Report 2023 Threat Landscape - ES - LR Comprimido

Febrero de 2023
Informe global del panorama

de amenazas
Un informe semestral de FortiGuard Labs
CONTENIDO
Resumen ejecutivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Aspectos destacados clave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Reconocimiento y desarrollo de recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Acceso inicial: aspectos destacados de la técnica . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Mapas de calor de TTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Superficie de ataque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Zona Roja . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
El largo alcance de Log4j . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Novato del semestre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Grupos de malware más activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Reutilización de código de malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Ransomware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Wipers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Ejecución, persistencia y evasión de defensa . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

PowerShell: continúa siendo una herramienta fundamental en los
manuales de estrategias de los afiliados de ransomware . . . . . . . . . . . . . . . . . . 27
Comando y control, exfiltración e impacto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Datos globales de botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Niños nuevos en Bot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Perspectivas desde las trincheras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

El aprovechamiento de la vulnerabilidad de seguridad de Exchange/OWA
va más allá del acceso inicial y se convierte en un TTP central
después de la violación de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Host Bastión malicioso de BYO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Crimen financiero oportunista que dominó el centro de atención . . . . . . . . . . . . 34
Consideraciones finales para el equipo del SOC . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Noción de los factores más observados que contribuyeron
a un incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Resumen/Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
2
Informe global del panorama de amenazas del segundo semestre de 2022
Resumen ejecutivo
Las ciberamenazas no desaparecen. Siendo realistas, el cibercrimen es una de las industrias ilegales más rentables del mundo,
si no es que la más rentable. Con su marca propia de indicadores de rendimiento clave vinculados al retorno de la inversión, los
actores de amenazas son más metódicos y se vuelven cada vez más innovadores en sus tácticas, incluyendo la reactivación
de métodos antiguos que se olvidaron hace mucho tiempo. Después de todo, a los productores les encanta una buena versión
nueva de un viejo clásico si puede generar más dinero.
Los expertos de FortiGuard Labs aprovechan la extensa presencia global de Fortinet para monitorear continuamente el
panorama de amenazas y los principales eventos geopolíticos que influyen en este. El informe presenta los hallazgos y las
perspectivas de seis meses de intensa investigación, con recomendaciones para que los líderes y los profesionales preparen
y protejan mejor a su organización. Lea el último informe para obtener una visión completa de los brotes más importantes en
el año 2022. Además, para obtener actualizaciones en tiempo real sobre el panorama de amenazas, regístrese para recibir
nuestras Alertas de brotes.
Aspectos destacados clave del segundo semestre de 2022:
No excluya el pasado Ransomware y Wipers Presentamos “La zona roja”

Observamos el resurgimiento de El volumen continúa creciendo: Menos del 1 % del total de
nombres familiares en el espacio de hubo un aumento del 16 % tanto en vulnerabilidades observadas
malware, wiper y botnet, incluyendo el ransomware como en los wipers. detectadas en una organización de
Emotet y GandCrab, por nombrar Sin embargo, cuando observamos tamaño empresarial se encontraban
algunos, además de la reutilización del un desglose trimestral, vemos que en los endpoints y tenían un ataque
código (el código antiguo se vuelve el volumen de wiper aumentó un activo. Esta información da a los CISO
a compilar en nuevas variantes), un asombroso 53 % entre el tercer y una visión clara de la “Zona roja” o
recordatorio de que el malware y las cuarto trimestre de 2022. superficie de ataque activa.
amenazas antiguas nunca dejan de
existir. Simplemente, se rezagan y
esperan pacientemente otro turno.
Exchange se convierte en un Manténgase atento a Pre-

Raspberry.Robin: un nuevo
punto de acceso después de ATT&CK
bot con un truco antiguo
la vulnerabilidad de seguridad
Los adversarios dedican más recursos
1 de cada 84 organizaciones que
Las actividades de refuerzo en los a la fase de reconocimiento y armado
detectaron actividad de botnet se
servidores de Exchange frustraron de sus ataques. A medida que este
vieron afectadas por esta nueva
gran parte del objetivo de acceso
botnet que apenas entró en escena enfoque se vuelve más “de facto”
inicial. El conocimiento del adversario
en septiembre. entre los actores de amenazas, los
de los servicios asociados implica
que los servidores de Exchange se ciberdefensores deben continuar
han convertido en un semillero para la usando la inteligencia recopilada en
actividad posterior a la vulnerabilidad estas fases.
de seguridad.
3
Reconocimiento y desarrollo de recursos

Observar lo que hacen los atacantes antes de que aparezcan en el umbral de la puerta digital de una organización está fuera
del alcance de la telemetría disponible para la mayoría de las organizaciones. Sin embargo, existen varias herramientas que las
empresas pueden usar para mantenerse informadas sobre las tácticas, técnicas y tendencias (TTP) que pueden resaltar los
métodos que usa un criminal para penetrar el perímetro de la organización.
El panorama de amenazas también cambia constantemente en términos de reconocimiento y desarrollo de recursos, por lo que
es imperativo que las organizaciones se mantengan a la vanguardia de las posibles amenazas a la seguridad. Esto requiere un
conocimiento profundo de las últimas tendencias y técnicas de los ciberatacantes y puede ayudar a las organizaciones a proteger
mejor sus activos y datos.
En esta sección del informe, analizamos lo que podemos observar en estas fases, que generalmente aparecen en los foros
de Dark y Deep Web, grupos de Telegram y otras vías de difusión de información donde los actores de amenazas exponen
las vulnerabilidades, las defensas y las cargas maliciosas. Supervisamos activamente los grupos de Telegram que anuncian
constantemente vulneraciones de seguridad de PoC (Prueba de concepto) y nuevas cargas maliciosas. La gráfica abajo muestra
la cantidad de veces que un actor de amenazas entregó información a través de este canal y la confiabilidad de esos datos.
Figura 1: Actividad de los actores y la confiabilidad de su información
Telegram aumentó la popularidad como plataforma para la comunicación anónima, convirtiéndose en un centro para las actividades
cibercriminales. En los últimos años, este servicio de mensajería se convirtió en la opción preferida de los actores de amenazas que
participan en actividades fraudulentas y en la venta de datos robados. Los siguientes son factores clave que hacen de Telegram una
alternativa favorita para la Darknet:
n La capacidad de enviar y recibir archivos de datos de gran tamaño directamente a través de la aplicación, incluyendo archivos de
texto y zip.
n Una configuración fácil de usar que solo requiere un número de teléfono móvil, que supuestamente está oculto para otros usuarios
y permite la comunicación entre decenas de miles de usuarios.
n Mayor accesibilidad y funcionalidad con menor riesgo de rastreo de parte de las autoridades en los foros de la dark web.
n La mensajería cifrada y el anonimato dan un nivel alto de privacidad y seguridad para los usuarios.
4
Al proporcionar estas funciones, Telegram se volvió popular entre aquellos que buscan una comunicación segura y anónima.
Las actividades preliminares que se observan en los canales de Telegram incluyen:
n Intercambio y anuncios de datos robados
n Diversos accesos a infraestructura comprometida
n Vulneraciones de día cero y vulnerabilidades de seguridad
n DDoS y actividades de desfiguración del sitio web
n Distribución de herramientas de acceso malintencionado y registros de ladrones
Los datos de este informe se pueden usar para vigilar estos canales y determinar si están publicando vulnerabilidades de seguridad
de PoC que podrían aumentar el riesgo de que se aproveche una vulnerabilidad en particular. La confiabilidad de la información se
mide, por ejemplo, si una vulnerabilidad de PoC funciona o no o si solo necesita un “ajuste” para que funcione, como fue el caso a
finales de la década de 1990 cuando las vulnerabilidades de seguridad de PoC se compartieron en los canales de IRC y los hackers
tenían que entender un poco lo que estaba pasando para replicar el ataque.
Al observar la actividad de los grupos de ransomware en la Deep Web, podemos determinar cuántas víctimas acumula cada
ransomware. La gráfica abajo representa los grupos de ransomware activos en este trimestre, junto con el recuento respectivo de
sus víctimas:
Figura 2: Número de víctimas de ransomware anunciado en la Deep Web
5
La gráfica abajo muestra la probabilidad de que una vulnerabilidad se aproveche en masa según la charla en estos foros
clandestinos:
Figura 3: Charlas sobre vulnerabilidad en la Deep Web por año de divulgación
Por razones obvias, las vulnerabilidades más recientes llaman más la atención, en parte porque tienden a encontrarse en más
sistemas debido a que los objetivos tienen menos tiempo para la implementación de parches. Cuando las nuevas vulnerabilidades
tienen vulneraciones de seguridad de PoC, parte de la charla también gira en torno al desarrollo, la prueba y el ajuste preciso de
estas vulneraciones de seguridad para que funcionen en las diferentes versiones de los sistemas operativos en los que se encontró
la vulnerabilidad.
Ser proactivo para detener a los adversarios lo antes posible tiene muchos beneficios. El impacto de un posible ataque o violación
de seguridad es significativamente menor o incluso se puede eliminar en algunos casos mediante las mejores prácticas abajo:
n Recopilación de información mediante una solución de protección de riesgo digital.
n Desarrollode mejores conocimientos y control sobre su superficie de ataque externa, incluyendo inteligencia de alta calidad sobre
los adversarios para proteger su organización y su marca.
n Herramientas de prueba y métodos de prueba estructurados contra el último uso de hacker de TTP.
n Incorporación de tecnología de engaño para alejar a los criminales de los activos reales y en su lugar llamar su atención sobre un
señuelo o trampa para conocer mejor sus métodos de ataque contra la organización. En consecuencia, esto puede ayudarlo a
mejorar los controles de seguridad.
6
Acceso inicial: aspectos destacados de la técnica

El uso de credenciales válidas prevaleció cada vez más entre los compromisos de IR que investigó el equipo de IR de FortiGuard en
2022. Representan aproximadamente el 44 % de los métodos de acceso inicial, como se muestra en la Figura 4 abajo.
Figura 4: Técnicas de acceso inicial observadas como parte de las investigaciones de IR de FortiGuard
Los datos sobre el uso de credenciales válidas para el acceso inicial se derivan de investigaciones en las que la primera actividad
del adversario que se podría vincular a una intrusión es un inicio de sesión con credenciales legítimas. Esto puede ocurrir por varias
razones, pero las más probables son:
n Eladversario recopiló credenciales en una actividad anterior que no se pudo vincular a una intrusión, por ejemplo, una campaña
de recolección de credenciales antes del incidente que no se informó.
n Eladversario compró las credenciales de un corredor de acceso que obtuvo las credenciales de la víctima a través de un
compromiso anterior.
En la mayoría de estas situaciones, hubo servicios vulnerables en los dispositivos de red (por ejemplo, la interfaz de administración
de un dispositivo de red) o endpoints (por ejemplo, una conexión de protocolo de escritorio remoto [RDP] a Internet) que estaban
presentes en el entorno de la víctima durante períodos prolongados antes del ataque. Tales debilidades en la superficie de ataque
de la red probablemente contribuyeron a que el adversario accediera a los detalles de la cuenta válida, con un acceso inicial
obtenido mediante el uso de las vulneraciones de seguridad T1133: Servicios remotos externos o T1190: Aprovechamiento de la
aplicación de acceso público.
El uso de cuentas válidas da a los adversarios una ventaja, ya que eluden las oportunidades de detección temprana de la cadena
de eliminación que, por lo general, puede identificar más fácilmente un ataque. El uso de cuentas válidas también es una técnica de
evasión de la defensa, dado que puede ser difícil diferenciar entre el uso de credenciales legítimas y el uso indebido de credenciales
legítimas de un actor de amenazas. Este problema se agrava cuando las actividades legítimas y adversarias con la misma cuenta
válida se superponen.
7
La visión tradicional de una ciberintrusión es que un actor de amenazas obtiene acceso a un entorno al aprovechar una
vulnerabilidad en algún lugar de la superficie de ataque, lanza algún tipo de malware, avanza secuencialmente a través de la
cadena de eliminación y luego hace sus acciones en los objetivos. Sin embargo, cuando las credenciales válidas están disponibles,
se evaden muchas detecciones en las que un equipo de SOC puede confiar para identificar comportamientos maliciosos. En una
investigación de ransomware, por ejemplo, el adversario usó cuentas válidas para moverse a través de un entorno e implementar un
script de ransomware basado en BitLocker a través de un RDP. En este incidente, el tiempo que transcurrió desde el acceso inicial
hasta la implementación del ransomware fue de cuatro horas. El actor de amenazas solo usó métodos válidos de movimiento lateral
a través de la red al aprovechar las credenciales legítimas, luego distribuyó ransomware sin usar ningún “malware”.
Abajo, en la Figura 5, se muestra una superposición de MITRE ATT&CK para los TTP empleados como parte de esta intrusión.
Acceso Escalada de Evasión de Exploración Movimiento Comando Impacto
inicial Persistencia privilegios defensa lateral y control
Administración
Cuentas de Cuentas de Cuentas de Cuentas de Detección remota de Proxy externo Detención del
dominio dominio dominio dominio de servicio Windows servicio
Detección Remoto Transferencia Datos cifrados

de Escritorio de herramienta para impacto
información Protocolo de ingreso
Detección Protocolos
del sistema Web
Figura 5: Técnicas de MITRE ATT&CK empleadas como parte de la intrusión que duró cuatro horas entre el acceso inicial y la
implementación del ransomware.
Mapas de calor de TTP
No todo es malo si se encuentra con malware en uno de sus sistemas. Los defensores
aún pueden contener el compromiso si pueden detectar y responder. Veamos la
gráfica abajo para examinar lo que observamos en algunas muestras para determinar Proyecto MITRE
si podemos detectar las tácticas y técnicas más populares de los criminales. Sightings Ecosystem
Estos datos se recopilan a partir de muestras recolectadas que circulan libremente en Fortinet es un socio de
cada región e industria. Luego, usamos nuestro sistema de seguimiento de muestras investigación del MITRE Engenuity
para determinar si ya tenemos esa muestra específica. Si es así, la ejecutamos a través Center for Threat Informed
de un Sandbox para obtener su comportamiento dinámico de ejecución que revele los Defense. En 2022 lideramos
TTP de MITRE ATT&CK. el proyecto MITRE Sightings
Ecosystem, que ya está publicado.
Por lo general, las diferentes regiones tienen proporciones muy diferentes al comparar
Este ecosistema conecta los
cuántas muestras tenemos para esa área. Esto significa que si una estadística
informes de TTP y estos mapas de
específica de una región parece extraña, se puede deber a la falta de datos de esa
calor son un ejemplo de nuestra
ubicación en particular. Esto con frecuencia se debe a que una región experimenta
implementación.
ataques más fuertes debido a una vulnerabilidad de seguridad que no se detecta
en otras áreas. También se puede deber a nuevos hashes que no se encuentran en
Obtenga más información sobre
ningún otro sitio.
este proyecto en el que FortiGuard
Tenga en cuenta que esta gráfica solo captura las técnicas más activas. Los métodos Labs desempeña una función líder
menos usados se omiten por propósitos de simplicidad. de investigación.
Si desea explorar más, regístrese en nuestra herramienta gratuita: FortiGuard Threat

