Dentro de las campañas de phishing modernas de 2019

El mundo de la ciberseguridad está dominado por titulares que hablan de malware, ransomware, violaciones de datos, vulnerabilidad de las aplicaciones, amenazas de IoT y ataques de botnets. Sin embargo, el phishing o suplantación de identidad constituye una amenaza importante desde principios de la década de 2000 y es considerado como el vector de ataque más común de los ciberdelincuentes.

En la actualidad, el phishing ha dejado de ser una cuestión de volumen. Ahora, estas amenazas de correo electrónico tratan de engañar con éxito a un objetivo de alto valor para que realice la acción que desean: hacer clic en un vínculo malicioso, abrir un archivo cargado de malware, proporcionar una contraseña o autorizar transacciones financieras.

En la actual carrera armamentística cibernética, los elementos amenazantes intentan sortear los sistemas de seguridad de forma constante. En el caso del correo electrónico como vector de amenazas, el phishing ha dado paso al spear-phishing, la suplantación de identidad y los ataques Business Email Compromise (BEC). Estos mensajes concentran los esfuerzos de ingeniería social en seleccionar y estudiar cuidadosamente a la víctima.

Reducción del volumen global de phishing, ataques más selectivos

Tal y como refleja el Informe de ciberamenazas SonicWall 2019, los investigadores de amenazas de Capture Labs registraron 26 millones de ataques de phishing en todo el mundo, lo que supone una caída del 4,1 % respecto a 2017. Durante este tiempo, el cliente promedio de SonicWall tuvo que hacer frente a 5488 ataques de phishing.

Volumen de phishing global en 2018

A medida que las empresas mejoran en el bloqueo de los ataques por correo electrónico y garantizan que los empleados puedan detectar y eliminar mensajes de correo electrónico sospechosos, los atacantes cambian de táctica. Los nuevos datos sugieren que están reduciendo el volumen global de ataques y lanzando ataques de phishing más selectivos (como los ataques de Black Friday y Cyber Monday).

Descubra las cinco tácticas habituales que utilizan los impostores del phishing para robar credenciales, desplegar malware, infiltrarse en las redes y perjudicar a las marcas.

  1. URL maliciosas y sitios web falsos o falsificados

    Tras las mejoras en las soluciones de seguridad del correo electrónico que mitigan el phishing, los ciberdelincuentes están recurriendo a métodos innovadores para ejecutar ataques selectivos, como el uso de URL en el correo electrónico a modo de armas para entregar cargas útiles maliciosas o crear sitios web de phishing con páginas de inicio de sesión falsas con el fin de recopilar las credenciales de inicio de sesión de los usuarios. A finales de 2017 se informó de que cada mes se crean casi 1,5 millones de sitios de phishing. Y la detección de estos sitios se ha vuelto francamente complicada, ya los que los impostores del phishing ocultan las URL de phishing con ayuda de redireccionamientos y abreviadores de URL.

    Además, casi la mitad de estos sitios de phishing utilizan certificados HTTPS y SSL, de modo que los ciberdelincuentes lo tienen más fácil para engañar a sus víctimas.

    Fuente: «PhishPoint: New SharePoint Phishing Attack Affects an Estimated 10% of Office 365 Users», Avanan, agosto de 2018.

    De acuerdo con el Informe de inteligencia de seguridad de Microsoft, «son cada vez más los atacantes que utilizan sitios y servicios de intercambio de documentos y colaboración populares para distribuir cargas útiles maliciosas y formularios de inicio de sesión falsos que se utilizan para robar las credenciales de los usuarios».

  2. Phishing dirigido a las aplicaciones Office 365 y los usuarios
    Las campañas de phishing se dirigen cada vez más a los servicios SaaS y de correo web. Según el Anti-Phishing Working Group (APWG), el phishing dirigido a los servicios SaaS y de correo web se duplicó en el cuarto trimestre de 2018. Office 365 está incrementando su presencia como la opción más popular de plataforma de correo electrónico en la nube en organizaciones de todos los tamaños y sectores verticales, por lo que no sorprende que Microsoft sea la marca más suplantada.

