Machine Translated by Google

FEBRERO 2021

Informe del panorama global de amenazas

Informe semestral de FortiGuard Labs
Machine Translated by Google
Informe del panorama mundial de amenazas del segundo semestre de 2020

Tabla de contenido

Introducción y conclusiones clave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Principales amenazas durante el segundo semestre de 2020 . . .... . . . . .... . . . . . .... . . . . . ... . . . .4

Historias destacadas de 2H 2020 . . . . . . . . .... . . . . . .... . . . . . ... . . . .7

La brecha de SolarWinds que conmocionó a la industria . . . . . . . . . . . . . . . . . . 7

Más allá de SolarWinds: un resumen de APT . . . . . . . . . . . . . . . . . . . . . . . . . . 9

La amenaza del ransomware fugitivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

¿Cuánto tiempo hasta que seamos atacados? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2
Machine Translated by Google
Informe del panorama mundial de amenazas del segundo semestre de 2020

2S 2020 Introducción y hallazgos clave

El mundo rara vez llega a un consenso sobre algo, pero casi todo el mundo está de acuerdo en que dejar atrás el 2020 fue algo bueno.

En muchos sentidos, también preferiríamos mudarnos en lugar de volver a visitar el panorama de amenazas cibernéticas del año pasado. Pero nos guste o no, los ecos de 2020

continúan reverberando en 2021 tanto en el mundo físico como en el digital, e ignoramos ese hecho para nuestro propio riesgo. Por lo tanto, estamos regresando a la segunda mitad

de 2020 (2H 2020) para que podamos avanzar hacia un futuro mejor y más seguro. Por favor únete a nosotros.

Los vientos solares del cambio No seas tan apto para olvidar Un SOS para IoT y CMS

Existe una buena posibilidad de que SolarWinds sea La brecha de SolarWinds podría haber robado el centro Los dispositivos de Internet de las cosas (IoT)
el equivalente de "violación de objetivos" de la de atención en la segunda mitad de 2020, pero muchos y los sistemas de administración de contenido
ciberseguridad de la cadena de suministro. Target no otros grupos de amenazas persistentes avanzadas (CMS) continúan estando en la primera línea en el

fue el primer ataque minorista, pero fue el primero del
que la mayoría de la gente de seguridad pudo hablar
con sus familias. De manera similar, los ataques a la
cadena de suministro tienen una larga historia, pero
SolarWinds parece haber volado el
discusión a nuevas alturas. Obtenga la primicia y el
alcance completo de la campaña
nuestros sensores.
(APT) continuaron sin cesar en sus actividades ilícitas
en las sombras. Exponemos los grupos más activos, lo
que están haciendo y dónde enfocaron las operaciones
para
cerrar 2020.
batalla por internet. Nueve de los 10 principales
exploits apuntan a tecnologías que caen en una de
estas categorías. Es posible que no sean sus activos
más críticos, pero es muy probable que sean vecinos
de la red de sus activos críticos. Sea un buen vecino y
manténgalos a raya.

Las Pruebas de la Propiedad de la Casa Relaciones basadas en la (des)confianza Juego de caza para grandes ganancias

Siguiendo con el tema de la batalla, el elevado La transición al trabajo desde casa (WFH, por sus siglas Parece que hacemos un "Auge del ransomware"

interés en los dispositivos IoT puede ser un tipo de en inglés) ha sido difícil para muchos, pero un resultado positivo historia en cada edición, pero aquí estamos de
maniobra de flanqueo. Las barreras entre el hogar y el resultado es que podría ser el clavo final nuevo. La actividad de ransomware saltó 7
las oficinas corporativas se han erosionado en 2020, en el ataúd de la seguridad basada en la veces desde el comienzo de la mitad hasta el final,

lo que significa que "arruinar" una casa pone a los confianza. Un perímetro que desaparece ejerce una ganando otro acto principal. El
adversarios un paso más cerca de arrear su propio presión cada vez mayor para trasladar el control y la evolución continua del ransomware

negocio. aplicación de la seguridad a todos los dispositivos. Las como servicio (RaaS), un énfasis en la "caza de
Póngalos fuera del negocio anticipando y frustrando relaciones humanas pueden basarse en la confianza, caza mayor" (grandes rescates para grandes
sus planes utilizando la información compartida en este pero cada vez es más evidente que la desconfianza objetivos) y la amenaza de revelar datos
informe. genera relaciones de TI más sanas. comprometidos si no se cumplían las demandas
crearon un mercado de crecimiento masivo que los
ciberdelincuentes convirtieron en grandes ganancias

Hazañas de proporciones epidémicas

COVID hizo de "aplanar la curva" una frase familiar en 2020, pero ¿sabía que el concepto también se aplica a las vulnerabilidades? Nuestra historia final rastrea la propagación de
1.500 exploits en los últimos dos años para arrojar luz sobre qué tan rápido y qué tan lejos se propagan en la naturaleza. ¿Cuál es la probabilidad de que esté expuesto? ¡Sigue
leyendo para descubrirlo!

3
Machine Translated by Google
Informe del panorama mundial de amenazas del segundo semestre de 2020

Principales amenazas durante el segundo semestre de 2020

Los hallazgos de este informe representan la inteligencia colectiva de FortiGuard Labs, extraída de una amplia gama de sensores de red que recopilan miles de
millones de eventos de amenazas cada día observados en entornos de producción en vivo en todo el mundo. Según una investigación independiente,1
Fortinet tiene la huella de dispositivos de seguridad más grande de la industria. Esta ventaja única ofrece excelentes vistas del panorama de amenazas cibernéticas
desde múltiples perspectivas que nos complace compartir con usted. Comenzaremos examinando las amenazas que llegaron a la cima de las listas (o las aumentaron)
durante la segunda mitad de 2020.