Intel Insider, a través de este enlace. Esta excelente herramienta de inteligencia frente
a amenazas permite explorar los TTP y las opciones de mitigación para su región e
industria por trimestre. Los datos históricos de amenazas y los resúmenes ejecutivos
hacen que esta herramienta sea aún más útil.
8
Acceso Ejecución Persistencia Escalada de Evasión de Acceso con Exploración Movimiento Recopilación
inicial privilegios defensa credenciales lateral
Drive-by Ejecución del Ejecutar registro Creds de las Detección del Replicación a
Modificación tiendas de Captura de
Compromise: usuario: Claves/Inicio Enlace: 75 % Registro: proceso: través de medios entrada:
contraseñas:
95 % 29 % Carpeta: 53 % 20 % 55 % 54 % extraíbles: 77 % 99 %
Enlaces de Programado Sniﬀing de Detección de Recolección
suplantación de API nativa: Proceso Proceso Software de COM y DCOM:
Tarea/trabajo: Inyección: Inyección: red: automatizada:
identidad 19 % seguridad: 23 % 0.7 %
dirigida: 5 % 38 % 24 % 14 % 45 % 32 %
Aprovechamiento Modificación Secuestro de Detección del Datos del
para la Marca de
de servicio orden de sistema remoto:
Ejecución del búsqueda DLL: tiempo: portapapeles:
existente: 3 % 9% 0.4 %
cliente: 18 % 1% 13 %
Servicio nuevo: Ventana Detección de
Scripting: oculta: dispositivos
18 % 2% periféricos:
11 % 5%
Modificación de Deshabilitación Detección de
PowerShell: de herramientas información del
8% acceso directo: de seguridad:
1% sistema:
9% 0.1 %
Intérprete de
comandos y Extensiones de Proceso de Detección de
secuencias de navegador: vaciado: Software:
comandos: 5 % 1% 9% 0.05 %
Calce de Información y Detección de
archivos archivos y
Mshta: 0.7 % aplicación: directorios:
0.5 % ofuscados:
7% 0.02 %
Módulos Kit de
compartidos: Enmascaramiento:
arranque: 7%
0.6 % 0.3 %
Ejecución de Eliminación
WMI: inicio automático
de inicio de de archivos:
0.5 % sesión/arranque: 4%
0.2 %
Ejecución del Archivos y
Creación de directorios
servicio: cuenta: ocultos:
0.2 % 0.2 % 4%
Figura 6: Técnicas para datos de FortiSandbox Cloud por táctica
En el segundo semestre de 2022, el Drive-by Compromise fue la táctica más popular que usaron los criminales para obtener
acceso a los sistemas de una organización, como se indica mediante la detonación del Sandbox. Según MITRE, los adversarios
obtienen acceso a los sistemas de sus víctimas cuando una víctima navega por Internet. Al observar las tendencias del
ransomware y los wipers en esta tabla, tiene sentido el uso de la técnica de acceso inicial, especialmente con algún malware
reactivado. También detectamos recientemente un aumento en el malware que se distribuye a través de JavaScript y anuncios
maliciosos. Se observaron varias campañas que aprovechan esto. Veamos detenidamente para observar cómo se presenta este
cambio en todas las regiones y TTP.
9
África Asia Europa América del Oceanía América del

Norte Sur
Inicial Drive-by Compromise 100 % 92 % 94 % 100 % 100 % 100 %
unificado Enlaces de suplantación dirigida 0% 8% 6% 0% 0% 0%
Ejecución del usuario 29 % 33 % 32 % 23 % 30 % 25 %
API nativa 21 % 17 % 20 % 19 % 28 % 18 %
Aprovechamiento para la ejecución del cliente 15 % 21 % 10 % 32 % 9% 32 %
Scripting 21 % 12 % 24 % 13 % 18 % 8%
PowerShell 7% 8% 9% 8% 13 % 9%
Ejecución Intérprete de comandos y secuencias de comandos 5% 6% 4% 4% 2% 5%
Mshta 0.8 % 1% 0.7 % 0.9 % 0.4 % 0.1 %
Módulos compartidos 0.1 % 0.6 % 0.2 % 0.7 % 0.03 % 2%
WMI 0.4 % 0.2 % 0.9 % 0.1 % 0.07 % 0.5 %
Ejecución del servicio 0.1 % 0.2 % 0.3 % 0.04 % 0.007 % 0.2 %
Claves de ejecución del registro/carpeta de inicio 50 % 44 % 63 % 48 % 38 % 48 %
Tarea/trabajo programado 43 % 47 % 26 % 47 % 58 % 45 %
Modificación de servicio existente 2% 3% 4% 0.8 % 1% 0.7 %
Servicio nuevo 1% 3% 3% 0.4 % 0.5 % 0.5 %
Modificación de acceso directo 2% 2% 1% 1% 0.6 % 2%
Persistencia Extensiones de navegador 0.7 % 1% 0.7 % 2% 1% 4%
Calce de aplicación 0.4 % 0.3 % 0.9 % 0.03 % 0.01 % 0%
Kit de arranque 0.3 % 0.02 % 0.6 % 0.1 % 0% 0.01 %
Ejecución de inicio automático de inicio de
sesión/arranque 0.1 % 0.05 % 0.4 % 0.4 % 0% 0%
Creación de cuenta 0.2 % 0.1 % 0.3 % 0.2 % 0.2 % 0.1 %
Arranque previo al sistema operativo 0% 0% 0% 0% 0% 0%
Enlace 74 % 74 % 81 % 71 % 75 % 70 %
Escalada de Inyección del proceso 25 % 25 % 18 % 29 % 25 % 28 %
privilegios Secuestro de orden de búsqueda DLL 0.6 % 1% 1% 0.2 % 0.05 % 1%
Modificación de registro 19 % 23 % 16 % 24 % 14 % 23 %
Inyección del proceso 15 % 14 % 12 % 14 % 17 % 15 %
Marca de tiempo 12 % 13 % 14 % 11 % 14 % 12 %
Ventana oculta 10 % 9% 14 % 9% 10 % 9%
Evasión Deshabilitación de herramientas de seguridad 10 % 10 % 8% 10 % 12 % 11 %
de Proceso de vaciado 10 % 8% 9% 9% 11 % 10 %
defensa Información y archivos ofuscados 7% 8% 7% 6% 4% 5%
Enmascaramiento 6% 7% 7% 6% 9% 6%
Eliminación de archivo 4% 3% 5% 3% 3% 3%
Archivos y directorios ocultos 4% 4% 3% 4% 4% 4%
Acceso con Creds de las tiendas de contraseñas 60 % 75 % 37 % 80 % 79 % 69 %
credenciales Sniffing de red 40 % 25 % 63 % 20 % 21 % 31 %
Detección del proceso 55 % 55 % 46 % 63 % 58 % 62 %
Detección de Software de seguridad 34 % 30 % 40 % 21 % 28 % 24 %
Detección del sistema remoto 8% 10 % 9% 9% 11 % 9%
Exploración Detección de dispositivos periféricos 3% 4% 5% 7% 3% 6%
Detección de información del sistema 0.09 % 0.003 % 0.3 % 0.005 % 0.02 % 0.02 %
Detección de Software 0.04 % 0.02 % 0.1 % 0% 0% 0%
Detección de archivos y directorios 0% 0.01 % 0.04 % 0% 0.02 % 0%
Movimiento Replicación a través de medios extraíbles 69 % 64 % 85 % 80 % 88 % 80 %
lateral COM y DCOM 31 % 36 % 15 % 20 % 12 % 20 %
Captura de entrada 99 % 100 % 98 % 100 % 100 % 100 %
Recopilación Recolección automatizada 0.7 % 0% 1% 0.1 % 0% 0%
Datos del portapapeles 0.3 % 0.1 % 0.8 % 0% 0% 0%
Figura 7: Técnicas para datos de FortiSandbox Cloud por táctica y región
En todas las regiones, el punto de acceso inicial es casi siempre un Drive-by Compromise. Al analizar las diferentes técnicas que se
usan, hay algunas variaciones regionales. Por ejemplo, la ejecución del usuario es la táctica principal para casi todas las regiones
excepto América del Norte y América del Sur, donde la táctica principal es el aprovechamiento para la vulnerabilidad de seguridad
para la ejecución del cliente. En esta táctica, los usuarios maliciosos aprovechan las vulnerabilidades en varias aplicaciones del
cliente para ejecutar su código. Esto tiene sentido debido a que también es la táctica perfecta para el seguimiento de un ataque de
punto de acceso impulsado mediante Drive-by Compromise.
10
Vulnerabilidades
Superficie de ataque
Los datos de Vulnerabilidades Aprovechadas Conocidas (KEV) de la Agencia de
Seguridad de Infraestructura y Ciberseguridad (CISA) son la fuente autorizada
El resultado se conoce
para obtener información de las vulnerabilidades de seguridad que se encuentran
en la práctica
circulando libremente. Con base en nuestros compromisos de respuesta a incidentes,
T1190 Exploit Public-Facing Applications fue la segunda forma más común con la que
Según nuestros compromisos de
los actores obtienen acceso inicial a la red. Examinar las vulnerabilidades de seguridad
IR, T1190 Exploit Public-Facing
nos muestra el interés de los criminales y en qué se enfocan generalmente, por lo que
Applications fue la segunda forma
es esencial mantenerse atento.
más popular en que los actores
Monitoreo proactivo del panorama de amenazas: FortiGuard Labs tiene analistas obtuvieron acceso a la red
en todo el mundo que monitorean de forma proactiva el panorama de inteligencia (Acceso inicial).
frente a amenazas para detectar vulnerabilidades recientemente reveladas las 24
Obtenga más información y
horas del día, los 7 días de la semana. Nuestro equipo de investigación, por ejemplo,
manténgase protegido.
ha detectado 995 vulnerabilidades de día cero. Esta labor de investigación garantiza
la protección de los clientes en tiempo real o casi en tiempo real. Los analistas están
en “trincheras” donde monitorean continuamente si hay vulnerabilidades recién
descubiertas y reveladas en los recursos disponibles públicamente de modo que el
código de prueba de concepto disponible y la guía se puedan revisar para determinar la viabilidad de la creación de firmas. Durante
este tiempo, los equipos internos examinan cuidadosamente todas las firmas para asegurarse de que superen las estrictas pruebas
de control de calidad y proteger a los clientes de FortiGuard Labs.
Debido a que Fortinet es parte del Programa de protecciones activas de Microsoft (Microsoft Active Protections Program, MAPP),
recibimos orientación sobre vulnerabilidades de gravedad alta antes del Patch Tuesday de Microsoft y Adobe. Esto proporciona
a los clientes una capa adicional de protección. Además, Fortinet es miembro de la Cyber Threat Alliance (CTA). A través de esta
asociación, se comparten los blogs que informan sobre detecciones de amenazas y análisis de socios y miembros antes del
lanzamiento para garantizar que todos los miembros tengan cobertura antes de que se publiquen.
Para detectar estas vulnerabilidades de seguridad, observamos la actividad de IPS que captan los sensores del servicio de
seguridad del sistema de FortiGuard Intrusion Prevention (IPS) y las amenazas desconocidas que analiza nuestra tecnología del
Sandbox en línea con tecnología de IA que se ejecuta en nuestras soluciones del Fabric (endpoint, red y nube). En el lenguaje del
popular marco de trabajo de MITRE ATT&CK, por lo general, estas detecciones corresponden a las técnicas de Reconocimiento,
Desarrollo de recursos y Acceso inicial.
Además de analizar la actividad del IPS, nos basamos en lo que presentamos en el último informe: las vulnerabilidades de endpoint.
Piénselo de esta manera, si vemos las vulnerabilidades de endpoint como la “Superficie de ataque abierta”, podemos anticipar el
punto donde se superponen con la actividad del IPS la “Superficie de ataque activa”.
Entonces, ¿cómo se veía la superficie de ataque general de CVE en el segundo semestre de 2022?
11
Aproximadamente del 0.8 % de todos los CVE yy bajo

bajo
ataque.
ataque.
1.5 K
No observado en endpoints Observado en endpoints Observado y bajo ataque
Figura 8: Todas las CVE ordenadas por su presencia en endpoints y en telemetría de IPS
Podemos ver claramente que la “superficie de ataque activa” es pequeña. De hecho, según nuestros datos de FortiClient
Vulnerability, menos del 1 % de todas las CVE residen en endpoints y también están bajo ataque; en total, solo se observan 1,500
CVE en endpoints y en la actividad de IPS simultáneamente. Esta es una excelente noticia para los CISO, dado que les da una visión
clara de la superficie de ataque activa, lo que simplifica la administración.
Zona roja
Estos datos nos permiten introducir una nueva referencia para la medición. Llamémosla “la zona roja” o el porcentaje de CVE
actuales bajo ataque activo durante el segundo semestre de 2022. Como puede ver arriba, la mayoría de CVE no se detectaron
en los endpoints (morado oscuro) y entre las detectadas (amarillo), aún hubo menos que también estaban bajo ataque (rojo). Para
calcular la zona roja, tome la cantidad de superficies de ataque activas (donde se detectaron CVE y estaban bajo ataque) y las
divide por la cantidad total de CVE en los endpoints. El caso arriba muestra que la zona roja general para el segundo semestre de
2022 es del 8.9 %.
Para obtener más información, exploremos una comparación a nivel de proveedor individual entre Apple y Microsoft:
Los proveedores difieren en términos de presencia de CVE y objetivo en los endpoints

