Carta de nuestro científico jefe

Bienvenido a nuestro último informe de amenazas.

When we started the journey with Trellix, we knew merging two major backends would give us a tremendous cyberthreat perspective of what’s happening in the world. Esta edición incluye una nueva categoría que ofrece a nuestros lectores información sobre el tipo de amenazas que se observan desde la perspectiva del correo electrónico.

Fue un enorme placer encontrarnos con tantos de vosotros en la conferencia RSA en la que publicamos y presentamos varias de nuestras investigaciones: desde una descripción de los ataques observados en el conflicto de Ucrania a vulnerabilidades descubiertas en dispositivos médicos y la tecnología de control de acceso a edificios. En este informe se destaca esta investigación y otras amenazas y ataques prevalentes observados en circulación, así como nuestros datos y conclusiones del primer trimestre de 2022.

En Black Hat, DEFCON, RSA, y otras conferencias, nos congratulamos de las amables palabras y opiniones sobre nuestro informe sobre amenazas. No pierda el contacto entre conferencias y comuníquese con nosotros en nuestras redes sociales si tiene alguna sugerencia o le falta información.

Hasta la próxima ocasión, consulte, la página de artículos de blog de Trellix Threat Labs donde encontrará nuestras últimas investigaciones, vídeos y contenido sobre amenazas. 

—John Fokker
Lead Scientist

John Fokker Twitter

La evolución de la ciberdelincuencia rusa

Por atribución pública, los grupos de ciberdelincuentes rusos han estado siempre activos. Sus tácticas, técnicas y procedimientos (TTP) no han evolucionado de manera importante a lo largo del tiempo, aunque se han observado algunos cambios. En los últimos tiempos, el panorama de las amenazas ha cambiado ya que se ha producido la fusión parcial de múltiples dominios. Esta tendencia ya se estaba produciendo, pero el aumento de la actividad digital la ha acelerado y expuesto todavía más.

Históricamente, Trellix ha tenido una importante cartera de clientes en Ucrania y cuando se intensificaron los ciberataques contra el país, iniciamos una estrecha colaboración con el gobierno y partners del sector para ofrecer mayor visibilidad de la evolución del panorama de amenazas. Estábamos deseando ayudar a la región contra la ciberactividad maliciosas y hemos podido ir más allá compartiendo conocimiento para ofrecer una amplia gama de appliances de seguridad sin coste alguno en la región afectada (agradecimiento especial para nuestros partners de Mandiant por desplegar algunos de los appliances en las organizaciones que necesitaban más protección).

Para apoyar a nuestros clientes y al pueblo de Ucrania, Trellix Threat Labs trabajó de manera coordinada con varias agencias gubernamentales para ofrecerles los datos de telemetría necesarios, informes de inteligencia y análisis de las herramientas de malware utilizadas por los ciberdelincuentes rusos. Una gran parte de los esfuerzos de Trellix se llevaron a cabo con discreción ya que la protección de nuestros clientes es nuestra mayor prioridad.

En coordinación con RSA, el equipo de Trellix Threat Labs publicó nuestra investigación (Growling Bears Make Thunderous Noise) sobre la evolución en el tiempo de la ciberdelincuencia rusa, el impacto de una (ciber) guerra y la organización y actividad observadas.

El informe incluye una investigación detallada no solo del impacto de la ciberguerra posterior a la invasión rusa, sino de muchos cibergrupos y campañas asociados con el conflicto:

• Ataque de phishing contra el Ministerio de Defensa ucraniano
• Gamaredon
• Wipers
• Servidores de Exchange atacados
• UAC-0056
• Apt28
• DoubleDrop

Más información sobre la evolución de la ciberdelincuencia rusa en el informe completo.

Metodología

Trellix’s backend systems are providing telemetry that we use as input for our quarterly threat reports. Combinamos nuestra telemetría con inteligencia de acceso público sobre amenazas y nuestras propias investigaciones sobre amenazas prevalentes, como ransomware, actividad financiada por Estados, etc.

Cuando hablamos de telemetría, nos referimos a detecciones, no a infecciones. Una detección se registra cuando uno de nuestros productos detecta un archivo, URL, dirección IP u otro indicador y nos informa al respecto.