    «A medida que aumente la cuota de Microsoft en el mercado de SEG, los atacantes inteligentes se dirigirán de forma cada vez más específica a las defensas de Microsoft», informa Gartner.

    No es algo descabellado, ya que para suscribirse a Office 365 solo hace falta tener una tarjeta de crédito, lo que hace que sus funciones de seguridad sean muy accesibles para los ciberdelincuentes. En teoría, esto permite a los grupos delictivos diseñar campañas de phishing capaces de evadir las defensas nativas de Microsoft. De hecho, en otro informe, los investigadores descubrieron que el 25 % de los correos electrónicos de phishing son capaces de superar la seguridad de Office 365.

  3. Credenciales comprometidas
    En enero de 2019, el investigador de seguridad Troy Hunt descubrió la «Colección 1», una recopilación de 773 millones de direcciones de correo electrónico y 21 millones de contraseñas a la venta en Hacker Forum. Estas combinaciones de identificaciones y contraseñas de usuarios en peligro se utilizan para llevar a cabo ataques desde el interior. Un ataque común es la apropiación de cuentas, en la que los encargados de las amenazas tratan de hacerse con las credenciales corporativas de los empleados, ya sea lanzando una campaña de phishing de credenciales contra una organización o comprando credenciales en la web oscura obtenidas a través de fugas de datos de terceros. Posteriormente, la entidad amenazante puede utilizar las credenciales robadas para obtener acceso adicional o aumentar los privilegios. Es posible que las credenciales comprometidas permanezcan sin descubrir durante meses o años.
  4. Suplantación de identidad, suplantación de CEO y ataques Business Email Compromise (BEC)
    Según el FBI, el Business Email Compromise, o BEC, es una estafa dirigida a empresas que trabajan con compañías o proveedores extranjeros que pagan regularmente mediante transferencias electrónicas. Estos sofisticados timos son llevados a cabo por estafadores que ponen en peligro las cuentas de correo electrónico a través de técnicas de ingeniería social o intrusión informática para realizar transferencias de fondos no autorizadas. Estos tipos de ataques son difíciles de detener, ya que no contienen vínculos o archivos adjuntos maliciosos, sino un mensaje a la víctima, procedente en apariencia de un remitente de confianza, que solicita la transferencia de fondos.

    El pasado verano, el Centro de Denuncias de Delitos en Internet del FBI (IC3) informó de que entre octubre de 2013 y mayo de 2018, las pérdidas totales en todo el mundo por estafas de BEC conocidas alcanzaron los 12 500 millones de dólares.

  5. Archivos adjuntos PDF y .doc de Office maliciosos
    Los archivos adjuntos de correo electrónico son un conocido mecanismo de distribución de cargas útiles maliciosas, como ransomware y malware nunca visto con anterioridad. Recientemente, los investigadores de amenazas de SonicWall Capture Labs descubrieron un aumento sustancial de los archivos PDF maliciosos o fraudulentos. Estas campañas de fraude aprovechan la confianza que los destinatarios depositan en los archivos PDF como formato «seguro» y fiable, muy utilizado en operaciones comerciales. El documento «New PDF Fraud Campaign Spotlights Shifting Cybercriminal Phishing Tactics», escrito por Dmitriy Ayrapetov, director ejecutivo de Gestión de Productos, ofrece información sobre este tipo de campañas de phishing y cómo detenerlas.

El apocalipsis del cryptojacking: cómo derrotar a los cuatro jinetes de la criptominería

A pesar de las fluctuaciones de los precios del bitcóin y otras criptomonedas, el cryptojacking sigue siendo una amenaza grave, y a menudo oculta, para los negocios, las pymes y los consumidores ordinarios.

Y la más encubierta de todas estas amenazas es la criptominería a través del buscador, donde algunas formas populares de malware intentan convertir su dispositivo en un bot de minería de criptomonedas a tiempo completo, lo que se denomina un cryptojacker.