La zona roja de Apple es aprox. 6.8 % ...mientras que Microsoft es aproximadamente el 14 %.
50
50
50
50
No observado en endpoints Observado en endpoints Observado y bajo ataque
Figura 9: Comparación de todas las CVE de Apple y Microsoft por su presencia en endpoints y en telemetría de IPS
Inmediatamente, podemos ver algunas diferencias marcadas aquí, incluso antes de que comencemos a hablar sobre la zona roja.
La mayoría de las CVE de Apple no se detectaron en los endpoints, lo que hace que la proporción de detectadas y detectadas y
bajo ataque sea mucho menor que la de Microsoft. Por el contrario, más de la mitad de todas las CVE de Microsoft se detectaron en
endpoints en el segundo semestre de 2022. Por lo tanto, no solo determinamos que los dos proveedores tienen diferentes áreas de
ataque activas, sino que también tenemos una mejor idea del grado potencial de riesgo en cada solución.
12
Con base en el cálculo de la zona roja de nuestra gráfica general en la Figura 9, podemos ver que la zona roja de Apple es de
aproximadamente el 6.8 % (por debajo del promedio), mientras que la de Microsoft es de aproximadamente 14 % (por encima de la norma).
Si bien es reconfortante ver que no todas las vulnerabilidades de Microsoft están siendo atacadas, protegerse contra los ataques
que las aprovechan no es tan simple como establecer algunas definiciones en defensas estáticas. Si bien las definiciones estáticas
se producen a diario para las soluciones de seguridad perimetral, como los next-generation firewalls (NGFW), son las defensas
dinámicas, como el sandboxing y EDR, las más efectivas para detener los ataques con base en sus funcionalidades de aprendizaje
automático IA/ML en tiempo real junto con inteligencia de red neuronal profunda y funcionalidades de parcheo virtual que reducen
continuamente la superficie de ataque.
Por supuesto, la gran pregunta continúa siendo: ¿cómo pueden los defensores determinar qué CVE abiertas podrían entrar en el
punto de mira de un atacante? Podría suponer que más CVE vistas en los objetivos significan más ataques, pero encontramos
muy poca correlación entre la actividad de IPS y la presencia en los endpoints, incluso cuando se tiene en cuenta la gravedad. La
Figura 10 abajo muestra el volumen de actividad y la presencia de IPS en los endpoints para cualquier CVE que aparece en ambos
conjuntos de datos.
Crítico
Durante el segundo semestre de 2022, MS.Windows llegó a la cima de las amenazas de IPS, con 3 Alto
de cada 4 organizaciones con
CVE-2016-3427
10M CVE-2022-26937
CVE-2016-3236
CVE-2022-21907
CVE-2021-31166
100 K CVE-2019-11510
CVE-2020-1472 CVE-2020-13934
CVE-2022-23131
1K CVE-2021-44228
CVE-2020-3952
CVE-2020-16846
CVE-2021-30116 CVE-2021-26855 CVE-2013-0075
Volumen de endpoint
CVE-2019-11581
10 CVE-2020-11651 CVE-2021-31207
CVE-2017-11317
CVE-2020-17132
Mediana Bajo
CVE-2015-4000
CVE-2012-5081
10M CVE-2020-3894
CVE-2014-3566
CVE-2022-26925 CVE-2015-1648
CVE-2015-6099
100 K CVE-2019-0948 CVE-2016-3351 CVE-2019-2449

CVE-2016-3325
CVE-2022-32213 CVE-2020-26981 CVE-2017-8676
CVE-2016-3212
CVE-2019-0537 CVE-2017-0147 CVE-2017-11791CVE-2018-0878
1K CVE-2016-3251
CVE-2016-0701
CVE-2022-24463 CVE-2014-0255 CVE-2017-0042
CVE-2015-6102
CVE-2017-0068 CVE-2016-3276
CVE-2013-1282
10 CVE-2020-17083 CVE-2019-1070 CVE-2021-26085
CVE-2012-1858
CVE-2020-17085 CVE-2021-41349
100100 K 100M100B 100100 K 100M100B

Volumen de IPS
Figura 10: Las CVE por su presencia en endpoints y en telemetría de IPS del segundo semestre de 2022, organizado por gravedad
Si los atacantes priorizan las CVE con base en su presencia en los endpoints, esperaríamos que la mayoría de los puntos de la
gráfica se encontraran a lo largo o debajo de la línea diagonal. En lugar de eso, vemos muchas CVE que son abundantes en los
endpoints, pero están esparcidas entre los ataques. Esto se debe a que los atacantes consideran muchos factores al seleccionar sus
objetivos, pero una gran cantidad de CVE con vulnerabilidades de seguridad no parece ser uno de estos. Veamos una gráfica que
muestra la prevalencia de ataques contra las plataformas, considerando a cada organización que detectó un intento para aprovechar
una vulnerabilidad de seguridad.
13
Figura 11: Prevalencia de las principales detecciones de IPS por plataforma
detecciones de actividad relacionada. Sin embargo, no se debe olvidar que Log4j (la vulnerabilidad del servidor Apache que alcanzó
notoriedad mundial a finales de 2021) todavía está muy esparcida, siguiéndola de cerca la vulnerabilidad PHPUnit.Eval-stdin de
2020. Pero, volvamos a MS.Windows por un momento, ya que fue, con mucha diferencia, la amenaza IPS más frecuente del segundo
semestre de 2022.
Microsoft saltó del 32.9 % al 84.4 % entre julio y agosto, desplazando a Apache de su puesto número uno. Mientras que muchos
otros también experimentan subidas y bajadas, esta llamó nuestra atención. Analicemos más profundamente a todas las
organizaciones que detectaron intentos para aprovechar vulnerabilidades de seguridad de Microsoft para determinar en qué
vulnerabilidades se enfocaron más.
Figura 12: Las 5 principales detecciones de IPS específicas de Microsoft
Al examinar las amenazas de MS.Windows, vemos que MS.Windows.CVE-2020-1381.Privilege.Elevation es una vulnerabilidad de

escalada de privilegios que existe en Win32K. Esta vulnerabilidad se debe a un error en una aplicación vulnerable al manejar un
archivo malicioso, lo que permite que un atacante remoto aproveche la vulnerabilidad de seguridad y luego use sus privilegios en
este sistema. Es una vulnerabilidad divulgada durante más de dos años. Sin embargo, todavía parece ser el método preferido de los
usuarios maliciosos, dado que pueden aprovechar la vulnerabilidad de seguridad en muchos dispositivos vulnerables (es decir, sin
parches).
Luego tenemos MS.Windows.HTTP.sys.Request.Handling.Remote.Code.Execution, descubierta por primera vez en 2014. Esta

vulnerabilidad se debe a una verificación de límites incorrecta en el protocolo. Puede permitir que un atacante remoto use esta
vulnerabilidad de seguridad para ejecutar el código dentro de la aplicación mediante una solicitud HTTP.
Por último, MS.Windows.Print.Spooler.AddPrinterDriver.Privilege.Escalation, una vulnerabilidad de seguridad en Microsoft Windows

Print Spooler, es una de las vulnerabilidades más nuevas que observamos durante el segundo semestre de 2022.
14
El largo alcance de Log4j
Aún está presente el problema de Apache. Veamos dónde prevaleció más Log4j durante el segundo semestre de 2022.
Figura 13: Porcentaje de organizaciones que experimentan ataques de Log4j por región e industria
Los ataques basados en Log4j se beneficiaron en gran medida de la industria de la tecnología, independientemente de la
región, principalmente porque Apache Log4j es un software de código abierto muy popular. Debido a que se puede integrar
muy profundamente en varias aplicaciones, es posible que muchas empresas ni siquiera se den cuenta de que desarrollaron sus
sistemas actuales sobre un componente Log4j. Está implementado incluso en lugares en los que nunca se le ocurrió, como Ghidra
(un depurador), donde se incorporó por completo. Debido a su uso extendido, suponemos que se seguirá usando durante mucho
tiempo. Después del sector de la tecnología, la industria bancaria y financiera de África es la siguiente más establecida como
objetivo.
15
Novato del semestre

En cada informe, otorgamos el título de “novato del semestre” a una vulnerabilidad descubierta en los últimos 12 meses que también
mostró la prevalencia más alta entre las organizaciones durante el último semestre.
La vulnerabilidad Workspace One Access Catalog de VMWare, que apareció en julio de 2022, es una vulnerabilidad crítica de
ejecución remota de código que se observó por primera vez a mediados de 2022 cuando la vulnerabilidad se hizo evidente por
primera vez durante una falla de inyección del lado del servidor. Los nodos que se observaron en esta vulnerabilidad parecen ser
similares a los de las botnets genéricas. Otro aspecto interesante a considerar es que tres de los seis mejores novatos del semestre
están relacionados con Spring. Si “Spring” suena conocido, es porque el marco de trabajo de Spring tuvo dos vulnerabilidades de día
cero que se informaron durante 2022. Si bien no son muy frecuentes, es una buena idea tener presente estas vulnerabilidades en el
transcurso de este año.
La protección contra las vulnerabilidades (día cero) comienza con la pregunta “¿qué debemos proteger?” Sin embargo, la respuesta
siempre será una combinación de métodos de detección y protección basados en la red y en el endpoint. Ambos deben incluir las
últimas actualizaciones de seguridad e inteligencia frente a amenazas que proporcione un equipo de investigación de amenazas
global para garantizar una visibilidad completa de todas las regiones e industrias.
n Next-Generation Firewall con IPS para proteger dispositivos de TI/TO/IoT en la red
n Web Application Firewall con IPS para proteger servidores Web
n DataCenter Firewall con IPS para proteger los servidores y las cargas de trabajo
n EndPoint con IPS para evitar que se aprovechen las vulnerabilidades de seguridad del sistema operativo y las aplicaciones
n Tecnología Sandbox para detectar vulnerabilidades de seguridad y TTP nuevos y avanzados.
n Tecnología de engaño para tener una pronta detección de vulnerabilidades de seguridad y TTP específicos y dirigidos al cliente.
Malware
Grupos de malware más activos
El malware tiene una forma de dominar los titulares y mantener a las empresas alerta. Desde ransomware, InfoStealers hasta Wipers,
el final del año 2022 fue un período de incertidumbre, especialmente porque vimos wipers implementados en organizaciones
ucranianas durante la invasión rusa de Ucrania. Esta es probablemente la primera vez que un adversario invadió un país e
implementó malware destructivo simultáneamente. De hecho, mientras se escribía este informe, los medios de comunicación
informaban que Ucrania había pedido el equivalente a las Naciones Unidas Cibernética para ayudar a compartir inteligencia frente
amenazas en medio de los continuos ciberataques rusos.
En 2022 también se señala el décimo aniversario del Ransomware en su forma moderna, un aniversario que probablemente muchos
no celebren. Decidimos proporcionar un resumen. Reveton debutó entre 2011 y 2012. Fue el primer ransomware moderno que
presentaba una pantalla de bloqueo intimidante y opciones de pago como Moneypak, MoneyGram y Green Dot para desbloquear los
archivos. Sigue de cerca el décimo aniversario de Cryptolocker, el primer ransomware que solicita el pago en Bitcoin.
Algunos de esos actores de amenazas también se establecieron en la notoria categoría de Amenazas persistentes avanzadas
(APT). Lazarus (15 %), OceanLotus (10 %) y Sofacy (7.9 %) son las tres primeras en nuestra tabla de APT: nuestra telemetría hash,
enriquecida con mapeo de código malicioso, nos permite profundizar en el código base más activo que circula libremente en estos
hashes. Por supuesto, los grupos de APT usan generalmente una gran cantidad de cargas maliciosas. No obstante, debido a que
el código de entrega se está reutilizando, decidimos simplificar y proporcionar detalles a un nivel superior. En la imagen abajo,
mostramos la cantidad de código encontrado en todas las muestras observadas, desglosadas por APT.
16
Figura 14: Principales APT observadas
Lazarus, también conocido como HIDDEN COBRA/APT38/BeagleBoyz, es un cibergrupo atribuido al gobierno de Corea del Norte.
Se relaciona con varios ataques de alto perfil con motivación financiera en distintas partes del mundo, algunos de los cuales
causaron interrupciones masivas en la infraestructura. Vale la pena mencionar entre algunos ataques el de 2014 a la división
estadounidense de Sony Entertainment, donde se robaron correos electrónicos, datos de empleados, películas inéditas y datos
confidenciales. Supuestamente, esto fue en represalia por el lanzamiento propuesto de la comedia, The Interview, que se burlaba
del líder de Corea del Norte. Además de los datos filtrados, se amenazó con actos de terrorismo contra Sony y sus socios, lo que
finalmente retrasó el estreno de la película. Otro ataque significativo involucró un atraco a una institución financiera de Bangladesh
en 2016 que casi captó aproximadamente USD 1 mil millones para los atacantes. Afortunadamente, un error ortográfico en las
instrucciones hizo que un banco marcara y bloqueara treinta transacciones. De lo contrario, Lazarus habría efectuado el mayor
atraco de su tipo. Aunque fracasaron en su intento más grande, aun así captaron aproximadamente USD 81 millones.
Otro ataque de alto perfil atribuido a Lazarus fue el infame ataque de Wannacry ¿Sabía que?
Ransomware, que ocasionó una interrupción y daños masivos en todo el mundo para En 2022, nuestro sistema registró
miles de organizaciones, especialmente las de fabricación. El impacto también produjo un total de más de 20 millones de
la pérdida de cientos de millones de dólares, algunos reclamaron la pérdida de miles ataques exitosos de fuerza bruta
de millones. Otros mercados verticales a los que se dirigió incluyeron infraestructuras Lea nuestro blog para obtener más
críticas, entretenimiento, finanzas, atención médica y sectores de telecomunicaciones información sobre las amenazas
en varios países. Lazarus ha sido objeto de numerosas advertencias de agencias del IoT
gubernamentales debido a su diversidad de ataques. El último, Operation In(ter)
ception, usó una publicación de trabajo falsa de Coinbase para atraer a los objetivos
para que instalaran, sin saberlo, un malware de MacOS que les permitía hacer
espionaje y, en última instancia, robar criptomonedas. ¿Día cero de SoFacy o
Follina?
Siguiendo de cerca a Lazarus está OceanLotus. Activo desde 2014, OceanLotus es Lo tenemos protegido.
un grupo que patrocina el estado de Vietnam que se dirige a organizaciones de interés Inmediatamente después de anun-
para el gobierno vietnamita. A finales de 2022, los informes conectaron a OceanLotus ciar una nueva amenaza de día cero
con una serie de ataques de día cero a través de la botnet Torii IoT en China. a finales de mayo, FortiGuard Labs
lanzó protecciones a través del
Luego está SoFacy, también conocido como Fancy Bear, Sednit y PawnStorm (un
Fortinet Security Fabric para detener
grupo de Rusia), que existe desde por lo menos el año 2008. Por lo general, se enfoca
el ataque en las fases de entrega,
en grupos políticos, gobiernos e industrias de defensa. A finales de 2022, se observó
aprovechamiento de vulnerabilidad
que SoFacy enviaba documentos maliciosos que contenían la vulnerabilidad de
de seguridad e instalación de MITRE
seguridad para la vulnerabilidad de día cero Follina de Microsoft.
con AV, IPS y firmas posteriores a la
Entonces, ¿Se traslada la tendencia de las amenazas más antiguas a mantener y ejecución.
expandir su punto de apoyo a las familias de malware? Según nuestra telemetría,
pudimos detectar casi 500 (482, para ser exactos) familias de malware activas Obtenga más información sobre la
circulando libremente. Analicemos las más activas: alerta del brote de Follina aquí
17
Figura 15: Principales familias por tipo de malware
En primera instancia, empecemos a observar algunos aspectos interesantes:
n En primer lugar, las cinco principales familias de ransomware (de 99) representan aproximadamente el 37 % de toda la actividad
de ransomware a finales de 2022.
n GandCrab, un Ransomware como servicio, surgió por primera vez en 2018. Luego, a mediados de 2019, después de obtener más
de USD 2 mil millones en ganancias, los criminales detrás de este anunciaron que se retirarían. Sin embargo, se cree que estos
actores se disolvieron solo para reagruparse como REvil y Sodinokibi. A REvil se le acreditan los ataques de Colonial Pipeline y JBS
Foods (por nombrar algunos). Aunque las autoridades destruyeron temporalmente a REvil en Rusia, incluyendo algunos arrestos
en 2022, parece que se reagrupó nuevamente y continúa con sus operaciones.
n En la criptominería, MyKings ocupó el primer lugar a finales de 2022. MyKings, Smominru o DarkCloud, se dirigió principalmente a
usuarios basados en Windows desde 2016. Continúan siendo un criptominero formidable al desarrollar redundancia en su proceso
de malware y agregar rápidamente nuevas funcionalidades, como cuando usaron una foto de Taylor Swift para lanzar una nueva
actualización de su criptominero.
18
También vemos un nombre familiar en la parte superior de la categoría RAT (troyano

