AGOSTO 2020

Informe del panorama mundial de amenazas

Un informe semestral de FortiGuard Labs

1S 2020
Informe del panorama de amenazas del primer semestre de 2020

Tabla de contenido

Resumen y hallazgos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Principales amenazas durante el primer semestre de 2020. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Vulnerabilidades y exploits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Detecciones de malware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Actividad de botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Tendencias y amenazas destacadas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Explotación de una pandemia mundial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Desde el DVR hasta la DMZ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Amenazas OT, Pasado y Presente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

El ransomware extiende sus alas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

La era de la explotación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

2
Informe del panorama de amenazas del primer semestre de 2020

1S 2020 Resumen y hallazgos clave

Años más tarde, cuando todos reflexionemos sobre 2020, es poco probable que la ciberseguridad desplace a la pandemia de COVID-19 a la cima de nuestra memoria colectiva. Es una serie de

eventos sin precedentes y estaremos lidiando con las consecuencias durante mucho tiempo. Pero eso no cambia el hecho de que los primeros seis meses de 2020 también vieron desarrollos

significativos en el panorama de las amenazas cibernéticas. Algunas tendencias se relacionan con los eventos antes mencionados, mientras que otras tienen sus propios impulsores. Estamos aquí

para resumirlo todo para que ingrese a la segunda mitad del año más preparado para lo que venga a continuación.

La rona estaba desenfrenada Batalla por el navegador

El coronavirus se propagó rápidamente, pero es posible que los ciberdelincuentes se movieran aún Hablando de señuelos, el malware basado en la web utilizado en phishing y otras campañas

más rápido en la distribución de todo tipo de señuelos y estafas con temática pandémica. Llegamos a superó a otros vectores de entrega a principios de este año. También notamos una caída en el

los puntos altos para que no caiga en su próximo esquema generado por cualquier evento global que tráfico web corporativo debido a que la gente navega desde casa en lugar de la oficina. La

enfrentemos a continuación. combinación de esas dos tendencias significa que las empresas deben mejorar esos navegadores.

El perímetro se vuelve personal El ransomware no se escapa

Hagamos uno más en el tema del trabajo desde casa (FMH). Los intentos de explotación contra
varios enrutadores de nivel de consumidor y dispositivos de IoT fueron nuestras principales
detecciones de IPS. Odiamos hacer conexiones falsas, pero no podemos evitar preguntarnos si
esto también se debe a que los delincuentes intentan aprovechar "La nueva normalidad" del
perímetro de la red que se extiende hasta el hogar.
Un ataque a un conocido fabricante en junio que interfirió con sus operaciones y
provocó interrupciones temporales de la producción en varias de las instalaciones de
la empresa, limitó otros seis meses de actividad de ransomware dirigida a
organizaciones empresariales.

Amenazas OT después de Stuxnet La era de la explotación

Junio marcó el décimo aniversario de Stuxnet, que cambió para siempre la forma en que Hasta ahora, 2020 está en camino de romper el récord de la cantidad total de vulnerabilidades

vemos la seguridad de la tecnología operativa (OT). Han pasado muchas cosas desde reveladas. Pero 2020 también tiene la proporción más baja jamás registrada de vulnerabilidades con

entonces y el marco de espionaje de Ramsay es el último ejemplo de actores de amenazas exploits activos en la naturaleza. ¿Un porcentaje menor de un número mayor significará más o menos

que buscan infiltrarse en entornos industriales con espacios abiertos. Aprenda a mantenerlos trabajo para los equipos de gestión de vulnerabilidades? Siga leyendo para averiguarlo.

fuera.

3
Informe del panorama de amenazas del primer semestre de 2020

Principales amenazas durante el primer semestre de 2020

Los hallazgos de este informe representan la inteligencia colectiva de FortiGuard Labs, extraída de una amplia gama de sensores de red que recopilan miles de millones de eventos de amenazas

observados en entornos de producción en vivo en todo el mundo. Según una investigación independiente, 1 Fortinet tiene

la huella de dispositivo de seguridad más grande de la industria. Esta ventaja única ofrece excelentes vistas del panorama de las amenazas cibernéticas desde múltiples perspectivas que nos complace

compartir con usted.

Vulnerabilidades y exploits

La actividad IPS capturada por nuestros sensores revela cómo los adversarios reconocen e intentan comprometer los sistemas vulnerables. Activar una de estas firmas de detección no significa

que el ataque haya tenido éxito, pero proporciona una buena inteligencia sobre qué tipos de vulnerabilidades y sistemas están activamente en la mira. Las principales plataformas y tecnologías

apuntadas por la actividad de exploits en la primera mitad de 2020 se representan mes a mes en la Figura 1. Nos hemos tomado la libertad de resaltar aquellas que muestran el mayor movimiento,

con la discusión a continuación.

JAWS.DVR
PHP.CGI
ThinkPHP.Controller
ThinkPHP.Controller NETGEAR.DGN1000
JAWS.DVR ThinkPHP.Request
30% Núcleo de Joomla PHPUnit.Eval-stdin
vBulletin.Routestring HTTP.Unix
ThinkPHP.Request Núcleo de Joomla
Función Bash vBulletin.Routestring
Drupal.Core Drupal.Core
25% ThinkPHP.HTTP ThinkPHP.HTTP
Shenzhen.TVT Dasan.GPON
NETGEAR.DGN1000

Dasan.GPON Apache.Struts
Prevalencia organizacional

20%
Apache.Struts
HTTP.Unix

15%

Shenzhen.TVT

10%
Función Bash

PHP.CGI
5%
PHPUnit.Eval-stdin

ene feb mar abr Mayo jun

Figura 1: Detecciones de IPS más prevalentes por mes durante el primer semestre de 2020.

Revisemos la composición de las principales detecciones antes de entrar en los turnos mensuales. Con una excepción (Shenzhen), la lista de tecnologías a la izquierda y a la derecha de la

figura es muy similar a nuestros informes anteriores. La presencia aparentemente constante de sistemas de gestión de contenido (CMS) como ThinkPHP, Joomla, Drupal y vBulletin en la parte

superior de nuestras listas sirve como un recordatorio de que estas plataformas reciben un montón de críticas por parte de la ciber artillería. No podemos enfatizar lo suficiente que si su

organización utiliza estas herramientas, deben mantenerse diligentemente.

Dejando de lado la falla de Apache Struts, frecuentemente discutida, vinculada a la violación de Equifax de 2017, varias otras tecnologías caen en la categoría de dispositivos de red. Tenemos una historia

destacada en tales dispositivos más adelante en este informe, así que lo dejaremos así por ahora. Shenzhen, sin embargo, vale la pena mencionar aquí debido a su estatus de novato entre la élite de IPS.