La privacidad de nuestros clientes es primordial, También es importante a la hora de generar telemetría y asociarla a los sectores y países de nuestros clientes. La base de clientes por país varía y las cifras podrían mostrar cifras elevadas, si bien para explicarlo habría que mirar los datos con más detenimiento. Un ejemplo: el sector de las telecomunicaciones a menudo presenta cifras elevadas en nuestros datos. Pero no necesariamente significa que este sector reciba muchos ataques. El sector de las telecomunicaciones incluye también proveedores de servicios de Internet que son propietarios de espacios de direcciones IP que pueden comprar las empresas. ¿Qué significa esto? Los envíos desde el espacio de direcciones IP del proveedor de servicios de Internet se muestran como detección del sector de las telecomunicaciones pero podrían ser de clientes del proveedor que operan en un sector diferente.

Ransomware en EE. UU.: Primer trimestre de 2022

A principios de 2022, nos llenó de optimismo la noticia de que el Servicio Federal de Seguridad (FSB) ruso había arrestado a varios miembros del grupo de ransomware REvil en Rusia. Según nuestro análisis, estos afiliados tuvieron un papel menor dentro del grupo criminal. Sin embargo, esperábamos que este débil indicio de cooperación podría haber dado lugar a más detenciones en ese país.

With the Russian invasion of Ukraine at the end of February 2022, we now know that this was wishful thinking. La guerra se convirtió en un catalizador para la división de los ciberdelincuentes. Históricamente, los ciberdelincuentes han dejado a un lado la política, por lo que grupos de ransomware de Rusia y de Ucrania colaborarán para conseguir un beneficio económico.

La elección de bandos se hizo más evidente en el caso del de ransomware Conti, que expresó públicamente su apoyo a la administración rusa en sus acciones.

Esta declaración pública no pasó desapercibida y unos días después un investigador anónimo con el usuario de Twitter @contileaks comenzó a publicar comunicaciones internas online de Conti. Los chats abarcaban varios años e incluían miles de mensajes en lo que hemos bautizado los "Papeles de Panamá" del ransomware.

Trellix ha examinado los chats filtrados y ha publicado un amplio artículo de blog que merece la pena leer. Entre lo más destacado que encontramos en los chats está su declaración pública de apoyo a la administración rusa y la posible relación estrecha entre los líderes de Conti y los servicios de inteligencia rusos. Estos vínculos vienen a corroborar las conclusiones del informe "In the Crosshairs: Organizations and Nation-State Cyber Threats” , que publicamos anteriormente en colaboración con CSIS. Una de las conclusiones principales del informe era la cada vez más delgada línea que hay entre los ciberdelincuentes de Estado y los privados.

Initially we expected this communication breach to have a severe impact on the ransomware gang’s operation. Sin embargo, lejos de eso, redoblaron sus ataques, hasta el punto de que llevaron a un país entero, Costa Rica, a declarar el estado de emergencia. Al final del segundo trimestre de 2022, observamos el desmantelamiento de infraestructura relacionada con Conti. Sin embargo, esto no es exactamente motivo para a lanzar las campanas al vuelo. Dado que ningún miembro veterano de este grupo ha sido detenido, y de sus conexiones con agencias de inteligencia rusas, deberíamos considerar que podríamos estar asistiendo a la formación de un grupo híbrido, capaz de atacar a objetivos elegidos por el Estado, pero manteniendo una coartada creíble de grupo criminal con fines económicos. El ransomware podría tener un doble propósito: por un lado su naturaleza perturbadora, y por otro servir como distracción para llevar a cabo una operación de filtración de datos.

Por lo tanto, recomendamos encarecidamente a todas las organizaciones que examinen detenidamente las técnicas, tácticas y procedimientos del ransomware, sobre todo si ya ha identificado a grupos financiados por Rusia como amenaza probable para su organización.

Desde el punto de la innovación, estamos observando que el ataques del grupo Conti a hipervisores ESXi con su variante de Linux, lo que podría indicar que se han dado cuenta de la importancia de los servicios de virtualización para una organización. Esta tendencia no es nueva, y ha tenido un éxito dispar a la hora de dañar máquinas virtuales debido a almacenes digitales y/o descifradores defectuosos.