de acceso remoto): Emotet. Aunque técnicamente no es una RAT, Emotet incorpora
Las FIRMAS ANTIGUAS
tantas funcionalidades y módulos que sus componentes se ubican directamente en la
nunca dejan de existir
categoría de RAT. Detectado en 2014, su creación se atribuyó al grupo cibercriminal
TA 542 (también conocido como Gold Crestwood y Mummy Spider). Primero surgió
DATO CURIOSO: ¡Todos los hashes
como un troyano bancario que intentaba obtener acceso a una computadora y robar
asociados con este criptominero
información personal. Sin embargo, con el tiempo, el troyano bancario evolucionó a
fueron bloqueados por nuestras
su versión actual como una botnet de distribución de malware. Emotet se propaga a
firmas del AV 2016! en Fortinet
través de mensajes de correo no deseado y, una vez que obtiene acceso a un sistema,
Security Fabric
continúa propagándose, conectándose a la lista de contactos del sistema. Emotet se
desconectó brevemente en enero de 2021, solo para regresar con más intensidad en
FortiGuard AntiVirus ofrece
noviembre de 2021. Se cree que Conti, el notorio grupo con sede en Rusia, usó la botnet
actualizaciones automáticas que
Emotet hasta que desapareció en mayo de 2022.
protegen contra las amenazas más
Emotet es resistente porque depende en gran medida del polimorfismo de su recientes
empaquetador, lo que le permite eludir fácilmente las tecnologías AV heredadas.
El grupo detrás de Emotet también está evolucionando su comportamiento, modifica
las estrategias para evadir la detección y elevar la posibilidad de que su público
objetivo abra sus correos electrónicos no deseados. Una vez toma el control de una
máquina, usa la dirección de correo electrónico y la bandeja de entrada de la víctima ALERTA DE CORREO
para futuros ataques. ELECTRÓNICO NO
DESEADO:
Es difícil determinar el porcentaje exacto de organizaciones que usan tecnologías de ¡Cuidado! ¡Crece más rápido que
ciberseguridad avanzadas. Esto puede variar debido a varios factores, como el tamaño, la maleza al 100 % por año!
la industria y la ubicación de la organización. Sin embargo, una encuesta reciente estimó
que menos del 40 % de las empresas adoptó algún tipo de tecnología avanzada de Los intentos de suplantación
detección y respuesta de ciberseguridad, como EDR y SIEM mejoradas con aprendizaje de identidad, las técnicas
automático (ML) para enfrentar amenazas avanzadas. Es probable que este porcentaje sofisticadas que evitan la
sea aún más bajo para las organizaciones más pequeñas. Por ejemplo, la mayoría de detección, combinados con
nuestros compromisos de respuesta a incidentes muestran que el cliente no tenía una el gran volumen de CORREO
tecnología EDR. Solo tenían AV heredados y ninguna visibilidad real de la actividad ELECTRÓNICO NO DESEADO que
de las amenazas en sus entornos. Si bien estos números son demasiado bajos, las se recibe diariamente, ayudan a las
tendencias indican que las tecnologías avanzadas se están adoptando lentamente en organizaciones a comprender que
respuesta a la evolución y la creciente sofisticación de las ciberamenazas. la seguridad del correo electrónico
continúa siendo fundamental para
Es importante considerar que si bien la implementación de dichas tecnologías aumenta
su ciberestrategia.
la detección, la prevención y la cobertura de respuesta automatizada, no garantizan
el éxito. Las organizaciones, no obstante, necesitan una estrategia integral de
ciberseguridad que considere sus necesidades y riesgos específicos. Las personas FortiMail ayuda a su organización
y los procesos siempre deben estar antes que la tecnología, así que asegúrese de a prevenir, detectar y responder a
comprender lo que se necesita en su entorno y aplique las mejores prácticas en toda las amenazas basadas en el correo
su superficie de ataque (como proporcionar concientización en ciberseguridad y electrónico como correo electrónico
cibercapacitación a los empleados) antes de adquirir ciberseguridad. no deseado, suplantación de
identidad y malware, incluyendo
La mayoría de nuestros compromisos de respuesta a incidentes respaldan este punto ransomware, amenazas de día
de vista. Muy pocas organizaciones afectadas conocían claramente los problemas que cero, suplantación y ataques de
debían tratar, los programas activos para mejorar las competencias de los empleados compromiso de correo electrónico
o incluso la implementación completa de los productos que necesitaban para empresarial (BEC).
defenderse (mejores prácticas), como tener tecnología EDR y NDR instalada.
Afortunadamente, hay muchos servicios y herramientas disponibles para que las

organizaciones mejoren y evalúen su postura y preparación en ciberseguridad en las
tres disciplinas:
19
n Pronta detección
l Engaño y reconocimiento EL EFECTO DE IA/ML:
Bloqueo de malware nuevo o
n Protección
transformado casi en tiempo real
l AV e IPS con tecnología de IA
¿SABÍA QUE? Nuestro motor
l Servicio de sandboxing en línea con tecnología de IA desde la nube de AV combina un lenguaje de
n Detección
reconocimiento de patrones de
y respuesta
contenido automatizado (CPRL)
l Detección y respuesta de endpoint (EDR) con máquinas que enseñan a otras
l Detección
máquinas a construir de forma
y respuesta de red (NDR)
dinámica firmas de AV y encontrar
nuevas variantes de malware
n Rediseño y cambios arquitectónicos
basadas en código compartido,
l Red y microsegmentación para permitir la identificación del movimiento lateral. algo a lo que nos referimos como
un “Sandbox en tiempo real”.
l Acceso de confianza cero
Nuestro marco de trabajo de
n Validación, capacitación y concientización Advanced Threat Protection (ATP)
es único en la industria, aprovecha
l Servicios de preparación y respuesta ante incidentes
soluciones integradas para tomar
l Capacitación sobre concientización en ciberseguridad decisiones autónomas basadas
en inteligencia frente a amenazas.
La tecnología de Sandbox en línea
Reutilización de código de malware está disponible en las capas de
Al observar los principales malware del segundo semestre de 2022, la mayoría tenía seguridad de la red, la nube, el
más de un año. Algunos, según los estándares de ciberseguridad, se consideraron endpoint y el correo electrónico.
incluso “antiguos”.
Vea lo que nuestro CTO y
Muchos proyectos de software legítimos reutilizan el código para crear nuevas versio- cofundador Michael Xie dijo al
nes sobre una base sólida y dejan espacio para cambios. Además, cada iteración tiene respecto aquí
la oportunidad de desarrollarse y convertirse en algo por derecho propio, y su código
también se puede desarrollar, cambiar y volver a lanzar.
Entonces, ¿qué se percibe cuando los usuarios maliciosos hacen esto con su malware? Investiguemos un ejemplo: Emotet.
Figura 16: Reutilización de código dentro y entre comunidades de las variantes de Emotet
20
Examinamos una colección de 98 variantes diferentes de Emotet y analizamos su