Descubierto por primera vez en 2018, se disparó desde casi ninguna parte a fines del año pasado a un pico como la segunda detección más frecuente durante una semana de febrero. Esta actividad se

relaciona con un único exploit dirigido a una vulnerabilidad de ejecución remota de código en Shenzhen TVT DVR y OEM. El exploit contiene indicadores que pueden reflejar una asociación con Lizard Squad,

un grupo conocido por ataques DDoS contra servicios de juegos en línea. Es otro ejemplo más de delincuentes que buscan construir redes de bots masivas de dispositivos IoT de consumo para esquemas

variados.

4
Informe del panorama de amenazas del primer semestre de 2020

Más allá de enumerar los principales objetivos, elegimos este tipo de gráfico para resaltar algunos de los cambios bastante grandes que ocurrieron. Una vulnerabilidad de ejecución remota de

código (RCE) en Bash fue el motor principal en enero, con la primera de varias caídas antes de ubicarse en el último lugar entre las detecciones de primer nivel a fines de junio. Cabe señalar que

esta vulnerabilidad es básicamente el infame Shellshock RCE que se descubrió en 2014 y se consideró peor que Heartbleed. Febrero vio un gran aumento en las detecciones relacionadas con

una vulnerabilidad de inyección de argumento antiguo en PHP CGI . Otra detección relacionada con PHP surgió en marzo, esta vez apuntando a otra falla de RCE en PHPUnit . Shenzhen fue una

vez más un gran advenedizo en abril y luego un gran bajón en mayo.

Ahora ajustemos nuestra búsqueda para enfocarnos en exploits que no fueron necesariamente los primeros en las listas de éxitos globales, pero sí lograron una medida de fama regional. Estos se

muestran en la Figura 2. Zivif, TrueOnline y Alegro ofrecen ejemplos adicionales de intentos de reconocer dispositivos IoT vulnerables. No siempre es intuitivo por qué ciertos exploits ganan terreno en una

región determinada, y TrueOnline, un ISP en Tailandia, es un buen ejemplo.

latín Medio Norte

África Asia Europa America Este América Oceanía

Sun.Java 5,6% 1,6% 0,9% 0,9% 1,3% 1,0% 0,6%

Zivif.PR115-204-P-RS 4,2% 32,7% 11,1% 12,4% 15,2% 4,6% 23,1%

Adobe Reader 8,2% 5,2% 10,5% 6,7% 4,5% 6,1% 9,0%

TrueOnline.ZyXEL 3,7% 0,4% 10,8% 15,4% 4,8% 1,8% 0,4%

Allegro.RomPager 4,4% 3,2% 2,9% 2,2% 6,7% 3,6% 3,7%

SonicWall.GMS 0,3% 0,3% 1,1% 0,4% 2,4% 9,4% 0,5%

Pulse.Secure 3,8% 2,7% 8,8% 5,8% 2,1% 10,5% 11,4%

Figura 2: Detecciones de IPS prevalentes a nivel regional durante el primer semestre de 2020 (porcentaje de organizaciones).

La vulnerabilidad a la vista afecta a una versión modificada de un enrutador ZyXEL que TrueOnline distribuye a sus clientes (presumiblemente tailandeses). Eso plantea la pregunta de por qué la

prevalencia de detecciones en América Latina es mucho mayor que en Asia. La respuesta es bastante simple. El firmware del enrutador contiene un paquete de idioma que permite la distribución

internacional. Cuando los ISP estaban migrando de ADSL a VDSL alrededor de

En 2016, los enrutadores ZyXEL se distribuyeron ampliamente en los países de Latam. La actividad actual refleja esa historia.

Cambiando de tema nuevamente, echaremos un vistazo a las detecciones IPS que exhibieron una prevalencia inusualmente alta dentro de ciertas industrias. Destacaremos algunas observaciones de alto

nivel basadas en la Figura 3 y dejaremos que usted revise los detalles de su sector. Observamos que algunos de estos (p. Ej.,

TAR-Archivo y FTP.Login ) son bastante fáciles de explotar y parecen delincuentes que esperan aprovecharse de los errores de seguridad.

DotNetNuke es un CMS basado en .NET Según su sitio web , el Departamento de Defensa de EE. UU. tiene cientos de sitios web públicos en DotNetNuke. Eso probablemente tenga algo que ver

con la elevada tasa de detecciones del sector público. El aumento de las vulnerabilidades de PostgreSQL observado para los MSSP puede indicar que las bases de datos se dejaron sin querer

accesibles a Internet. Una búsqueda de Shodan revela cientos de miles de bases de datos PostgreSQL, muchas de las cuales están alojadas en Amazon Web Services (AWS). ¿Su MSSP expone

sus datos confidenciales?

5
Informe del panorama de amenazas del primer semestre de 2020

Banca / Finanzas / Seguros

Medios / Comunicaciones

Comercio minorista / hotelería

Transporte y Logística
Energía y servicios públicos

Bebida alimenticia

Telco / Transportista
Cuidado de la salud

Sin ánimo de lucro

Aeroespacial

Consultante

Fabricación

Tecnología
Agricultura

Educación
Automotor

Ambiental

Gobierno

MSSP
Legal
TAR.Archive 1,2% 0,2% 0,5% 0,0% 0,0% 0,3% 0,1% 0,0% 0,0% 0,1% 0,1% 0,0% 0,2% 0,5% 0,6% 0,0% 0,0% 0,6% 0,5% 0,0%

Java.Web 0,8% 1,6% 0,5% 0,4% 0,6% 1,1% 0,4% 0,4% 1,1% 0,8% 0,6% 0,2% 0,8% 1,4% 0,8% 0,2% 0,8% 0,9% 1,5% 0,8%

Java.Deserializando 1,2% 0,0% 0,2% 1,8% 0,4% 0,4% 0,5% 0,0% 0,2% 0,6% 0,6% 0,0% 0,3% 0,5% 1,1% 0,1% 0,4% 0,6% 1,2% 0,3%

Mozilla.Múltiple 0,0% 0,0% 0,1% 0,0% 0,0% 1,3% 0,1% 0,0% 0,0% 0,1% 0,0% 0,0% 0,0% 0,0% 0,3% 0,0% 0,0% 0,2% 0,4% 0,1%

FTP.Login 0,0% 0,0% 0,1% 0,3% 0,2% 0,8% 0,3% 1,5% 0,2% 0,4% 0,2% 0,2% 0,1% 0,9% 1,4% 0,0% 0,3% 0,8% 1,3% 0,4%

DotNetNuke.Cookie 0,0% 0,4% 0,2% 0,2% 0,0% 0,1% 0,0% 0,4% 0,0% 1,3% 0,1% 0,0% 0,0% 0,1% 0,8% 0,2% 0,1% 0,3% 0,5% 0,1%

WuFTP.Glob 0,0% 0,0% 0,2% 0,5% 0,1% 0,3% 0,3% 0,0% 0,1% 0,4% 0,2% 0,0% 0,1% 2,1% 1,1% 0,2% 0,4% 0,6% 1,2% 0,1%

PostgreSQL.COPY 0,0% 0,0% 0,0% 0,0% 0,0% 0,3% 0,0% 0,0% 0,0% 0,1% 0,0% 0,0% 0,0% 0,1% 1,1% 0,0% 0,0% 0,1% 0,3% 0,2%

Joomla! .Com_media 0,0% 0,0% 0,0% 0,0% 0,1% 1,4% 0,0% 0,4% 0,0% 0,8% 0,2% 0,0% 0,0% 0,0% 0,8% 0,0% 0,0% 0,4% 2,3% 0,1%

Figura 3: Detecciones de IPS centradas en la industria durante el primer semestre de 2020 (porcentaje de organizaciones).