Para ayudarlo a comprender esta tendencia de manera creativa, permítame recurrir a mi enseñanza clásica y ser un poco hiperbólico. Si usted considera que la ola del cryptojacking es una especie de apocalipsis, como muchas de sus víctimas lo hacen, los cuatro jinetes serían las cuatro amenazas para su endpoint o negocio.

  • El caballo blanco: la energía que consume o desperdicia.
  • El caballo rojo: la pérdida de productividad debido a la limitación de los recursos.
  • El caballo negro: el daño que puede provocarle al sistema.
  • El caballo bayo: las repercusiones en la seguridad a causa de las vulnerabilidades que se generan.

A diferencia del ransomware, que desea que lo encuentren (para demandar el pago), el trabajo de un cryptojacker es trabajar oculto en el fondo (si bien el gráfico de rendimiento de su CPU o el ventilador del dispositivo pueden indicar que algo se encuentra fuera de lo normal).

Los autores de ransomware cambiaron de estrategia en los últimos dos años y usan más el cryptojacking, ya que la efectividad y el rendimiento de la inversión (Return on Investment, ROI) de un tipo de ransomware disminuyen apenas aparece en fuentes públicas como VirusTotal.

Como cualquier persona que dirige un negocio altamente rentable, los ciberdelincuentes necesitan encontrar constantemente nuevas formas de alcanzar sus objetivos económicos. El cryptojacking se utiliza para resolver ese desafío.

En abril de 2018, SonicWall comenzó a hacer un seguimiento de las tendencias del cryptojacking, específicamente del uso de Coinhive en malware. En el transcurso del año, analizamos su flujo y reflujo. En ese momento, SonicWall registró cerca de 60 millones de ataques de cryptojacking, con un pico de 13,1 millones en septiembre de 2018. Según lo publicado en el Informe de ciberamenazas 2019 de SonicWall, el volumen disminuyó en el último trimestre de 2018.

Ataques mundiales de cryptojacking | Desde abril hasta septiembre de 2018

El encanto de la criptominería

Las operaciones de criptominería se han vuelto cada vez más populares y ahora consumen casi el 0,5 % del consumo de electricidad mundial. A pesar de las marcadas fluctuaciones de los precios, aproximadamente el 60 % del costo de la minería legal de bitcoines es el consumo de energía. De hecho, al momento de la redacción, el precio de un bitcóin es menor que el costo de minarlo de manera legal.

Con dichos costos y riesgos nulos en comparación con la compra y el mantenimiento de los equipos, los ciberdelincuentes tienen grandes incentivos para generar criptomonedas con los recursos de otros. Infectar 10 máquinas con un criptominero podría generar una ganancia de hasta $100/por día; por ende, el desafío de los cryptojackers es triple:

  1. Encontrar objetivos, principalmente organizaciones con muchos dispositivos en la misma red, en especial las escuelas o las universidades.
  2. Infectar la mayor cantidad posible de equipos.
  3. Mantenerse ocultos el mayor tiempo posible (a diferencia del ransomware y de manera similar al malware tradicional).

Los cryptojackers utilizan técnicas similares al malware para escabullirse en un endpoint: descargas ocultas, campañas de phishing, vulnerabilidades en el buscador y complementos del buscador, entre otros. Y, como es de esperarse, se enfocan en el punto más débil, las personas, mediante técnicas de ingeniería social.

¿Estoy infectado por criptomineros?

Los criptomineros están interesados en su poder de procesamiento y los cryptojackers tienen que sacrificar la sutileza para obtener más ganancias. La cantidad de recursos que tomen de su CPU depende de sus objetivos.

Absorber menos energía hace que sea más difícil que los usuarios desprevenidos lo noten. Robar más aumenta sus ganancias. En cualquiera de los casos, el rendimiento se verá afectado, pero si el umbral es lo suficientemente bajo, podría ser difícil distinguir al minero del software legítimo.

Los administradores de las empresas pueden buscar procesos desconocidos en sus entornos y los usuarios finales en Windows deben abrir Sysinternals Process Explorer para ver lo que están ejecutando. Los usuarios de Linux y macOS deben investigar mediante el uso de System Monitor y Activity Monitor, respectivamente, por el mismo motivo.