tendencia a “tomar prestado” el código entre sí. Descubrimos que en casi una década ¿Le preocupa no estar
desde que se lanzó por primera vez, Emotet tuvo una gran evolución de especies. debidamente preparado
Usando algunos algoritmos sofisticados de detección de comunidades de redes, para un incidente?
descubrimos que estas 98 variantes se pueden dividir en aproximadamente seis
“especies” diferentes de malware, las cuales se muestran en la figura anterior. Nuestra evaluación de la pre-
Cada punto de la figura es una variante de malware diferente. Los colores indican paración para la respuesta ante
una comunidad inferida y los arcos entre los puntos muestran la cantidad de código incidentes puede ayudar.
reutilizado. La comunidad amarilla está muy conectada y comparte una parte
importante de su código consigo misma y con otras variantes. Las otras cinco Evalúe sus funcionalidades actuales
comunidades más pequeñas (excepto la comunidad azul oscuro en la parte superior para defenderse contra ataques
izquierda) comparten algunos códigos entre los grupos, pero en su mayoría tienen dirigidos, priorizar acciones para
bases de código único y solo comparten fragmentos con otras comunidades de tratar las brechas y fortalecer su
variantes. Luego, están las dos comunidades que solo comparten código entre ellas preparación y eficiencia de res-
(morado y azul claro). Un análisis profundo de lo que hace el código compartido está puesta. Obtener más información
fuera del alcance de este documento, cuyo objetivo es proporcionar solo información
de alto nivel sobre el panorama de amenazas.
Mitigar la reutilización del código y la frecuencia de las variantes es una batalla de tiempo. La rapidez con la que puede proteger,
detectar y mitigar tales amenazas define la eficacia de su postura de seguridad y sus funcionalidades para mantener alejados a sus
adversarios.
La implementación de un AV moderno, estrechamente integrado con tecnologías Sandbox en línea con tecnología de IA, es una
necesidad. El poder de una estructura de ciberseguridad radica en la integración nativa de sus capas de protección y la capacidad
de hacer cumplir las políticas de manera coherente en toda su organización. Las protecciones críticas como del correo electrónico,
los endpoints, las redes y las nubes se deben orquestar de forma centralizada y automatizada. De esa manera, cuando los diseños
arquitectónicos cambian, la implementación de soluciones como la segmentación en la red distribuida facilita la identificación y
prevención del movimiento lateral en su infraestructura.
Por último, los análisis habilitados para el aprendizaje automático ayudarán a correlacionar los comportamientos “anómalos” en una
alerta que necesita triaje. Operar el sistema MITRE ATT&CK en los perfiles TTP de sus adversarios y probar continuamente técnicas
novedosas contra sus soluciones de ciberseguridad es necesario para las organizaciones comprometidas con la defensa de su
entorno. Las herramientas y los servicios de simulación de ataques pueden ayudar a identificar brechas y cerrarlas.
Ransomware
Para comparar la actividad del ransomware a lo largo del tiempo, exploramos nuestros datos de los virus. La comparación de los
volúmenes mensuales muestra un crecimiento notable desde el primero hasta el segundo semestre de 2022, aproximadamente
16 %, a pesar de algunas variaciones drásticas de un mes a otro. La mayor parte de esto parece que se debe a una afluencia durante
julio y agosto.
Figura 17: Volumen mensual de ransomware para 2022
21
El aumento gradual en el volumen promedio, combinado con un reajuste rápido después de agosto, se asemeja a un patrón que
vimos anteriormente. Es el juego tradicional de whack-a-mole en ransomware que se juega en 2022, donde algunos ransomware
detienen deliberadamente las actividades y surgen otros completamente nuevos para reemplazarlos. Presentamos dos grupos de
ransomware que captaron nuestra atención durante el año.
Royal Ransomware era nuevo en 2022 y adquirió notoriedad a medida que avanzaba el año. En su nota de rescate, el actor de la
amenaza de ransomware no solo pide a las víctimas que paguen un rescate por el descifrado de archivos y evitar que los archivos
robados se filtren al público, sino que también ofrece servicios de revisión de seguridad y pruebas de penetración por una tarifa.
Recientemente, el desarrollador agregó una nueva variante dirigida a plataformas Linux, lo que indica el tiempo y el esfuerzo
dedicados al desarrollo de ransomware.
En noviembre, también informamos sobre el nuevo ransomware Cryptonite. Llegó como una combinación de constructor y servidor
para facilitar el uso y la implementación. El constructor permite a los cibercriminales generar un ransomware Cryptonite construido
con una configuración personalizada, como la dirección de la billetera Bitcoin del atacante, la cantidad de Bitcoin de rescate, un
correo electrónico de contacto y una extensión de archivo para los archivos cifrados (la extensión de archivo “.cryptn8” se establece
de manera predeterminada). Dado que Cryptonite es un ransomware de código abierto, cualquiera puede usarlo. Tenga presente
que ya no se puede acceder a la página web del host después de que informamos públicamente sobre el ransomware.
La buena noticia es que la naturaleza multivectorial y multietapa de las campañas de ransomware proporcionan varias
oportunidades para que las organizaciones frustren los ataques antes de la jugada final. Las sólidas protecciones en toda la
superficie de ataque digital que aprovechan los servicios de seguridad con tecnología de IA desde la nube para bloquear ataques
conocidos, combinados con la protección en línea de componentes desconocidos mediante Sandbox en línea y la detección y
respuesta de red, ayudan a reducir la probabilidad de ingresar. Sin embargo, incluso si los intrusos logran ingresar, la detección
sólida basada en el comportamiento, como EDR en un dispositivo, las tecnologías de detección y respuesta, y engaño en la red, y la
protección de riesgo digital (DRP) que reconocen la dark web pueden desencadenar una respuesta rápida, especialmente cuando
se combina con el monitoreo centralizado y una respuesta orquestada proporcionada por las tecnologías SIEM o SOAR, según
corresponda. Además, muchas empresas de ciberseguridad actualmente ofrecen servicios de ampliación para las organizaciones
que necesitan más personal especializado en SOC para evaluar y proteger la organización de manera efectiva. Fortinet tiene
expertos capacitados para aumentar las capacidades de sus equipos internos.
¿Necesita ayuda su equipo de operaciones de seguridad con poco personal?

Los servicios de ampliación del SOC de Fortinet brindan soporte inmediato mediante:
n SOC como servicio (SOCaaS) combina expertos en ciberseguridad de FortiGuard con la tecnología avanzada del SOC de Fortinet que incluye
funcionalidades de inteligencia artificial (IA) y aprendizaje automático (ML) para admitir la mayoría de los casos de uso. Esto permite a Fortinet
acelerar el triaje de alertas, escalar rápidamente los incidentes de seguridad y reducir las alertas de falsos positivos.
n Servicio de detección de brotes alerta a los suscriptores por correo electrónico y automáticamente dentro de las interfaces de usuario del
producto clave, sobre los principales eventos de ciberseguridad que tienen el potencial de esparcir ramificaciones. Estas alertas incluyen
información crítica sobre incidentes de seguridad, como la cronología de eventos de un ataque y qué tecnología específica afectó. Además, las
alertas proporcionan a las organizaciones una búsqueda de amenazas personalizada que se ejecuta contra los registros e identifica el impacto
potencial de un ataque, junto con recomendaciones para mejorar su postura de seguridad y protección en el futuro.
n Servicios de Preparación y respuesta a incidentes (IR&R). Nuestros servicios proactivos orientados a la prevención, como las evaluaciones
de riesgos, el desarrollo de manuales de estrategias y los ejercicios de simulación, todo parte de un anticipo de los Servicios de respuesta y
preparación ante incidentes, ayudan a las organizaciones a fortalecer su ciberpreparación y la eficacia del SOC al mismo tiempo que reducen
el ciberriesgo. También dan acceso a un equipo de expertos de FortiGuard que pueden ayudar a hacer contenciones y correcciones rápidas en
caso de un ciberataque. En respuesta a una demanda acelerada de este tipo de servicios en todo el mundo, Fortinet está ampliando su personal
especializado para las funcionalidades de automatización de IR&R y SOC para permitir que más empresas accedan a la oferta.
n Elservicio de Detección y Respuesta Administrada (MDR) de Fortinet proporciona detección de amenazas avanzadas, búsqueda proactiva de
amenazas, respuesta rápida ante incidentes, informes y análisis completos y mejora continua para ayudar a las empresas a detectar y responder
mejor a las violaciones de datos en su entorno. El servicio MDR usa algoritmos de IA y ML para identificar amenazas potenciales y se actualiza
continuamente para anticiparse a las amenazas más recientes. El servicio incluye un SOC disponible las 24 horas del día, los 7 días de la semana
con expertos en seguridad que pueden contener y corregir rápida y efectivamente cualquier incidente de seguridad. Los informes detallados
sobre incidentes de seguridad se pueden usar para mejorar los procesos de seguridad y proporcionar evidencia del cumplimiento de las normas
y estándares de la industria. El servicio MDR evoluciona continuamente para mantenerse a la vanguardia de las amenazas más recientes.
22
Wipers
Figura 18: Volumen trimestral de wiper de 2022

Wipers también tuvieron un aumento en el volumen entre el primero y segundo semestre de 2022, pero terminaron el año con una
trayectoria claramente ascendente. Los wipers, llamados así porque el malware tiende a “borrar” los datos de la computadora de
la víctima, existen desde 2012. Sin embargo, una diferencia interesante en el primer semestre de 2022 fue que la mayoría de los
wipers detectados (WhisperGate, HermeticWiper, CaddyWiper, etc.) se atribuyeron públicamente por muchas organizaciones a
actores patrocinados por el estado ruso. Además, en el segundo trimestre, los wipers recién detectados se atribuyeron a grupos
de hacktivistas prorrusos como Somnia o a individuos que inspirados por la tendencia de los wiper comenzaron a crear su propio
malware de wiper.
De manera preocupante, vemos un aumento del 53 % en el volumen del wiper cuando comparamos el tercer trimestre con el cuarto.
Después de un pico inicial en agosto, vemos otro salto en noviembre, mientras que diciembre mantiene el mismo volumen. A pesar
de que los picos del segundo semestre son notablemente más bajos que el pico destacado del primer semestre del año, el volumen
del wiper aumentó claramente durante el año y no parece que vaya a disminuir en el corto plazo.
A principios de 2022, también informamos sobre la presencia de algunos wipers nuevos que aparecieron en paralelo con la guerra
entre Rusia y Ucrania, pero esos wipers nuevos parecen operar sin fronteras.
Figura 19: Clasificación mensual del wiper por prevalencia (la parte superior es la mayor prevalencia)
23
No hay mucho desconcierto entre los wipers principales en términos de prevalencia, es decir, la proporción de organizaciones
que los detectan. Casi todos los wipers experimentaron un aumento en noviembre de 2022, en consonancia con la cifra anterior.
En enero de 2022, se informó que hubo otro ataque contra Ucrania, conocido como WhisperGate, que se extendió lentamente
hasta convertirse en el principal wiper en noviembre de 2022. Se cree que la inteligencia militar rusa está detrás del desarrollo de
este wiper.
Un wiper a considerar es HermeticWiper, detectado inicialmente a finales de 2021 cuando se creía que Rusia lo había usado
contra objetivos ucranianos. Vimos un aumento significativo de HermaticWiper en noviembre, y se hizo aún más frecuente en
diciembre. Este wiper se dirige al Registro de arranque maestro (MBR) de la víctima y, según se informa, afectó a organizaciones
en Ucrania. Al igual que nuestro informe anterior, los wipers principales parecen oportunistas. WhisperGate y HematicWiper
tienen su prevalencia más alta fuera de Europa, aunque no es allí donde se produjeron los ataques más prolíficos. América del
Norte, en general, parece tener la menor actividad de wiper. La falta de fronteras en Internet permite a los criminales hacer lo
que quieran sin restricciones.
Figura 20: Porcentaje de organizaciones que detectan cada wiper por región
Entonces, ¿Respaldan los datos la idea de que el aumento de los wiper se debe a la guerra existente en Europa? Sí. Además,
como la mayoría de actividad de los wiper proviene de Rusia, se podría esperar un mayor uso de los wiper dirigido a las naciones
y las compañías que apoyan a Ucrania con armas, socorro u otra logística. Detectamos un nuevo tipo de wiper en el segundo
semestre del año, ahora con código abierto y en GitHub. Dado que algunos wiper emulan la actividad de ransomware, se detectan
y desactivan generalmente en tiempo real antes de poder cumplir con sus objetivos de complemento mediante tecnologías de
detección y respuesta de endpoint (EDR). Como resultado de este aumento de ransomware, espionaje, malware y wiper, muchas
agencias gubernamentales nacionales y locales priorizan su adquisición de tecnología de EDR.
Los profesionales de la ciberseguridad buscan constantemente la “próxima gran tendencia” para ayudar en la batalla contra
los wiper y el ransomware.
Copias de seguridad externas y sin conexión: la contramedida más útil para el ransomware y el malware del wiper es tener copias
de seguridad disponibles. Sin embargo, el malware frecuentemente busca activamente copias de seguridad del dispositivo en la
máquina (como Windows Shadow Copy) o en la red para destruirlas, por lo que las copias de seguridad deben mantenerse fuera
de la red.
Segmentación: la segmentación adecuada de la red puede ser útil en varios niveles. Por ejemplo, puede limitar el impacto de un
ataque a un segmento de la red. Además, los firewalls combinados con antivirus y sistemas de prevención de intrusiones pueden
detectar la propagación de malware en la red, las comunicaciones con servidores de comando y control conocidos y los archivos
maliciosos mientras se mueven a través de la red.
Respuesta al incidente: la velocidad y la calidad de la respuesta a un incidente son cruciales, además el resultado de un ataque
puede depender en gran medida de estas. Cuando se detecta un compromiso antes de que se implemente el malware wiper, la
forma en que el equipo da respuesta a incidentes maneja y responde a esta alerta podría hacer la diferencia entre evitar con éxito la
pérdida de datos y la destrucción completa de los datos.
24
Ejecución, persistencia y evasión de defensa