En general, las instituciones educativas, las empresas de medios, los MSSP y las empresas de telecomunicaciones tienen más puntos de acceso que otras industrias. Si su empresa cae en uno de esos grupos,

asegúrese de que las defensas estén listas para frustrar una gama más amplia de amenazas. Por otro lado, observe cómo las firmas legales y las organizaciones sin fines de lucro muestran un azul frío hasta el

final. Eso indica que no detectamos ninguna amenaza en particular que fuera anormalmente frecuente o exclusiva de esas industrias. Eso no significa que esas industrias no estén en la mira; solo significa que no

fueron el objetivo de muchos intentos novedosos de explotación durante la primera parte del año. Verá en la siguiente sección que no se eliminan tan fácilmente cuando se trata de malware.

Detecciones de malware

Las tendencias de malware reflejan la intención y la capacidad del adversario. De manera similar a las detecciones de IPS, el malware detectado por nuestros sensores no siempre indica infecciones

confirmadas, sino más bien el uso de armas y / o distribución de código malicioso. Las detecciones pueden ocurrir a nivel de red, aplicación y host en una variedad de dispositivos.

La Figura 4 clasifica el malware más prevalente para cada uno de los primeros seis meses de 2020. De manera similar a cómo truncamos las detecciones IPS para enfocarnos en tecnologías, hemos optado por

agrupar el malware en familias o categorías, en lugar de variantes específicas. Nuestro propósito al hacer esto es agrupar las numerosas variantes, a menudo de corta duración, por sus similitudes para que no

nos perdamos el bosque de malware para los árboles.

1 HTML / phishing HTML / phishing W32 / Agente CVE-2017-11882 CVE-2017-11882 CVE-2017-11882

2 W32 / Agente W32 / Agente CVE-2017-11882 HTML / phishing HTML / phishing JS / Agente

3 AutoIt / Inyector CVE-2017-11882 JS / Agente AutoIt / Inyector W32 / Inyector W32 / Agente

4 JS / Agente JS / Agente HTML / phishing W32 / Agente AutoIt / Inyector W32 / Inyector

5 HTML / ScrInject AutoIt / Inyector W32 / Inyector W32 / Inyector W32 / Agente W32 / Bancos
Rango

6 VBA / Agente W32 / Inyector HTML / ScrInject JS / Agente W32 / Bancos HTML / phishing

7 CVE-2017-11882 VBA / Agente AutoIt / Inyector HTML / ScrInject JS / Agente HTML / REDIR

8 Linux / Gafgyt HTML / ScrInject JS / Minero W32 / Bancos HTML / ScrInject HTML / ScrInject

9 JS / Minero JS / Minero VBA / Agente HTML / REDIR VBA / Agente Puerta W32 / B

10 W32 / Bancos W32 / Bancos W32 / Bancos JS / Minero JS / Minero JS / Minero

enero febrero marzo abril Mayo junio

Figura 4: Categorías de malware más frecuentes por mes durante el primer semestre de 2020.

6
Informe del panorama de amenazas del primer semestre de 2020

Un área de ese bosque que merece mención aquí es la familia HTML / Phishing que incluye todas las variantes de señuelos y estafas de phishing basados en la web.
Se sientan firmemente en la cima de la lista en enero y febrero y solo salen de los cinco primeros en junio. Junto con sus primos HTML de / ScrInject (ataques de
inyección de scripts del navegador) y / REDIR (esquemas de redirección del navegador), esto demuestra un gran interés por parte de los ciberdelincuentes por
llevarnos a donde a menudo somos más vulnerables y crédulos: navegar por la web. El malware basado en la web a menudo oculta y / o pasa por alto los productos
AV convencionales, aumentando las posibilidades de una infección exitosa. Eso es aún más preocupante porque notamos una marcada caída en el tráfico web
corporativo debido a que la gente navega desde casa en lugar de la oficina.

La otra parte del bosque que nos gustaría destacar de la Figura 5 es el malware que explota CVE-2017-11882 . Este error ha sido público
desde hace algunos años (el error en sí es mucho, mucho más antiguo), pero su prevalencia aumentó constantemente durante la primera mitad de 2020 y ocupó el puesto número 1 durante cuatro meses

consecutivos. Y no fuimos los únicos en notar el aumento. El 1 de abril (no es una broma), el Servicio Secreto de EE. UU. (USSS)

publicó una alerta sobre correos electrónicos COVID-19 fraudulentos que utilizan archivos adjuntos maliciosos. Un representante de la División de Investigación Criminal del USSS dijo Revista

CSO que los propagadores de malware buscaban explotar CVE-2017-11882 para múltiples campañas. Uno que parece particularmente cruel pretende provenir del Departamento de Salud y

Servicios Humanos de EE. UU. (HHS) e informa al destinatario que contrajo COVID-19. Otro se dirige a los fabricantes de equipos médicos con un documento (cargado de malware) enviado

por correo electrónico pidiéndoles que proporcionen equipos.

La Figura 5 sigue el método utilizado por la Figura 3 para identificar familias de malware que exhiben una prevalencia inusualmente alta dentro de ciertas industrias. Al escanear las columnas, es

evidente que ninguna industria es azul hasta el final. Cada sector tiene al menos un hot (ter) spot de malware y algunos de ellos tienen varios.
Banca / Finanzas / Seguros

Medios / Comunicaciones

Comercio minorista / hotelería

Transporte y Logística
Energía y servicios públicos

Bebida alimenticia

Telco / Transportista
Cuidado de la salud

Sin ánimo de lucro

Aeroespacial

Fabricación

Tecnología
Agricultura

Consultante
Automotor

Educación

Ambiental

Gobierno

MSSP
Legal

W32 / DarkMoon 1,9% 0,3% 0,3% 0,0% 0,0% 0,2% 0,1% 0,6% 0,1% 0,0% 0,0% 0,0% 0,6% 0,3% 0,0% 0,0% 0,1% 0,4% 0,0% 0,2%