Cómo defenderse de los criptomineros

El primer paso para defenderse de los criptomineros es detener este tipo de malware en la puerta de acceso, ya sea a través de los firewalls o la seguridad del correo electrónico (seguridad perimetral), la cual es una de las mejores formas de eliminar amenazas conocidas basadas en archivos.

Dado que a las personas les gusta volver a utilizar códigos viejos, atrapar a los cryptojackers como Coinhive también fue un primer paso sencillo. Sin embargo, en febrero de 2019, Coinhive anunció públicamente el fin de sus actividades el 8 de marzo. El servicio comunicó que “ya no era económicamente viable” y que el “desplome” afectaba al negocio de manera considerable.

A pesar de estas noticias, SonicWall prevé que todavía habrá un aumento en nuevas variantes y técnicas de cryptojacking para llenar el vacío. El cryptojacking aún podría convertirse en un método de preferencia para agentes malintencionados gracias a su disimulo; los daños menores e indirectos a las víctimas reducen las posibilidades de exposición y extienden la valiosa vida útil de un ataque exitoso.

Si el tipo de malware es desconocido (nuevo o actualizado), entonces traspasará los filtros estáticos en el perímetro de seguridad. Si un archivo es desconocido, será redirigido a un sandbox para inspeccionar su naturaleza.

El sandbox multimotor Capture Advanced Threat Protection (ATP) de SonicWall está diseñado para identificar y detener el malware escurridizo que pueda evadir un motor pero no al resto.

Si tiene un endpoint que no se encuentra detrás de esta configuración habitual (p. ej., tiene itinerancia en un aeropuerto o un hotel), necesita desplegar un producto de seguridad de endpoints que incluya detección de comportamientos.

Los criptomineros pueden operar en el buscador o enviarse a través de un ataque sin archivos, por lo que las soluciones heredadas que obtiene de forma gratuita con una computadora no logran detectarlos.

Un antivirus que se basa en el comportamiento como SonicWall Capture Client detectaría que el sistema quiere minar monedas y luego desactivaría la operación. Un administrador puede poner al malware en cuarentena fácilmente y eliminarlo o, en caso de que dañe los archivos del sistema, revertir el sistema al último estado sano antes de que se ejecute el malware.

Mediante la combinación de defensas perimetrales y análisis de comportamientos, las organizaciones pueden luchar contra las formas más novedosas de malware sin importar cuáles sean las tendencias o las intenciones.

La vulnerabilidad Dragonblood: ¿Es segura su red WiFi?

¡Es temporada de Juego de tronos! Y cualquier cosa que tenga que ver con los dragones me recuerda a Juego de tronos. La vulnerabilidad Dragonblood ha expuesto recientemente la débil seguridad de la norma WPA3. Hace apenas un año que KRACK expuso las debilidades de la norma WPA2. Como respuesta, la Wi-Fi Alliance anunció un sucesor de WPA2 más robusto: WPA3.

Pero, ¿se trató realmente de un sucesor robusto? Aparentemente, no.

WPA3 incorporó la negociación denominada Autenticación Simultánea de Iguales (SAE), que supuso una gran mejora con respecto a WPA2, ya que evita los ataques de diccionario. La familia de negociaciones SAE se conoce como Drangonfly. Esta negociación es susceptible a ataques de partición de contraseñas, que se asemejan a los ataques de diccionario y aprovecha las fugas de canal lateral para recuperar las contraseñas de red.

Según los investigadores Vanhoef y Ronen, que publicaron el documento sobre esta vulnerabilidad, WPA3 presenta graves defectos de diseño que podrían haberse evitado con comentarios de expertos del sector sobre la WiFi segura. Uno de los defectos es que WPA3 no introduce ningún protocolo nuevo, sino que se limita a indicar cuáles de los protocolos existentes deben ser compatibles.

Antecedentes de WPA3

WPA3 mejoró WPA2 utilizando los métodos de seguridad más recientes, desautorizando protocolos heredados obsoletos e implementando el uso de marcos de gestión protegidos (PMF). Se diseñó tomando en cuenta dos tipos de redes: protección para redes domésticas con WPA3-Personal y para redes empresariales con WPA3-Enterprise.

