Cyber Attack Trends

Cyber Attack Trends

Citation preview

CYBER ATTACK TRENDS: 2019 MID-YEAR REPORT INTRODUCTION La primera mitad de 2019 demostró que ningún entorno es inmune a los ataques cibernéticos. Hemos sido testigos de los actores de amenazas que desarrollan nuevos conjuntos de herramientas y técnicas, dirigidas a los activos corporativos almacenados en la infraestructura de la nube, dispositivos móviles individuales, de confianza aplicación de proveedores de terceros e incluso plataformas de correo populares. Una de las tendencias dominantes en curso en 2019 son los ataques de ransomware dirigidos. Este año, las colaboraciones entre actores de amenazas permitieron ataques aún más destructivos que paralizaron a numerosas organizaciones en todo el mundo. Lo que termina con un ataque de ransomware generalmente comienza con una secuencia más silenciosa de infecciones de bot. Todavía muy visibles, los cryptominers están en declive este año: solo el 21% de las organizaciones en todo el mundo se vieron afectadas por los ataques de cryptominers en comparación con el 42% durante su pico en 2018. Este fue el resultado después de cerrar la minería 'CoinHive'. Servicio. Los ataques a la cadena de suministro de software atrajeron la atención del público y del gobierno. En tales ataques, los actores de amenazas inyectan código malicioso en componentes de aplicaciones legítimas, victimizando a un gran número de usuarios desprevenidos. La acumulación de varios casos desde principios de año llevó al gobierno estadounidense a prestar especial atención a esta amenaza en evolución y pronto publicará recomendaciones oficiales sobre formas de minimizar el impacto de tales ataques. Para proporcionar a las organizaciones el mejor nivel de protección, los expertos en seguridad deben estar en sintonía con el panorama en constante cambio y las últimas amenazas y métodos de ataque. Con los datos extraídos del Mapa de amenazas cibernéticas mundiales de ThreatCloud de Check Point entre enero y junio de 2019, combinados con la investigación primaria realizada por los expertos en seguridad cibernética de la compañía, el siguiente informe contiene una descripción completa de las tendencias observadas en las diversas categorías de criptomineros, ransomware, botnet , troyanos bancarios, violaciones de datos y amenazas móviles. ATAQUES DE CADENA DE SUMINISTRO DE SOFTWARE EN LA SUBIDA La creciente conciencia de la seguridad cibernética y el uso cada vez mayor de soluciones de seguridad han hecho que los intentos de ataque cibernético sean más desafiantes y han empujado a los actores de amenazas motivados a extender sus ataques a nuevos vectores. Centrarse en la cadena de suministro de un objetivo seleccionado es tal intento. En los ataques a la cadena de suministro de software, el actor de la amenaza generalmente instala código malicioso en software legítimo modificando e infectando uno de los componentes básicos en los que se basa el software. Al igual que con las cadenas físicas, las cadenas de suministro de software son tan fuertes como su eslabón más débil. Los ataques a la cadena de suministro de software se pueden dividir en dos categorías principales. El primero incluye ataques dirigidos con el objetivo de comprometer objetivos bien definidos, escaneando su lista de proveedores en busca del enlace más débil a través del cual podrían ingresar. El ataque ShadowHammer en ASUS es un ejemplo reciente. Los atacantes implantaron código

malicioso en la utilidad ASUS Live Update, lo que les permitió instalar puertas traseras en millones de computadoras remotas. Curiosamente, el implante malicioso incluía una lista codificada de varios cientos de direcciones MAC de adaptadores de red, lo que significa que las puertas traseras de la segunda etapa podrían entregarse quirúrgicamente a objetivos predefinidos. En la segunda categoría, las cadenas de suministro de software se utilizan para comprometer a tantas víctimas como sea posible al ubicar un enlace débil con un radio de distribución grande. Un ejemplo de ello es el ataque a PrismWeb, una plataforma de comercio electrónico, en la que los atacantes inyectaron un script de descremado en las bibliotecas compartidas de JavaScript utilizadas por las tiendas en línea, que afecta a más de 200 tiendas en línea de campus universitarios en América del Norte. Muchos de estos ataques de estilo MageCart utilizan vectores de ataque de cadena de suministro similares. El fuerte aumento de los ataques a la cadena de suministro ha llevado al Departamento de Seguridad Nacional de los Estados Unidos (DHS) a establecer la Fuerza de Tarea de Gestión de Riesgos de la Cadena de Suministro de Tecnología de Información y Comunicaciones, que comenzó su trabajo a principios de este año. Además, el 15 de mayo, la Casa Blanca emitió una orden ejecutiva, declarando las amenazas de la cadena de suministro extranjera como una emergencia nacional y facultando al Secretario de Comercio para prohibir las transacciones, lo que más tarde condujo a la prohibición del gigante tecnológico Huawei. El ámbito móvil también es propenso a los ataques de la cadena de suministro. Operation Sheep, según la revisión de Check Point Research, expuso el SDK infectado por SWAnalytics. Los desarrolladores de aplicaciones móviles no sospechosos utilizaron este SDK y, por lo tanto, sin saberlo, ayudaron a distribuir malware malicioso de recolección de contactos a más de 100 millones de usuarios finales. Desde el punto de vista del pirata informático, este método tiene al menos dos ventajas distintas: confían en la buena reputación de los proveedores externos y multiplican su múltiple de circulación utilizando el mecanismo de distribución del proveedor original. El vector de ataque de la cadena de suministro ha sido una tendencia creciente durante un tiempo, pero la reacción de las autoridades estadounidenses e internacionales atestigua tanto su magnitud como su gravedad. Este tipo de vector de ataque es más que una simple técnica peligrosa; ataca la confianza básica en la que se basan las relaciones proveedor-cliente. CORREOS POR CORREO ELECTRÓNICO Es seguro decir que no hay una organización o individuo que no esté expuesto a múltiples campañas de correo electrónico malicioso en un momento dado. Pero con la creciente atención de los proveedores de seguridad y la conciencia pública sobre los ataques por correo electrónico, los actores de amenazas han introducido tácticas de phishing mejoradas destinadas a establecer la credibilidad entre las víctimas, así como técnicas avanzadas de evasión para evitar las soluciones de seguridad de correo. Con este cambio, los investigadores de Check Point fueron testigos de un aumento en el volumen de estafas de Sextortion y el compromiso de correo electrónico comercial (BEC), que engañan fraudulentamente a las víctimas para que paguen por chantaje o se hagan pasar por otros de manera convincente, respectivamente. Ambas estafas adoptan estos elementos y no contienen necesariamente ningún archivo adjunto o enlace malicioso, lo que los hace aún más difíciles de detectar.

