el sector bancario/financiero (37 %), seguido de los servicios públicos (17 %), el comercio minorista (16 %) y el sector público (11 %).

Técnicas MITRE ATT&CK APT

Spearphishing Attachment
Obfuscated Files or Information
PowerShell
Rundll32
Scheduled Task
System Information Discovery
Spearphishing Link
Windows Management Instrumentation
Web Protocols
Registry Run Keys

Las técnicas MITRE ATT&CK APT más prevalentes en el tercer trimestre de 2021 fueron los adjuntos de phishing selectivo (16,8 %), archivos o datos enmascarados (16,7 %) y PowerShell (16 %).

Países de clientes atacados con amenazas ATR

Alemania
Estados Unidos
China
Singapur
Turquía
India
Italia
Reino Unido
Israel
Croacia

Más de la mitad de las amenazas totales de herramientas ATR detectadas en el tercer trimestre de 2021 se observaron en Alemania (32 %) y Estados Unidos (28 %).

Sectores de clientes atacados con amenazas ATR

Banca/finanzas
Tecnología
Transporte
Sector público
Externalización
Distribución mayorista
Seguros
Otros
Industria
Servicios públicos

Es el sector de banca/finanzas (45 %) en el que se observó el mayor número de detecciones en el tercer trimestre de 2021.

Técnicas MITRE ATT&CK ATR

Obfuscated Files or Information
Modify Registry
Process Hollowing
Screen Capture
Credentials from Web Browsers
Spearphishing Attachment
Keylogging
Man in the Browser
Query Registry
Input Capture

Los archivos o datos enmascarados supusieron el 5 % de todas las detecciones de técnicas MITRE ATT&CK ATR en el tercer trimestre de 2021.


Recursos

Consulte los recursos de nuestro equipo para estar al día de las últimas amenazas e investigaciones:

Centro de amenazas: nuestro equipo ha identificado las amenazas actuales más devastadoras.

Twitter:

Descargar PDF Ver archivos