Establecer como objetivo el software de seguridad de endpoint destaca la amenaza de las operaciones cibercriminales al mismo
tiempo que proporciona a las organizaciones otra oportunidad para una pronta detección. Una técnica esencial que ofrece un
retorno de la inversión significativo es buscar la degradación de la cobertura de las herramientas de seguridad al monitorear
los entornos. En aproximadamente el 56 % de los incidentes, el equipo de IR de FortiGuard identificó actores de amenazas que
deshabilitaron el software de seguridad local. Como se muestra en la Figura 21 abajo, esta fue la técnica de evasión de defensa más
comúnmente observada que se usó según el equipo de IR de FortiGuard para las intrusiones investigadas en 2022.
Figura 21: Técnicas de evasión de defensa MITRE que observó IR de FortiGuard
En la mayoría de los casos, esta técnica se empleó al inicio de una intrusión. Esto la convierte en un gran candidato para
defender las redes, ya que las detecciones anteriores en la cadena de eliminación dan a los equipos de TI más tiempo para
aplicar mitigaciones antes de que los adversarios puedan completar sus acciones en los objetivos. Por lo general, esta técnica se
implementa buscando servicios de AV como Microsoft Defender y FortiClient e interrumpiéndolos mediante comandos simples
de PowerShell. Otro método común usa la herramienta de terceros “Defender Control”, que fue diseñada explícitamente para
deshabilitar Windows Defender. El equipo de IR de FortiGuard observa un uso constante de esta herramienta entre los afiliados
asociados con varios grupos de ransomware, por lo que, si puede marcarse como un Programa potencialmente no deseado (PUP),
las detecciones anómalas de la herramienta se deben investigar detalladamente.
Muchos productos modernos de seguridad de endpoints funcionan como servicios que monitorean el estado de los servicios de los
productos de seguridad que se ejecutan en su entorno y luego investigan cualquier interrupción rápidamente. Esto también puede
conducir a la pronta detección de intrusiones. Las modificaciones del servicio se pueden monitorear centralizando los registros de
seguridad predeterminados de Windows y revisando los registros usando la identificación del evento 7040, que hace referencia
a un cambio del estado de la seguridad instalada. Igualmente, las soluciones de EDR más avanzadas son resilientes frente a las
desviaciones de esos simples productos de seguridad. También detectan intentos de desactivar Windows Defender a través de los
métodos descritos anteriormente.
25
Otra técnica común empleada entre las intrusiones y los actores de amenazas es la creación de un servicio malicioso. El uso de
servicios maliciosos está creciendo en prevalencia al ofrecer oportunidades de ejecución, persistencia y escalada de privilegios
mediante una única solución. Como se puede ver en la Figura 21 arriba y la Figura 22 abajo, se observó el uso de los servicios de
Windows para la ejecución y la persistencia en > 30 % de los casos.
Figura 22: Técnicas de persistencia MITRE que observó el equipo de IR de FortiGuard en 2022
Es probable que el uso de servicios maliciosos esté tan extendido por varias razones:
1. Desasocia la ejecución de malware o scripts maliciosos de la cadena de procesos de implantación de un adversario. Por
ejemplo, si un adversario establece una baliza Cobalt Strike dentro de un proceso “explorer.exe” (a través de la inyección del
proceso), la ejecución de malware adicional desde el proceso del Explorer podría captar la atención debido a las cadenas
de procesos anómalas que se generan desde el Explorer. Al ejecutar malware a través de un servicio, este se ejecuta desde
la cadena de procesos de servicios, generalmente services.exe -> svchost.exe, que actúa como un proxy, lo que dificulta la
vinculación del comportamiento con el implante del adversario.
2. Los servicios se pueden ejecutar con privilegios del SISTEMA. Esto permite que la ejecución del servicio sirva como una forma
de escalada de privilegios.
3. En Windows 10 y 11, una parte importante de las operaciones en segundo plano del sistema operativo se migró a los servicios.
Debido a que puede haber mucha actividad del servicio en un endpoint, el análisis de los servicios se vuelve más complejo.
Esto crea cargas de trabajo adicionales para los defensores que extraen información procesable de los servicios potencialmente
maliciosos.
Las organizaciones deben buscar centralizar y fundamentar las detecciones en torno a los registros de eventos estándar de
Windows relacionados con la creación de nuevos servicios para tener una mayor detección de servicios anómalos. Dichos registros
se generan de forma predeterminada en el registro de eventos de seguridad de Windows usando el identificador de evento 4697
para la creación de un servicio y el identificador de evento 7040 para las modificaciones del estado de un servicio en particular. El
monitoreo de los servicios que hacen referencia a archivos en ubicaciones anómalas, como directorios temporales o de usuarios, o
el monitoreo de servicios que ejecutan LOLbins populares como powershell.exe, cmd.exe, rundll32.exe o regsvr32.exe constituyen
un esfuerzo bajo y un valor alto de inversión en la seguridad de los sistemas asociados.
26
PowerShell: continúa siendo una herramienta fundamental en los manuales de

estrategias de los afiliados de ransomware
PowerShell es un componente crucial de los TTP de ejecución de muchos operadores de ransomware; la herramienta de
administración del sistema se usa en > 65 % de las intrusiones (consulte la Figura 23 abajo).
Figura 23: Técnicas de ejecución de MITRE que observó el equipo de IR de FortiGuard en 2022.
Si bien muchas organizaciones emplean PowerShell para tareas de administración legítimas, como la separación de permisos entre
scripts estandarizados, de confianza y manuales de estrategias para tareas administrativas que involucran el uso de PowerShell, un
aumento en el registro de PowerShell facilita que las organizaciones identifiquen y bloqueen el uso anómalo.
Fuera de estas prácticas recomendadas, la mejor manera para que las organizaciones eviten que los adversarios empleen
PowerShell en sus entornos es implementar una solución de EDR moderna. Las soluciones de EDR avanzadas (por ejemplo,
FortiEDR) permiten a los defensores establecer una referencia para la actividad administrativa legítima de la línea de comandos en
un entorno (como el uso de PowerShell y cmd) y filtrar esta actividad rutinaria para que la actividad anómala se detecte y bloquee
automáticamente. Si bien EDR no es una solución milagrosa para defender una red, es particularmente efectiva para mitigar la
implementación temprana de PowerShell en una intrusión antes de que se puedan implementar técnicas de derivación de EDR más
complejas.
27
Comando y control, exfiltración e impacto

Datos globales de botnet
África Asia Europa América del Oceanía América del
Norte Sur
Protocolo de capa de aplicación 46 % 46 % 43 % 57 % 46 % 54 %
Transferencia de herramienta
de ingreso 33 % 34 % 25 % 26 % 18 % 29 %
Comando
y control Puerto de uso poco común 21 % 20 % 32 % 16 % 35 % 17 %
Puerto de uso común 0.04 % 0% 0.09 % 0% 0% 0%
Puerto no estándar 0% 0% 0.010 % 0.1 % 0% 0%
Exfiltración Exfiltración automatizada 100 % 100 % 100 % 0% 0% 0%
Datos cifrados para impacto 75 % 94 % 68 % 94 % 100 % 98 %
Inhibición de recuperación del
sistema 16 % 5% 26 % 6% 0% 0.4 %
Manipulación de datos
Impacto almacenados 8% 0.4 % 4% 0.3 % 0.4 % 2%
Desfiguración 0.4 % 0.2 % 1% 0.2 % 0% 0%
Destrucción de datos 0.3 % 0.1 % 0.3 % 0% 0% 0%
Figura 24: Técnicas para datos de FortiSandbox Cloud por táctica y región
No debería sorprender que los datos cifrados para el impacto sean la táctica principal que usan los criminales para cerrar sus
ataques totalmente. Con la creciente prevalencia del ransomware y los wiper, el cifrado de datos se convirtió en un estándar en
todas las regiones e industrias. Sin embargo, las muestras observadas en nuestros Sandbox también presentan un aumento en
“Inhibición de recuperación del sistema” en África y Europa. Esto se podría deber a la creciente práctica de no pagar el rescate para
recuperar el control de los sistemas o podría ser simplemente un remanente de las muestras que recolectamos.
Las botnets no son algo nuevo en el mundo de la ciberseguridad. Son parte del panorama de Internet desde el año 2000 cuando
Khan K Smith creó una que envió 1.250 mil millones de correos electrónicos de suplantación de identidad a través de la red
EarthLink. Veintitrés años después, los usuarios maliciosos de todo el mundo continúan encontrando formas de causar estragos
para beneficio personal mediante el uso de botnets.
Veamos las detecciones de botnets globales durante el segundo semestre de 2022 y veamos qué podemos aprender.
Figura 25: Las 25 botnets principales por volumen y por porcentaje de organizaciones que las detectan (prevalencia)
28
Primero, analicemos las botnets que encabezan las listas en términos de prevalencia y volumen. Vemos que muchas de las
principales amenazas de botnets son más antiguas. De hecho, de las cinco primeras, solo RotaJakiro parece ser de la década de
2020. No obstante, aunque RotaJakiro se descubrió en marzo de 2021 se dirige a sistemas Linux64, en realidad logró manipular
sin ser detectado sistemas que se remontan a 2018 debido a su capacidad para evadir el antimalware. Los investigadores
finalmente notaron que algo andaba mal cuando se detectó un archivo ELF de propósito desconocido. Ese archivo se había estado
comunicando mediante cuatro dominios remotos a través de HTTPS. Partiendo de nuestro conjunto de datos, RotaJakiro impactó
al 25.7 % de nuestra muestra. Eso está muy lejos del impacto que continúan teniendo Mirai y Gh0st Rat. Completando los cinco
primeros están GaniW y Mozi. Actualmente, Mozi se considera una de las variantes de estilo Mirai más activas, según IBM.
Sin embargo, al observar los diez primeros por volumen obtenemos una imagen diferente y se presentan algunos nombres nuevos.
Figura 26: Volumen mensual de las 10 botnets principales
Vemos una marcada inclinación a partir de noviembre de 2022 para toda la actividad de botnets. Se observaron 270.1 millones de
aciertos en noviembre y 498.8 millones en diciembre. Eso es aproximadamente un aumento del 85 % en el volumen en solo un mes.
Morto representó una gran parte de este aumento espectacular, con 25.3 millones de aciertos en noviembre y 84.6 millones en
diciembre; un aumento de más del triple. Morto se observó por primera vez en 2011. Fue el primer gusano conocido en aprovechar la
vulnerabilidad de seguridad del Protocolo de escritorio remoto (RDP) de Microsoft. Investigaciones públicas anteriores demuestran
que Morto no necesariamente tiene como objetivo una vulnerabilidad específica, sino que depende mucho de que los usuarios
instalen el gusano en su sistema. Posteriormente, usa el relleno de credenciales de fuerza bruta para obtener acceso. Sin embargo,
el gusano de 12 años no fue el único aumento dramático que documentamos durante esos 30 días. La actividad de ZeroAccess
también aumentó, de 26.3 millones en noviembre a casi 115 millones en diciembre, ¡un aumento de más del cuádruple!
29
Descubierta inicialmente en 2011, ZeroAccess es una botnet punto a punto (P2P)

que afecta a los sistemas operativos de Microsoft. Esta botnet, como muchas otras, Se agregaron dos nue-
establece inicialmente sus conexiones solicitando a los usuarios que compartan vas firmas a la enciclo-
un archivo torrent o interactúen con esta de alguna manera. Una vez que ocurre pedia FortiGuard duran-
ese compromiso, el malware convierte el sistema en uno de sus muchos bots para te el segundo semestre
continuar en su ruta de extracción de bitcoins, robo de información u otra actividad de 2022:
en la que el usuario malicioso podría estar enfocado. Esta botnet se observa
tradicionalmente operando ráfagas. 1.https://www.fortiguard.com/en-
cyclopedia/virus/10115376
Si bien puede ser tentador descartar las amenazas más antiguas como algo del pasado,
cada vez está más claro que las organizaciones deben permanecer alertas. Mirai
2.https://www.fortiguard.com/en-
causó estragos en Internet cuando apareció por primera vez en 2016. Sin embargo,
cyclopedia/virus/10110647
a principios de 2022, la botnet aprovechó la vulnerabilidad de seguridad CVE-2022-
22965, también conocida como Spring4Shell. Esta vulnerabilidad crítica de ejecución
remota permitía a los usuarios maliciosos escribir en la webroot de un servidor web
y luego ejecutar comandos de forma remota. A pesar de que se lanzó un parche
rápidamente, los sistemas ya comprometidos dejaron sentir su impacto, y la amplitud
del impacto de Mirai siguió creciendo.
Volumen por industria
Figura 27
Cuando observamos la actividad de la botnet por mercado vertical, Morto se dirigió con éxito a la industria de Proveedores de
servicios de seguridad administrados (MSSP) con alrededor de 23,000 incidentes. Sin embargo, ZeroAccess estableció su mira en
algunos sectores diferentes, incluyendo educación, tecnología, telcomunicación y transporte. Luego, tiene a Mirai actualmente en
tiempo extra, como puede ver en la columna Fabricación en la gráfica arriba.
30
Volumen por región
Figura 28
Cuando observamos por región, tenemos una idea de dónde se ubicaron los endpoints objetivo. ZeroAccess parece que afectó a
las víctimas en el Medio Oriente, América Latina y Asia, mientras que Morto parece que atacó a las organizaciones en Asia. Al mismo
tiempo, XorDDoS se dirigía fuertemente a endpoints en África. XorDDoS, se detectó por primera vez en 2014, es un kit de malware
troyano para Linux conocido por sus grandes campañas DDoS y el uso del cifrado XOR.
Niños nuevos en Bot

Hablamos bastante sobre las botnets más antiguas que continúan dominando, pero ¿qué pasa con las nuevas de 2022? Si bien
algunas son nuevas, la mayoría son simplemente las “nuevas del 2022”.
Figura 29: Las cinco botnets principales que no se detectaron en

el semestre anterior, clasificadas por prevalencia entre las organizaciones
31
Cuando observamos las principales firmas del segundo semestre de 2022, una firma
El conocimiento lo es todo
salta a la vista:RaspberryRobin. Vista por primera vez en septiembre, RaspberryRobin
Nuestro equipo global de detección
se propaga principalmente en las industrias gubernamentales y de telecomunicaciones.
y respuesta administrada observó
Aunque es una firma nueva, se abre paso con método suficientemente comprobado:
un aumento en los bloqueos contra
una memoria USB infectada (T1091: Replicación a través de medios extraíbles). Una vez
RaspberryRobin. Era tan alto que
que el USB se conecta a un sistema, el gusano puede obtener acceso. Si bien no hay
necesitábamos obtener un KB sobre
indicios de qué grupo podría ser responsable de RaspberryRobin, se relaciona con una
cómo nos protegemos contra este.
campaña de SocGholish de principios de 2022.
Obtenga información sobre ¿cómo
En segundo lugar, podemos observar que el tráfico de Morto mencionado anteriormente
EDR protege contra el malware
en esta sección no se observó en el primer semestre de 2022.
RaspberryRobin?
Por último, en el tercer lugar está Lua, una botnet detectada en 2016. Es la primera botnet DDoS de Linux codificada completamente
en (lo adivinó) Lua, un lenguaje de programación diseñado para aplicaciones.
Una vez más, observamos una batalla interna constante que coloca a los defensores entre las nuevas amenazas y el malware
existente que podría haber desaparecido de nuestra conciencia de seguridad colectiva.
Perspectivas desde las trincheras