WPA3-Personal ofrece una mayor protección de las contraseñas de red, mientras que WPA3-Enterprise proporciona protocolos de mayor seguridad para las redes empresariales. En redes WPA3-Personal, la negociación SAE consiste en la sustitución de la clave previamente compartida (PSK) en redes WPA2-Personal. WPA3 incluye: selección de contraseñas naturales, facilidad de uso y secreto de reenvío.

¿En qué consiste la negociación Dragonfly?

WPA3-Personal exige compatibilidad con las negociaciones SAE, que consisten en un intercambio de claves de autenticación de contraseñas equilibrado en el que dos endpoints (AP y AP o AP y cliente) almacenan las contraseñas en texto no cifrado. La entrada de la negociación SAE es un secreto previamente compartido y la salida es una clave maestra por pares de alta entropía. Después de esta ejecución, se produce una negociación en cuatro pasos para generar una clave transitoria por pares.

6 maneras en que Dragonblood afecta a su red inalámbrica

  1. Ataque de denegación de servicio (DoS). El mecanismo antiobstrucción de WPA3 que se supone que debe prevenir ataques DoS no los impide. Por tanto, esto puede anular los access points y provocar interrupciones en las redes.
  2. Ataque de degradación. El modo de transición de WPA3 es susceptible a ataques de diccionario. En este modo, un access point compatible con WPA3 puede aceptar conexiones de dispositivos cliente WPA2 y WPA3. Si un atacante realiza un ataque de intermediario para modificar las balizas de un access point compatible con WPA3 para engañar al cliente y hacerle creer que se trata de un access point WPA2, durante la negociación en cuatro pasos WPA2, el cliente detecta la anomalía y detiene la transmisión. Sin embargo, durante la negociación se envían suficientes tramas para que el atacante pueda realizar un ataque de diccionario. Además, los investigadores también descubrieron «ataques de degradación específicos de la implementación cuando un cliente se conecta automáticamente de manera inadecuada a una red exclusiva WPA3 utilizada con anterioridad».
  3. Ataque de negociación de grupo SAE. Los dispositivos cliente pueden priorizar grupos en la negociación SAE según las especificaciones 802.11. Con SAE, cuando un cliente se conecta a un access point, incluye el grupo deseado en la trama de consignación y este proceso continúa. «Lamentablemente, no existe ningún mecanismo que detecte si alguien ha interferido en este proceso. Por ello, resulta irrelevante forzar al cliente a utilizar un grupo diferente: crear simplemente una trama de consignación que indique que el AP no admite el grupo actualmente seleccionado». Esto da lugar a un ataque de degradación. Este método también puede utilizarse para realizar ataques de ampliación.
  4. Ataques de canal lateral basados en tiempo. La negociación SAE es susceptible a ataques de tiempo que filtran información de contraseñas, lo cual podría utilizarse posteriormente en ataques de partición de contraseñas para recuperar la contraseña de la víctima.
  5. Ataques de canal lateral basados en caché. SAE también es susceptible a vulnerabilidades en la implementación de sus algoritmos, lo que podría aprovecharse en ataques de partición de contraseñas para recuperar la contraseña de la víctima.
  6. EAP-PWD. Afecta al protocolo de autenticación ampliable (EAP) admitido en las normas WPA2 y WPA. Los investigadores también «descubrieron graves errores en la mayoría de los productos que implementan EAP-pwd. Estos errores permiten a un adversario suplantar a cualquier usuario y, por tanto, acceder a la red Wi-Fi sin conocer la contraseña del usuario».

Cómo protegerse contra Dragonblood

La vulnerabilidad Dragonblood se puede solucionar con parches de software. Aunque la Wi-Fi Alliance está dando directrices a los proveedores, asegúrese siempre de tener instalados en su red los parches de seguridad más recientes de los fabricantes de dispositivos inalámbricos. Utilice, además, contraseñas seguras en sus redes.

