Informe Trellix Advanced Threat Research:
Octubre de 2021

Hemos colocado el foco en la prevalencia. Ahora el equipo está atento a la frecuencia con la que vemos una amenaza en el mundo. Y lo que es más importante, a quién se dirige.

Carta de nuestro científico jefe

Le damos la bienvenida a un NUEVO informe sobre amenazas y a una NUEVA empresa.

Han cambiado muchas cosas desde nuestro último informe sobre amenazas. Nos enteramos de que, a pesar del cambio de imagen de marca, el grupo de ransomware DarkSide no desapareció, y creyeron que no caeríamos en su supuesta conexión con BlackMatter. Además, nuestros recientes hallazgos relativos a las bombas de infusión que se emplean en el ámbito sanitario demuestran la importancia de la investigación en materia de seguridad (encontrará más información en el informe).

En cuanto al equipo y a mí, nos hemos trasladado a McAfee Enterprise, una nueva empresa dedicada a la ciberseguridad empresarial, por lo que ya no publicaremos nuestro trabajo con McAfee Labs. Pero no se preocupe, seguimos disponibles en nuestra nueva cuenta de Twitter de McAfee Enterprise ATR: @McAfee_ATR.

Por supuesto, los cambios de los que hablamos tienen mucho más calado que un simple feed de Twitter, y algunos de ellos se reflejan en nuestro nuevo informe sobre amenazas. Hemos colocado el foco en la prevalencia. El equipo ahora está atento a la frecuencia con la que vemos una amenaza en el mundo. Y lo que es más importante, a quién se dirige. Estos hallazgos están respaldados por análisis adicionales, que se detallan en el informe para incorporar las investigaciones activas sobre los autores de las amenazas, así como las vulnerabilidades que se explotan en el presente y que podrían aprovecharse más adelante.

Esperamos que disfrute de este nuevo formato, y agradecemos sus comentarios sobre lo que más le ha gustado y lo que no le ha entusiasmado del todo. Y especialmente, nos gustaría saber qué le interesaría leer en los próximos números.

Raj Samani

Twitter

# RANSOMWARE

Incremento de la prevalencia del ransomware

A medida que el año 2021 avanzaba por su segundo trimestre y se adentraba en el tercero, los ciberdelincuentes plantearon amenazas y tácticas nuevas y actualizadas en campañas dirigidas a los sectores importantes. Las campañas de ransomware mantuvieron su prevalencia mientras cambiaban sus modelos de negocio para extraer datos valiosos y conseguir rescates millonarios de empresas de todos los tamaños.

El sonadísimo ataque de DarkSide a la distribución de gas de Colonial Pipeline acaparó los titulares de mayo en materia de ciberseguridad. MVISION Insights identificó rápidamente la temprana prevalencia de DarkSide hacia objetivos en Estados Unidos, principalmente en los sectores de los servicios jurídicos, la venta al por mayor y la fabricación, el petróleo, el gas y los productos químicos.

El cierre en Estados Unidos de una de las mayores cadenas de suministro de gas atrajo toda la atención de los funcionarios públicos y de los centros de operaciones de seguridad, pero igualmente preocupantes resultaron ser otros grupos de ransomware que operaban con modelos de afiliados similares. Los ransomware Ryuk, REvil, Babuk y Cuba desplegaron activamente modelos de negocio que apoyaban la intervención de otros para explotar vectores de entrada habituales y herramientas similares. Estos grupos —entre otros y sus afiliados— emplean vectores de entrada habituales y, además, en muchos casos, utilizan las mismas herramientas para desplazarse por un entorno. Poco después del ataque de DarkSide, el grupo REvil se llevó todo el protagonismo tras utilizar una carga útil de Sodinokibi en su ataque de ransomware a Kaseya, un proveedor global de infraestructuras de TI. El ataque de REvil mediante Sodinokibi lideró nuestra lista de detecciones de ransomware en el segundo trimestre de 2021.

Detecciones por familia de ransomware

Figura 01. El ataque de REvil/Sodinokibi lideró nuestra lista de detecciones de ransomware en el segundo trimestre de 2021 y representó el 73 % de nuestras diez detecciones de ransomware más relevantes.

Mientras DarkSide y REvil regresaban a la clandestinidad tras sus sonados ataques, en julio surgió un heredero de DarkSide. El ransomware BlackMatter apareció fundamentalmente en Italia, India, Luxemburgo, Bélgica, Estados Unidos, Brasil, Tailandia, Reino Unido, Finlandia e Irlanda, y como un programa de afiliados de ransomware como servicio con rasgos de DarkSide, REvil y el ransomware LockBit. Por la similitud del código del archivo binario y el parecido de su página pública con DarkSide, todos coinciden en que es muy probable que el ransomware BlackMatter sea una continuación del ransomware DarkSide, cosa que BlackMatter ha negado.

