Los documentos de Office siguen ocasionando problemas de ciberseguridad

/0 Comentarios/en /por

Ha vuelto Emotet. Los archivos de Word, Excel y otros formatos de Office 365 siguen siendo vectores críticos de las ciberamenazas. ¿Cómo lo evitamos?

Aunque casi con una semana de retraso, Tom finalmente recibió el presupuesto de Tetome Supply.

Estaba deseando echarle un vistazo, pero sabía, gracias a los cursos trimestrales sobre ciberseguridad, que debía tener cuidado. Así que estudió cuidadosamente la dirección de correo y el nombre del remitente y se aseguró de que el archivo adjunto era un documento Word y no un archivo .exe. Se sintió más seguro por el texto del mensaje, en el que el remitente le daba las gracias por su paciencia y le preguntaba por su nuevo perrito.

Tom se tomaba el primer café de la mañana mientras echaba un vistazo a los titulares del día en su teléfono. Apareció un mensaje en el monitor que le informaba de que el .doc se había creado en iOS y que tenía que habilitar la edición y el contenido. Finalmente, pudo ver el contenido del documento, pero también puso en marcha una reacción en cadena.

Por lo que Tom veía, el documento solo contenía la información sobre el precio. Nada indicaba que Emotet se había descargado desde una web comprometida, a través de un comando Powershell. Ni que se había utilizado Trickbot como respaldo para Emotet.

Ya era demasiado tarde. Unos días más tarde, cuando Tom abrió su portátil, una nota le informaba de que todos sus archivos estaban cifrados y que los hackers no los desbloquearían hasta que les pagase 150.000 dólares en bitcoins. La nota iba firmada por Ryuk.

No es momento de relajarse.

Durante la primera mitad de 2019, los PDF maliciosos superaron a los archivos maliciosos de Office 365, con una diferencia de 36.488 a 25.461. Después, en 2020, el número de PDF descendió un 8% respecto al mismo período de 2019, mientras que el número de archivos maliciosos de Microsoft Office subía como la espuma a 70.184, una subida del 176%.

La revista Wired dijo de Emotet que es el malware más peligroso del mundo. Por eso, no es sorprendente que en enero de 2021 las fuerzas de seguridad de los principales países se unieran para desbaratar la infraestructura de Emotet, que se incrustaba en los servidores y equipos de más de 90 países. Como resultado de la operación se detuvieron algunos delincuentes y se confiscaron equipos, dinero en efectivo e incluso barras de oro que las bandas habían acumulado.

Es verdad que descendió el uso de los archivos de Microsoft Office en los ataques. Según el Informe de Ciberamenazas 2022 de SonicWall, los PDF volvieron a ser el vector preferido para los ataques, y su uso con fines maliciosos aumentó el 52%, mientras que el uso de archivos Microsoft Office maliciosos se redujo en un 64%. Esa tendencia suponía una inversión marcada y, aun así, todavía no podíamos suspirar de alivio.

A graph showing the rise of never-seen-before malware variants.

Vuelven los ataques de Emotet

Según unos informes recientes de Bleeping Computer, Threatpost y el SansTechnology Institute, en los 10 meses siguientes desde su publicitado desmantelamiento en enero de 2021, Emotet volvió para vengarse. Los ciberdelincuentes están distribuyendo de forma activa documentos de Microsoft Office infectados, archivos ZIP y otros archivos cargados con código Emotet.

Aunque todavía es demasiado pronto para observar una tendencia, de forma anecdótica podemos decir que se ven cambios significativos, como el cifrado de los activos de malware y una nueva estrategia que incluye ataques de phishing dirigidos con avisos de envío, documentación fiscal, informes de contabilidad, incluso invitaciones a fiestas y ataques mediante la cadena de respuestas de los mensajes.

En menos de 10 meses, los anteriores esfuerzos por controlar Emotet se han desvanecido, y hemos vuelto a la casilla de salida.

Cómo protegerse de archivos maliciosos de Office 365

Bastan unas cuantas sencillas medidas para protegerse a sí mismo y a otros usuarios de su red contra amenazas complejas. Puede empezar por cambiar la configuración de Office 365 para deshabilitar los scripts y las macros y asegurarse de que sus endpoints y sistemas operativos tengan las últimas actualizaciones para Windows.

Puede definir como política de la empresa el no enviar documentos y otros archivos por correo electrónico. Asimismo, puede mantenerse al día con la distribución periódica de parches y actualizaciones de Windows. Todos estamos ocupados, pero cuando dejamos que las actualizaciones se espacien, estamos literalmente permitiendo que los ataques exploten esas vulnerabilidades para tener éxito.