Los estafadores de correo electrónico han comenzado a emplear diversas técnicas de evasión diseñadas para evitar las soluciones de seguridad y los filtros antispam. Las diversas evasiones que detectamos incluyeron correos electrónicos codificados, imágenes del mensaje incrustado en el cuerpo del correo electrónico, así como un código subyacente complejo que combina letras de texto sin formato con entidades de caracteres HTML. Las técnicas de ingeniería social, además de variar y personalizar el contenido de los correos electrónicos, son métodos adicionales que permiten a los estafadores volar de forma segura bajo el radar de los filtros antispam y llegar a la bandeja de entrada de su objetivo. Decididos a convencer a las víctimas de su credibilidad, este año los estafadores de Sextortion hicieron todo lo posible para que sus víctimas se preocuparan lo suficiente como para pagar y evitar la publicación de los supuestos materiales sexuales. Esto incluye principalmente proporcionar las credenciales personales de la víctima como evidencia, que generalmente se filtró en violaciones de datos anteriores o se compró en foros clandestinos. Otras tácticas, principalmente comunes en los ataques BEC, son la suplantación de nombres de dominio y de visualización, así como el envío de correos electrónicos de entidades válidas de alta reputación, como Microsoft Office 365 o cuentas de Gmail comprometidas. En abril, una campaña de sextortion fue tan lejos como pretender ser de la CIA y advirtió a las víctimas que se sospechaba que distribuían y almacenaban pornografía infantil, mientras exigían $ 10,000 en Bitcoin. En un mundo donde las estafas por correo electrónico se han convertido en un negocio en el que los ciberdelincuentes profesionales son contratados para ejecutar campañas de correo electrónico, también es seguro decir que esta industria definitivamente llegó para quedarse. Los spammers continuarán mejorando sus capacidades y técnicas para garantizar la rentabilidad de sus estafas, al igual que los proveedores de seguridad continuarán mejorando sus productos para protegerse contra tales amenazas. ATAQUES CONTRA ENTORNOS EN LA NUBE La creciente popularidad de los entornos de nube pública ha llevado a un aumento de los ataques cibernéticos dirigidos a recursos y datos confidenciales que residen en estas plataformas. Siguiendo la tendencia de 2018, prácticas como la configuración incorrecta y la mala gestión de los recursos de la nube siguieron siendo la amenaza más importante para el ecosistema de la nube en 2019 y, como resultado, sometieron los activos de la nube a una amplia gama de ataques. Este año, la configuración incorrecta de los entornos de nube fue una de las principales causas de una gran cantidad de incidentes de robo de datos experimentados por organizaciones de todo el mundo. En abril, más de 500 millones de registros de usuarios de Facebook fueron expuestos por un tercero en servidores en la nube de Amazon sin protección. Las cuentas mal configuradas de Box.com filtraron terabytes de datos extremadamente confidenciales de muchas compañías, y en otro caso, la información financiera confidencial de 80 millones de estadounidenses alojados en un servidor en la nube de Microsoft fue expuesta en línea. Además del robo de información, los actores de amenazas abusan intencionalmente de las diferentes tecnologías de la nube por su potencia informática. En lo que va del año, las campañas de criptominería en la nube se intensificaron, mejoraron su conjunto de técnicas y fueron capaces de evadir productos básicos de seguridad en la nube, abusando de cientos de hosts Docker

expuestos e incluso cerrando las campañas de criptominería de la competencia que operan en la nube. Además, en 2019 los investigadores de Check Point fueron testigos de un aumento en el número de explotaciones contra las infraestructuras de la nube pública. Una vulnerabilidad en la plataforma SoftNAS Cloud descubierta en marzo puede haber permitido a los atacantes eludir la autenticación y obtener acceso a la interfaz de administración basada en la web de una empresa y luego ejecutar comandos arbitrarios. Además, un nuevo tipo de vector de ataque, denominado Cloudborne, demostró que el hardware reaprovisionado para nuevos clientes podría retener puertas traseras que pueden usarse para atacar a futuros usuarios del sistema comprometido. Con el aumento del número de empresas que migran su infraestructura de almacenamiento y computación al entorno de la nube, se deben seguir las mejores prácticas de seguridad e implementar soluciones adecuadas para evitar la próxima violación masiva de datos. EL EVOLUTIVO PAISAJE MÓVIL Dado que todas nuestras vidas personales y comerciales se gestionan y almacenan en dispositivos móviles, los actores de amenazas están hoy extremadamente motivados para lanzar una amplia gama de ataques: campañas publicitarias rentables, robo de credenciales confidenciales a través de aplicaciones falsas y operaciones de vigilancia son solo algunas de las vulnerabilidades. realizado. En lo que va de año, hemos visto a más y más actores maliciosos adaptando técnicas y métodos del panorama general de amenazas al mundo móvil. Como uno de los tipos de malware más populares, el malware bancario se ha infiltrado con éxito en el ciberespacio móvil con un fuerte aumento de más del 50% en comparación con 2018. En correlación con el uso creciente de las aplicaciones móviles de los bancos, el malware capaz de robar datos de pago, Las credenciales y los fondos de las cuentas bancarias de las víctimas han sido expulsados del panorama general de amenazas y también se han convertido en una amenaza móvil muy común. La metodología utilizada para distribuir malware bancario también se ha tomado del panorama general de amenazas: creadores de malware disponibles para su compra en foros clandestinos. De esta manera, los creadores de banqueros móviles, como Asacub y Anubis, pueden permitir la creación de nuevas versiones de este malware, listas para su distribución masiva, por cualquiera que esté dispuesto a pagar. Otro elemento interesante observado en lo que va del año e inspirado en el panorama general de amenazas, es el comienzo de la era de las evasiones para la arena móvil. Desde una ejecución retrasada para evitar sandboxes, pasando por el uso de iconos transparentes con etiquetas de aplicaciones vacías hasta el cifrado de la carga útil maliciosa, es bastante evidente que los ciberdelincuentes han aumentado sus habilidades y creatividad para los ataques móviles, decididos a evadir la detección mientras mantienen su malware persistente y eficaz Este año, se descubrieron dos aplicaciones falsas en Google Play capaces de monitorear los sensores de movimiento de los dispositivos para evadir los emuladores de seguridad. Además, en marzo, se introdujo un nuevo troyano Android denominado Gustuff para ser capaz de dirigirse a los clientes