Pero, ¿todo son malas noticias? No necesariamente. Las estadísticas del primer trimestre de 2022 de la empresa de respuesta a incidentes de ransomware Coveware muestran un fuerte descenso en el número de casos en los que las víctimas se vieron forzadas a pagar el importe del rescate a los ciberdelincuentes. Esto supone un halo de esperanza, ya que no pagar sigue siendo la mejor forma de dañar el modelo de negocio de los ciberdelincuentes.

Investigadores de Trellix descubren fallos críticos en sistemas de control de acceso a edificios

Las infraestructura críticas siguen representando uno de los objetivos más atractivos para los ciberdelincuentes en todo el mundo. La industria está plagada de sistemas antiguos y de fallos de hardware y software triviales, problemas de configuración y ciclos de actualización excepcionalmente lentos. Sin embargo, en esta categoría están muchos de los sistemas más esenciales que utilizamos: canalizaciones para el tratamiento de aguas, redes eléctricas, automatización de edificios, sistemas de defensa, y un largo etcétera. 

Un área que a menudo se pasa por alto de los sistemas de control industrial es el control de acceso, parte de la infraestructura de automatización de edificios. Los sistemas de control de acceso son soluciones comunes e imprescindibles, que proporcionan automatización y administración remota para lectores de tarjetas y puntos de entrada/salida para proteger lugares.

According to a study done by IBM in 2021, the average cost of a physical security compromise is $3.54 million and takes an average of 223 days to identify a breach. Son muchas las posibilidades de que las organizaciones recurran a sistemas de control de acceso para garantizar la seguridad y protección del acceso.

Trellix Labs recently unveiled breaking research into one such system, a ubiquitous access control panel by HID Mercury. Muchos proveedores OEM utilizan firmware y paneles de Mercury para implementar sus soluciones de control de acceso. Nuestro equipo hizo públicas nuestras conclusiones en el evento Hardwear.io en Santa Clara el 9 de junio de 2022, y también se presentará en el Black Hat este verano. Their findings highlighted four zero-day vulnerabilities and four previously patched vulnerabilities, never published as CVEs, with the top two leading to remote code execution and arbitrary reboot, completely unauthenticated. Esto significa que los ciberdelincuentes infiltrados en la red de un edificio podrían cerrar y abrir puertas, y evitar la detección a través del software de administración. Los investigadores prepararon un artículo de blog en el que destacaban las conclusiones y publicarán documento técnico detallado de varias partes coincidiendo con la conferencia Black Hat. Además, grabaron un vídeo de demostración del ataque en el que usaron dos de las vulnerabilidades para comprometer un sistema de control de acceso clonado en su laboratorio.

Vea el vídeo de demostración

Actualizaciones de seguridad

Carrier ha publicado una nueva notificación de seguridad en su página de productos de seguridad con detalles sobre los fallos y las correcciones y actualizaciones de firmware recomendadas. Siempre que sea posible, aplicar los parches del proveedor debería ser siempre la primera medida. 

Llamada urgente para la ciberseguridad de los dispositivos médicos conectados

La industria médica se enfrenta a riesgos de ataque únicos debido a los numerosos dispositivos específicos que utiliza, como máquinas de anestesia, bombas de infusión intravenosa, sistemas de puntos de atención, máquinas de resonancia magnética, y muchos otros. La gran mayoría de estos dispositivos no se encuentran en otros sectores ni tampoco en los hogares. El hecho de que no se usen de forma generalizada crea una falsa sensación de seguridad y una menor supervisión por parte del sector de la investigación de seguridad.