Asimismo, podemos reforzar aún más nuestra resistencia ante los ataques. 2021 fue otro año importante para la tecnología patentada por SonicWall Real-Time Deep Memory Inspection™ (RTDMI), que detectó 442.151 variantes de malware completamente nuevas en 2021, un 65% más que en 2020, con un promedio de 1.211 al día.

A graph showing new malicious file type detections in 2021.

Capture ATP, 100 % capturas y 0 % falsos positivos

Lo mejor de RTDMI es que está integrado en Capture Advanced Threat Protection (ATP) de SonicWall. Además, en unas pruebas trimestrales independientes realizadas por ICSA Labs, RTDMI identificó el 100 % de las amenazas maliciosas, sin dar un solo falso positivo durante cinco trimestres seguidos.

Capture ATP con RTDMI utiliza soluciones propietarias para la inspección de memoria, seguimiento de instrucciones en la CPU y prestaciones de aprendizaje automático para detectar y parar ciberataques nunca antes vistos, incluidas aquellas amenazas que no presentan un comportamiento malicioso y que ocultan su comportamiento mediante el cifrado, precisamente los ataques que los sandboxes tradicionales muy probablemente pasarían por alto.

Esto es particularmente importante en casos como el de Tom, ya que tanto Trickbot como Emotet utilizan el cifrado para ocultar sus acciones. Asimismo, Emotet se da cuenta cuando es ejecutado dentro de una máquina virtual (VM) y permanece inactivo si detecta un entorno sandbox.

La inteligencia de amenazas 2021 muestra el ascenso generalizado de los ataques

/0 Comentarios/en , /por

Mientras el mundo seguía abordando los desafíos de 2020, como la pandemia de COVID 19 y el cambio hacia el teletrabajo, los ciberdelincuentes se basaban en lo aprendido ese año para ser más versátiles y eficaces en 2021.

Mientras los cibercriminales seguían la dinámica de un mundo siempre en evolución, los investigadores de amenazas de SonicWall Capture Labs, a su vez, estudiaban las estrategias de los delincuentes y registraban dónde se producían los ataques, a quiénes iban dirigidos y qué clases de nuevas técnicas desarrollaban. Al compilar esos hallazgos en el Informe de Ciberamenazas 2022 de SonicWall, ofrecemos a las organizaciones la inteligencia sobre amenazas necesaria para combatir la creciente oleada de ciberdelincuencia.

«Es imprescindible comprender el conjunto de habilidades de los delincuentes para contrarrestar sus ataques, cada vez más sofisticados y dirigidos», dijo Bill Conner, President y CEO de SonicWall. «El Informe de Ciberamenazas 2022 de SonicWall pone de manifiesto la creciente plaga de ransomware y otros intentos de extorsión digital».

Estos son algunos hallazgos del informe:

Ransomware

En 2021, los investigadores de amenazas de SonicWall Capture Labs registraron 623,2 millones de intentos de ransomware en todo el mundo, un aumento del 105 % respecto al año anterior. Este aumento se vio impulsado por grandes volúmenes de ataques de Ryuk, SamSam y Cerber, que juntos representaron el 62 % del volumen total de ransomware.

El crecimiento del ransomware ha sido inusualmente agresivo, igual que muchas de las técnicas que las bandas de ransomware utilizaron para quitarle el dinero a las organizaciones legítimas. La doble extorsión siguió creciendo en 2021, y además empezaron a proliferar las nuevas y terroríficas técnicas de triple extorsión. También aumentaron los ataques a la cadena de suministro y a la infraestructura esencial, lo que supuso una mayor presión en los organismos legislativos de todo el mundo para unificar la política contra la creciente amenaza del ransomware.

Malware

Mientras casi todos los tipos de ataque crecían en los últimos dos años, pudimos ver algo esperanzador: «al menos, el volumen de malware está descendiendo». No obstante, si echamos un vistazo a los datos de 2021, vemos señales de que esa caída continuada puede terminar pronto.

Aunque el malware seguía bajando un 4 % respecto al año anterior, es la caída porcentual más pequeña que hemos visto en algún tiempo, con una recuperación en el segundo semestre que casi borró por completo la caída del 22 % registrada en el primer semestre del año. Además, el malware no descendió en todas partes: en el Reino Unido y la India se vieron aumentos del 48 % y el 41 %, respectivamente.