de los principales bancos internacionales y presenta varias técnicas de evasión, que incluyen desactivar Google Protect, la protección antimalware incorporada en Android. Entonces, después de investigar el campo móvil, los actores de amenazas están intensificando sus esfuerzos y, como resultado, podemos esperar que aumenten los ataques móviles en los próximos meses y años. TENDENCIAS EN CURSO Además de las principales tendencias anteriores, hay otras tres tendencias cibernéticas de 2018 que siguen siendo muy relevantes en 2019. • El enfoque de ransomware dirigido que ganó popularidad durante 2018 ha demostrado ser efectivo en 2019; No pasa una semana sin que algún tipo de ataque destructivo de ransomware personalizado llegue a los titulares. Uno de esos vectores de ataque prominentes utiliza la vasta distribución de Emotet y la base de víctimas para seleccionar objetivos lucrativos. Emotet se utiliza para difundir TrickBot dentro de la red corporativa comprometida que, a su vez, implementa Ryuk u otro ransomware como carga útil final. Desde innumerables entidades del gobierno local hasta un proveedor de alojamiento en la nube, corporaciones industriales y aeropuertos, este año cada organización es un objetivo potencial para la catástrofe del ransomware dirigido, liderado por Ryuk y LockerGoga. • Los infames criptomineros siguieron siendo un tipo de malware frecuente en la primera mitad del panorama de amenazas de 2019. Esto a pesar del cierre del notorio servicio de minería "CoinHive" en marzo, que provocó una disminución en la popularidad de los criptomineros entre los actores de amenazas. Como resultado, y para seguir prevaleciendo en 2019, los actores de amenazas han estado adoptando un nuevo enfoque con respecto a los criptomineros, apuntando a objetivos más gratificantes que las PC de consumo y diseñando operaciones más robustas. Entre las nuevas víctimas se pueden encontrar corporaciones, fábricas, servidores potentes e incluso recursos en la nube. Y si eso no fuera suficiente, incluso los hemos visto integrando cryptominers como parte de una botnet DDoS para obtener ganancias secundarias. • Los ataques DNS apuntan a uno de los mecanismos más importantes que rigen Internet: el Sistema de nombres de dominio (DNS). El DNS se encarga de resolver los nombres de dominio en sus correspondientes direcciones IP y es una parte crucial de la cadena de confianza de Internet. Dichos ataques se dirigen a proveedores DNS, registradores de nombres y servidores DNS locales que pertenecen a la organización objetivo y se basan en la manipulación de registros DNS. Las adquisiciones de DNS pueden comprometer toda la red y habilitar múltiples vectores de ataque: control de comunicaciones por correo electrónico, redireccionamiento de víctimas a un sitio de phishing y más. Una de las mayores ventajas que brindan los ataques DNS es la opción de emitir certificados de apariencia legítima por parte de las Autoridades de Certificación que confían en DNS para verificar que usted es el legítimo titular del dominio en cuestión. La creciente popularidad de los ataques de DNS empujó al Departamento de Seguridad Nacional y a la Corporación de Internet para Nombres y Números Asignados (ICANN) a emitir advertencias oficiales de un riesgo significativo para este componente clave de la infraestructura de Internet. Los grandes incidentes que involucran ataques de DNS incluyen ataques contra el gobierno y la

infraestructura de internet y telecomunicaciones, como se muestra en las recientes campañas de DNSpionage y SeaTurtle. CYBER ATTACK CATEGORIES BY REGION

GLOBAL THREAT INDEX MAP

TOP MALICIOUS FILE TYPES – H1 2019

FILE DISTRIBUTION METHOD – MAIL VS. WEB ATTACK VECTORS (2018-2019)

ESTADÍSTICAS GLOBALES DE MALWARE Las comparaciones de datos presentadas en las siguientes secciones de este informe se basan en datos extraídos del Punto de control ThreatCloud World Cyber Threat Map entre enero y junio de 2019.

TOP MALWARE FAMILIES

Análisis global de los principales malware En 2019, los criptomineros continúan dominando las clasificaciones de malware, manteniendo su lugar en la cima de las filas mundiales y regionales. Nuestros gráficos muestran que el malware de criptominería sigue siendo, sin duda, una herramienta preferida en el arsenal de actores maliciosos, a pesar del cierre de Coinhive que ocurrió en marzo. Sin embargo, sí vemos una disminución en el impacto del escuadrón Cryptomining, con solo el 26% de las organizaciones afectadas por ellos en comparación con el 42% de las organizaciones en 2018. GandCrab, el infame Ransomware-as-a-Service, ha entrado en nuestros principales gráficos mundiales después de estar muy activo en la primera mitad de 2019. Explotar una vulnerabilidad crítica de Oracle WebLogic Server recientemente parcheada, así como apuntar a múltiples objetivos, incluidos los proveedores de servicios gestionados (MSP), la empresa de fabricación y los servidores de Windows que ejecutan bases de datos MySQL, son solo algunas de las víctimas de GandCrab de este año. Sin embargo, a pesar del éxito meteórico, en mayo los autores del ransomware anunciaron el cierre del servicio y pidieron a sus afiliados que terminaran sus operaciones en curso y dejaran de distribuir GandCrab. TOP CRYPTOMINING MALWARE

Análisis global de Cryptomining Malware Ocupando el primer lugar en EMEA y segundo o tercero en todas las demás regiones, CryptoLoot, el minero web Javascript basado en CPU / GPU para Monero, se está preparando para asumir el puesto de CoinHive en la cima. Además, por primera vez DarkGate ha entrado en nuestra lista superior. Capaz de realizar múltiples actividades adicionales además de la criptominería, como el robo de credenciales, el cifrado de archivos y las adquisiciones de acceso remoto, DarkGate representa una generación de malware que integra capacidades de minería en su conjunto de herramientas existente.