A mediados de 2021 se descubrió otro "viejo" ransomware, pero con un toque diferente. El ransomware LockBit 2.0 es una versión actualizada del LockBit de 2020 con nuevas funciones que cifran automáticamente los dispositivos de todo un dominio, filtran datos y acceden a los sistemas mediante RDP, y tienen también la capacidad de reclutar a nuevos afiliados desde dentro de la empresa víctima.

Los desarrolladores de ransomware también lanzaron nuevas campañas. En junio de 2021 se descubrió por primera vez la familia de ransomware Hive (principalmente en India, Bélgica, Italia, Estados Unidos, Turquía, Tailandia, México, Alemania, Colombia y Ucrania) con un funcionamiento de ransomware como servicio (RaaS) escrito en el lenguaje GO que amenazó a organizaciones sanitarias y de infraestructuras esenciales.

Nuestro equipo analiza el ransomware en más detalle, estudiando tanto la reacción inesperada de los foros clandestinos como los sectores objetivo y la diferencia (delta) entre la inteligencia de acceso público y la telemetría.

Dos foros clandestinos expulsan al ransomware más próspero

El segundo trimestre de 2021 fue trepidante para el ransomware, que se ganó su puesto como tema candente en la agenda de ciberseguridad de la administración estadounidense. No obstante, la situación también cambió en los foros clandestinos en los que se reúnen los ciberdelincuentes, que hasta entonces habían sido seguros para ellos.

El impacto de lo que supone un ataque de ransomware quedó muy patente cuando Colonial Pipeline se vio obligada a cerrar por un ataque del ransomware DarkSide. Este brusco parón de la cadena de suministro afectó a buena parte del este de Estados Unidos, y dio lugar a una frenética carrera ciudadana por conseguir combustible. El ataque y el consiguiente impacto que tuvo en los consumidores y en la economía evidenciaron la verdadera magnitud del ransomware, y captaron toda la atención de las fuerzas de seguridad.

La respuesta política que se dio ante el ataque a Colonial Pipeline ocasionó que el grupo de ransomware DarkSide detuviera repentinamente su actividad. Otros grupos de ciberdelincuentes anunciaron serían más selectivos con sus futuros objetivos y dejarían determinados sectores al margen.

Una semana después, dos de los foros clandestinos más influyentes, XSS y Exploit, anunciaron que prohibirían los anuncios de ransomware. Durante años, estos mismos foros sirvieron de refugio para la ciberdelincuencia y el auge del ransomware, que propiciaron un elevado volumen de violaciones de seguridad de redes, registros de ladrones y servicios de encriptación, entre otra actividad. Teniendo en cuenta que muchos de los ciberdelincuentes que pertenecen a las principales familias de ransomware son delincuentes profesionales y suelen tener una estrecha relación con los administradores y los moderadores de los foros, creemos que este paso se dio precisamente para preservar la existencia de dichos foros.

A pesar de que prohibieron las identidades online asociadas al ransomware, nuestro equipo ha observado que los mismos ciberdelincuentes siguen activos en varios foros con otras identidades.

Figura 02. Mensaje del administrador de XSS pidiendo la prohibición del ransomware

En ese momento, el grupo de ransomware Babuk estaba enfrascado en sus propios asuntos; sobre uno en concreto —un almacén *nix ESXi defectuoso— hemos escrito profusamente en nuestro blog.

Finalmente, las disputas internas del equipo de Babuk desembocaron en una separación y en el inicio de un nuevo foro llamado RAMP dedicado al ransomware, donde muchos de los ciberdelincuentes dedicados a esta práctica se reúnen ahora para tratar sus asuntos y compartir TTP. A pesar de la prohibición por parte de algunos de los principales foros de ciberdelincuentes, el ransomware no ha dado muestras de estar perdiendo fuerza y todavía debe considerarse una de las ciberamenazas más perjudiciales a las que pueden enfrentarse organizaciones de cualquier tamaño.

Sectores objetivo del ransomware: diferencia de datos entre la inteligencia de acceso público y la telemetría

Muchos equipos de ransomware tienen portales en los que revelan quiénes son las víctimas cuya seguridad han vulnerado y exhiben muestras de los datos que han obtenido para obligar a las víctimas a pagar el rescate; de lo contrario, filtrarán sus datos o, en algunos casos, los venderán. Los sitios de filtraciones son escaparates de negociaciones fallidas y no reflejan la magnitud total de los ataques que los equipos de ransomware ejecutan; sin embargo, es interesante observar los datos de los sectores y las zonas geográficas afectados.