El MITRE ATT&CK framework es una lente cada vez más popular para analizar las ciberamenazas al clasificar las tácticas, técnicas y procedimientos (TTP) del
adversario. Los primeros tres grupos de TTP en ATT&CK abarcan reconocimiento, desarrollo de recursos, y acceso inicial. Básicamente, describen cómo los actores
de amenazas encuentran vulnerabilidades, construyen infraestructura maliciosa y explotan sus objetivos. Nuestro sistema de prevención de intrusiones (IPS) FortiGate
Los sensores proporcionan una excelente visibilidad de este tipo de actividad en todo el mundo. Usaremos sensores adicionales para expandir esa visibilidad más
profundamente en ATT&CK más adelante en este informe, pero comencemos con las 10 tecnologías más probadas durante la segunda mitad de 2020.

Figura 1: Detecciones de IPS más frecuentes por tecnología durante la segunda mitad de 2020.

Independientemente del mes, la lista de las principales detecciones de exploits se puede resumir en dos acrónimos: CMS (sistemas de administración de contenido) e
IoT (Internet de las cosas). CMS como ThinkPHP, Joomla, Drupal y vBulletin han proporcionado durante mucho tiempo a los ciberdelincuentes objetivos fáciles que
facilitan el acceso a los entornos empresariales. Dado que son lo más importante para los atacantes, también deberían serlo para los defensores.

Los dispositivos IoT también caen en esa categoría de objetivos blandos/atractivos. En nuestro informe del primer semestre de 2020, destacamos un marcado aumento
en los intentos detectados de explotar vulnerabilidades en las redes de consumo y otros dispositivos conectados. Especulamos que esta tendencia puede ser paralela a
la transición al trabajo remoto a raíz de la pandemia de COVID-19. Es posible que los atacantes busquen socavar la seguridad de grado inferior a la empresarial
inherente a muchos de estos dispositivos, ya que ahora son efectivamente parte del perímetro corporativo. Eso significa que los empleados pueden estar accediendo a
los recursos corporativos desde un entorno comprometido, un modelo de seguridad al que muchas organizaciones no están acostumbradas.

La orientación de entornos de borde emergentes como la oficina en el hogar y la nube fue una de nuestras Predicciones de amenazas cibernéticas para 2021.
Esta tendencia podría ser el último clavo en el ataúd de la seguridad basada en la confianza. Un perímetro que se expande y se erosiona continuamente otorga
una importancia cada vez mayor a trasladar el control y la aplicación de la seguridad a todos los dispositivos, ya sean de confianza o no. Las relaciones humanas pueden
basarse en la confianza, pero cada vez es más evidente que la confianza cero genera relaciones de TI más sanas. Descubra cómo Fortinet implementa Zero Trust
Access para una visibilidad y un control más completos de todos los dispositivos en cada parte de la red.

4
Machine Translated by Google
Informe del panorama mundial de amenazas del segundo semestre de 2020

El seguimiento de los líderes extremos de la actividad de explotación en la naturaleza es sin duda útil, pero es probable que mantener un registro de los recién llegados sea
más relevante para los lectores de un informe como este. La Figura 2 retoma ese estandarte al presentar las detecciones de IPS que exhiben las mayores ganancias durante
la segunda mitad de 2020. Más específicamente, la Figura 2 enumera los 5 principales "ganadores" para cada región global en términos de la proporción de organizaciones
que informan detecciones.

Figura 2: Detecciones de IPS con el mayor crecimiento en prevalencia en cada región durante la segunda mitad de 2020.

Los valores en cada intersección indican la prevalencia en la segunda mitad de 2020. Entonces, por ejemplo, explota contra el error de carga de archivos arbitrarios de
ELFinder aumentó al 12% al 20% de las organizaciones, según la región. Puede que no parezca mucho, pero en realidad coloca este exploit entre una empresa de élite
(menos del 1% de los exploits alcanzan ese nivel de prevalencia). Los factores que impulsan su crecimiento incluyen: 1) es un complemento de WordPress (consulte la
tendencia de CMS en la Figura 1) con aproximadamente 700ÿ000 implementaciones en todo el mundo y 2) es fácilmente explotable por atacantes remotos, lo que le otorga un
10 perfecto de CVSS.

Otro ganador global notable es una vulnerabilidad de escalada de privilegios afectando múltiples versiones de Windows Server y Desktop. CVE-2019-
1458 alcanzó notoriedad después de ser utilizado ampliamente durante el último año por los actores de amenazas de Corea del Norte en la operación WizardOpium. y
ransomware NetWalker. No tiene la escala de algunos de los otros exploits en las Figuras 1 y 2, pero el hecho de que esté asociado con campañas de tan alto perfil ciertamente
justifica la actualización de esos sistemas Windows.

A continuación, agregamos algunos enlaces de nuestra Enciclopedia de amenazas . para ayudarlo a comenzar a investigar otros ganadores que llaman su atención en la
Figura 2. El contexto proporcionado allí debería ser útil para comprender la vulnerabilidad asociada y determinar la exposición de su organización a ella. Muchas entradas
también incluyen acciones recomendadas por el proveedor del dispositivo afectado. Y si es cliente de Fortinet, también encontrará información adicional, como la cobertura
de productos, los incumplimientos que toman esos productos, etc. ¡Feliz caza!

n Zpanel.pChart.Información.Divulgación

n Foxit.Multi.Products.ConvertToPDF.x86.dll.Heap.Buffer.Overflow

n AlienVault.OSSIM.Framework.Backup.Command.Execution

n MS.Windows.TCP.Tamaño.de.ventana.Zero.DoS

n Wind.River.VxWorks.WDB.Debug.Service.Version.Number.Scanner

n OPF.OpenProject.Activities.API.SQL.Injection

n ASPXSpy.Webshell

n AlienVault.OSSIM.av-centerd.Util.pm.Request.Command.Execution

Continuar nuestra progresión a través del marco ATT&CK nos lleva a la fase de ejecución, donde los atacantes intentan implementar y ejecutar código malicioso en un
sistema de destino. Por lo tanto, las muestras detectadas por nuestras diversas soluciones antimalware ofrecen información sobre técnicas populares para establecer un
punto de apoyo dentro de los entornos corporativos. La Figura 3 clasifica los vectores de entrega de malware más frecuentes desde julio hasta diciembre de 2020.