PowerShell / Csvdwl 0,6% 0,3% 1,2% 0,2% 0,2% 0,0% 0,3% 0,6% 0,9% 0,3% 0,3% 0,0% 0,5% 0,5% 0,0% 0,0% 0,7% 0,9% 0,2% 0,9%

Adware / Bundlore 0,0% 0,0% 0,0% 0,1% 0,1% 1,6% 0,1% 0,0% 0,3% 0,0% 0,2% 0,0% 0,1% 0,6% 0,5% 0,5% 0,0% 0,3% 0,5% 0,1%

HTML / redirector 1,9% 2,1% 0,6% 2,0% 0,8% 0,4% 2,7% 0,6% 0,9% 1,0% 0,4% 0,3% 1,2% 1,7% 0,5% 1,0% 1,5% 0,9% 1,2% 1,3%

W32 / PECompact! Tr 0,0% 0,0% 0,3% 0,2% 0,0% 0,0% 0,1% 1,2% 0,0% 0,0% 0,1% 0,0% 0,1% 0,0% 0,0% 0,2% 0,0% 0,1% 0,2% 0,1%

JS / Banquero 1,9% 1,5% 0,7% 0,8% 0,3% 1,5% 0,9% 0,6% 0,3% 2,4% 1,4% 0,3% 0,8% 0,5% 2,2% 0,2% 0,8% 0,8% 1,2% 1,1%

W32 / Dloader 0,6% 0,3% 0,3% 0,4% 0,1% 0,3% 0,4% 0,6% 0,3% 0,2% 0,2% 1,2% 0,4% 0,3% 1,1% 0,5% 0,3% 0,5% 1,2% 0,5%

W32 / Qjwmonkey 0,6% 0,3% 1,6% 0,8% 0,9% 1,5% 1,2% 0,6% 1,1% 0,2% 0,6% 0,3% 2,3% 0,6% 1,1% 1,2% 1,0% 1,3% 1,2% 0,8%

W32 / CryptExe 0,0% 0,0% 0,0% 0,1% 0,0% 0,1% 0,1% 0,0% 0,0% 0,0% 0,1% 0,0% 0,1% 0,2% 1,6% 0,2% 0,0% 0,0% 0,0% 0,2%

Riskware / FusionCore 0,0% 0,0% 0,1% 0,2% 0,1% 0,3% 0,3% 0,6% 0,0% 0,4% 0,1% 0,0% 0,1% 0,3% 0,0% 1,0% 0,2% 0,1% 0,5% 0,3%

Adware / Ewind! Android 0,0% 0,0% 0,0% 0,1% 0,0% 0,4% 0,1% 0,0% 0,1% 0,1% 0,0% 0,0% 0,0% 0,0% 0,0% 0,0% 0,0% 0,0% 1,2% 0,0%

MSWord / CVE20170199 1,3% 0,6% 0,3% 0,2% 0,3% 0,0% 1,0% 0,6% 1,3% 0,2% 0,3% 0,3% 0,8% 0,3% 1,1% 0,3% 0,7% 0,4% 0,7% 1,5%

Figura 5: Detecciones de malware centradas en la industria durante el primer semestre de 2020 (porcentaje de organizaciones).

Sabemos que los nombres de malware no siempre son claros: nuestro enciclopedia de amenazas debería ayudar con eso, pero algunos son intuitivos. Las empresas de telecomunicaciones ven más malware en

dispositivos Android, por ejemplo. El adware deambula por los pasillos del mundo académico. JS / Banker roba a agencias gubernamentales y MSSP con más frecuencia que a los bancos. PowerShell en la industria

automotriz es asombroso. Podríamos continuar, pero lo dejaremos explorar su sector como desee y pasar a nuestra discusión sobre botnets. Esperamos que estos detalles le ayuden a centrar los esfuerzos de

seguridad en las amenazas más importantes para su organización.

7
Informe del panorama de amenazas del primer semestre de 2020

Actividad de botnet

Mientras que las tendencias de exploits y malware suelen mostrar el lado previo al compromiso de los ataques, las botnets ofrecen un punto de vista posterior al compromiso. Una vez infectados, los sistemas a menudo se

comunican con hosts remotos, lo que hace que este tráfico sea una parte importante del monitoreo del alcance completo de la actividad maliciosa.

Una lección que imparten los datos de las botnets cada vez que los examinamos es que el control generalizado y persistente es un bien preciado entre los ciberdelincuentes. Un efecto secundario de esto es que la

actividad de los mejores bots es notablemente constante. La figura 6 ilustra esto perfectamente. Las clasificaciones mes a mes para la prevalencia son mucho más consistentes que las observadas para IPS y detecciones

de malware. Hemos estudiado la persistencia de las botnets en informes anteriores y vimos que los equipos de seguridad empresarial suelen identificar el tráfico de botnets y eliminar los sistemas infectados en un plazo

de tiempo razonable. Pero las botnets que infectan a las pequeñas empresas y millones de dispositivos de consumo tienden a quedarse durante bastante tiempo. Y eso es mucho de lo que vemos aquí.

Mirai

80%

Gh0st.Rat
70%
Gh0st.Rat
Prevalencia organizacional

60%
Mirai

15%

Acceso cero Acceso cero

10% Pushdo
Pushdo

Xtreme.RAT
Xtreme.RAT
Sality
5% Conficker
Torpig.Mebroot Sality
Rockloader Ganiw
Ganiw Conficker
Torpig.Mebroot
Gozi
Gozi
0% Rockloader

ene feb mar abr Mayo jun

Figura 6: Detecciones de botnets más frecuentes durante el primer semestre de 2020 (sin eje vertical dividido).

Las dos primeras botnets en la Figura 6, Mirai y Gh0st, predominan en la tabla y también lo hicieron para la última parte de 2019. Impulsado por el aparente interés creciente de los atacantes que apuntan a

vulnerabilidades antiguas y nuevas en los productos de IoT para el consumidor, Mirai ocupó el primer lugar entre las botnets a principios de mayo. Esta tendencia es digna de mención porque podría sugerir

que los ciberdelincuentes buscan afianzarse en las redes empresariales mediante la explotación de dispositivos que los empleados de la FMH podrían estar utilizando para conectarse a la red empresarial.

En cierto sentido, el perímetro de la red corporativa se ha extendido hasta el hogar, y esa no es una idea muy reconfortante.

Gh0st, una antigua familia delictiva de malware-botnet, también se aprovechó para campañas dirigidas a usuarios y aplicaciones de la FMH. Gh0st es una red de bots de acceso remoto que permite a un atacante

tomar el control total del sistema infectado, registrar las pulsaciones de teclas, proporcionar transmisiones de cámara web y micrófono en vivo, descargar y cargar archivos y otras actividades nefastas.