Nuestro equipo monitoriza muchas de esas páginas, recopila los nombres de las familias de ransomware y relaciona las víctimas con un sector y un país. Tras reunir estos datos y compilarlos, observamos que las familias de ransomware dirigen sus ataques a los siguientes diez principales sectores en Estados Unidos:

Figura 03. La administración pública fue el sector más atacado por el ransomware en el segundo trimestre de 2021, seguido de las telecomunicaciones, la energía y los medios de comunicación.

Gracias al punto de vista que nos ofrece la telemetría, obtenido mediante sensores en Estados Unidos, hemos podido comparar la actividad de ransomware detectada con respecto a los sectores que la inteligencia de acceso público (OSINT) ha identificado:

Tabla 01. Cuanto mayor sea la distancia de un mismo sector entre las dos listas, mejor protegido estará; a menor distancia, mayor riesgo de sufrir un ataque de ransomware.

¿Qué significa esa diferencia? ¿Cuál es el delta? Desde la perspectiva de nuestra telemetría, observamos la actividad de ransomware que se ha detectado y bloqueado en el sector en el que tenemos clientes. Que la administración pública sea el primer sector objetivo en nuestra telemetría revela los numerosos intentos dirigidos a este sector que NO han tenido éxito. En los sectores señalados por la OSINT, observamos que los que demandan grandes prestaciones de servicios de TI para respaldar servicios empresariales esenciales ocupan un lugar destacado en la lista de objetivos de los grupos de ransomware.

Patrón de ataque/técnica

1. Data Encrypted for ImpactData Encrypted for Impact% de la lista: 14 %
2. File and Directory DiscoveryFile and Directory Discovery% de la lista: 13 %
3. Obfuscated Files or InformationObfuscated Files or Information% de la lista: 11 %
4. Process InjectionProcess Injection% de la lista: 11 %
5. Deobfuscate/Decode Files or InformationDeobfuscate/Decode Files or Information% de la lista: 10 %
6. Process DiscoveryProcess Discovery% de la lista: 10 %
7. Inhibit System RecoveryInhibit System Recovery% de la lista: 9%
8. PowerShellPowerShell% de la lista: 9 %
9. System Information DiscoverySystem Information Discovery% de la lista: 9 %
10. Modify RegistryModify Registry% de la lista: 9 %

Tabla 02. Los datos cifrados para generar un impacto fueron el patrón de ataque que más se detectó en el segundo trimestre de 2021.

B BRAUN: SE DESCUBREN VULNERABILIDADES EN UNA BOMBA DE INFUSIÓN QUE SE UTILIZA EN TODO EL MUNDO

El sector sanitario se enfrenta a retos de seguridad inéditos. Un posible ataque a un centro médico podría representar una amenaza aún mayor que un ataque de ransomware a todo un sistema. Nuestro equipo, en colaboración con Culinda, descubrió una serie de vulnerabilidades en las bombas B. Braun Infusomat Space Large Pump y B. Braun SpaceStation.

Nuestra investigación nos llevó a descubrir cinco vulnerabilidades en el sistema médico de las que no había constancia:

1. CVE-2021-33886: uso de una cadena de formato controlada desde el exterior (CVSS 7.7)
2. CVE-2021-33885: verificación insuficiente de la autenticidad de los datos (CVSS 9.7)
3. CVE-2021-33882: falta de autentificación para una función crítica (CVSS 8.2)
4. CVE-2021-33883: transmisión de información confidencial mediante texto no cifrado (CVSS 7.1)
5. CVE-2021-33884: carga sin restricciones de archivos de tipo peligroso (CVSS 5.8)

Alguna persona malintencionada podría aprovechar todas estas vulnerabilidades en conjunto para modificar la configuración de una bomba mientras se encuentre en reposo. Ello conllevaría que a un paciente se le administrase una dosis incorrecta de medicación en su próximo uso, y sin necesidad de que el atacante se autenticase.

Poco después de que nuestro equipo comunicase a B. Braun los primeros hallazgos, la empresa respondió y colaboró con nuestro equipo para adoptar las medidas de mitigación que indicamos en nuestro informe de divulgación.

Los resultados de nuestra investigación ofrecen una perspectiva general y algunos datos técnicos de la cadena de ataque de mayor relevancia, junto con información sobre cómo abordar los desafíos especiales a los que se enfrenta el sector sanitario. Si desea consultar un breve resumen, lea nuestra publicación de blog.