5
Machine Translated by Google
Informe del panorama mundial de amenazas del segundo semestre de 2020

Figura 3: Categorías de malware más prevalentes por mes durante la segunda mitad de 2020.

La acumulación de malware en formatos de entrega como los que se muestran en la Figura 3 brinda información útil sobre las diversas formas en que los adversarios
intentan ejecutar su código en los sistemas de destino. Si espera una lista de variantes específicas, permanezca atento: nos dirigimos allí a continuación. Por ahora,
sin embargo, vale la pena señalar cómo y dónde nos ataca el malware, en términos generales. Sobre ese tema, la Figura 3 revela algunos temas comunes.

El primer vector a través del cual los autores de malware intentan atraparnos son las plataformas de Microsoft. Eso ciertamente no es nada nuevo, pero se debe
reconocer la presencia de ejecutables de Windows de 32 bits (W32), productos de MS Office, Visual Basic (VBA) y Microsoft Intermediate Language (MSIL).

En la Figura 3, también podemos ver que están tratando de aprovechar los documentos que creamos y consumimos constantemente durante la jornada laboral
típica. Esto incluye algunas de las aplicaciones de MS Office antes mencionadas, además de documentos RTF y PDF. Una vez más, no es información nueva. Pero
siempre es bueno tener un recordatorio de que no podemos dejarnos engañar y confiar en formatos de archivo y archivos adjuntos comunes. Eso es especialmente cierto
cuando hay una gran cantidad de estos exploits que aprovechan las vulnerabilidades que no dependen de la interacción del usuario o de las macros para activarse.

Los navegadores web son otro frente de batalla según los resultados de la Figura 3. La categoría HTML incluye sitios de phishing cargados de malware y scripts
que inyectan código o redirigen a los usuarios a sitios maliciosos. Tales amenazas surgen inevitablemente en tiempos de malestar social y problemas globales. Este
hecho bien conocido se vuelve más preocupante a la luz de la tendencia reciente de la FMH. Los empleados que normalmente se benefician de los servicios de filtrado
web cuando navegan desde la red corporativa ahora se encuentran más expuestos cuando lo hacen fuera de ese filtro protector. Es un mundo aterrador allá afuera, ¡no
dejes que se las arreglen solos!

Pasemos ahora a variantes particulares de malware detectadas por nuestros sensores en todo el mundo. La Figura 4 compara el porcentaje de organizaciones que
detectan las principales cepas en cada región. No es sorprendente que observemos muchas variaciones de las amplias categorías descritas anteriormente. Puede
encontrar más detalles sobre todo lo que le llame la atención en nuestra Enciclopedia de amenazas.

Figura 4: malware más frecuente por región durante la segunda mitad de 2020.

6
Machine Translated by Google
Informe del panorama mundial de amenazas del segundo semestre de 2020

Debido a la longitud y el formato del nombre de la firma, las tres variantes de malware que explotan CVE-2017-11882 sobresalir como un pulgar dolorido.

Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), esta es una de las 10 principales vulnerabilidades explotados por actores de amenazas afiliados al estado.

El grupo Cobalt, Loki, Ursnif, Zbot y Fareit/Pony son una muestra de los actores de amenazas y malware que explotan CVE-2017-11882. También se ha utilizado en varias campañas con el tema

de COVID. Todo eso para decir, mantenga esas defensas de malware sintonizadas para apagar este.

Si bien las tendencias de IPS y malware generalmente muestran el lado anterior al compromiso de las amenazas cibernéticas, las botnets brindan una vista de la actividad posterior al compromiso.

En el lenguaje de ATT&CK, el tráfico de botnets es más indicativo de la actividad de Comando y Control (C2) , mediante la cual los sistemas infectados se comunican con hosts maliciosos remotos

para obtener más instrucciones. La Figura 5 rastrea la prevalencia de las botnets más comunes mes a mes en 2020.

Tenga en cuenta que los porcentajes en la Figura 5 se basan en organizaciones que detectan botnets, que fue aproximadamente el 1% de todas las empresas. Por lo tanto, puede leerlo como "Alrededor

del 75% del 1% de las empresas que informaron cualquier botnet en diciembre detectaron Mirai".

Figura 5: Detecciones de botnet más frecuentes por mes durante 2020.

En nuestro informe del primer semestre de 2020, observamos un fuerte aumento en la actividad vinculada a la red de bots Mirai. Observamos que esta tendencia podría sugerir que los

ciberdelincuentes están buscando una puerta trasera en el perímetro corporativo al explotar las redes y los dispositivos de los consumidores utilizados por los empleados de WFH a raíz de la

pandemia de COVID-19. El reinado continuo de Mirai entre las botnets, junto con el predominio de las detecciones de IPS relacionadas con IoT que se presentan en la Figura 1, sugiere que esta

tendencia continuó durante el resto de 2020.

Dicho esto, la prevalencia de las detecciones de Mirai comenzó a disminuir después del pico en mayo. Dudamos en leer demasiado de esas hojas de té, pero una inferencia optimista es que podría

presagiar un regreso a la "vieja normalidad" de un mundo post-pico de COVID en el que (con suerte) estamos entrando en 2021. Eso sería bienvenido. cambio, porque la “Nueva Normalidad” se está

haciendo bastante vieja.