8
Informe del panorama de amenazas del primer semestre de 2020

Para resaltar mejor la variación que existe entre botnets, la Figura 7 expande la lista de los primeros gráficos de la Figura 6 y los compara entre regiones. Mirai y Gh0st siguen siendo

omnipresentes, pero es evidente que su actividad no es uniforme en todo el mundo. La proporción de organizaciones que detectaron tráfico relacionado con una de las muchas variantes de

Mirai, por ejemplo, es más de un 20% más alta en Europa que en Asia. Pero Europa ocupa el tercer lugar en cuanto a actividad Gh0st.

latín Medio Del Norte

África Asia Europa America Este America Oceanía

Mirai 70,7% 63,3% 85,6% 78,0% 68,3% 84,8% 85,3%

Gh0st.Rat 62,7% 59,2% 66,7% 60,6% 58.0% 72,9% 72,5%

Pushdo 14,3% 17,4% 20,0% 19,7% 14,7% 21,6% 19,3%

Acceso cero 15,0% 17,4% 10,8% 15,9% 14,1% 12,4% 11,4%
Ganiw 10,9% 13,2% 9,2% 10,9% 9,0% 8,8% 10,4%
Xtreme.RAT 10,2% 12,4% 7,4% 10,5% 11,4% 6,2% 8,3%
Sality 12,6% 12,8% 2,5% 6,2% 16,6% 2,6% 2,0%
Torpig.Mebroot 8,1% 7,6% 7,3% 5,3% 4,6% 4,9% 3,5%
Mariposa 6,1% 9,7% 4,5% 6,8% 5,4% 3,2% 3,7%
Gozi 10,4% 10,0% 2,7% 4,4% 9,5% 2,4% 1,9%
Necurs 7,3% 5,9% 2,3% 3,7% 5,9% 3,4% 3,5%
FinFisher 6,5% 11,7% 2,4% 3,3% 3,4% 1,9% 2,2%
Conficker 5,8% 7,2% 2,7% 4,7% 6,2% 1,0% 0,5%
Rockloader 3,8% 2,4% 3,5% 2,2% 1,2% 4,3% 2,2%
XorDDOS 2,5% 3,4% 1,2% 2,6% 2,7% 1,6% 1,2%
Zeus 2,3% 8,1% 1,7% 2,5% 2,1% 1,4% 1,0%
Nitol 2,0% 4,6% 1,2% 2,7% 2,1% 1,7% 1,2%
Ramnit 6,4% 6,3% 1,4% 1,9% 5,0% 1,1% 1,0%
njRAT 3,2% 3,7% 1,1% 2,3% 3,0% 0,9% 2,0%
Emotet.Cridex 3,1% 2,0% 0,8% 3,8% 1,5% 0,9% 1,0%

Figura 7: Botnets más frecuentes por región durante el primer semestre de 2020 (porcentaje de organizaciones).

A medida que avanza hacia abajo en la Figura 7, surgen algunas diferencias regionales aún más fuertes. Gozi aparece en África y FinFisher es particularmente activo en Asia. Emotet.Cridex es la única

botnet mostrada que lidera en América Latina. La salidad salta entre las organizaciones en el Medio Oriente, y América del Norte posee la corona de Pushdo. Curiosamente, Oceanía no ocupa el primer

lugar en ninguna de las redes de bots que se muestran aquí (aunque es una

muy cerca segundo para Mirai). Una miríada de factores explican tales diferencias, incluida la orientación, la infraestructura, la adopción de tecnología, las configuraciones de seguridad y el comportamiento del usuario.

9
Informe del panorama de amenazas del primer semestre de 2020

Tendencias y amenazas destacadas

Aprovechar una pandemia mundial

Los investigadores de seguridad y otros proveedores ya han escrito mucho sobre el enorme impacto que COVID-19 ha tenido en la ciberseguridad. Lo hemos hecho nosotros mismos aquí , aquí , aquí , aquí

, aquí y más . Aun así, sería negligente por nuestra parte ignorar el tema por esa razón, especialmente en un informe que resuma la actividad de amenazas en la primera mitad de 2020.

Como era de esperar, los ciberdelincuentes de todos los matices, desde los phishers oportunistas hasta los intrigantes actores del Estado-nación, encontraron alguna forma de explotar la pandemia en su

beneficio. Las organizaciones de todo el mundo se enfrentaron repentinamente a una situación en la que tenían que apoyar a la mayoría de los empleados que trabajaban desde casa. Para los atacantes, el

cambio presentó una oportunidad sin precedentes para ingresar a las redes empresariales al apuntar a redes domésticas débilmente protegidas, dispositivos de consumo, conexiones VPN y herramientas de

colaboración y comunicación por video.

Tendencias de búsqueda de COVIDGoogle

100

6000

75
Número de URL únicas relacionadas con covid

Tendencias de Google
4000

50

2000
25

IOC relacionados con COVID (tendencia)

0 0

enero febrero marzo abril Mayo junio julio

Figura 8: Comparación de las tendencias de búsqueda de Google relacionadas con COVID y las URL maliciosas con temática de COVID.

Los indicadores de actividad de amenaza comenzaron a surgir casi al mismo tiempo que la creciente conciencia de la sociedad sobre el alcance y las ramificaciones de la pandemia. La Figura 8 ilustra esto

al comparar las tendencias de búsqueda de Google relacionadas con COVID y las URL maliciosas con temas de COVID detectadas por nuestros filtros web. Muchos de los dominios contenían nombres

como “coronavirus”, “vacuna”, “cloroquina” y “remdesvir” y fueron creados para recolectar credenciales o distribuir malware y spam. Muestra la rapidez con la que los atacantes se mueven para aprovechar

las principales novedades y eventos de noticias con un amplio impacto social.

También observamos un fuerte aumento de correos electrónicos maliciosos con documentos que supuestamente contienen pautas relacionadas con la pandemia aparentemente

enviado de fuentes confiables, como los Centros para el Control y la Prevención de Enfermedades (CDC) y la Organización Mundial de la Salud (OMS). Los operadores del troyano bancario

Emotet fueron de los primeros en aprovechar el miedo al coronavirus para intentar distribuir su malware de esta manera.

Durante las siguientes semanas y meses, observamos una gama cada vez mayor de actividad maliciosa que involucra el uso de señuelos relacionados con COVID-19. Esto incluyó esquemas de compromiso de correo

electrónico comercial y phishing, campañas respaldadas por estados nacionales y ataques de ransomware. Algunos ejemplos de las diversas amenazas que rastreamos incluyen:

10
Informe del panorama de amenazas del primer semestre de 2020

norte la distribución del ladrón de información AZORult a través de un sitio web con un mapa falso de propagación de la infección por coronavirus;

norte una campaña de phishing dirigida a objetivos militares y de inteligencia ucranianos por parte del grupo APT Gamaredon;

norte ataques contra objetivos en China continental por parte del grupo APT32 afiliado a Vietnam;

norte ataques dirigidos contra organizaciones surcoreanas por parte del grupo APT Kimsuky vinculado a Corea del Norte.

