HP Wolf Security publicó su “Informe Trimestral de Inteligencia sobre Amenazas Cibernéticas”, el cual ha revelado la forma en que los actores de amenazas están encadenando diferentes combinaciones de ataques en conjunto, como bloques constructivos de juego, para evadir las herramientas de detección.
Mediante el aislamiento y la contención de las amenazas que logran eludir las herramientas de seguridad en las PC, HP Wolf Security cuenta con información específica de las técnicas usadas más recientemente por los ciberdelincuentes en el panorama siempre cambiante de la ciberdelincuencia. A la fecha, los usuarios de HP Wolf Security han hecho clic en más de 30 000 millones de archivos de correo adjuntos, páginas web y archivos descargados, sin incidentes de ciberseguridad.
Con base en los datos de millones de dispositivos que ejecutan HP Wolf Security, los investigadores han hecho énfasis en los siguientes aspectos:
Se intensifican los ataques de tipo bloques constructivos (building blocks)
Por lo general, las cadenas de ataque son poco originales y recorren caminos algo trillados hacia la carga útil. Sin embargo, en las campañas creativas de Qakbot se vio que los actores de amenazas conectan diferentes bloques entre sí para crear cadenas de infección únicas. Al cambiar diferentes tipos de archivos y técnicas, lograron evadir las herramientas de detección y políticas de seguridad. El 32% de las cadenas de infección de Qakbot analizadas por HP en el segundo trimestre fueron únicas.
¿Blogger o keylogger?
Los atacantes detrás de las recientes campañas de Aggah alojaron código malicioso en el interior de plataforma Blogspot. Al ocultar el código en una fuente legítima, se vuelve más difícil para los defensores distinguir si un usuario está leyendo un blog o lanzando un ataque. Los actores de amenazas usan su conocimiento de los sistemas de Windows para desactivar algunas de las capacidades antimalware en la máquina del usuario, ejecutar los troyanos de acceso remoto XWorm o AgentTesla, y así robar información sensible.
Ir en contra del protocolo
HP también identificó otros ataques de Aggah que usan una consulta de registro TXT de DNS, la cual sirve por lo general para acceder a información simple sobre nombres de dominio, y así entregar el troyano de acceso remoto AgentTesla. Los actores saben que el protocolo DNS no es monitoreado ni protegido con frecuencia por los equipos de seguridad, lo cual hace que este tipo de ataque sea sumamente difícil de detectar.
Malware multilingüe
Una reciente campaña utiliza múltiples lenguajes de programación para evitar la detección. En primer lugar, encripta su carga útil usando un encriptador escrito en Go, el cual desactiva las funciones de análisis antimalware que normalmente lo detectarían. Posteriormente, el ataque cambia el lenguaje a C++ para interactuar con el sistema operativo de la víctima y ejecutar el malware .NET en la memoria, dejando rastros mínimos en la PC.
Según Patrick Schläpfer, analista senior de malware del Equipo de Investigación de Amenazas de HP Wolf Security, los atacantes se están volviendo mejor organizados y más informados. “Al saber qué puertas abrir, pueden navegar los sistemas internos con facilidad, usando técnicas relativamente sencillas de maneras muy efectivas y sin hacer sonar la alarma”, explicó
¿Cuáles son los métodos de ataque más comunes?
El reporte detalla la forma en que los grupos de ciberdelincuentes están diversificando los métodos de ataque para eludir las políticas de seguridad y las herramientas de detección.
- Los archivos fueron el tipo de entrega de malware más popular por quinto trimestre consecutivo, y se utilizaron en el 44% de los casos analizados por HP.
- El segundo trimestre vio un aumento del 23% en amenazas HTML detenidas por HP Wolf Security, comparado con el primer trimestre.
- Hubo un aumento de 4% en los ejecutables, de 14% a 18% del primer al segundo trimestre, causado principalmente por el uso del archivo PDFpower.exe que incluía software con un malware de secuestro de navegador.
- HP notó una caída de 6 puntos porcentuales en el malware de hoja de cálculo (de 19% a 13%) en el primer trimestre comparado con el cuarto anterior, a medida que los atacantes se alejan de los formatos de Office donde la ejecución macros es más difícil.
- Al menos el 12% de las amenazas de correo identificadas por HP Sure Click evadieron uno o más escáneres de puerta de enlace de correo electrónico en el segundo trimestre.
- Los principales vectores de amenazas en el segundo trimestre fueron: correo electrónico (79%) y descargas del navegador (12%).
“Si bien las cadenas de infección pueden variar, los métodos de iniciación siguen siendo los mismos. Todo se reduce inevitablemente a que el usuario haga clic en algo”, aseguró Ian Pratt, jefe global de Seguridad de Sistemas Personales de HP. “En vez de tratar de adivinar la cadena de infección, las organizaciones deben aislar y contener las actividades riesgosas como abrir archivos adjuntos de correo, dar clic en enlaces y hacer descargas desde el navegador”.