AMENAZAS EN LA NUBE

Prevalencia de amenazas en la nube

El reto que les supuso a las organizaciones adaptar la seguridad a través de la nube para dar cabida a una plantilla de trabajadores más flexible durante la pandemia y, al mismo tiempo, mantener e incluso aumentar las cargas de trabajo les ha ofrecido a los ciberdelincuentes incluso más vulnerabilidades y objetivos potenciales en el segundo trimestre de 2021.

La investigación de nuestro equipo sobre amenazas en la nube descubrió que el sector de servicios financieros fue el que más ataques sufrió en las campañas de amenazas en la nube en ese mismo trimestre.

Amenazas en la nube más habituales (T2 2021)

1. Uso excesivo desde una ubicación anómalaUso excesivo desde una ubicación anómala% de la lista - 62 %
2. Filtración de datos internaFiltración de datos interna% de la lista - 28 %
3. Uso indebido de privilegios de accesoUso indebido de privilegios de acceso% de la lista: 8 %
4. Filtración de datos de alto riesgoFiltración de datos de alto riesgo% de la lista: <1 %
5. Filtración de privilegios de accesoFiltración de privilegios de acceso% de la lista: <1 %
6. Acceso, propagación y filtraciónAcceso, propagación y filtración% de la lista: <1 %
7. Comportamiento superhumano sospechosoComportamiento superhumano sospechoso% de la lista: <1 %
8. Filtración de datos por parte de un usuario con privilegiosFiltración de datos por parte de un usuario con privilegios% de la lista: <1%

Tabla 03. Definición de Uso excesivo desde una ubicación anómala: el usuario ha accedido a un gran volumen de datos (o lo ha descargado) en un corto espacio de tiempo. Supone un hecho grave cuando 1) los usuarios de la empresa nunca han accedido a un volumen tan grande, y 2) el volumen de datos es elevado incluso si corresponde a un grupo numeroso de usuarios. Las amenazas de Uso excesivo desde una ubicación anómala ocuparon el primer puesto del ranking de amenazas mundiales en la nube, seguidas de Filtraciones de datos interna y Uso indebido de privilegios de acceso. Las amenazas de Uso excesivo desde una ubicación anómala representaron el 62 % de las amenazas registradas.

Amenazas en la nube más habituales (T2 2021)

Empresas

1. Servicios financierosServicios financieros% de la lista: 33 %
2. Atención sanitariaAtención sanitaria% de la lista: 13 %
3. FabricaciónFabricación% de la lista: 9 %
4. Comercio minoristaComercio minorista% de la lista: 9 %
5. Servicios profesionalesServicios profesionales% de la lista: 8 %
6. Viajes y hosteleríaViajes y hostelería% de la lista: 7 %
7. Software e InternetSoftware e Internet% de la lista: 6 %
8. TecnologíaTecnología% de la lista: 5 %
9. Informática y electrónicaInformática y electrónica% de la lista: 4 %
10. ONGONG% de la lista: 3 %

Tabla 04. Los servicios financieros fueron el sector más atacado según los incidentes en la nube que se registraron, seguido por sanidad, fabricación, comercio minorista y servicios profesionales. Los incidentes en la nube que afectaron a los servicios financieros representaron el 33 % de los diez principales sectores atacados, seguidos por el de sanidad y fabricación (8 %).

TOTAL DE INCIDENTES EN LA NUBE POR SECTOR A NIVEL MUNDIAL

Tabla 05. A nivel mundial, los servicios financieros fueron el objetivo del 50 % de los diez principales incidentes ocurridos en la nube en el segundo trimestre de 2021, incluidos los incidentes en Australia, Canadá, China, Estados Unidos, Francia y Singapur. Los incidentes en la nube dirigidos a sectores en Estados Unidos representaron el 34 % de los incidentes registrados en los diez primeros países.

Sector afectado por amenazas en la nube en EE. UU.

1. Servicios financierosServicios financieros/Australia:% de la lista: 29 %
2. Atención sanitariaAtención sanitaria% de la lista: 17 %
3. Comercio minoristaComercio minorista% de la lista: 15 %
4. Servicios profesionalesServicios profesionales% de la lista: 10 %
5. FabricaciónFabricación% de la lista: 7%
6. Medios de comunicación y entretenimientoMedios de comunicación y entretenimiento% de la lista: 5 %
7. Viajes y hosteleríaViajes y hostelería% de la lista: 5 %
8. Sector públicoSector público% de la lista: 4 %
9. Software e InternetSoftware e Internet% de la lista: 4 %
10. EducaciónEducación% de la lista: 3 %

Tabla 06. Los servicios financieros fueron el principal objetivo de las amenazas en la nube en Estados Unidos en el segundo trimestre de 2021. Los incidentes dirigidos a los servicios financieros representaron el 29 % del total de incidentes en la nube entre los diez principales sectores.