En general, las organizaciones en los EE. UU., China y Rusia fueron los objetivos más frecuentes de ataques con temas de coronavirus en la primera mitad de 2020.

El ransomware oculto en mensajes, archivos adjuntos y documentos con temas de COVID-19 fue otra amenaza. Realizamos un seguimiento de tres muestras de ransomware que pertenecían a esta

categoría en el primer semestre de 2020: NetWalker, Ransomware-GVZ y CoViper. De los tres, CoViper fue especialmente pernicioso porque reescribió el registro de arranque maestro (MBR) de la

computadora antes de encriptar los datos. Hemos observado varios ataques en el pasado en los que los adversarios han utilizado limpiadores MBR en combinación con ransomware para paralizar

efectivamente la PC.

Hacia el final de la primera mitad del año, también hubo varios informes de grupos de amenazas potencialmente respaldados por el estado que atacaban a organizaciones involucradas en investigaciones relacionadas

con COVID-19 en los EE. UU. Y otros países.

No está claro qué tan dañina —o no— la actividad maliciosa relacionada con la pandemia en la primera mitad de este año pudo haber sido en última instancia. Pero para muchas organizaciones, los

ataques destacaron la necesidad de mejores enfoques, incluidos modelos de confianza cero, para proteger sus redes contra las amenazas planteadas por los trabajadores que se conectan desde redes

domésticas débilmente protegidas. También enfatiza la importancia de que los defensores estén atentos a las noticias para adelantarse a la amenaza del día.

Del DVR al DMZ

El reciente aumento del trabajo remoto como resultado de la pandemia de COVID-19 ha centrado una atención considerable en la seguridad de los enrutadores, DVR y otros dispositivos conectados a

Internet en el hogar. Una de las preocupaciones es que los atacantes pueden aprovechar la seguridad deficiente en estos sistemas para intentar afianzarse en las redes empresariales o en los dispositivos

que los empleados de la FMH podrían estar usando para conectarse a la red empresarial. Otro problema es que los atacantes pueden explotar estos dispositivos para ensamblar rápidamente botnets

masivas, al estilo Mirai, que pueden usarse para lanzar ataques DDoS o distribuir malware.

400k
Detecciones totales de dispositivos de IoT

300k

D-Link
200k

Linksys

100k
Netcore

Shenzhen

0
enero febrero marzo abril Mayo junio

Figura 9: Detecciones de IPS dirigidas a marcas de dispositivos de red comunes durante el primer semestre de 2020.

11
Informe del panorama de amenazas del primer semestre de 2020

En la primera mitad de 2020, vimos muchas pruebas que sugieren un interés sostenido de los atacantes en explotar las vulnerabilidades nuevas y antiguas en los productos de IoT centrados

en el consumidor. Ya hemos discutido el dramático aumento en la actividad maliciosa dirigida a la falla en los DVR de Shenzhen TVT, por lo que no volveremos a profundizar en eso aquí.

Otra vulnerabilidad que despertó mucho interés de los atacantes en la primera mitad de 2020 involucró a los enrutadores D-Link. La falla de ejecución del comando existe en múltiples

modelos de enrutadores D-Link y brinda a los atacantes una forma de tomar el control completo de un dispositivo vulnerable. Observamos que la mayor parte de la actividad maliciosa dirigida

a esta vulnerabilidad tuvo lugar en mayo y junio. Aunque el volumen de ataques y la cantidad de dispositivos dirigidos fue mayor (alrededor de 160,000 en el pico) en comparación con la falla

del DVR de Shenzhen,

Sin embargo, la actividad de ataque de alto volumen más sostenida que observamos afectó a los enrutadores Netcore / Netis. Desde enero hasta finales de junio, los actores de amenazas siguieron

golpeando implacablemente un problema de omisión de seguridad de contraseña codificada en los enrutadores Netcore / Netis. La vulnerabilidad de la puerta trasera se descubrió por primera vez en

agosto de 2014 y desde entonces ha sido una de las firmas IPS más activadas que hemos rastreado. Durante el pico de los ataques en mayo, recopilamos más de 60 millones de visitas de esta firma.

Una vulnerabilidad de omisión de autenticación en los enrutadores de Linksys y otra falla de ejecución de comandos remotos en los enrutadores de la serie E de Linksys fueron otras dos fallas de enrutadores que

recibieron considerable atención de los atacantes en la primera mitad de 2020.

Los atacantes ya han explotado con éxito algunas de estas fallas para ensamblar botnets peligrosamente grandes. Un ejemplo es Dark Nexus, una botnet de IoT que surgió en la primera mitad de

este año y que consta de miles de enrutadores ASUS y D-Link explotados. Mozi, una botnet de igual a igual que también identificado por investigadores en la primera mitad de 2020, es otra botnet

construida a partir de enrutadores y DVR explotados, incluidos dispositivos D-Link con la falla de ejecución de comandos mencionada anteriormente.

La presencia de estos dispositivos vulnerables en las redes domésticas expande significativamente la superficie de ataque para las organizaciones con una gran cantidad de trabajadores remotos. Por lo tanto,

las organizaciones deben evaluar opciones para lograr el mismo nivel de protección para los empleados de la FMH que tenían en la oficina.

Amenazas OT, pasado y presente

En el extremo opuesto del espectro de los dispositivos de TI presentados en la sección anterior se encuentran las tecnologías operativas (OT). La prevalencia de amenazas dirigidas a los sistemas de control

de supervisión y adquisición de datos (SCADA) y otros tipos de sistemas de control industrial (ICS) es comprensiblemente mucho menor que la TI, pero ese hecho de ninguna manera disminuye su

importancia. La Figura 10 proporciona un desglose de las detecciones de exploits dirigidas a los fabricantes y componentes de ICS.

Si no es responsable de administrar OT, es posible que se haya perdido un aniversario importante en junio pasado. 2020 marca 10 años desde el descubrimiento de Stuxnet, el gusano

malicioso que fue noticia al sabotear instalaciones industriales críticas para el programa nuclear en Irán. Desde ese acontecimiento trascendental, ha habido muchos casos de ciberataques

sofisticados en sistemas OT en todo el mundo. Esto puede deberse en parte al hecho de que las redes OT ahora están cada vez más conectadas a Internet, lo que las hace más vulnerables a

los ataques. Esa hipótesis está respaldada por nuestro " Informe sobre el estado de la tecnología operativa y la ciberseguridad ”Que encontró que el 74% de las organizaciones de OT habían

experimentado una intrusión de malware en los últimos 12 meses.