Historias destacadas de la segunda mitad de 2020

La brecha de SolarWinds que conmocionó a la industria

Las noticias surgieron el último trimestre sobre atacantes de estados-nación que ocultaban una puerta trasera llamada SUNBURST/Solorigate en actualizaciones legítimas de Orion de SolarWinds.

software de administración de red y distribuirlo a numerosas organizaciones en todo el mundo. La revelación sacudió a la industria y expuso debilidades preocupantes en las defensas empresariales

contra amenazas avanzadas dirigidas a la cadena de suministro digital. Las víctimas de la campaña incluyeron varias agencias del gobierno de EE. UU. e incluso empresas líderes en tecnología como

Microsoft y el proveedor de seguridad FireEye.

Más allá de los directamente afectados, el evento debería ser una llamada de atención de que las defensas empresariales pueden verse socavadas por eslabones débiles en la cadena (a menudo

larga) de socios y proveedores.

7
Machine Translated by Google
Informe del panorama mundial de amenazas del segundo semestre de 2020

Para llevar a cabo el ataque, el adversario irrumpió en el sistema de compilación de SolarWinds e insertó la puerta trasera en un componente firmado digitalmente del marco de
gestión de red de Orion. El malware permaneció inactivo durante dos semanas antes de recuperar los comandos para recopilar y transferir datos específicos, realizar servicios
de sistemas de reconocimiento y detención y otras acciones maliciosas. En los sistemas de interés específico, los adversarios, que se creía que tenían su sede en Rusia,
utilizaron la puerta trasera para implementar malware adicional, incluidas versiones personalizadas del kit de ataque posterior al compromiso Cobalt Strike Beacon para
movimiento lateral.

El análisis del ataque reveló que los actores de la amenaza habían hecho todo lo posible para mantener el secreto operativo en torno al compromiso inicial de
SolarWinds, la distribución del malware, el despliegue de la carga útil de la segunda etapa y en las comunicaciones C2. Al ocultar el malware en una herramienta de
administración de red confiable de un proveedor confiable, los atacantes lograron obtener un acceso altamente privilegiado en las redes de algunas de las organizaciones más
grandes del mundo.

El malware utilizó el protocolo legítimo del Programa de mejora de Orion y almacenó sus resultados dentro de los archivos del complemento de Orion para evitar la detección.
Los actores de amenazas utilizaron un conjunto limitado de herramientas de malware para llevar a cabo sus actividades maliciosas. Las credenciales robadas proporcionaron
los medios para el acceso remoto. Las medidas de seguridad operativas tomaron la forma de servidores C2 con direcciones IP ubicadas dentro del país de las víctimas. Al
obtener acceso al lenguaje de marcado de confirmación de seguridad (SAML) de la víctima certificado de firma de tokens, los atacantes pudieron falsificar tokens para infiltrarse
en recursos en entornos locales y en la nube.

La campaña expuso varias debilidades en las defensas de la industria contra los actores de amenazas persistentes avanzadas (APT). La mayoría de las herramientas
antimalware y de detección y respuesta de puntos finales no pudieron detectar la puerta trasera inicial o la actividad maliciosa hasta que se desarrollaron las firmas y se
publicaron los indicadores de compromiso (IOC) después de que se descubrió la infracción. Eso no es necesariamente un golpe en su contra; así es simplemente como
funcionan. Del mismo modo, SolarWinds no estaba al tanto de las actualizaciones envenenadas que estaba distribuyendo a los clientes de todo el mundo durante varios meses.

Al personalizar la carga útil de la segunda etapa para víctimas individuales, los atacantes demostraron cómo los actores de amenazas pueden eludir los mecanismos
de detección basados en indicadores. Mediante el uso de una técnica previamente conocida llamada "Golden SAML" para falsificar tokens de autenticación SAML,
demostraron cómo los adversarios pueden mantener un acceso persistente prácticamente indetectable en redes comprometidas.

A medida que se desarrollaba el ataque, vimos que las organizaciones de víctimas y proveedores de seguridad compartían una gran cantidad de información, incluidos
Microsoft y FireEye. FortiGuard Labs supervisó de cerca esta inteligencia emergente y la utilizó para crear IOC para detectar actividades relacionadas en el futuro.
Como era de esperar, observamos un gran aumento en las conexiones que coincidían con esos IOC. Cuando todo estuvo dicho y hecho, ¡FortiGuard Labs detectó más de
300ÿ000 solicitudes a la infraestructura asociada con SolarWinds!

Figura 6: Comunicaciones detectadas con infraestructura de internet asociada a SUNBURST durante diciembre de 2020.

8
Machine Translated by Google
Informe del panorama mundial de amenazas del segundo semestre de 2020

No solo descubrimos una plétora de actividad a medida que surgía la inteligencia, sino que nuestro seguimiento continuo del alcance de la campaña de SolarWinds reveló
que era verdaderamente de naturaleza global. Como se ve en la Figura 6, los “Cinco Ojos” exhibió tasas particularmente altas de tráfico que coincidía con los IOC maliciosos.
La evidencia de posibles objetivos "derivados" u oportunistas enfatiza aún más el alcance de los ataques modernos a la cadena de suministro, excepto sobre todo en Rusia.

Aunque algunos han descrito al grupo detrás de la campaña SolarWinds como una operación altamente sofisticada respaldada por el gobierno ruso, varios proveedores de
seguridad que han analizado la campaña hasta ahora no han podido, o se han negado a, atribuir públicamente los ataques a ningún país específico. FireEye, una de las
muchas víctimas de la campaña, describió al grupo como previamente desconocido y actualmente lo rastrea como "UNC2452". Mientras tanto, Volexity ha notado que la
evidencia sugiere que el ataque de SolarWinds fue llevado a cabo por un grupo al que ha estado rastreando conocido como "Dark Halo".