TOP BANKING MALWARE

Análisis global de malware bancario Ramnit, el prolífico troyano bancario, ha mantenido su lugar como el banquero más frecuente de 2019 hasta el momento. Con los años, Ramnit ha ampliado su gama de objetivos para incluir publicidad en línea, servicios web, sitios de redes sociales y sitios de comercio electrónico. Este año, Ramnit ha vuelto a sus raíces y fue descubierto en gran medida dirigido a sitios web de servicios financieros para que coincida con la actividad de devolución de impuestos, principalmente en Italia. Ursnif, que también se conoce como "Gozi ISFB", ha subido a la cima de la lista de troyanos bancarios. La filtración de su código fuente en foros subterráneos ha convertido a Ursnif en uno de los troyanos bancarios más populares, que evoluciona e integra nuevas características y capacidades. Este año, las variantes de Ursnif han estado constantemente en los titulares; los distribuidores adoptaron nuevas técnicas para evitar la detección, entidades específicas en Japón e Italia, lo distribuyeron masivamente junto con el ransomware GandCrab y agregaron nuevos módulos de robo no solo de información financiera sino también de cuentas de usuario de correo electrónico, contenido de bandejas de entrada y billeteras de criptomonedas, así como credenciales de usuario para correo web local, almacenamiento en la nube y sitios de comercio electrónico.

TOP BOTNET MALWARE

Análisis global de malware de botnet Emotet, una vez empleado como troyano bancario, es hoy en día un troyano avanzado, autopropagante y modular que también distribuye correos electrónicos no deseados y cepas de malware. Emotet lidera los primeros puestos de Global, Americas y EMEA como una de las botnets más frecuentes de la primera mitad de 2019. Este año, parece que Emotet se convirtió en el favorito de los atacantes, entregando masivamente otras variantes de malware y ampliando sus capacidades con múltiples novedosas técnicas de evasión. A mediados de junio, Emotet dejó de propagarse, y al momento de escribir esto no ha generado nuevas infecciones. Otra Botnet prominente que domina las listas es TrickBot, que ha evolucionado rápidamente desde el troyano bancario a un troyano multipropósito con un alto nivel de flexibilidad y personalización. Este año, TrickBot está tomando una parte importante en la distribución de Ryuk, así como en campañas tortuosas que aprovechan el Día del Impuesto en los EE. UU. Para robar detalles de cuentas bancarias y documentos fiscales confidenciales para uso fraudulento

TOP MOBILE MALWARE

Análisis global de malware móvil Triada, el poderoso troyano modular de Android, una vez más protagoniza nuestras listas, ocupando el primer lugar en las regiones Global, EMEA y APAC. Considerado uno de los malware móviles más avanzados, el año pasado Triada se encontró preinstalado en teléfonos inteligentes Android, infectando a cientos de miles de víctimas. En junio, Google publicó un informe destacando que Triada fue inyectada en la imagen del sistema de dispositivos móviles a través de un tercero durante el proceso de producción. Otro malware móvil líder durante la primera mitad de 2019 es Lotoor, un malware que es capaz de explotar numerosas vulnerabilidades en el sistema operativo Android, lo que le permite obtener privilegios de root en dispositivos móviles comprometidos. PRINCIPALES INFRACCIONES CIBERNÉTICAS (H1 2019) En la primera mitad de 2019, las infracciones cibernéticas continuaron siendo una de las principales amenazas para las organizaciones en todos los sectores y todas las regiones, poniendo en riesgo información sensible de miles de millones de personas. Lo que caracteriza a 2019 no es la cantidad de infracciones reportadas, sino su magnitud. A continuación se muestra un resumen de los principales ataques en cada región. Américas

• Enero: más de 770 millones de direcciones de correo electrónico y 21 millones de contraseñas únicas fueron expuestas en un foro de piratería popular después de ser alojado en el servicio en la nube MEGA, y se convirtió en la colección más grande de credenciales personales violadas en la historia, llamada "Colección # 1". Más adelante este año, la Colección # 1 fue descubierta como una porción menor de una fuga de datos de un terabyte más grande, dividida en siete partes y distribuida a través del intercambio de datos. • Febrero: se robaron 620 millones de detalles de cuenta de 16 sitios web pirateados y se pusieron a la venta en el popular mercado Dark Web, Dream Market. Más tarde, el mismo actor de la amenaza bajo el alias "jugadores gnósticos", publicó otro tesoro de 127 millones de cuentas a la venta de otros ocho sitios web pirateados. • Marzo: la empresa de validación de correo electrónico más grande del mundo, Verifications.io, fue víctima de una importante violación de datos debido a una base de datos MongoDB desprotegida, exponiendo datos en línea de más de 800 millones de correos electrónicos. Los correos electrónicos filtrados contenían información confidencial, incluida información de identificación personal (PII). • Abril: se encontraron más de 500 millones de registros de usuarios de Facebook expuestos en servidores en la nube de Amazon sin protección. Los conjuntos de datos expuestos fueron recopilados y no almacenados de forma segura en línea por terceros desarrolladores de aplicaciones de Facebook. • Abril: se encontraron en línea ocho bases de datos no seguras que contienen datos raspados y direcciones de correo electrónico de casi 60 millones de usuarios de LinkedIn. Una investigación de LinkedIn arrojó que las bases de datos expuestas pertenecían a una compañía externa que agregaba datos de múltiples fuentes, incluida LinkedIn. • Mayo: un grupo de piratas informáticos ruso ofreció a la venta acceso a redes de proveedores de antivirus y el código fuente de su software. El grupo, llamado Fxmsp, afirmó violar las redes de McAfee, Symantec y Trend Micro, y robar 30 terabytes de datos que están ofreciendo para la venta. • Junio: la American Medical Collection Agency (AMCA) sufrió una importante violación de datos al exponer información personal y de pago de casi 20 millones de pacientes después de que los atacantes se infiltraron en su portal de pago web. La información incluía nombres, fecha de nacimiento, dirección, teléfono, fecha de servicio, proveedor, información del saldo y tarjeta de crédito o cuenta bancaria. AMCA se ha declarado en bancarrota ya que la violación ha tenido consecuencias financieras y legales para la organización. Europa, Medio Oriente y África (EMEA) • Enero: se filtraron datos personales altamente sensibles de más de 100 políticos, celebridades y periodistas alemanes, incluida la canciller alemana, Angela Merkel. Los datos filtrados parecen haber sido recopilados de sus teléfonos inteligentes personales e incluyeron números de teléfonos móviles, direcciones, conversaciones privadas con familias, fotos de vacaciones, facturas y comunicaciones entre políticos. • Enero: Airbus, el segundo mayor fabricante mundial de aviones comerciales, fue objeto de una violación de datos que expone los datos personales de algunos de sus empleados, ya que los atacantes no autorizados violaron su sistema de información de "negocio de aviones comerciales". • Febrero: el proveedor de energía estatal sudafricano "Eskom" experimentó dos violaciones de seguridad. Una base de datos no segura que contenía información del cliente se expuso a Internet y una computadora corporativa se infectó con el troyano AZORult que roba información después de que un empleado descargó un juego de Sims 4 roto. • Abril: el Instituto de Tecnología de Georgia sufrió una violación de datos que expuso la información personal de 1.3 millones de docentes actuales y anteriores, estudiantes, personal y solicitantes de