12
Informe del panorama de amenazas del primer semestre de 2020

Modbus

Digium

100m

Samsung

Rockwell
DNP3
Volumen total

Delta SafeNet Honeywell

Schneider
100k Dahua

Triédrico WindRiver Advantech

QNX

Wonderware AzeoTech Intellicom 7-Technologies WECON Siemens

TEJIDO Moxa Geutebruck
Galil Fénix Broadwin 3S-inteligente
InduSoft Eaton
Sinapsi Hikvision
Unitronics Fuji WellinTech RealFlex

KingScada BuscarBlox GE Convincente

Sunway Triángulo
Mitsubishi
100 DATAC Cambium Meteocontrol
Sixnet VIPA Measuresoft
Allen
Microsys BMC OMRON
Fatek
Citect TeeChart
Yokogawa CoDeSys Iconics
Panasonic
Progea BlackHielo

Ecava

1 en 1 en 1 en 1 en 1 en
100k 10k 1k 100 10
Prevalencia organizacional

Figura 10: Prevalencia y volumen de detecciones IPS que involucran sistemas industriales.

En términos de desarrollos más recientes en el ámbito de las amenazas OT, dos en particular llamaron nuestra atención en la primera mitad de 2020. En enero se produjo un aumento en nuestros sensores

IPS en los EE. UU., Brasil y Alemania de la actividad que involucra Servidores Modbus TCP y controladores lógicos programables (PLC) que podría resultar en una fuga de información. Esto ayudó a que las

detecciones relacionadas con Modbus fueran las más voluminosas de todos los sistemas OT presentados en la Figura 10. Sin embargo, tenga en cuenta que todos los desencadenantes de esta firma no son

necesariamente maliciosos. Pero vale la pena monitorearlo porque un atacante que se infiltra en la red SCADA ciertamente podría causar problemas al acceder al controlador Modbus.

El segundo desarrollo notable se produjo en mayo cuando investigadores descubrieron Ramsay , un marco de espionaje diseñado para la recopilación y exfiltración de archivos confidenciales dentro de

redes con espacios abiertos o muy restringidas. Los entornos de TO se ajustan a esas características, por eso lo mencionamos aquí. No está muy claro cuánto tiempo ha estado activo Ramsay, pero ha

estado vinculado a un grupo APT más antiguo, Darkhotel. Como sugiere su nombre, Darkhotel es más conocido por explotar las redes Wi-Fi de los hoteles que las instalaciones industriales, pero estamos

más interesados en el potencial de Ramsay que en sus progenitores.

Fortinet es uno de los pocos proveedores de seguridad comprometidos con la protección y seguridad de las operaciones de OT, especialmente aquellas que forman parte de infraestructuras críticas. Usted

puede leer más aquí sobre los desafíos únicos de proteger los entornos de tecnología operativa y cómo podemos ayudar.

El ransomware extiende sus alas

Un ataque a un conocido fabricante en junio que interfirió con sus operaciones y provocó interrupciones temporales de la producción en varias de las instalaciones de la empresa,
limitó otros seis meses de actividad de ransomware dirigida a organizaciones empresariales.

Los investigadores de seguridad identificaron el malware utilizado en el ataque como EKANS (al que a veces se hace referencia públicamente como Snake), una muestra de ransomware con

varias características adaptadas a los sistemas de ataque en ICS. Nuestra análisis del malware mostró que estaba muy ofuscado, escrito en el lenguaje de programación GO y no muy diferente

de otras herramientas de ransomware, excepto por su orientación a los sistemas OT e ICS. El ataque, y el uso de EKANS, fue preocupante porque sugirió que los adversarios también podrían

estar ampliando el foco de los ataques de ransomware a entornos OT.

En el transcurso del primer semestre de 2020, analizamos la actividad específica de varias otras amenazas de ransomware, incluidas las relacionadas con el COVID-19 mencionadas en la sección anterior. Una

tendencia que observamos fue un aumento en los incidentes de ransomware en los que los adversarios no solo bloquearon los datos de una organización víctima, sino que también los robaron y utilizaron la

amenaza de liberación a gran escala como palanca adicional para intentar obtener un pago de rescate.

13
Informe del panorama de amenazas del primer semestre de 2020

Un ejemplo es DoppelPaymer, un ransomware utilizado en ataques contra un proveedor de piezas personalizadas para las industrias automotriz y aeroespacial, un contratista de la

NASA y la ciudad de Torrance, California. Nuestro análisis mostró que Doppelpaymer encripta archivos y los descarga a un sitio web donde se publican los datos si la víctima se

niega a pagar el rescate exigido.

La táctica se observó por primera vez en enero cuando el operador del ransomware Maze publicó casi 10 GB de datos de investigación privados pertenecientes a Medical Diagnostic Laboratories después

de que este último se negó a pagar al equipo de Maze una cantidad de rescate exigida. Desde entonces, los operadores de Sodinokibi y DoppelPaymer también han adoptado el modelo híbrido. La

tendencia aumenta significativamente los riesgos de que las organizaciones pierdan una propiedad intelectual invaluable, secretos comerciales y otros datos sensibles en futuros ataques de ransomware.

El ransomware-as-a-Service (RaaS) también siguió ganando terreno entre los ciberdelincuentes en la primera mitad de 2020. Una de esas amenazas que rastreamos fue Phobos, un tipo de

ransomware que explota el vector de ataque del Protocolo de escritorio remoto (RDP) para obtener acceso inicial a una red. Observamos que el malware es capaz de forzar las credenciales,

usar credenciales robadas o aprovechar conexiones inseguras en el puerto.

3389. El malware se vende a través de un modelo RaaS, que lo ha puesto a disposición de los agentes de amenazas con relativa facilidad incluso menos sofisticados.

Para las organizaciones, el malware como Phobos es otro recordatorio para proteger los servidores RDP. Los servidores RDP mal protegidos y expuestos a Internet han sido durante mucho tiempo los objetivos

favoritos de los delincuentes que buscan una forma de obtener acceso inicial a una red empresarial. Numerosos foros y mercados clandestinos venden acceso relativamente barato a servidores RDP previamente

pirateados, por lo que los delincuentes en muchos casos ni siquiera tienen que hacer ningún trabajo preliminar por su cuenta para entrar en uno. A pesar de las repetidas advertencias, cientos de miles de estos

sistemas siguen siendo accesibles y vulnerables a los ataques a través de Internet.

Sodinokibi, Nemty y DeathRansom fueron otros tres tipos de ransomware que observamos distribuidos a través de un modelo RaaS en el primer semestre de 2020. Una versión anterior de DeathRansom

que analizamos en realidad no encriptaba archivos, sin embargo, encontramos una versión más reciente que sí lo hace.

Al acercarnos a una perspectiva más amplia, la Figura 11 refuta la falacia de pensar que "el ransomware no afecta a empresas como la mía". Revela que ninguna industria se libró de la actividad de

ransomware durante los primeros seis meses del año. Los cinco sectores más afectados fueron las telecomunicaciones, MSSP, educación, gobierno y tecnología. Aunque la atención médica a

menudo se asocia con ransomware, aquí se encuentra en el medio del paquete.