Los dispositivos y software médicos no alcanzan los mínimos en cuanto a las prácticas de seguridad fundamentales, como la gestión de credenciales, y están repletos de vulnerabilidades de ejecución remota de código (RCE). Esto resulta muy atractivo para los ciberdelincuentes y debemos estar en guardia para evitar ataques futuros, ya que no va a ser una superficie de ataque ignorada para siempre. Todos los interesados deben ser conscientes de que la gran variedad de vulnerabilidades de autenticación indica que el ámbito médico precisa más investigación, tanto interna como externa, para reforzar estos dispositivos. No se trata simplemente de sistemas de administración y otras aplicaciones, también es necesario prestar atención a todos los dispositivos médicos conectados en red a los que es necesario acceder. Currently it doesn’t appear that these devices are being targeted by malicious actors but this doesn’t mean we can relax. Son muchas vulnerabilidades RCE que elegir y código de exploit público que reutilizar. Aunque los ciberdelincuentes utilizan otros métodos para atacar hospitales y clínicas, buscarán un acceso más fácil cuando esos métodos no funcionen. La sociedad en su conjunto no puede permitir que los dispositivos y el software médico sigan siendo un punto débil a merced de los ciberdelincuentes y, por lo tanto, deberían promover las pruebas de seguridad tanto internas como externas entre desarrolladores e investigadores por igual.

Encontrará los detalles de nuestra investigación en nuestro artículo de blog reciente Connected Healthcare: A Cybersecurity Battlefield We Must Win. Gracias a datos públicos, como las bases de datos CVE, hemos analizado el estado actual de la superficie de ataque en el ámbito médico y hemos evaluado las amenazas activas y la distribución de las vulnerabilidades descubiertas. We believe that more partnerships between medical device vendors, medical care facilities and security researchers in junction with increased security testing is warranted to prevent a growing attack surface from becoming even more attractive to malicious actors.

Aprovechamiento de recursos locales

Hemos realizado un seguimiento de los ciberdelincuentes, las tácticas, técnicas y procedimientos, así como el malware utilizado. También hemos identificado y comunicado trimestralmente datos en relación con archivos binarios no maliciosos y a menudo no necesarios que pueden vulnerarse para llevar a cabo varias fases de un ataque. Si bien sigue siendo necesario conocer el malware personalizado y comercial, así como las técnicas, tácticas y procedimientos de aprovechamiento de recursos locales de los que defenderse, también se debe conocer al enemigo e identificar los objetivos. Diving a little deeper into the LoLBins, the question remains, who is using our tools against us and why? ¿No tienen la capacidad de escribir malware personalizado que pueda alcanzar el objetivo en cuestión? ¿O se trata simplemente de una herramienta de conveniencia y un intento de pasar desapercibido? Después de todo, los ciberdelincuentes suelen estar empleados como todo el mundo, se reúnen con sus jefes, se marcan objetivos diarios, trimestrales y anuales, trabajan a destajo y ganan un sueldo. 

If we are going to honor our mission “To Deliver Living Security Everywhere” we must equip ourselves, our customers and our colleagues who are in the day-to-day fight to protect our critical information, infrastructures, and assets from those who seek to profit from the exploitation of vulnerabilities and theft of intellectual and organizational data. 

¿Qué archivos binarios han sido vulnerados y a quién se ha identificado como responsable en el primer trimestre de 2022? 

Tendencias de la seguridad del correo electrónico: Primer trimestre de 2022

Los análisis de telemetría del correo electrónico del primer trimestre de 2022 revelaron las tendencias de URL de phishing y de documentos maliciosos en los mensajes.

La mayoría de los mensajes de correo electrónico maliciosos detectados contenían URL de phishing utilizadas para robar credenciales o para engañar a las víctimas con el fin de conseguir que descargaran malware. En segundo lugar, identificamos mensajes con documentos maliciosos como archivos de Microsoft Office o PDF adjuntos. Estos documentos contienen macros que funcionan como downloaders o exploits que permiten al atacante hacerse con el control del sistema de la víctima. Por último, descubrimos varios mensajes con ejecutables maliciosos, como ladrones de información o troyanos adjuntos.

Exploits

En cuanto a los exploits utilizados, la mayoría llegan comprimidos como archivos RTF maliciosos, documentos de MS Office con objetos OLE con carga maliciosa, o PDF infectados con exploits para Adobe Reader o scripts JS maliciosos. En la figura siguiente vemos que los tres principales formatos son RTF de Windows, seguidos por el último formato de Office y, por último, formatos de Office antiguos.