estudiantes. Al explotar una vulnerabilidad en su aplicación web, una entidad no autorizada obtuvo acceso a la base de datos central de la universidad. Asia-Pacífico (APAC) • Enero: se reveló que una base de datos masiva en línea contenía registros sensibles y personales de más de 202 millones de ciudadanos chinos. Se cree que los datos se han recopilado de currículums de solicitantes de empleo de varios sitios web chinos utilizando una herramienta de raspado llamada "importación de datos". • Febrero: LPG Gas Company, una empresa estatal india, tenía datos personales y confidenciales en línea pertenecientes a 7 millones de clientes y distribuidores que se filtraron debido a vulnerabilidades en sus aplicaciones iOS. La información comprometida incluía nombres, direcciones y números de identidad personal (números de Aadhaar), así como detalles bancarios de los distribuidores, como nombre del banco, número de cuenta, código IFSC y más. • Abril: se expusieron los datos personales de 100 millones de usuarios del servicio de búsqueda indio JustDial después de encontrar una base de datos desprotegida en línea. Los datos filtrados se recopilaron en tiempo real de cada cliente que accedió al servicio a través de su sitio web, aplicación móvil o incluso llamando, e incluyó nombres de usuario, direcciones de correo electrónico, números de teléfono móvil, direcciones, ocupación e incluso fotos. • Abril: una Elasticsearch DB mal configurada en el sitio web de Tommy Hilfiger Japón condujo a la exposición de cientos de miles de información personal de los clientes; Los nombres completos, las direcciones, los números de teléfono, las direcciones de correo electrónico, la fecha de nacimiento y la información de la transacción estaban disponibles en formato de texto sin cifrar. • Junio: FMC Consulting, una compañía china de headhunting, fue responsable de una fuga de datos importante de millones de registros debido a una ElasticSearch mal configurada y de acceso público. La información filtrada incluía hojas de vida y registros de la compañía, así como datos de PII de clientes y empleados y correos electrónicos internos. VULNERABILIDADES GLOBALES DE ALTO PERFIL La siguiente lista de los principales ataques se basa en los datos recopilados por la red de sensores del Sistema de prevención de intrusiones de Check Point (IPS) y detalla algunas de las técnicas de ataque y exploits más populares e interesantes observadas por los investigadores de Check Point en la primera mitad de 2019. • Vulnerabilidad de BlueKeep Microsoft RDP (Protocolo de escritorio remoto) (CVE-2019-0708): la explotación del Protocolo de escritorio remoto (RDP) ya es un vector de ataque popular y establecido que podría permitir a los delincuentes cibernéticos acceder a máquinas específicas e incluso instalar una puerta trasera para más ataques maliciosos ocupaciones. La vulnerabilidad de RDP de Windows crítica, problemática y recientemente parcheada, denominada BlueKeep, tomó por asalto a la comunidad de ciberseguridad, ya que es capaz de propagarse automáticamente en redes desprotegidas, lo que podría conducir a un ataque de Wannacryscale. Poco después de que Microsoft lanzó su parche, los actores comenzaron a buscar en Internet dispositivos vulnerables y revelaron que más de 1 millón de máquinas son vulnerables a él. Sin embargo, todavía no hay casos conocidos de que la falla sea explotada por actores de amenazas como parte de un ataque en la naturaleza. • Vulnerabilidades del servidor Oracle WebLogic (CVE-2017-10271, CVE-2019-2725): las diversas vulnerabilidades críticas de ejecución remota de código que residen en los servidores Oracle WebLogic permiten a un atacante no autorizado ejecutar código arbitrario de forma remota y afectar numerosas aplicaciones y portales empresariales web utilizando los servidores Solo este

año, los ciberdelincuentes han explotado las vulnerabilidades del servidor Oracle WebLogic, incluido uno recientemente descubierto parcheado en abril, para entregar el ransomware Sodinokibi, el ransomware Satan e instalar el malware Monero Cryptomining. • Vulnerabilidades de DoS en Linux y FreeBSD: TCP SACK Panic (CVE-2019-11477, CVE-2019-11478, CVE-2019-5599, CVE-2019-11479): en 2019 se reveló un conjunto crítico de vulnerabilidades que afectaron a FreeBSD y Sistemas operativos Linux. Los tres defectos se encontraron en el manejo del núcleo Linux de las redes TCP. La explotación exitosa de una de las vulnerabilidades es capaz de bloquear servidores de forma remota e interrumpir las comunicaciones. La vulnerabilidad más grave podría permitir que un atacante remoto desencadene un pánico en el núcleo en los sistemas que ejecutan el software afectado y, como resultado, afecte la disponibilidad del sistema. Curiosamente, según los sensores de ataque global de Check Point, durante la primera mitad de 2019, el 90% de los ataques observaron vulnerabilidades apalancadas registradas en 2017 y antes, y más del 20% de los ataques utilizaron vulnerabilidades que tienen al menos siete años.