Incidentes en la nube por país: 2.º trim. de 2021

País

1. Estados UnidosEstados Unidos% de la lista: 47 %
2. IndiaIndia% de la lista: 10 %
3. AustraliaAustralia% de la lista: 6 %
4. CanadáCanadá% de la lista: 6 %
5. BrasilBrasil% de la lista: 6 %
6. JapónJapón% de la lista: 6 %
7. MéxicoMéxico% de la lista: 4 %
8. Gran BretañaGran Bretaña% de la lista: 4 %
9. SingapurSingapur% de la lista: 4 %
10. AlemaniaAlemania% de la lista: 3 %

Tabla 07. El mayor número de incidentes en la nube dirigidos a un país concreto se registró en Estados Unidos, seguido de India, Australia, Canadá y Brasil. Los incidentes en la nube dirigidos a Estados Unidos representaron el 52 % de los registrados en los diez primeros países.

AMENAZAS CONTRA PAÍSES, CONTINENTES Y SECTORES, Y VECTORES DE ATAQUE

Países y continentes: 2.º trim. de 2021

Incrementos destacables de incidentes denunciados públicamente por países y continentes, durante el segundo trimestre de 2021:

• Estados Unidos fue el país donde más incidentes se registraron.
• En Europa se produjo el mayor aumento de incidentes registrados en este periodo: un 52 %.

Sectores atacados: 2.º trim. de 2021

Incrementos destacables de incidentes denunciados públicamente contra sectores, durante el segundo trimestre de 2021:

• Los ataques se solían dirigir a varios sectores.
• Entre los sectores que más incremento han observado se encuentran el público (64 %) y el del entretenimiento (60 %).

Vectores de ataque: 2.º trim. de 2021

Incrementos destacables de incidentes denunciados públicamente contra vectores, durante el segundo trimestre de 2021:

• El malware fue la técnica más utilizada en los incidentes comunicados.
• El spam mostró el mayor aumento de incidentes comunicados con respecto al primer trimestre de 2021 (250 %), seguido de los scripts maliciosos (125 %) y el malware (47 %).

# Principales técnicas utilizadas según MITRE ATT&CK (2.º trim. de 2021)

# Cómo defenderse de estas amenazas

En el segundo trimestre de 2021 vimos y comentamos varios tipos de amenazas diferentes. Por suerte, también le ofrecemos consejos y productos para que usted y su organización sigan a salvo. Descubra cómo la configuración de ENS 10.7, la protección contra la manipulación y la reversión pueden protegerle del ransomware Cuba, o consulte nuestro exhaustivo blog redactado especialmente para los defensores.

Recuerde cómo puede bloquear todas esas molestas ventanas emergentes de su navegador y cómo quedan nuestros clientes protegidos de los sitios maliciosos gracias a WebAdvisor y Web Control.

Descubra la manera en que los estafadores se hacen pasar por Windows Defender para introducir aplicaciones de Windows maliciosas, y lea nuestros consejos de seguridad para hacer frente a esta situación. A los clientes les encantará saber que Real Protect en la nube les protege de forma proactiva mediante el aprendizaje automático, y que los clientes de McAfee WebAdvisor y McAfee Web Control están protegidos de los sitios maliciosos de los que ya hay constancia.

Aprenda las mejores prácticas para vigilar su red y protegerla de uno de los ransomware de los que más se ha hablado este trimestre: DarkSide. Este blog también ofrece abundante información sobre cobertura y protección, con temas como las EPP, ENS, y MVISION Insights y MVISION EDR.

Por último, descubra por qué las máquinas virtuales son tan valiosas para los ciberdelincuentes y por qué los usuarios de VMware afectados deben aplicar inmediatamente un parche en su sistema. Para quienes no puedan instalar parches de inmediato, ofrecemos consejos prácticos y les recordamos que Network Security Platform ofrece firmas para las CVE en cuestión.

Recursos

Consulte los recursos de nuestro equipo para estar al día de las últimas amenazas e investigaciones:

Centro de amenazas: nuestro equipo ha identificado las amenazas actuales más devastadoras.

Twitter:

Trellix ATR Twitter

Raj Samani Twitter

Christiaan Beek Twitter

John Fokker Twitter

Douglas McKee Twitter

Steve Povolny Twitter