Exploits de Log4j

Desde el 11 de diciembre de 2021 hasta el 31 de enero de 2022, los investigadores de amenazas de SonicWall Capture Labs registraron 142,2 millones de intentos de exploit de Log4j, lo que supone un promedio de 2,7 millones de intentos al día. Los datos muestran que los delincuentes reorientan sus recursos para atacar esas vulnerabilidades a un ritmo alarmante, con grandes números de intentos que siguen hasta hoy.

(Como recordatorio: SonicWall ha publicado diversas definiciones para ayudar a los clientes a protegerse contra los intentos de exploit de Log4j; si todavía no ha instalado un parche para esas vulnerabilidades, le recomendamos que lo haga cuanto antes).

Capture ATP y RTDMI

En 2021, SonicWall, gracias a Capture ATP (Advanced Threat Protection) con Inspección profunda de memoria en tiempo real (RTDMI)™, se convirtió en la única empresa en la historia de ICSA Labs ATD en ganar cuatro puntuaciones perfectas seguidas, todas sin un solo falso positivo.

Los datos de SonicWall sobre la evolución de Capture ATP y RTDMI arrojan alguna luz sobre cómo hemos conseguido ese hito. En 2021, RTDMI identificó 442.151 variantes de malware nunca antes vistas, lo que supuso un aumento del 65 % respecto al año anterior y un promedio de 1221 al día.

Cryptojacking

Dados los precios récord de las criptomonedas en 2021, ni siquiera las restricciones contra la criptominería y un escrutinio federal cada vez mayor fueron suficientes para frenar el cryptojacking. Los investigadores de amenazas de SonicWall Capture Labs registraron un aumento del cryptojacking de un 19 % respecto al año anterior, lo que supone un promedio de 338 intentos por cada red de cliente.

Resístase a la trampa del spear phishing de Amazon

/0 Comentarios/en , , /por

Resístase a la trampa del spear phishing de Amazon

Seamos sinceros: prácticamente todos compramos algo en Amazon. En 2019, Amazon se convirtió en el mayor minorista a nivel global, y hoy su marca se reconoce en todo el mundo. Pero esta popularidad tan extendida puede traer consigo consecuencias menos deseables.

Debido a su ubicuidad, Amazon es una de las empresas que más se utilizan en el phishing por correo electrónico. Como tantas personas utilizan Amazon, los hackers pueden crear una plantilla de phishing y utilizarla muchas veces, sencillamente sustituyendo la información personal pertinente por la del destinatario. Y dado que la mayoría de los objetivos potenciales tendrán al menos una cuenta de Amazon, si es que no son usuarios habituales, las posibilidades de que el phishing provoque una acción son mucho mayores.

Aunque estos intentos de phishing adoptan muchas formas, en el siguiente ejemplo, los atacantes han simulado una confirmación de pedido del sitio web de Amazon. Su esperanza es que esta confirmación atraiga la atención de los objetivos y les haga temer que alguien haya realizado una compra no autorizada.

A pesar de que es un intento imperfecto —el logo no es el correcto, y contiene errores gramaticales— se pueden ver las características distintivas del spear phishing. Estos intentos son más sofisticados (y, por tanto, más peligrosos) que los intentos de phishing estándar porque los ciberdelincuentes han dedicado tiempo a conocer mejor a su objetivo y, a su vez, utilizan esta información para confeccionar señuelos más convincentes. Aquí, la información que se aprovecha es un nombre y una dirección, pero en realidad puede ser cualquier otra cosa que haga que el intento parezca genuino.

En este caso, los delincuentes incitan al objetivo a llamar a un número e informar si la transacción es desconocida, y lo hacen en varios lugares del mensaje, incluso con una llamada a la acción destacada para que salte a la vista (porque solo aparece una vez y en una parte del mensaje).

Si el destinatario llama al número indicado, se pondrá en contacto con los delincuentes, que fingirán pertenecer al servicio de atención al cliente de Amazon. Si la treta tiene éxito, los ciberdelincuentes intentarán hacer que la víctima revele credenciales personales u otra información que puedan explotar.

Mientras ataques como este sigan teniendo éxito, serán cada vez más habituales. Aunque es importante que todos los empleados sepan cómo detectar un intento de phishing, dado que este tipo de ataques son más sofisticados cada día, ya no hay una primera línea de defensa fiable.

Al implementar soluciones como SonicWall Cloud App Security (CAS) o SonicWall Email Security, puede impedir que este tipo de intentos lleguen a los buzones y evitar el robo de datos, el ransomware y otros ataques que podrían darse si un spear phishing tuviese éxito. Para saber más sobre cómo reforzar su negocio contra los intentos de spear phishing, contáctenos.