APÉNDICE - DESCRIPCIONES DE LA FAMILIA MALWARE • AdvisorsBot: AdvisorsBot es un descargador sofisticado visto por primera vez en la naturaleza en mayo de 2018. Una vez que AdvisorsBot se ha descargado y ejecutado, el malware utiliza HTTPS para comunicarse con el servidor de C&C. AdvisorsBot tiene características importantes contra el análisis, incluido el uso de "código basura" para ralentizar la ingeniería inversa y el hash de la función API de Windows para dificultar la identificación de la funcionalidad del malware. • AgentTesla: AgentTesla es una RAT avanzada que funciona como un keylogger y un robo de contraseñas y ha estado activa desde 2014. AgentTesla puede monitorear y recopilar la entrada del teclado de la víctima, el portapapeles del sistema y puede grabar capturas de pantalla y filtrar credenciales pertenecientes a una variedad de software instalado en la máquina de la víctima (incluidos Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook).

AgentTesla se vende abiertamente como una RAT legítima con clientes que pagan entre $ 15 y $ 69 por licencias de usuario. • AmmyyRat: FlawedAmmyy es un troyano de acceso remoto (RAT) que se ha desarrollado a partir del código fuente filtrado del software de administración remota llamado Ammyy Admin. FlawedAmmyy se ha utilizado tanto en ataques de correo electrónico altamente dirigidos como en campañas masivas de correo no deseado e implementa características comunes de puerta trasera, lo que permite a los atacantes administrar archivos, capturar la pantalla, controlar remotamente la máquina, establecer RDP SessionsService y mucho más. • AndroidBauts: AndroidBauts es un adware dirigido a usuarios de Android que extrae IMEI, IMSI, ubicación GPS y otra información del dispositivo y permite la instalación de accesos directos y aplicaciones de terceros en dispositivos móviles. • Anubis: Anubis es un malware troyano bancario diseñado para teléfonos móviles con Android. Desde su detección inicial, ha adquirido funciones adicionales que incluyen la funcionalidad de troyano de acceso remoto (RAT), keylogger, capacidades de grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes en Google Store. • Asacub: Asacub Mobile Banker se introdujo por primera vez en 2015 como spyware. Hoy en día, Asacub funciona como un banquero que apunta a la información de la cuenta bancaria de la víctima, y también es capaz de desviar los mensajes SMS entrantes, el historial del navegador y los contactos, así como ejecutar comandos, interceptar mensajes, apagar el teléfono o su pantalla. Asacub se propagó a través de SMS de phishing que contienen un enlace que conduce a la descarga del archivo APK del troyano al dispositivo infectado. • AuthedMine: AuthedMine es una versión del infame minero Coinhive de JavaScript. De manera similar a Coinhive, AuthedMine es un criptominer basado en la web que se utiliza para realizar minería en línea de la criptomoneda Monero cuando un usuario visita una página web sin el conocimiento o aprobación del usuario de las ganancias con el usuario. Sin embargo, a diferencia de CoinHive, AuthedMine está diseñado para requerir el consentimiento explícito del usuario del sitio web antes de ejecutar el script de minería. • AZORult: AZORult es un troyano que recopila y extrae datos del sistema infectado. Una vez que el malware se instala en un sistema (generalmente entregado por un kit de exploits como RIG), puede enviar contraseñas guardadas, archivos locales, billeteras criptográficas e información de perfil de la computadora a un servidor C&C remoto. El generador de Gazorp, disponible en Dark Web, permite a cualquier persona alojar un servidor AZORult C&C con un esfuerzo moderadamente bajo. • Bancos: Bancos roba información financiera, utilizando el registro de teclas para registrar las credenciales de la víctima a medida que se ingresan en una página web específica del banco. Bancos también puede complementar o reemplazar una página de inicio de sesión bancaria legítima con una página web falsa. • Coinhive: Cryptominer diseñado para realizar una extracción en línea de la criptomoneda Monero cuando un usuario visita una página web sin la aprobación del usuario. El JS implantado utiliza excelentes recursos computacionales de las máquinas de los usuarios finales para extraer monedas, lo que afecta su rendimiento. • CryptoLoot: un Cryptominer de JavaScript, diseñado para realizar la extracción en línea de la criptomoneda Monero cuando un usuario visita una página web sin la aprobación del usuario. El JS implantado utiliza excelentes recursos computacionales de las máquinas de los usuarios finales para extraer monedas, lo que afecta su rendimiento. Es un competidor de Coinhive. • DanaBot: DanaBot es un Trickler que se dirige a la plataforma Windows. El malware envía información a su servidor de control, descarga y descifra archivos para ejecutarlos en la computadora infectada. Se informa que el módulo descargado puede descargar otros archivos