Independientemente del país patrocinador, muchos investigadores de seguridad han descrito UNC2452/Dark Halo y su campaña como uno de los ataques más significativos
y sofisticados que han observado en más de una década. ¿Entonces, dónde vamos desde aquí? La buena noticia para los clientes de Fortinet es que los investigadores de
FortiGuard Labs están actualizando diligentemente nuestro Security Fabric componentes con la última inteligencia para detectar y mitigar las amenazas asociadas con esta
campaña.

Más allá de eso, el primer paso es crear un plan de gestión de riesgos de la cadena de suministro para establecer políticas y procedimientos para dependencias y
exposiciones. Este plan debe documentar los riesgos clave a lo largo del ciclo de vida del desarrollo del sistema, incluidos el diseño, la fabricación, la producción, la
distribución, la adquisición, la instalación, las operaciones, el mantenimiento y el desmantelamiento. En un nivel más táctico, alentamos a todas las organizaciones a actualizar
las firmas de antivirus e IPS y asegurarse de que todas las vulnerabilidades conocidas de SolarWinds se hayan solucionado.

También es una buena oportunidad para recalcar en los líderes de seguridad la importancia de mantener el conocimiento de la situación a través de inteligencia de
amenazas oportuna para que puedan volver a priorizar rápidamente la estrategia y las defensas cuando la situación lo requiera. No hay garantía de evitar la próxima campaña
similar a la de SolarWinds, pero poner la inteligencia a trabajar para usted tan pronto como surja es lo más parecido a detenerla por completo.

Más allá de SolarWinds: un resumen de APT

Los actores detrás de SolarWinds podrían haber sido los protagonistas de la segunda mitad de 2020, pero también se unió al escenario un elenco de actores secundarios.
Los reuniremos para que estés mejor equipado para derribarlos.

Los grupos APT continuaron explotando la crisis de COVID-19 de diversas maneras en la segunda mitad de 2020. Los más comunes incluyeron ataques centrados en
recopilar información personal a granel, robar propiedad intelectual y capturar inteligencia alineada con la política nacional del grupo APT. prioridades Esto fue señalado por
la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en un aviso de vuelta en mayo. La segunda mitad también fue testigo de un aumento en la
actividad de APT dirigida a organizaciones involucradas en el trabajo relacionado con COVID-19, incluida la investigación de vacunas y el desarrollo de políticas de atención
médica nacionales e internacionales en torno a la pandemia. Las organizaciones objetivo incluyeron agencias gubernamentales, empresas farmacéuticas, universidades y
empresas de investigación médica.

Algunos de los grupos que rastreamos en la segunda mitad de 2020 estaban involucrados en otras actividades. Uno de ellos fue BeagleBoyz, un actor relativamente
nuevo de APT de Corea del Norte que fue observado robando bancos a través de un esquema de retiro de efectivo en cajeros automáticos que las fuerzas del orden
estadounidenses denominaron FASTCash 2.0. Se cree que el grupo, cuyo modus operandi típico es la ingeniería social, el spear phishing y los ataques a pozos de agua, está
relacionado con la actividad asociada con el notorio Lazarus/HIDDEN COBRA APT de Corea del Norte. Las autoridades estadounidenses estiman que los BeagleBoyz han
intentado robar 2.000 millones de dólares de instituciones financieras de todo el mundo.

El grupo Lázaro Mientras tanto, se observó en agosto pasado apuntando a organizaciones en la vertical de criptomonedas. La campaña involucró a los atacantes que enviaban
un documento de phishing a las cuentas de LinkedIn de ciertas personas en las organizaciones objetivo. El documento pretendía ser un anuncio de trabajo para una empresa
de blockchain, pero contenía un señuelo que conducía a la distribución de malware en el entorno de destino.

9
Machine Translated by Google
Informe del panorama mundial de amenazas del segundo semestre de 2020

Mientras tanto, MOMIA ARAÑA, el grupo APT que generó el prolífico troyano Emotet, resurgió en la segunda mitad del año pasado con otra versión de su malware. La
nueva versión, distribuida por correo electrónico, fue diseñada para recopilar direcciones de correo electrónico, enviar spam, robar credenciales de cuentas y propagarse a
través de redes locales. FortiGuard Labs observó un ritmo constante de actividad relacionada con MUMMY SPIDER y la nueva versión de Emotet hasta la segunda mitad de
2020. Quizás eso es parte de lo que motivó a un consorcio liderado por Europol . para interrumpir la red de bots Emotet a fines de 2020.

En agosto, el conocido Fancy Bear de Rusia (también conocido como grupo Sofacy/APT28) distribuyó una pieza particularmente desagradable de malware basado en
Linux denominado Drovorub en los sistemas de destino. Se cree que el malware de múltiples componentes fue desarrollado para ser utilizado por el aparato de inteligencia
militar ruso. Permitió a los atacantes una forma de tomar el control remoto completo de los sistemas comprometidos y/o dirigirlos a través de la infraestructura o los hosts
controlados por el atacante.

Aparte de los destacados anteriormente, muchos otros APT cerraron 2020 con sus payasadas habituales (y, a veces, inusuales). La Figura 7 muestra una línea de
tendencia de actividad y un desglose a nivel de país de las conexiones a los IOC vinculados a los grupos APT enumerados a través de la inteligencia recopilada por FortiGuard
Labs. La lista incluye las seis APT más activas (Turla, Fancy Bear, Lazarus, MuddyWater, TA505, OilRig) más dos grupos adicionales que mostraron una actividad elevada
durante la segunda mitad de 2020 (Kimsuky, Promethium).

Figura 7: Origen de las conexiones detectadas a los IOC asociados con grupos APT seleccionados en la segunda mitad de 2020.