Telco / Transportista 20,3%

MSSP 15,8%

Educación 13,9%

Gobierno 13,5%

Tecnología 13,4%

Energía y servicios públicos 13,1%

Transporte y Logística 12,5%

Fabricación 12,1%

Cuidado de la salud 11,9%

Medios / Comunicaciones 11,3%

Automotor 10,8%

Comercio minorista / hotelería 10,6%

Bebida alimenticia 9,9%

Consultante 9,9%

Agricultura 9,1%

Ambiental 8,1%

Banca / Finanzas / Seguros 7,7%

Sin ánimo de lucro 7,3%

Aeroespacial 7,1%

Legal 3,7%
0% 5% 10% 15% 20%

Figura 11: Porcentaje de organizaciones que detectan ransomware durante el primer semestre de 2020.

El éxito que han tenido los ciberdelincuentes en la obtención de rescates considerables de algunas víctimas significa casi con certeza que veremos poca disminución en la actividad del

ransomware en el futuro previsible. De hecho, el aumento de los ataques híbridos y la creciente disponibilidad de RaaS sugiere que las cosas solo empeorarán antes de mejorar. No es inútil;

sin embargo, hay bastantes formas efectivas para combatir el ransomware en su organización.

14
Informe del panorama de amenazas del primer semestre de 2020

La era de la explotación

Últimamente ha habido un resurgimiento del interés en los esfuerzos por modelar y predecir la explotación de vulnerabilidades. En parte, esto se remonta al dilema del defensor de larga data de

no tener suficiente tiempo o recursos para arreglar todo lo marcado por el último escaneo de vuln. Otro factor más reciente es que la cantidad de vulnerabilidades publicadas agregadas al Lista

CVE ha aumentado drásticamente en los últimos años, principalmente porque MITRE expandió el conjunto de organizaciones autorizadas para asignar CVE a vulnerabilidades. Un seguimiento

más fácil y completo de los CVE es algo bueno ... pero también significa que la lista de cosas para corregir solo se hace más larga. Por eso, priorizar la corrección de vulnerabilidades se ha

vuelto cada vez más importante.

Una forma de hacerlo es priorizar las vulnerabilidades que realmente se han explotado en la naturaleza. El desafío con esto, por supuesto, es que saber qué CVE se han explotado
requiere un despliegue expansivo de sensores para detectar dicha explotación. Afortunadamente, Fortinet lo tiene cubierto.

El eje horizontal de la Figura 12 muestra el porcentaje de CVE publicados cada año para los que detectamos actividad de explotación durante la primera mitad de 2020. En general, esa proporción es del

6%, pero es fácil ver que los CVE más recientes (color rojizo) muestran menores tasas de explotación. Hasta ahora, 2020 tiene la tasa de explotación más baja (<1%) jamás registrada en los más de 20

años de historia de la Lista CVE. Parte de ese fenómeno se remonta al aumento mencionado anteriormente de CVE y parte simplemente refleja el hecho de que el desarrollo y la distribución de

explotaciones lleva tiempo.

2018

60%

2017
Fracción de organizaciones atacadas con CVE de ese año

2014 2012 2015

2019

2013 2010
40% 2016
2011

2007
2009

2020 2005 2008

2006
20%
2002

2001 1999 2004

2000
2003

0% 5% 10% 15%
Fracción de los CVE encontrados en ese año utilizados en ataques

Figura 12: Porcentaje de CVE con exploits detectados (izquierda) y porcentaje de organizaciones que detectan esos exploits (derecha) por año.

El eje vertical de la Figura 12 ofrece una perspectiva diferente. Revela el porcentaje de organizaciones que detectaron actividad de explotación dirigida a los CVE publicados cada año. A partir de esto, es

evidente que las vulnerabilidades de 2018 reclaman la mayor prevalencia de explotación (65%), sin embargo, más de una cuarta parte de las empresas registraron intentos de explotar los CVE desde 15 años

antes en 2005. Hay una lección: no asuma que las viejas vulnerabilidades pueden ' t causar nuevos problemas. Sin embargo, el patrón general aquí es que las nuevas vulnerabilidades tienden a generar una

explotación más generalizada (lo que permite el tiempo necesario para que los exploits a escala se desarrollen y distribuyan a través de herramientas de piratería legítimas y maliciosas).

Al final del día, todo esto apunta al hecho de que los defensores enfrentan cada vez más no solo más vulnerabilidades en sus redes, sino también más vulnerabilidades que están siendo explotadas

activamente en la naturaleza. Entendemos el desafío de mantenerse al día y esperamos que el análisis que presentamos en este informe lo haga un poco más fácil. Nos vemos en nuestra próxima

edición, donde examinaremos cómo la segunda mitad de 2020 dio forma al panorama de las amenazas cibernéticas.

1 Fuente: IDC Worldwide Security Appliance Tracker, abril de 2020 (basado en envíos unitarios anuales de dispositivos Firewall, UTM y VPN)

15
 www.fortinet.com

Copyright © 2020 Fortinet, Inc. Todos los derechos reservados. Fortinet FortiGate FortiCare y FortiGuard y algunas otras marcas son marcas comerciales registradas de Fortinet, Inc., y otros nombres de Fortinet aquí incluidos también pueden ser marcas comerciales registradas y / o de derecho consuetudinario de Fortinet. Todos los
®, ®, ® ®,

demás nombres de productos o empresas pueden ser marcas comerciales de sus respectivos propietarios. El rendimiento y otras métricas contenidas en este documento se obtuvieron en pruebas de laboratorio internas en condiciones ideales, y el rendimiento real y otros resultados pueden variar. Las variables de red, los diferentes
entornos de red y otras condiciones pueden afectar los resultados de rendimiento. Nada en este documento representa un compromiso vinculante por parte de Fortinet, y Fortinet renuncia a todas las garantías, ya sean expresas o implícitas, excepto en la medida en que Fortinet celebre un contrato escrito vinculante, firmado por el
Asesor Jurídico de Fortinet. con un comprador que garantiza expresamente que el producto identificado funcionará de acuerdo con ciertas métricas de desempeño identificadas expresamente y, en tal caso, solo las métricas de desempeño específicas identificadas expresamente en dicho contrato escrito vinculante serán vinculantes
para Fortinet. Para mayor claridad, cualquier garantía de este tipo se limitará al rendimiento en las mismas condiciones ideales que en las pruebas de laboratorio internas de Fortinet. Fortinet se exime en su totalidad de cualquier convenio, representación y garantía de conformidad con el presente, ya sea expresa o implícita. Fortinet se
reserva el derecho de cambiar, modificar, transferir o revisar esta publicación sin previo aviso, y se aplicará la versión más actual de la publicación. Fortinet se exime en su totalidad de cualquier convenio, representación y garantía de conformidad con el presente, ya sea expresa o implícita.

Informe-de-amenazas-H1-2020
744120-0-0-ES