¿La vulnerabilidad Dragonblood afecta a los access points inalámbricos SonicWave?

No. Esta vulnerabilidad no afecta a los access points inalámbricos SonicWall. Los access points SonicWave proporcionan una seguridad inalámbrica superior y una tercera radio específica para análisis de seguridad. Los AP pueden prestar servicios de seguridad avanzados como el entorno aislado Capture Advanced Threat Protection (ATP) y el servicio de filtrado de contenidos (CFS), incluso estando desvinculados de los firewalls. Le ofrece la máxima flexibilidad para gestionar las comunicaciones inalámbricas desde la nube o a través de los firewalls, sin poner en peligro la seguridad.

Los puertos no estándar están sujetos a los ciberataques

Si le gustan mirar películas de superhéroes, en algún momento escuchará a los personajes hablar de proteger sus identidades con el anonimato. A excepción de Iron Man, la ocultación de sus verdaderas identidades otorga a los superhéroes cierta forma de protección. En este sentido, la seguridad de la red es similar.

«Seguridad por oscuridad» es una frase que ha recibido elogios y críticas. Si conduce por carreteras secundarias en vez de conducir por autopista para evitar posibles accidentes, ¿se sentirá más seguro? ¿Puede llegar a su destino con la misma eficacia? Es posible, pero esto no significa que pueda eludir siempre las cosas negativas.

Diferencia entre puertos estándar y no estándar

La Autoridad de Números Asignados de Internet (IANA) asigna los puertos de los firewalls para responder a fines o servicios específicos.

Aunque existen más de 40 000 puertos registrados, solo se utilizan unos pocos. Se trata de los puertos «estándar». Por ejemplo, HTTP (páginas web) utiliza el puerto 80, HTTPS (sitios web con cifrado) utiliza el puerto 443 y SMTP (correo electrónico) utiliza el puerto 25.

Existen firewalls configurados para escuchar y recibir tráfico por estos puertos. Los ciberdelincuentes también lo saben, por lo que dirigen la mayoría de sus ataques a los puertos utilizados habitualmente. Por supuesto, las empresas suelen reforzar estos puertos frente a las amenazas.

Como respuesta al aluvión de ataques dirigidos a los puertos estándar, algunas organizaciones han pasado a utilizar puertos «no estándar» para sus servicios. Un puerto no estándar es el que se utiliza para un fin distinto del que tiene asignado de manera predeterminada. Un ejemplo sería utilizar el puerto 8080 en lugar del 80 para el tráfico web.

En esto consiste la estrategia de «seguridad por oscuridad». Aunque es posible confundir a los ciberdelincuentes durante un tiempo, no se trata de una solución de seguridad a largo plazo. Además, puede dificultar más la conexión con su servidor web a los usuarios porque su navegador está preconfigurado para utilizar el puerto 80.

Ataques contra puertos no estándar

Los datos recogidos en el Informe de ciberamenazas SonicWall 2019 indican un aumento del número de ataques dirigidos a puertos no estándar. En 2017 SonicWall descubrió que más del 17,7 % de ataques de malware se produjeron por puertos no estándar.

Comparativamente, ese número paso al 19,2 % en 2019, un incremento del 8,7 por ciento. Solo en diciembre de 2018 se alcanzó una cifra aún mayor: 23 %.

¿Cómo proteger los puertos no estándar?

La mejor defensa conta los ciberataques dirigidos a servicios a través de puertos estándar y no estándar consiste en disponer de una estrategia de seguridad por capas.

Utilizar la «seguridad por oscuridad» es solo una capa. No obstante, si se recurre a ella en exceso, no se obtiene el nivel de seguridad que se necesita. Es posible que ayude frente a los escaneos de puertos, pero no detendrá los ciberataques más selectivos.

Debería adoptar también otras medidas, como cambiar las contraseñas periódicamente, utilizar la autenticación de dos factores y aplicar parches y actualizaciones. Y debería utilizar un firewall que permita analizar artefactos específicos en lugar de todo el tráfico (es decir, un enfoque basado en proxy).