Entre los grupos que se muestran en la Figura 7, Fancy Bear y Lazarus ya recibieron algo de atención. Así que lo mostraremos a algunos otros cuando concluyamos
este resumen de APT 2H 2020.

turla (también conocido como Venomous Bear, Waterbug) es un grupo con sede en Rusia en funcionamiento durante la mayor parte de dos décadas. Han estado
vinculados a actividades de espionaje centradas en entidades gubernamentales y embajadas de todo el mundo. Registramos más conexiones a la infraestructura
relacionada con Turla que cualquier otro grupo APT durante este período de tiempo.

10
Machine Translated by Google
Informe del panorama mundial de amenazas del segundo semestre de 2020

MuddyAgua históricamente apunta a los sectores de telecomunicaciones, servicios gubernamentales y petróleo en el Medio Oriente, pero también se sabe que se
aventura fuera de esos círculos. Han ampliado sus operaciones y capacidades. durante el último año más o menos.

TA505 es un grupo originario de Rusia asociado tradicionalmente con campañas de spam, troyanos bancarios (Dridex) y otros ataques con fines financieros.
Después de que dos supuestos miembros fueran acusados a fines de 2019, reanudaron actividades y distribución de malware en 2020.

Prometeo (también conocido como StrongPity) ha estado activo desde ~2002 y se cree que opera desde Turquía. El grupo tiene un historial de vigilancia de objetivos
políticos. Observamos un aumento de detecciones que alcanzó su punto máximo en julio, pero se mantuvo elevado hasta el final del año. Otras fuentes han notado
expansiones similares durante 2020.

kimsuky está asociado con el gobierno de Corea del Norte que ha estado activo durante los últimos 10 años o más. La actividad constante y de bajo nivel de julio a
octubre subió varios niveles a partir de noviembre. Se centra principalmente en objetivos de Corea del Sur, por lo que destaca la actividad en India y Namibia.

Plataforma petrolera supuestamente proviene de Irán y es conocido por atacar a los miembros más pequeños/débiles de las grandes cadenas de suministro para llegar a
su objetivo principal. El grupo ha sido vinculado a ataques contra organizaciones en el Medio Oriente y en el extranjero. En la segunda mitad de 2020, ingresaron al juego
de innovación de malware con una herramienta de puerta trasera llamada RDAT.

Las historias sobre las últimas travesuras de los actores de amenazas cibernéticas son más que un material de lectura interesante. Cuanto mejor conozcamos
a nuestros adversarios y entendamos sus TTP, mejor podremos alinear defensas efectivas contra ellos. Todos sabemos que los adversarios persistentes entrarán de
alguna manera, pero las organizaciones exitosas pueden encontrarlos y eliminarlos rápidamente. La visibilidad y el enfoque en los TTP más recientes relevantes para el
perfil de amenazas de su organización son imprescindibles. La ignorancia es su aliada, no la nuestra.

La amenaza del ransomware fuera de control

El ransomware continuó afectando a las organizaciones de todo el mundo en la segunda mitad de 2020, tal como lo ha hecho durante los últimos seis meses. Nuestros
datos mostraron un aumento sustancial en la actividad general de ransomware en comparación con el primer semestre de 2020. De hecho, FortiGuard Labs analizó la
actividad de todas las firmas que tenemos en un momento u otro clasificadas como ransomware, lo que mostró un aumento de siete veces en la actividad de ransomware
en diciembre en comparación con Julio 2020 (ver Figura 8).

Figura 8: Número diario de dispositivos que detectaron variantes de ransomware en la segunda mitad de 2020.

Entre las cepas de ransomware más activas que rastreamos en la segunda mitad de 2020 se encuentran Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Fobos/
EKING, y BazarLoader. Cada uno de estos exhibió diversos grados de prevalencia en los dispositivos de Fortinet, pero la tendencia común entre ellos fue un aumento en
la actividad durante el período (consulte la Figura 9).

11
Machine Translated by Google
Informe del panorama mundial de amenazas del segundo semestre de 2020

Para las organizaciones que siguen las tendencias de ransomware, que a estas alturas deberían ser prácticamente todas, el aumento de la actividad durante el último período
de seis meses no debería sorprenderles. Los actores de amenazas han descubierto que criptobloquear sistemas críticos y exigir un rescate por la clave de descifrado es una forma
relativamente fácil de extorsionar a las organizaciones, independientemente del tamaño o la industria a la que pertenezcan. Esta forma más específica y siniestra de esquema de
ransomware se conoce como "caza de caza mayor". Ha estado de moda con las pandillas de ransomware a lo largo de 2020 y los días de pago más grandes obtenidos por tales
esquemas prácticamente aseguran que la tendencia no desaparecerá en el corto plazo.

Muchos adversarios aprovecharon las interrupciones causadas por la pandemia de COVID-19 para intensificar los ataques de ransomware contra organizaciones del
sector de la salud en particular. En octubre, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), el Departamento de Salud y Servicios
Humanos y el FBI emitieron un aviso conjunto advirtiendo a los hospitales y servicios de atención médica de EE. UU. sobre una mayor actividad de ransomware que involucra a
TrickBot y BazarLoader malware, ambos rastreados en la segunda mitad de 2020. Otros sectores que también fueron objeto de ataques de ransomware en la segunda mitad de
2020 incluyeron empresas de servicios profesionales, empresas de servicios al consumidor, organizaciones del sector público y empresas de servicios financieros.

BazarLoader TrickBot

SMAUG

TrickBot

Figura 9: Detecciones diarias de cepas de ransomware seleccionadas de interés en la segunda mitad de 2020.

