Infoblox ha publicado una nueva edición del Infoblox Quarterly Cyberthreat Intelligence Report, un informe de inteligencia de seguridad que recopila las principales amenazas y brechas de seguridad detectadas en todo el mundo desde octubre hasta diciembre de 2021.
Las principales revelaciones incluyen:
• El phishing, causa principal de violaciones de datos en 2021 – En su informe de seguridad de noviembre de 2021, Dark Reading recoge que los ataques de phishing, malware y denegación de servicio siguieron siendo las causas más comunes de violaciones de datos que las organizaciones experimentaron en 2021 y destaca el phishing como la causa más frecuente. Según este informe, el porcentaje de organizaciones que han denunciado una brecha relacionada con el phishing creció ligeramente en 2021 (53 %) frente a 2020 (51%).
• Vuelven con fuerza los ataques DDoS y se sofistican – Los ataques distribuidos de denegación de servicio (DDoS) son un tipo de ataque que causa una interrupción masiva de servicios de red. En un nivel alto, los ataques DDoS se pueden categorizar como volumétricos, dirigidos al nivel de aplicación, o basado en protocolos. Por lo general, se dirigen a los niveles 3, 4 y 7 del modelo OSI para arquitecturas de TI.
• Los ataques DDoS volumétricos aprovechan principalmente los protocolos de capa 7, especialmente el DNS y protocolo de tiempo de red (NTP), e intentan reducir el ancho de banda de una red capacidad inundando la red con mucho tráfico o con paquetes de solicitud. Algunos ataques DDoS volumétricos son lo suficientemente grandes como para comprometer la capacidad de ancho de banda de proveedores de servicios de Internet o de enlaces a centros de datos, lo que impide que el tráfico legítimo pueda conectarse a sitios web.
• Ataques DDoS a nivel de aplicación. Se dirigen principalmente a protocolos de nivel 7. A diferencia de los ataques volumétricos, intentan agotar los recursos del servidor al atacar los procesos back-end de las aplicaciones que son costosos en términos computacionales. Además, generan menos tráfico y usan menos ancho de banda total, pero pueden infligir tanto daño como los anteriores.
• Ataques DDoS basados en protocolos. Tienen como objetivo explotar las debilidades de los protocolos en los niveles 3 y 4. Este tipo de ataques son difíciles de mitigar, porque la mayoría de los dispositivos conectados utilizan protocolos de comunicación típicos de Internet. Aunque los fabricantes lanzan parches de seguridad con relativa rapidez, las empresas pueden tardar mucho tiempo en implementarlos, ya que a menudo son incompatibles con los sistemas existentes.
Cadenas de ataque en ataques DDos
Las campañas de extorsión DDoS suelen seguir alguno de estos dos tipos de cadenas de ataque:
• Los atacantes comienzan con un ataque de DDoS de demostración: una demostración de fuerza y un intento para convencer a la organización atacada de que la amenaza es real. El objetivo de los cibercriminales suele ser un recurso de TI específico vinculado a servicios web de la organización atacada o infraestructura de red. El ataque es lo suficientemente grande como para frenar los servicios de red, pero no lo suficiente como para hacerlos caer. Después o durante el ataque, la organización atacada recibe un correo electrónico en el que se materializa la extorsión, amenazando con lanzar un ataque DDoS masivo si la organización no hace efectivo un pago, a menudo a través de criptomonedas. Si la organización no realiza el pago en la fecha límite, los atacantes continúan con el ataque DDoS y con la extorsión hasta consiguen el pago completo.
• Los atacantes envían el correo electrónico de extorsión antes del ataque. El correo electrónico contiene las exigencias, una cartera de criptomonedas para hacer el pago, fecha límite, capacidad del ataque y otros detalles. A veces hacen una demonstración de la capacidad de atacar a través del correo electrónico, enviando varios terabytes de tráfico por segundo. En la mayoría de los casos, estos las amenazas no son ficticias y van seguidas de ataques a gran escala.
Amenazas de seguridad detectadas por Infoblox en el cuatro trimestre de 2021
• Fake Delivery Spam Email Drops Ave Maria – El 5 y 6 de octubre, Infoblox observó que se estaba distribuyendo una campaña de malspam con el troyano de acceso remoto (RAT) Ave María a través de un archivo de Microsoft Word. Ave María se vio por primera vez a finales de 2018.
• Malspam Campaign ofrece Dark Crystal RAT (dcRAT) – Campaña de correo electrónico malicioso distribuyendo dcRAT. Este malware se propaga a través de un documento de Microsoft Word que contiene un script VBA malicioso.
• Extorsión y mitigación de DDoS – La denegación de servicio distribuida (DDoS) es un ataque cibernético que causa una interrupción masiva de servicios. Antes de 2020, los actores de DDoS generalmente enviaban amenazas vacías y no continuaban con los ataques; desde la segunda mitad de 2020, y a lo largo de 2021, los actores han cumplido sus amenazas y han continuado con ataques más frecuentes.
• SWIFT-Themed Malspam Delivers Vidar Infostealer – El 20 de octubre, Infoblox observó una campaña de correo electrónico malicioso que distribuía el infostealer Vidar, usando como asunto del mensaje un pago internacional. Las características del archivo Vidar utilizado en esta campaña se parecía mucho a los del archivo Vidar que se observó el año pasado. Después de comprometer la máquina de una víctima, Vidar extrae datos de los navegadores web, carteras de criptomonedas, software de mensajería y software de autenticación de dos factores.
• Malspam ofrece Adwind RAT – Del 22 al 27 de octubre, Infoblox observó múltiples campañas de malspam que distribuyen el troyano de acceso remoto (RAT) Adwind a través de Java y archivos JavaScript. Adwind RAT es un malware multiplataforma y multifuncional. Se distribuye abiertamente como “Malware as a Service” (MaaS), que los ciberdelincuentes pueden personalizar y controlar.
• PINK BOA, un nuevo actor de ciberataques – Desde principios de 2021, se ha rastreado a un nuevo actor de amenazas, llamado BOA ROSA. El actor ha estado muy activo a lo largo de este período, pero las campañas se han intensificado aún más en las últimas semanas. PINK BOA utiliza un algoritmo de diccionario DGA (DDGA) para generar nombres de host aleatoriamente, y utiliza miles de direcciones IP propiedad de un proveedor de alojamiento con sede en EE. UU.
• Log4j Exploit Harvesting – El 9 de diciembre, el Instituto Nacional de Normas y Tecnología dio a conocer una vulnerabilidad crítica en Log4j, que es un software de registro ampliamente adoptado. Esta la vulnerabilidad es CVE-2021-44228 y permite a los atacantes ejecutar código arbitrario en un servidor remoto. Debido a que la vulnerabilidad es fácil de explotar, se detectó inmediatamente y se respondió rápidamente para identificar problemas en el software y mitigar riesgos.