El equipo de Detección y respuesta administrada (MDR) de FortiGuard administra instancias de EDR en representación de clientes
de todo el mundo. Durante sus actividades diarias, el equipo de MDR trabaja en el centro de la protección de endpoints de miles de
clientes en el mundo. Esto le da al equipo una imagen significativa de las actividades de los actores de amenazas en los mercados
verticales y las regiones geopolíticas. De manera similar, nuestro equipo de respuesta a intrusiones (IR) ofrece servicios proactivos
y reactivos para dar soporte a nuestra base de clientes global. La exposición a los clientes que luchan activamente contra un
incidente de seguridad proporciona información valiosa sobre las intrusiones iniciadas por las APT y actores de amenazas motivados
financieramente.
Con un crecimiento del 200 % (segundo semestre sobre el primer semestre) de los compromisos de IR, es evidente que las
organizaciones actuales se sienten más cómodas al solicitar ayuda externa. Los conocimientos a continuación provienen de
casos de la vida real que observaron los equipos de MDR e IR de FortiGuard a lo largo de 2022. Estos conocimientos proporcionan
recomendaciones prácticas sobre cómo responder a funcionalidades constantes y emergentes del panorama de amenazas y
comprender cómo las tendencias en el panorama de amenazas dan forma al impacto del cliente y cómo las acciones de los clientes
dan forma a estas amenazas.
El aprovechamiento de la vulnerabilidad de seguridad de Exchange/OWA va más

allá del acceso inicial y se convierte en un TTP central
después de la vulnerabilidad de seguridad
Si bien el aprovechamiento de la vulnerabilidad de seguridad de los servidores de Microsoft Exchange para el acceso inicial fue
rampante en 2021 y principios de 2022 debido a una serie de vulnerabilidades críticas de ejecución remota de código (RCE), la
actividad posterior al aprovechamiento de la vulnerabilidad de seguridad dirigida a estos servidores actualmente se convirtió en un
pilar para los TTP de muchos actores de amenazas. El equipo de IR de FortiGuard observa una tendencia en el segundo semestre de
2022 en el que los actores de amenazas se trasladaron lateralmente a los servidores de Exchange para establecer la persistencia y
efectuar actividades de recopilación en un entorno ya comprometido.
En estas situaciones, los actores de la amenaza aprovechan las vulnerabilidades de seguridad de los servicios externos o contratan
intermediarios de acceso para obtener acceso a una red. Sin embargo, una vez que estos actores de amenazas obtienen acceso,
hacen un reconocimiento interno y se trasladan a los servidores de Exchange. Una vez que acceden a los servidores de Exchange,
generalmente establecen la persistencia a través de shells web (T1505.003: Componente de software de servidor: Web Shell).
Luego, estos web shells se usan para escalar privilegios y acceder a las credenciales de usuario a través de OWA (Outlook en la
web). Esto da al adversario acceso a cuentas válidas, que luego se usan para el movimiento lateral alrededor de una red a través de
RDP, WMI (Instrumentación de administración de Windows) o herramientas basadas en SMB (Bloque de mensajes del servidor) (por
ejemplo, PSEXEC).
32
Creemos que este cambio generalizado en los TTP posteriores a la vulnerabilidad de seguridad es el resultado de años de abuso
de Exchange, que creó la familiaridad y la confianza de los actores de amenazas para aprovechar la vulnerabilidad de seguridad de
la plataforma. Esta familiaridad y experiencia les da visibilidad de las funcionalidades de la plataforma que pueden ayudarlos para
hacer una intrusión exitosa.
n Por lo general, los servidores de Exchange están orientados al exterior y se esperan conexiones externas anómalas como parte de
las operaciones normales del correo electrónico. Esto hace que un servidor de Exchange sea un lugar perfecto para ocultar web
shells entre otras actividades.
n Los servidores de Exchange tienen grandes volúmenes de eventos de seguridad, lo que genera una rápida rotación de
registros en la mayoría de los entornos. Esto puede dificultar las investigaciones de IR en entornos donde los registros no están
centralizados o las políticas de retención de registros no admiten la retención de datos adecuada.
n Elequipo de TI no crea directamente las páginas web que admiten OWA y otras funciones de Exchange, además el conocimiento
(equipo azul) del backend de Exchange es limitado o no se puede consumir fácilmente.
n OWA podría usar un dominio para la autenticación, pero puede no incluir las mismas funcionalidades de seguridad
(es decir, sin MFA).
n Porlo general, los correos electrónicos incluyen información personal de alto valor perfecta para espionaje (resultado potencial de
APT) y extorsión (resultado potencial de actor FIN)
n .NET a través de Exchange crea un excelente entorno para implementar marcos de trabajo modulares posteriores a la
vulnerabilidad de seguridad observados recientemente.
El nuevo malware (firmas desconocidas) se emplea regularmente después de aprovechar la vulnerabilidad de seguridad dentro
de los servidores de Exchange comprometidos, pero las técnicas que se usan para respaldar la ejecución y la persistencia no. La
implementación de web shell sigue siendo, primordialmente, la técnica de ejecución y persistencia más común en los servidores
de Exchange comprometidos. Las cargas ejecutadas a través de web shells varían mucho, pero aún se pueden detectar mediante
indicadores de comportamiento de la vulnerabilidad de seguridad de web shell estándar:
n Monitoreo de la generación de procesos anómalos del proceso w3wp.exe, especialmente cmd.exe y powershell.exe.
n Modificación
anómala de páginas web normalmente estáticas (es decir, ashx, asp y aspx) o creación de páginas web en carpetas
normalmente estáticas (las páginas web relacionadas con las operaciones principales de Exchange, por lo general, son estáticas).
Los módulos se cargan predominantemente de forma reflexiva donde los web shells se usan como parte de conjuntos de
herramientas más grandes y complejos (T1620: Carga de código reflexivo). Es probable que esto se haga para subvertir la detección
de firmas basadas en archivos (soluciones AV típicas) al evitar escribir cargas útiles en el disco. Esto también reduce la evidencia
forense disponible para los analistas y personal de respuesta. Sin embargo, también proporciona oportunidades para que los
conjuntos de herramientas modernos como los productos de EDR (por ejemplo, FortiEDR) sobresalgan a medida que captan estas
técnicas en la memoria.
Host Bastión malicioso de BYO

La postura de seguridad de las organizaciones víctimas continúa mejorando con la implementación de controles de seguridad y
software de endpoint de seguridad como de EDR. Como resultado, los actores de amenazas encuentran formas alternativas de
mantener el acceso y minimizar la detección.
Un método para subvertir estos controles que observó el equipo de Respuesta a Incidentes de FortiGuard implica el uso de un
“host bastión”. Si bien este concepto no es novedoso (T1612: crear imagen en el host), la técnica no se observa ampliamente. Sin
embargo, en el último semestre de 2022, nuestro equipo de IR investigó varios casos en los que los actores de amenazas que
comprometieron la infraestructura del hipervisor de una víctima instalaron su propia VM. Cuando un actor de amenazas trae su
propio “host bastión” en forma de una VM instalada en la infraestructura de su víctima, disfruta de varios beneficios:
n Proporciona la libertad de maniobrar dentro de un entorno. Si bien muchas organizaciones invierten mucho en la visibilidad de la
red en los límites de su red, el tráfico de red interno de cliente a cliente sigue siendo un punto ciego.
33
n Los clientes suelen depender en gran medida de la telemetría del software de seguridad de endpoint instalado en endpoints
válidos. Sin embargo, un host bastión malicioso no tiene instalado un software de seguridad de endpoint. Si los defensores no
revisan los endpoints no autorizados, esto crea una falsa sensación de seguridad.
n Al final de una operación, un adversario puede eliminar la VM, lo que puede obstaculizar significativamente las actividades
forenses y de IR y aumentar la longevidad de los TTP del adversario. Eliminar los artefactos es particularmente eficaz porque el
hipervisor usa hardware compartido, lo que dificulta mucho la recuperación de los archivos de una imagen eliminada.
Esta última técnica se emplea después de la vulnerabilidad de seguridad, pero podría ser difícil de detectar si la interfaz de
administración de un hipervisor está orientada a Internet. En la mayoría de los casos, las soluciones EDR y los productos de AV
no son compatibles con hipervisores sin sistema operativo (como ESXi). Debido a esto, si el adversario puede aprovechar la
vulnerabilidad de seguridad de la interfaz de administración para obtener acceso o puede obtener acceso haciendo un uso indebido
de las credenciales legítimas, es posible que las víctimas no detecten la instalación de un host bastión. Para mitigar esto, los
propietarios del sistema deben emplear esquemas de autenticación que impidan que los adversarios que establecen un host bastión
se autentiquen con otros componentes de la red.
Además, los defensores deben monitorear y mantener una base de datos de activos actualizada para detectar endpoints no
autorizados en un entorno. Junto con estas revisiones, los defensores también deben asegurarse de tener los manuales de
estrategias de IR adecuados para responder rápidamente a los endpoints no autorizados y al probable compromiso de su
infraestructura de hipervisor que respaldó su implementación.
Crimen financiero oportunista que dominó el centro de atención

Con base en el motivo evaluado detrás de los incidentes investigados por nuestro equipo de IR, los crímenes oportunistas motivados
financieramente obtuvieron el mayor volumen de incidentes que requirieron apoyo externo. Consulte la figura abajo para ver una
gráfica de la motivación evaluada.
Figura 30: Motivación de cada intrusión que observó el equipo de IR de FortiGuard en 2022.
Entre los crímenes con motivos financieros, aproximadamente

el 82 % de los incidentes involucraron el empleo de ransomware
Mejores prácticas
n Obtenga visibilidad y control de la red mediante la
o scripts maliciosos para T1486: Datos cifrados para impacto. El
panorama del ransomware continúa evolucionando, con nuevas introducción de la segmentación de la red para reducir
el impacto y la probabilidad de propagación en su
familias y variantes que se crean diariamente a medida que se
organización.
forman, destruyen (o las destruyen las operaciones policiales)
n Las funcionalidades de seguridad coherentes en toda
y se reforman las pandillas de ransomware. Por lo tanto, es
la superficie de seguridad (Anti-Botnet, DNS, URL, IPS
fundamental considerar que, a pesar de que cambian los y AV) aumentan las posibilidades de detener un ataque
nombres de las familias y algunos de los aspectos técnicos de en una de sus distintas etapas.
la operación del ransomware, muchos de los TTP empleados en
34
una intrusión previa a la implementación del ransomware son los mismos entre los grupos. Esto se atribuye en parte al ecosistema
de afiliados de ransomware, donde los afiliados implementan ransomware en nombre de varios grupos según su pago, y en parte al
hecho de que las redes de las víctimas aún no logran mitigar el modus operandi de los operadores de ransomware.
Consideraciones finales para el equipo del SOC