Varias tendencias caracterizaron la actividad de ransomware que FortiGuard Labs y otros observaron en la segunda mitad de 2020. Una de las más preocupantes fue el aumento
constante de los ataques de ransomware que implicaban la exfiltración de datos y la amenaza posterior de liberar los datos si no se pagaba un rescate. El uso del robo de datos
como ventaja adicional en las campañas de ransomware realmente solo surgió como una táctica del adversario a principios de 2020, pero se convirtió en parte de la mayoría de los
ataques a finales de año.

Los operadores de la mayoría de las principales cepas de ransomware, incluidos Sodinokibi, Ryuk, Egregor y Conti, implementaron la exfiltración de datos como parte de sus
operaciones estándar el año pasado. Algunos incidentes informados fueron reclamos de atacantes (a veces falsos) de robo de datos para tratar de asustar a las víctimas para
que pagaran un rescate. En muchos casos, cuando las víctimas pagaron para que los atacantes eliminaran los datos robados, los atacantes se negaron y, en cambio, filtraron o
vendieron los datos a otros de todos modos. Para las organizaciones, la tendencia significa que las copias de seguridad de datos sólidas por sí solas ya no son suficiente protección contra
demandas de ransomware.

Un crecimiento constante en las opciones de Ransomware-as-a-Service (RaaS) en los mercados clandestinos también impulsó gran parte de la actividad de ransomware en los
últimos seis meses de 2020. Dichos servicios facilitaron que los malos actores con pocas habilidades o recursos lanzaran ataques. . Un actor de amenazas que rastreamos

La oferta de RaaS fue SMAUG, un servicio que ofrecía cepas de ransomware a los actores de amenazas que podían implementarse en plataformas Windows, MacOS y Linux. A
diferencia de muchas ofertas de RaaS que están restringidas a miembros examinados, SMAUG apareció en la primavera del año pasado y, a fines de año, surgió como una oferta
totalmente pública para los malos actores dispuestos a pagar por el servicio. Otros jugadores importantes en el espacio RaaS incluyeron a los operadores de Phobos, Sodinokibi,
Conti y Egregor.

12
Machine Translated by Google
Informe del panorama mundial de amenazas del segundo semestre de 2020

¿No quiere que su organización financie los últimos esquemas lucrativos de ransomware? Prívelos de un flujo de caja positivo manteniendo los sistemas
bloqueados y respaldados. Las principales tácticas utilizadas por el ransomware son las mismas para muchas otras amenazas: correos electrónicos de
phishing, explotación de vulnerabilidades de software y aprovechamiento de servicios expuestos como el Protocolo de escritorio remoto (RDP). Más allá de
reforzar los controles técnicos, cree o revise políticas y procedimientos corporativos para manejar las demandas de rescate para evitar tomar decisiones difíciles en
el fragor del momento. ¿Sigue buscando estrategias adicionales para mitigar la amenaza del ransomware? Aquí hay 15 maneras de tomar acción ahora.

¿Cuánto tiempo hasta que seamos atacados?

Si tiene un papel en la defensa de los activos empresariales de la horda de amenazas cibernéticas que buscan explotarlos, probablemente haya hecho alguna
variación de esta pregunta. Y tal vez te hayas sentido frustrado por la falta de respuestas útiles. Esa frustración es comprensible porque saber cuánto tiempo
tenemos hasta que los exploits dirigidos a la vulnerabilidad actual se propaguen a nuestros activos es algo que los defensores deben saber para priorizar los
esfuerzos de remediación y/o implementar controles de compensación para minimizar el riesgo. En otras palabras, ¿debemos arreglar esto ahora o podemos
impulsarlo de manera segura para que funcione en otros problemas más apremiantes y con más probabilidades de ser explotados a corto plazo?

Esto es difícil de medir porque muy pocas organizaciones tienen datos a la escala necesaria para estudiarlos adecuadamente. Fortinet es una de esas
organizaciones, y FortiGuard Labs ha estado colaborando con otros para ayudar a arrojar luz sobre este tema. Contribuimos al desarrollo del Exploit Prediction
Scoring System (EPSS), un modelo abierto para predecir cuándo se explotarán las vulnerabilidades. Los datos de Fortinet también se incluyeron en un estudio
por el Instituto Cyentia y Kenna Security para medir los plazos de remediación y explotación. Ampliamos estos esfuerzos aquí.

La Figura 10 rastrea la progresión de más de 1500 exploits detectados en la naturaleza durante los últimos dos años. Cada línea representa un exploit
individual, rastreando el tiempo desde la creación de la firma en el eje x y la probabilidad de detección por parte de las organizaciones en el eje y. Por lo tanto,
la trayectoria de cada línea mide la prevalencia de la explotación en un momento determinado. La mayoría de las líneas están atenuadas para que podamos
centrarnos en algunos ejemplos, pero debería ser obvio que la propagación de exploits en la naturaleza varía drásticamente. Eso significa que la respuesta a la
pregunta planteada en el título de esta sección con respecto al tiempo de ataque es "Depende de qué exploit".

firmas

Tiempo desde la creación de la firma IPS (meses)

Figura 10: Tasa y propagación de más de 1500 explotaciones de vulnerabilidades en la naturaleza.

13
Machine Translated by Google
Informe del panorama mundial de amenazas del segundo semestre de 2020

Entendemos que no es una respuesta muy satisfactoria, así que veamos si podemos extraer algunas estadísticas útiles de los datos de la Figura 10. Una gran conclusión
de todas esas rutas de propagación confusas es que la mayoría de los exploits tienen una baja probabilidad de ser utilizados contra organizaciones (y -eje).
Mirando las tecnologías más específicas en la Figura 1, uno podría concluir que las vulnerabilidades golpean rutinariamente a un tercio de las organizaciones o más. Pero
la realidad mostrada aquí por nuestras detecciones de IPS es que muy pocas vulnerabilidades ven una explotación generalizada en la naturaleza. La mayoría se encuentran
en ese oscuro pantano de líneas cerca del fondo. Entre todos los exploits registrados por nuestros sensores en los últimos dos años, solo el 5 % fue detectado por más del
10 % de las organizaciones. Tres de cada cuatro exploits no llegaron a 1 de cada 1000 empresas.