maliciosos en el sistema. Además, el malware crea un acceso directo en la carpeta de inicio del usuario para lograr la persistencia en el sistema infectado. • DarkGate: DarkGate es un malware multifunción activo desde diciembre de 2017 que combina ransomware, robo de credenciales, RAT y capacidades de criptominería. Apuntando principalmente al sistema operativo Windows, DarkGate emplea una variedad de técnicas de evasión • Dorkbot: Worm basado en IRC diseñado para permitir la ejecución remota de código por parte de su operador, así como la descarga de malware adicional al sistema infectado, con la motivación principal de robar información confidencial y lanzar ataques de denegación de servicio. • Dridex: Dridex es un troyano dirigido a la plataforma Windows. Según los informes, este malware se descarga mediante un archivo adjunto que se encuentra en correos electrónicos no deseados. Este malware se identifica con un servidor remoto enviando información sobre el sistema infectado. Además, puede descargar y ejecutar módulos arbitrarios recibidos del servidor remoto. • Emotet: Emotet es un troyano avanzado, autopropagante y modular. Emotet una vez fue empleado como un troyano bancario, y recientemente se utilizó como distribuidor de otro malware o campañas maliciosas. Utiliza múltiples métodos para mantener las técnicas de persistencia y evasión para evitar la detección. Además, también se puede propagar a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos. • Gandcrab: GandCrab es un malware RaaS (Ransomwareas-a-Service). Descubierto por primera vez en enero de 2018, operaba un programa de "afiliados", y los que se unían pagaban entre el 30% y el 40% de los ingresos del rescate a GandCrab y, a cambio, obtenían un panel web con todas las funciones y soporte técnico. Se estima que afectó a más de 1,5 millones de usuarios de Windows antes de retirarse y detener sus actividades a mediados de 2019. Existen herramientas de descifrado para todas las versiones de GandCrab. • Guerrilla: Guerrilla es un troyano de Android que se encuentra integrado en múltiples aplicaciones legítimas y es capaz de descargar cargas maliciosas adicionales. Guerrilla genera ingresos publicitarios fraudulentos para los desarrolladores de aplicaciones. • Gustuff: Gustuff es un troyano bancario Android introducido en 2019 y capaz de dirigirse a clientes de más de 100 bancos internacionales líderes, usuarios de servicios de criptomonedas y sitios web y mercados de comercio electrónico populares. Además, Gustuff también puede obtener credenciales de phishing para otras aplicaciones de pago y mensajería de Android, como PayPal, Western Union, eBay, Walmart, Skype y otras. Gustuff emplea diversas técnicas de evasión, incluido el uso del mecanismo del Servicio de Accesibilidad de Android para eludir las medidas de seguridad utilizadas por los bancos para protegerse contra las generaciones anteriores de troyanos móviles. • Hawkeye: Hawkeye es un malware de robo de información, diseñado principalmente para robar las credenciales de los usuarios de plataformas Windows infectadas y entregarlas a un servidor de C&C. En los últimos años, Hawkeye ha ganado la capacidad de tomar capturas de pantalla, propagarse a través de USB y más, además de sus funciones originales de correo electrónico y robo de contraseñas y registro de teclas. Hawkeye a menudo se vende como un MaaS (Malware-as-aService). • Hiddad: malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las lanza a una tienda de terceros. Su función principal es mostrar anuncios. Sin embargo, también puede obtener acceso a los detalles clave de seguridad integrados en el sistema operativo. • HiddenMiner: una variedad de cryptominer de Android que se detectó en abril de 2018. HiddenMiner se entrega a través de una aplicación falsa de actualización de Google Play, agotando los recursos de los dispositivos en la minería de Monero. • IcedID: IcedID es un troyano bancario que surgió por primera vez en septiembre de 2017, y generalmente utiliza otros troyanos bancarios conocidos para potenciar su potencial de propagación, incluidos Emotet, Ursnif y TrickBot. IcedID roba datos financieros del usuario a través

de ataques de redireccionamiento (instala proxy local para redirigir a los usuarios a sitios falsos de clonación) y ataques de inyección web (inyecta el proceso del navegador para presentar contenido falso superpuesto en la parte superior de la página original). • JSEcoin: criptominer basado en la web diseñado para realizar minería en línea de la criptomoneda Monero cuando un usuario visita una página web sin la aprobación del usuario. El JavaScript implantado utiliza excelentes recursos computacionales de las máquinas de los usuarios finales para extraer monedas, lo que afecta el rendimiento del sistema. • Lezok: Lezok es un troyano Android capaz de descargar malware adicional en la computadora de la víctima sin el consentimiento del usuario, así como generar anuncios emergentes cuando el usuario navega por Internet. • LockerGoga: el ransomware LockerGoga se vio por primera vez en la naturaleza a fines de enero de 2018, mientras se dirigía a empresas de la industria pesada. Parece que los actores de la amenaza detrás del ataque invierten tiempo y esfuerzos en elegir a las víctimas y están trabajando para lanzar el ataque en el momento perfecto y contra los activos críticos. El ataque generalmente implica el cifrado del servidor de Active Directory y los puntos finales, para no dejar otra alternativa que pagar el rescate. El uso de una combinación de AES-256 y RSA hace que el cifrado sea muy sólido. Sin embargo, un diseño de código deficiente hace que el proceso de cifrado sea muy lento. • LokiBot: LokiBot es un ladrón de información con versiones para el sistema operativo Windows y Android. Recopila credenciales de una variedad de aplicaciones, navegadores web, clientes de correo electrónico, herramientas de administración de TI como PuTTY y más. LokiBot se ha vendido en foros de piratería y se cree que se ha filtrado su código fuente, lo que permite que aparezca una gama de variantes. Se identificó por primera vez en febrero de 2016. Desde finales de 2017, algunas versiones de Android de LokiBot incluyen la funcionalidad de ransomware además de sus capacidades de infostealing. • Lotoor: Lotoor es una herramienta de pirateo que aprovecha las vulnerabilidades en los sistemas operativos Android para obtener privilegios de root en dispositivos móviles comprometidos. • MageCart: MageCart es un tipo de ataque en el que se inyecta código JavaScript malicioso en sitios web de comercio electrónico y proveedores externos de dichos sistemas para robar detalles de pago. • Mirai: Mirai es un famoso malware de Internet de las cosas (IoT) que rastrea dispositivos vulnerables de IoT, como cámaras web, módems y enrutadores, y los convierte en bots. Sus operadores utilizan la botnet para realizar una Denegación de servicio distribuida (DDoS) masiva. La botnet Mirai apareció por primera vez en septiembre de 2016 y rápidamente llegó a los titulares debido a algunos ataques a gran escala. Entre ellos se encontraba un ataque DDoS masivo utilizado para desconectar a todo el país de Liberia, y un ataque DDoS contra la empresa de infraestructura de Internet Dyn, que proporciona una porción significativa de la red troncal de Internet de los Estados Unidos. • Necurs: Necurs es una de las redes de bots de spam más grandes actualmente activas en la naturaleza, y se estima que en 2016 consistió en unos 6 millones de bots. La botnet se usa para distribuir muchas variantes de malware, principalmente troyanos bancarios y ransomware. • Panda: Panda es una variante de Zeus que se observó por primera vez en la naturaleza a principios de 2016 y se distribuye a través de kits de exploits. Desde su aparición inicial, Panda se ha centrado en los servicios financieros en Europa y América del Norte. Antes de los Juegos Olímpicos de 2016, también realizó una campaña especial contra los bancos brasileños. • Piom: Piom es un adware que monitorea el comportamiento de navegación del usuario y entrega anuncios no deseados basados en las actividades web de los usuarios. • Qbot: Qbot es una puerta trasera perteneciente a la familia Qakbot. Es capaz de soltar y descargar otro malware. También establece una conexión con un servidor HTTP remoto sin el consentimiento

