Informe revela que ciberamenazas se diversifican mediante ataques estilo «building block”

Loading

El Informe Trimestral de Inteligencia sobre Amenazas Cibernéticas de HP Wolf Security, muestra la forma en que los actores de amenazas están encadenando diferentes combinaciones de ataques en conjunto, como bloques constructivos de juego, para evadir las herramientas de detección.

Mediante el aislamiento y la contención de las amenazas que logran eludir las herramientas de seguridad en las PCs, el sistema cuenta con información específica de las técnicas usadas más recientemente por los ciberdelincuentes en el panorama siempre cambiante de la ciberdelincuencia.

Con base en los datos de millones de dispositivos de punto final que ejecutan este sistema, los investigadores descubrieron:

  • Es la hora de jugar para los ciberdelincuentes que usan ataques de tipo bloques constructivos (building blocks): Por lo general, las cadenas de ataque son poco originales y recorren caminos algo trillados hacia la carga útil. Sin embargo, en las campañas creativas de Qakbot se vio que los actores de amenazas conectan diferentes bloques entre sí para crear cadenas de infección únicas. Al cambiar diferentes tipos de archivos y técnicas, lograron evadir las herramientas de detección y políticas de seguridad. El 32% de las cadenas de infección de Qakbot analizadas por HP en el segundo trimestre fueron únicas.
  • Encuentra la diferencia: blogger o keylogger: Los atacantes detrás de las recientes campañas de Aggah alojaron código malicioso en el interior de la popular plataforma de blog: Blogspot. Al ocultar el código en una fuente legítima, se vuelve más difícil para los defensores distinguir si un usuario está leyendo un blog o lanzando un ataque. Los actores de amenazas usan su conocimiento de los sistemas de Windows para desactivar algunas de las capacidades antimalware en la máquina del usuario, ejecutar los troyanos de acceso remoto XWorm o AgentTesla, y así robar información sensible.
  • Ir en contra del protocolo: HP también identificó otros ataques de Aggah que usan una consulta de registro TXT de DNS, la cual sirve por lo general para acceder a información simple sobre nombres de dominio, y así entregar el troyano de acceso remoto AgentTesla. Los actores saben que el protocolo DNS no es monitoreado ni protegido con frecuencia por los equipos de seguridad, lo cual hace que este tipo de ataque sea sumamente difícil de detectar.
  • Malware multilingüe: Una reciente campaña utiliza múltiples lenguajes de programación para evitar la detección. En primer lugar, encripta su carga útil usando un encriptador escrito en Go, el cual desactiva las funciones de análisis antimalware que normalmente lo detectarían. Posteriormente, el ataque cambia el lenguaje a C++ para interactuar con el sistema operativo de la víctima y ejecutar el malware .NET en la memoria, dejando rastros mínimos en la PC.

Patrick Schläpfer, analista senior de malware del equipo de investigación de amenazas del sistema, explicó:

“Los atacantes de hoy se están volviendo mejor organizados y más informados. Investigan y analizan las partes internas del sistema operativo, lo cual les facilita explotar las brechas. Al saber qué puertas abrir, pueden navegar los sistemas internos con facilidad, usando técnicas relativamente sencillas de maneras muy efectivas y sin hacer sonar la alarma”.

El reporte detalla la forma en que los grupos de ciberdelincuentes están diversificando los métodos de ataque para eludir las políticas de seguridad y las herramientas de detección. Los hallazgos más significativos son:

  • Los archivos fueron el tipo de entrega de malware más popular por quinto trimestre consecutivo, y se utilizaron en el 44% de los casos analizados.
  • El segundo trimestre vio un aumento del 23% en amenazas HTML detenidas, comparado con el primer trimestre.
  • Hubo un aumento de 4 puntos porcentuales en los ejecutables, de 14% a 18% del primer al segundo trimestre, causado principalmente por el uso del archivo PDFpower.exe que incluía software con un malware de secuestro de navegador.
  • Se notó una caída de 6 puntos porcentuales en el malware de hoja de cálculo (de 19% a 13%) en el primer trimestre comparado con el cuarto anterior, a medida que los atacantes se alejan de los formatos de Office donde la ejecución macros es más difícil.
  • Al menos el 12% de las amenazas de correo identificadas evadieron uno o más escáneres de puerta de enlace de correo electrónico en el segundo trimestre.

El Dr. Ian Pratt, jefe global de seguridad de sistemas personales de la marca, expresó:

“Si bien las cadenas de infección pueden variar, los métodos de iniciación siguen siendo los mismos. Todo se reduce inevitablemente a que el usuario haga clic en algo. En vez de tratar de adivinar la cadena de infección, las organizaciones deben aislar y contener las actividades riesgosas como abrir archivos adjuntos de correo, dar clic en enlaces y hacer descargas desde el navegador”.

Sobre los datos

Estos datos se recopilaron de manera anónima dentro de las máquinas virtuales de los usuarios del sistema , de abril a junio de 2023.

Les estaremos informando con mucho más detalle, en el marco del informe especial: “Desarrollo de software empresarial para la competitividad, BPM (Business Process Management), Gestión de Procesos de Negocios (CRM, ERP y CSP…) Data Science, Criptografía, NFT (Non Fungible Token) y Blockchain. Ciberseguridad, Metaverso, Automatización, AI, SaaS (Software as a service) en el marco de la transformación digital. Software para Comunicaciones Unificadas y Buenas prácticas corporativas”, que estamos preparando para nuestra edición 207 y publicaremos en el mes de septiembre.

Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario.

Notas Relacionadas