Opinión:

2020: El año del malware

 

2020 fue un año muy particular; nuestra idea de trabajar en una oficina, reunirse con amigos, aprender en una escuela, hacer compras, visitar al médico, en fin, todo lo que podamos pensar que hacíamos diariamente de forma tradicional se vio trastocado desde hace ya casi un año, moviéndonos a una nueva normalidad o, como me gusta llamarla, la nueva ciber-realidad.

Con este cambio de paradigma la conectividad a distancia, estudiar, trabajar en casa o adoptar nuevos dispositivos interconectados a la red se ha vuelto un enorme reto para los responsables de mantener la ciberseguridad en la empresa, ya que el modelo anterior tradicionalmente situaba todo esto dentro de las mismas premisas corporativas, en tanto hoy esa ubicuidad de usuarios y dispositivos también ha traído ciertas consecuencias.

Obviamente, para los adversarios lo anterior se tornó en una oportunidad muy valiosa para planear y ejecutar ataques en arquitecturas de red complejas que de la noche a la mañana tuvieron que adaptarse o reinventarse para brindar prioritariamente una conectividad a distancia.

Cisco Talos, como nuestra organización de inteligencia en ciberseguridad, ha hecho un recuento de los principales programas maliciosos detectados durante 2020, un año donde claramente el malware no sólo estuvo presente, sino que además se adaptó a la nueva ciber-realidad.

Enero
Los atacantes utilizaron varios servicios populares de almacenamiento para enviar la información recopilada de los usuarios que descargaron un archivo malicioso conteniendo una amenaza llamada “JhoneRAT”, principalmente orientada hacia objetivos de habla árabe.

Febrero
Otro Troyano de Acceso Remoto (RAT), “ObliqueRAT”, utilizó documentos maliciosos de Microsoft Office para infectar a agencias/organizaciones diplomáticas y gubernamentales en el sudeste asiático. Cisco Talos también descubrió un vínculo entre ObliqueRAT y otra campaña previa de diciembre de 2019 distribuyendo CrimsonRAT.


Marzo
• A medida que la pandemia COVID-19 llegó a los Estados Unidos, los trabajadores de todo el país y del mundo tuvieron que empezar a trabajar desde casa a tiempo completo. Como la pandemia fue la mayor noticia del año, alcanzando su punto más alto a mediados de marzo, los atacantes comenzaron a usar noticias alrededor de COVID-19 para propagar malware.

• La pandemia también presentó una plataforma ideal para que los atacantes pudieran propagar desinformación en torno al virus y los paquetes de socorro gubernamentales asociados.

Abril
• Los investigadores de Cisco Talos destacaron algunos de los problemas asociados al uso de huellas dactilares para proteger el acceso a nuestros dispositivos. Se lograron clonar huellas dactilares usando algunos métodos diferentes y probar su capacidad para desbloquear ciertos dispositivos, mostrando que no sólo se debe confiar en este método como la última línea de defensa para datos o dispositivos personales.

• El software de colaboración para reuniones en línea explotó en popularidad, lo que creó un nuevo objetivo para los adversarios que buscan propagar malware o simplemente provocar interrupciones en estos servicios ahora catalogados como “infraestructura crítica”.

Mayo
• Los dispositivos y usuarios tailandeses de Android son el objetivo de una versión modificada de DenDroid que llamamos “WolfRAT”, y ahora está dirigido hacia aplicaciones de mensajería como WhatsApp, Facebook Messenger y Line.

Los usuarios brasileños son blanco de la familia de malware Astaroth, que utilizó YouTube como un centro de comando y control (C2) para ayudar a evadir la detección.

Junio
• IndigoDrop utiliza documentos maliciosos de temática militar y gubernamental para propagar cargas de código malicioso con capacidades de RAT. Estos documentos se valen de la utilización de macros maliciosos para ofrecer una infección multietapa y altamente modular.

Julio
• La ola de ataques con ransomware alcanza un pico importante; específicamente, WastedLocker se dirigió a empresas y organizaciones de gran nombre a nivel mundial con el objetivo de causar daños operativos y financieros.

• Talos publicó su primer artículo de investigación en una serie que cubre la seguridad en los procesos electorales y la desinformación propagada antes de las elecciones presidenciales de noviembre en Estados Unidos.

• La botnet Prometei añade múltiples maneras de propagarse, desplegando incluso una minería de criptomonedas orientada a obtener beneficios financieros a través de Monero

Septiembre
• Con muchos estudiantes que regresan a la escuela, pero totalmente en línea, vimos un pico de estafas con tareas en línea, en sitios que prometen escribir documentos y completar tareas por una módica tarifa, aunque muchos de ellos resultaron ser falsos o incluso propagaban malware.

Octubre
• El Botnet de minería de criptomonedas Lemon Duck utiliza varias técnicas nuevas que probablemente serán detectadas por los profesionales de la ciberseguridad, pero en gran medida pasarían desapercibidas por los usuarios finales mientras el adversario roba su poder de cómputo para continuar minando y obteniendo ganancias.

• El FBI y la Agencia de Seguridad de la Ciberseguridad e Infraestructura de los Estados Unidos (CISA) publicaron una alerta advirtiendo a los sistemas de atención médica para que vigilaran una ola de ataques ransomware correspondientes en un aumento de los casos COVID-19.

Noviembre
• Emotet completa su regreso en 2020 con un incremento en su actividad mundial durante octubre y noviembre después de que en verano se mantuvo estable.

Diciembre
• Descubrimos Xanthe, un botnet de minería en criptomoneda, después de que trató de comprometer uno de los honeypots o trampas de ciberseguridad que Cisco ha desplegado para el seguimiento de las amenazas relacionadas con popular administrador de contenedores Docker.
Los ataques sin duda continuarán y por ello recomendamos:

  1. Las organizaciones deben asegurarse de tener diferentes capas de ciberseguridad dentro de su arquitectura para asegurarse de que previenen, detectan y responden a la actividad maliciosa que puede gestarse dentro de la red una vez que un ataque tiene éxito en comprometer las defensas de seguridad perimetrales.
  2. Si bien la detección basada en red es importante, debe complementarse con una visibilidad y análisis de comportamiento, así como protección integral en los dispositivos que acceden a la red.
  3. Finalmente, las organizaciones necesitan tener tecnología y controles para tratar de minimizar impactos, o al menos facilitar una detección y remediación rápidas. Lo anterior es posible lograrlo privilegiando una estrategia de integración en las diferentes soluciones de ciberseguridad con las que se cuenta.

Yair Lelis, Director de Seguridad Cisco México