del usuario y puede robar información importante del usuario. APÉNDICE - DESCRIPCIONES DE LA FAMILIA MALWARE | 22 • Ramnit: Ramnit es un troyano bancario que incorpora capacidades de movimiento lateral. Ramnit roba información de la sesión web, dando a los operadores de gusanos la capacidad de robar credenciales de cuenta para todos los servicios utilizados por la víctima, incluidas las cuentas bancarias, corporativas y redes sociales. • Retadup: Retadup es un troyano que se dirige a la plataforma Windows. Se informa que este malware se usa para ataques dirigidos y algunas variantes del malware vienen con Keylogger, captura de pantalla y capacidades de robo de contraseñas. El malware se usa para extraer criptomonedas en el sistema infectado. Se comunica con su servidor de control remoto y acepta comandos para ejecutar en el sistema infectado. • Ryuk: un ransomware utilizado en ataques dirigidos y bien planificados contra varias organizaciones en todo el mundo. Las capacidades técnicas del ransomware son relativamente bajas e incluyen un cuentagotas básico y un esquema de cifrado sencillo. Sin embargo, el ransomware pudo causar graves daños a las organizaciones atacadas y los llevó a pagar pagos de rescate extremadamente altos de hasta 320,000 USD en Bitcoin. A diferencia del ransomware común, distribuido sistemáticamente a través de campañas masivas de spam y kits de exploits, Ryuk se usa exclusivamente para ataques a medida. Su esquema de cifrado está diseñado intencionalmente para operaciones a pequeña escala, de modo que solo los activos y recursos cruciales se infectan en cada red objetivo con su infección y distribución realizada manualmente por los atacantes. El malware encripta archivos almacenados en PC, servidores de almacenamiento y centros de datos. • Satan: Satan es un Ransomware-as-a-Service (RaaS) que surgió por primera vez en enero de 2017. Sus desarrolladores ofrecen un portal web fácil de usar con opciones de personalización, que permite a cualquiera que lo compre crear versiones personalizadas de Satanás y distribuirlo. a las víctimas. Se observaron nuevas versiones de Satanás usando el exploit EternalBlue para extenderse a través de entornos comprometidos, así como también realizando movimientos laterales usando otros exploits. • Sodinokibi: Sodinokibi es un Ransomware-as-a-Service que opera un programa de "afiliados" que se descubrió por primera vez en 2019. Sodinokibi cifra los datos en el directorio del usuario y elimina las copias de seguridad de las copias de seguridad para dificultar la recuperación de datos. . Además, los afiliados de Sodinokibi usan varias tácticas para difundirlo a través de spam y ataques de servidor, así como piratear los backends de los proveedores de servicios administrados (MSP) y a través de campañas de publicidad maliciosa redirigidas al kit de explotación RIG. • TheTruthSpy: un spyware de Android que apareció por primera vez en mayo de 2017. TheTruthSpy es capaz de monitorear mensajes de WhatsApp, chats de Facebook e historial de navegación en Internet. • Tinba: Tinba es un troyano bancario que se dirige principalmente a clientes bancarios europeos y utiliza el kit de exploits BlackHole. Tinba roba las credenciales de la víctima mediante inyecciones web, que se activan cuando el usuario intenta conectarse a su cuenta. • Triada: puerta trasera modular para Android que otorga privilegios de superusuario para descargar un malware. También se ha visto a Triada falsificar URL cargadas en el navegador. • TrickBot: TrickBot es una variante de Dyre que surgió en octubre de 2016. Desde su primera aparición, se ha dirigido a bancos, principalmente en Australia y el Reino Unido, y últimamente también ha comenzado a aparecer en India, Singapur y Malasia. • Ursnif: Ursnif es un troyano que se dirige a la plataforma Windows. Por lo general, se propaga a través de kits de exploits: Angler y RIG, cada uno en su momento. Tiene la capacidad de robar información relacionada con el software de pago de punto de venta (POS) de Verifone. Se pone en

contacto con un servidor remoto para cargar la información recopilada y recibir instrucciones. Además, descarga archivos en el sistema infectado y los ejecuta. • Virut: Virut es uno de los principales distribuidores de malware y botnets en Internet. Se utiliza en ataques DDoS, distribución de spam, robo de datos y fraude. El malware se propaga a través de ejecutables que se originan en dispositivos infectados, como memorias USB, así como sitios web comprometidos e intenta infectar cualquier archivo al que se acceda con las extensiones .exe o .scr. Virut altera los archivos host locales y abre una puerta trasera uniéndose a un canal IRC controlado por un atacante remoto. • WannaMine: WannaMine es un sofisticado gusano de criptominería Monero que se propaga explotando el exploit EternalBlue. WannaMine implementa un mecanismo de difusión y técnicas de persistencia al aprovechar las suscripciones de eventos permanentes de Windows Management Instrumentation (WMI). • XMRig: XMRig es un software de minería de CPU de código abierto utilizado para el proceso de minería de la criptomoneda Monero, y visto por primera vez en la naturaleza en mayo de 2017. • Zeus: Zeus es un troyano de Windows ampliamente distribuido que se utiliza principalmente para robar información bancaria. Cuando una máquina se ve comprometida, el malware envía información como las credenciales de la cuenta a los atacantes que utilizan una cadena de servidores C&C.