Otra conclusión importante de la Figura 10 es que la velocidad a la que se propagan los ataques en la naturaleza difiere mucho. Algunos, como los que tienen como
objetivo la vulnerabilidad de inyección de código ThinkPHP, se disparan a través de nuestros sensores tan pronto como (ya veces antes) se implementa la firma de
detección de producción. Otros, como los exploits contra Joomla Media Manager, rastrean metódicamente a través de una población más pequeña de organizaciones. Y
luego ve exploits que exhiben un comportamiento similar al de CVE-2019-1458, que comienza a rastrearse pero cambia al modo cohete aproximadamente 12 meses
después de su ciclo de vida de explotación.

Pero, ¿qué tan (poco) comunes son los exploits que siguen el camino anecdótico de ThinkPHP o Joomla o CVE-2019-1458 o cualquiera de las otras líneas
representadas en la Figura 10? Afortunadamente, no tenemos que conformarnos con una respuesta de "depende" a esa pregunta. La figura 11 nos brinda
estadísticas concretas y, al hacerlo, brinda la respuesta a nuestra pregunta original.

Figura 11: Estadísticas sobre la tasa y la propagación de más de 1500 explotaciones de vulnerabilidades en la naturaleza.

En igualdad de condiciones, si elige una vulnerabilidad al azar, los datos dicen que hay una probabilidad de 1 en 1,000 de que cualquier organización determinada sea
atacada. Solo el 6 % de los exploits afectan a más del 1 % de las empresas en el primer mes, e incluso después de un año, el 91 % de los exploits no han superado ese
umbral del 1 %. Como sugiere la lógica, es aún más raro que los exploits lleguen al 10% de la población en esos períodos de tiempo. En pocas palabras: la mayoría de los
exploits no se propagan muy lejos ni muy rápido.

Puede ofrecer algo de consuelo saber que las estadísticas están de nuestro lado en términos de ser señalados para los ataques, pero normalmente no manejamos el
escenario medio o promedio en ciberseguridad. Nos las arreglamos hasta los extremos. Además, la suposición que inicia el último párrafo, en igualdad de condiciones,
puede no ser cierta para su organización. Por el motivo que sea, es más probable que su organización se encuentre habitualmente entre esos pocos objetivos (o
desafortunados). Si ese es el caso, las estadísticas comienzan a cambiar en su contra.

El viejo adagio de "más vale prevenir que curar" se aplica bien aquí. A menos que tenga razones para creer que no verá ciertas vulnerabilidades, es más seguro asumir
que estará en la vanguardia de las curvas que se muestran en la Figura 10. Concentre los esfuerzos de remediación en las vulnerabilidades con vulnerabilidades
conocidas y, entre ellas, priorice las que propagándose más rápidamente en la naturaleza. Los datos muestran rutinariamente una pequeña fracción de la multitud de
vulnerabilidades que compiten por su atención. Es por eso que los gráficos como las Figuras 1 y 2 valen su peso en oro de mitigación de riesgos.

Esperamos que esos gráficos y toda esta edición del Informe de panorama de amenazas lo ayuden a concentrarse en las cosas que más importan y le brinden
información para que pueda actuar en consecuencia. Nos vemos la próxima vez para digerir y diseccionar la primera mitad de 2021.

1 rastreador mundial de dispositivos de seguridad de IDC, Abril de 2020 (basado en envíos de unidades anuales de dispositivos Firewall, UTM y VPN)

14
Machine Translated by Google

www.fortinet.com

Copyright © 2021 Fortinet, Inc. Todos los derechos reservados. Fortinet®, FortiGate®, FortiCare® y FortiGuard®, y algunas otras marcas son marcas comerciales registradas de Fortinet, Inc., y otros nombres de Fortinet aquí también pueden ser marcas comerciales registradas y/
o de derecho consuetudinario de Fortinet. Todos los demás nombres de productos o empresas pueden ser marcas comerciales de sus respectivos propietarios. El rendimiento y otras métricas contenidas en este documento se obtuvieron en pruebas de laboratorio internas en
condiciones ideales, y el rendimiento real y otros resultados pueden variar. Las variables de red, los diferentes entornos de red y otras condiciones pueden afectar los resultados de rendimiento. Nada en este documento representa ningún compromiso vinculante por parte de Fortinet, y
Fortinet renuncia a todas las garantías, ya sean expresas o implícitas, excepto en la medida en que Fortinet celebre un contrato vinculante por escrito, firmado por el Asesor Jurídico de Fortinet, con un comprador que garantice expresamente que el producto identificado funcionará de
acuerdo con a ciertas métricas de rendimiento identificadas expresamente y, en tal caso, solo las métricas de rendimiento específicas identificadas expresamente en dicho contrato escrito vinculante serán vinculantes para Fortinet. Para mayor claridad, cualquier garantía de este tipo se
limitará al rendimiento en las mismas condiciones ideales que en las pruebas de laboratorio internas de Fortinet. Fortinet renuncia en su totalidad a cualquier pacto, representación y garantía en virtud del presente, ya sea expresa o implícita. Fortinet se reserva el derecho de cambiar,
modificar, transferir o revisar esta publicación sin previo aviso, y se aplicará la versión más reciente de la publicación. Fortinet renuncia en su totalidad a cualquier pacto, representación y garantía en virtud del presente, ya sea expresa o implícita. Fortinet se reserva el derecho de cambiar,
modificar, transferir o revisar esta publicación sin previo aviso, y se aplicará la versión más reciente de la publicación.

906468-0-0-ES Informe-de-amenazas-2H-2020