Los documentos de Office siguen ocasionando problemas de ciberseguridad

By

Ha vuelto Emotet. Los archivos de Word, Excel y otros formatos de Office 365 siguen siendo vectores críticos de las ciberamenazas. ¿Cómo lo evitamos?

Aunque casi con una semana de retraso, Tom finalmente recibió el presupuesto de Tetome Supply.

Estaba deseando echarle un vistazo, pero sabía, gracias a los cursos trimestrales sobre ciberseguridad, que debía tener cuidado. Así que estudió cuidadosamente la dirección de correo y el nombre del remitente y se aseguró de que el archivo adjunto era un documento Word y no un archivo .exe. Se sintió más seguro por el texto del mensaje, en el que el remitente le daba las gracias por su paciencia y le preguntaba por su nuevo perrito.

Tom se tomaba el primer café de la mañana mientras echaba un vistazo a los titulares del día en su teléfono. Apareció un mensaje en el monitor que le informaba de que el .doc se había creado en iOS y que tenía que habilitar la edición y el contenido. Finalmente, pudo ver el contenido del documento, pero también puso en marcha una reacción en cadena.

Por lo que Tom veía, el documento solo contenía la información sobre el precio. Nada indicaba que Emotet se había descargado desde una web comprometida, a través de un comando Powershell. Ni que se había utilizado Trickbot como respaldo para Emotet.

Ya era demasiado tarde. Unos días más tarde, cuando Tom abrió su portátil, una nota le informaba de que todos sus archivos estaban cifrados y que los hackers no los desbloquearían hasta que les pagase 150.000 dólares en bitcoins. La nota iba firmada por Ryuk.

No es momento de relajarse.

Durante la primera mitad de 2019, los PDF maliciosos superaron a los archivos maliciosos de Office 365, con una diferencia de 36.488 a 25.461. Después, en 2020, el número de PDF descendió un 8% respecto al mismo período de 2019, mientras que el número de archivos maliciosos de Microsoft Office subía como la espuma a 70.184, una subida del 176%.

La revista Wired dijo de Emotet que es el malware más peligroso del mundo. Por eso, no es sorprendente que en enero de 2021 las fuerzas de seguridad de los principales países se unieran para desbaratar la infraestructura de Emotet, que se incrustaba en los servidores y equipos de más de 90 países. Como resultado de la operación se detuvieron algunos delincuentes y se confiscaron equipos, dinero en efectivo e incluso barras de oro que las bandas habían acumulado.

Es verdad que descendió el uso de los archivos de Microsoft Office en los ataques. Según el Informe de Ciberamenazas 2022 de SonicWall, los PDF volvieron a ser el vector preferido para los ataques, y su uso con fines maliciosos aumentó el 52%, mientras que el uso de archivos Microsoft Office maliciosos se redujo en un 64%. Esa tendencia suponía una inversión marcada y, aun así, todavía no podíamos suspirar de alivio.

A graph showing the rise of never-seen-before malware variants.

Vuelven los ataques de Emotet

Según unos informes recientes de Bleeping Computer, Threatpost y el SansTechnology Institute, en los 10 meses siguientes desde su publicitado desmantelamiento en enero de 2021, Emotet volvió para vengarse. Los ciberdelincuentes están distribuyendo de forma activa documentos de Microsoft Office infectados, archivos ZIP y otros archivos cargados con código Emotet.

Aunque todavía es demasiado pronto para observar una tendencia, de forma anecdótica podemos decir que se ven cambios significativos, como el cifrado de los activos de malware y una nueva estrategia que incluye ataques de phishing dirigidos con avisos de envío, documentación fiscal, informes de contabilidad, incluso invitaciones a fiestas y ataques mediante la cadena de respuestas de los mensajes.

En menos de 10 meses, los anteriores esfuerzos por controlar Emotet se han desvanecido, y hemos vuelto a la casilla de salida.

Cómo protegerse de archivos maliciosos de Office 365

Bastan unas cuantas sencillas medidas para protegerse a sí mismo y a otros usuarios de su red contra amenazas complejas. Puede empezar por cambiar la configuración de Office 365 para deshabilitar los scripts y las macros y asegurarse de que sus endpoints y sistemas operativos tengan las últimas actualizaciones para Windows.

Puede definir como política de la empresa el no enviar documentos y otros archivos por correo electrónico. Asimismo, puede mantenerse al día con la distribución periódica de parches y actualizaciones de Windows. Todos estamos ocupados, pero cuando dejamos que las actualizaciones se espacien, estamos literalmente permitiendo que los ataques exploten esas vulnerabilidades para tener éxito.

Asimismo, podemos reforzar aún más nuestra resistencia ante los ataques. 2021 fue otro año importante para la tecnología patentada por SonicWall Real-Time Deep Memory Inspection™ (RTDMI), que detectó 442.151 variantes de malware completamente nuevas en 2021, un 65% más que en 2020, con un promedio de 1.211 al día.

A graph showing new malicious file type detections in 2021.

Capture ATP, 100 % capturas y 0 % falsos positivos

Lo mejor de RTDMI es que está integrado en Capture Advanced Threat Protection (ATP) de SonicWall. Además, en unas pruebas trimestrales independientes realizadas por ICSA Labs, RTDMI identificó el 100 % de las amenazas maliciosas, sin dar un solo falso positivo durante cinco trimestres seguidos.

Capture ATP con RTDMI utiliza soluciones propietarias para la inspección de memoria, seguimiento de instrucciones en la CPU y prestaciones de aprendizaje automático para detectar y parar ciberataques nunca antes vistos, incluidas aquellas amenazas que no presentan un comportamiento malicioso y que ocultan su comportamiento mediante el cifrado, precisamente los ataques que los sandboxes tradicionales muy probablemente pasarían por alto.

Esto es particularmente importante en casos como el de Tom, ya que tanto Trickbot como Emotet utilizan el cifrado para ocultar sus acciones. Asimismo, Emotet se da cuenta cuando es ejecutado dentro de una máquina virtual (VM) y permanece inactivo si detecta un entorno sandbox.

This post is also available in: Inglés Portugués, Brasil Francés Alemán Italiano

Ray Wyman Jr
Digital Content & SEO Manager
Ray Wyman Jr is the Digital Content & SEO Manager at SonicWall. He’s also an author and content creator specializing in tech and business management.