Noción de los factores más observados que contribuyeron a un incidente
Cabe señalar que los datos de esta sección están sesgados porque solo provienen de investigaciones que hace el equipo de IR de
FortiGuard. Esto significa que solo se consideran los incidentes en los que la víctima estuvo comprometida hasta el punto de requerir
apoyo externo. No incluyen los incidentes mitigados de manera efectiva por los controles del cliente ni los incidentes en los que el
equipo de IR de FortiGuard no participó. Independientemente de estos sesgos, los datos aún brindan información valiosa sobre qué
técnicas contribuyen a las intrusiones a gran escala.
Los incidentes que investigan nuestros equipos de IR unen varias regiones y abarcan una amplia gama de industrias, como se
muestra en Figura 31 abajo.
Figura 31: Desglose por industria y región de las víctimas que investigó el equipo de IR de FortiGuard en 2022
Como parte de nuestro proceso de respuesta a incidentes, identificamos los factores que contribuyeron al incidente de seguridad
de una organización para poder recomendar dónde enfocar los esfuerzos para evitar futuras intrusiones. El resultado cotejado de
estas evaluaciones se muestra abajo, con los factores contribuyentes agrupados.
Figura 32: Factores que contribuyen a las intrusiones por incidentes que investigó el equipo de IR de FortiGuard en 2022
35
Como se muestra en esta gráfica, los factores contribuyentes que dominaron los incidentes que investigó el equipo de IR de
FortiGuard en 2022 incluyeron:
n Manuales de estrategias de IR inadecuados (78 %): la organización víctima carecía de los manuales de estrategias para detectar
o mitigar las amenazas con confianza. En estos casos, el cliente tenía las herramientas para detectar y mitigar, pero no sabía cómo
emplearlas de manera efectiva para mitigar, contener, fortalecer o corregir las amenazas asociadas con la intrusión.
n Faltade visibilidad y registro de la red y el sistema (70 %): las organizaciones víctimas no pudieron detectar Indicators
of Compromise iniciales asociados con las primeras etapas de la cadena de eliminación. Las fuentes de datos no fueron
monitoreadas, o no existían las capacidades para detectarlas, lo que impidió una mitigación temprana y dificultó una respuesta
adecuada.
n Procedimientos de IR inadecuados (57 %): las organizaciones víctimas carecían de orientación para manejar un incidente de
seguridad. Esto se reflejó en un tiempo mucho más prolongado para responder o proporcionó una respuesta inadecuada que
permitió al adversario completar su misión (en muchos casos, la implementación exitosa del ransomware).
n Administración inadecuada de parches (57 %): la organización víctima no aplicó parches a las vulnerabilidades conocidas dentro
de un plazo razonable. Estas vulnerabilidades después se convirtieron en fundamentales para que un adversario progresara a
través de su cadena de eliminación.
En la mayoría de los casos, la solución de estas deficiencias es sobre todo de procedimiento. Sin embargo, el problema de la
administración de parches continúa siendo un factor que contribuye a las intrusiones que afectan a las organizaciones de todo el
mundo. En los incidentes que investigamos, las víctimas generalmente conocían los sistemas sin parches, pero “no habían llegado”
a aplicar los parches necesarios. En situaciones como esta, se recomienda firmemente que se prioricen los parches críticos sobre
otras tareas asignadas al equipo de seguridad. Un compromiso de IR en toda regla causado por el aprovechamiento de tales
vulnerabilidades alterará las prioridades existentes de cualquier manera, asegurando una vía más costosa para aplicar los parches
necesarios.
La situación es similar cuando las víctimas carecen de visibilidad o registro de la red y del sistema. La víctima se quedó bloqueada
en una implementación parcial de una herramienta de seguridad (como un EDR) y un actor de amenazas pudo comprometer una
red a través de un dispositivo desprotegido. Al igual que con la aplicación de parches, la instalación completa de productos de
seguridad y la centralización de registros se deben priorizar sobre otras funciones de seguridad. Las implementaciones incompletas
y las brechas en la visibilidad pueden crear una falsa sensación de seguridad e ineficiencias en los manuales de estrategias porque
existe la sensación de que se hizo algo. Sin embargo, tales deficiencias dificultan o imposibilitan la aplicación de mitigaciones a
las intrusiones en curso y dan a los adversarios activos libertad entre las acciones de los defensores para mantener el acceso y
aumentar la complejidad de sus investigaciones.
Las organizaciones deben evaluar periódicamente la visibilidad de su red para asegurarse de que puedan detectar intrusiones
en todas las etapas de la cadena de eliminación del adversario. Para hacer esto, las organizaciones pueden observar las fuentes
de datos disponibles de sus herramientas existentes y luego compararlas con las fuentes de datos necesarias para detectar las
amenazas actuales a su entorno. Por ejemplo, hubo un aumento reciente en el uso de macros de OneNote para el acceso inicial.
Las organizaciones se deben asegurar de que pueden detectar eventos de creación de procesos para procesos LOLbins comunes
de los procesos de OneNote. Si no pueden, deben analizar cómo reconfigurar las funciones de seguridad existentes para ver estos
indicadores.
Cuando las organizaciones víctimas carecían de procedimientos y manuales de IR adecuados, se esforzaban por responder de
manera efectiva a una intrusión. Esto produjo un compromiso prolongado y la frustración de una víctima. Las organizaciones deben
buscar construir y mantener un conjunto sólido de procedimientos y manuales de estrategias siguiendo las mejores prácticas de
la industria antes de un incidente.1. Para respaldar esto, el equipo de IR de FortiGuard ofrece una serie de servicios proactivos que
ayudan a las organizaciones a crear planes de respuesta a incidentes (IRP) y manuales de estrategias de respuesta a incidentes
(IR Playbooks). Además, el equipo puede evaluar los IRP existentes y los manuales de estrategias de IR a través de una evaluación
de preparación de IR o actividades de simulación de IR. En estas actividades, el equipo de IR de FortiGuard trabajará mediante
escenarios con los equipos y ejecutivos de seguridad de una organización para “probar en la práctica” su capacidad para responder
de manera efectiva a varios incidentes.
36
Conclusión
Los ciberdelincuentes nunca desperdician una oportunidad. Ya sea una vulnerabilidad, una vulnerabilidad de seguridad o una
guerra internacional, las amenazas siempre van en aumento, especialmente cuando se obtendrán ganancias. Monitorear y
conocer regularmente las nuevas tendencias puede ayudarnos a prepararnos de manera proactiva para lo que está por suceder,
asegurándonos de que nuestras organizaciones se mantengan en funcionamiento incluso en caso de un ataque inesperado.
Los últimos seis meses también nos han demostrado que no podemos descartar las amenazas más antiguas: evolucionan
constantemente, buscan espacios que no están parcheados o nuevas vulnerabilidades que pueden ayudarlas a proliferar. Como
líder de la industria, queremos que se sienta seguro al proteger su actividad empresarial. Hacemos eso proporcionándole una visión
integral de cómo está evolucionando el panorama de amenazas desde una perspectiva de alto nivel y destacando las herramientas
críticas que puede implementar para mejorar su postura de ciberseguridad, asegurándose de que no deje ningún vacío en sus
protecciones.
Lo más importante es que nuestros expertos siempre están disponibles para ayudar. ¡Esperamos actualizarlo nuevamente sobre el
panorama de amenazas en evolución en nuestro próximo informe!
Usted tiene la oportunidad de proteger y mitigar

Entonces, ahora que ya obtuvo información crítica sobre lo que sucedió en los últimos seis meses, la pregunta continúa siendo:
“¿Qué puede hacer con esta amplia variedad de amenazas, el volumen creciente de variantes de malware y los ATP sofisticados y en
evolución?
Uno de los pasos más importantes es asegurarse de que los productos en los que confía para enfrentar estos desafíos puedan
aprovechar la inteligencia artificial (IA), el aprendizaje automático (ML) y el aprendizaje profundo (DL), junto con otros análisis
avanzados. Estas funcionalidades permiten que sus soluciones:
n Sigan el ritmo del procesamiento del enorme volumen de datos de eventos que generan las organizaciones digitales actuales.
n Identifiquen actividades anómalas y de alto riesgo que, por lo general, imitan operaciones legítimas en cualquier lugar de su red
distribuida.
n Capten toda la superficie de ataque y las etapas de la cadena de cibereliminación para establecer una visibilidad integral incluso
mientras su red evoluciona.
n Se integren con los controles de seguridad tradicionales dentro de una plataforma de ciberseguridad para simplificar y acelerar las
operaciones, garantizar la aplicación coherente de políticas y automatizar una respuesta unificada ante las amenazas.
Si le preocupa conocer su entorno cada vez más complejo o enfrenta desafíos creados por la brecha de habilidades en
ciberseguridad, considere contratar expertos en MDR (Detección y respuesta administradas) para sus instancias de EDR. Estos
expertos en seguridad pueden ampliar sin problemas su equipo para ajustar regularmente sus defensas, comprender dónde se usan
de forma maliciosa sus aplicaciones empresariales legítimas, buscar amenazas emergentes en su entorno y ayudarlo a estar atento
a las alertas mientras proporcionan correcciones las 24 horas del día, los 7 días de la semana. Obtenga más información sobre MDR.
37
Glosario del informe de panorama de amenazas: Herramientas de Fortinet
ETAPAS DE MITRE LO QUE HACEN LOS MALOS LO QUE DEBEMOS HACER

ATT@CK ACTORES
Reconocimiento, El adversario FortiDeceptor proporciona una solución de engaño de TO/TI/IoT no intrusiva y
Desarrollo de recursos sin agentes para detectar amenazas activas en la red. Los señuelos generan
1. Trata de recopilar información alertas procesables de alta fidelidad que dan como resultado una respuesta
que pueda usar para planificar automatizada a incidentes para ayudar a detener los ataques de día cero.
operaciones futuras
La solución marca el reconocimiento activo en la red en etapa temprana que
2. Trata de establecer recursos precede a los ciberataques reales. También detecta ransomware, uso de
que pueda usar para respaldar credenciales robadas, escalada de privilegios, movimiento lateral, recopilación
operaciones. de datos, escaneo de puertos y servidores y otras actividades de amenazas.
El servicio de FortiRecon escanea Internet, la dark web, el código abierto

y los foros clandestinos y abiertos para detectar automáticamente activos,
vulnerabilidades y configuraciones erróneas conocidas/desconocidas de
Internet. Detecta credenciales y datos filtrados, además de monitorear y
alertar continuamente sobre los cambios hechos en la huella digital de una
organización en la web, los canales sociales y las tiendas de aplicaciones.
Al aprovechar la seguridad con tecnología de IA líder en la industria con la

experiencia del equipo de investigación de amenazas de FortiGuard, el servicio
alerta sobre infracciones de marca y ofrece información clave y orientación
sobre la priorización de la corrección. También ejecuta eliminaciones de sitios
de suplantación de identidad, aplicaciones móviles no autorizadas, cuentas
de redes sociales falsas, errores tipográficos y más para ayudarlo a mejorar
continuamente su postura de seguridad y proteger su marca y sus clientes de
las ciberamenazas.
Acceso inicial El adversario trata de entrar en Las soluciones de Sandbox en línea incluyen varios motores de ML que
su red. proporcionan análisis estático de código en tránsito y análisis dinámico de
código que se ejecuta en un entorno seguro e instrumentado.
El acceso inicial consta de
técnicas que usan varios vectores Además, el analista de seguridad virtual de FortiNDR usa una red neuronal
de entrada para obtener un punto artificial para proporcionar una detección en fracciones de segundo
de apoyo inicial dentro de una red. de malware previamente desconocido, incluyendo la información de su
composición de funciones, comparándolo con más de dos docenas de clases
Las técnicas que se usan para de amenazas comunes.
obtener el punto de apoyo
incluyen el phishing de objetivo Ambos productos se pueden integrar en varios vectores de ataque para
dirigido y el aprovechamiento de identificar el código que busca la vía de entrada a través del correo
vulnerabilidades de seguridad de electrónico, la web, varias aplicaciones en la nube y otras. Luego, automatizan
las debilidades en los servidores las acciones de respuesta correspondientes.
web públicos.
Ejecución, Persistencia, FortiEDR identifica las aplicaciones vulnerables y las protege de las
Escalada de vulnerabilidades de seguridad, mientras que un motor ML bloquea la
Privilegios, Evasión instalación de códigos maliciosos sin necesidad de una inteligencia frente a
de Defensa, Acceso amenazas preexistente. El análisis de comportamiento, tanto en el dispositivo
con Credenciales, (para la detección y desactivación patentadas del código en ejecución) como
Detección, Movimiento en un motor de flujo de control dinámico en la nube, continúan clasificando
Lateral y Recopilación y reclasificando la actividad del sistema. Un marco de trabajo de respuesta
predefinido automatiza la función de contención y corrección.
FortiGuard IPS proporciona inteligencia casi en tiempo real con miles de reglas
de prevención de intrusiones para detectar y bloquear amenazas conocidas
y de día cero antes de que lleguen a sus dispositivos. Nuestro equipo de
investigación interno acreditado con más de 1,000 detecciones de día cero
amplía el servicio.
Las herramientas de ampliación del SOC como SOCaaS y FortiAnalyzer, que

incluyen IOC y Servicio de detección de brotes, son parte del Fortinet Security
Fabric. FortiAnalyzer proporciona análisis y automatización al security fabric
para proporcionar una mejor detección y respuesta contra los ciberriesgos.
38
ETAPAS DE MITRE LO QUE HACEN LOS MALOS LO QUE DEBEMOS HACER

ATT@CK ACTORES
Comando y control, FortiNDR usa un motor ML para perfilar la actividad de la red e identificar
exfiltración e impacto desviaciones (incluyendo nuevas comunicaciones salientes) junto con una
serie de análisis pragmáticos para identificar indicadores adicionales de
riesgo, como cifrados débiles, protocolos vulnerables e IoC relacionados con
cibercampañas existentes.
Las integraciones con el firewall, la orquestación de seguridad, manuales

de estrategias, automatización y plataformas de respuesta aceleran la
investigación y la contención.
Muchos de estos productos pueden identificar la acción sobre los objetivos

(impacto) de los cibercriminales, incluyendo los dispositivos comprometidos,
el movimiento lateral, la exfiltración de datos, el cifrado de datos y otras.
El Next-Gen Firewall de FortiGate, con los servicios de seguridad con

tecnología de IA DE FortiGuard integrados de forma nativa incluyen:
n Seguridad web
n Seguridad de dispositivos
n Seguridad del contenido
Evaluación y mejora n FortiTester para simulación de ataques de rendimiento y violación de datos

continua
n Servicios de Evaluaciones de preparación para tener un ciclo continuo de
evaluación y calibración de su postura de riesgo.
n Capacitación y concientización en ciberseguridad para crear una fuerza

laboral con ciberconciencia.
n FortiSOAR integrado en el Fortinet Security Fabric proporciona orquestación,

automatización y respuesta de seguridad (SOAR) para obtener
administración de casos, automatización y orquestación innovadoras.
1
https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf
www.fortinet.com/lat
Copyright © 2023 Fortinet, Inc. Todos los derechos reservados. Fortinet®, FortiGate®, FortiCare®, FortiGuard® y otras marcas son marcas comerciales registradas de Fortinet, Inc., y otros nombres de Fortinet contenidos en este documento también pueden ser nombres registrados o marcas
comerciales de Fortinet conforme a la ley. El resto de los nombres de productos o de empresas pueden ser marcas registradas de sus propietarios respectivos. Los datos de rendimiento y otros indicadores contenidos en este documento se han registrado en pruebas internas de laboratorio
bajo condiciones ideales, de forma que el rendimiento real y otros resultados pueden variar. Variables propias de la red, entornos de red diferentes y otras condiciones pueden afectar a los resultados del rendimiento. Nada de lo contenido en este documento representa un compromiso
vinculante de Fortinet, y Fortinet renuncia a cualquier garantía, expresa o implícita, salvo en los casos en los que Fortinet celebre un contrato vinculante por escrito, firmado por el director del Departamento Jurídico de Fortinet, con un comprador, en el que se garantice expresamente que
el producto identificado cumplirá un determinado indicador de rendimiento expresamente identificado, y en tal caso, solamente el indicador de rendimiento específico expresamente identificado en dicho contrato por escrito será vinculante para Fortinet. Para dejarlo absolutamente claro,
cualquier garantía de este tipo se verá limitada al rendimiento en las mismas condiciones ideales que las de las pruebas de laboratorio internas de Fortinet. Fortinet no se hace en absoluto responsable de ningún pacto, declaración ni garantía en virtud de este documento, expresos o implícitos.
Fortinet se reserva el derecho de cambiar, modificar, transferir o revisar de cualquier otro modo esta publicación sin previo aviso, siendo aplicable la versión más actual de la misma.
marzo 28, 2023 5:38 p. m.
1471550-0-0-ES

Report 2023 Threat Landscape - ES - LR Comprimido

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Report 2023 Threat Landscape - ES - LR Comprimido

Cargado por

Copyright:

Formatos disponibles

Febrero de 2023

Informe global del panorama

Aspectos destacados clave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Reconocimiento y desarrollo de recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Acceso inicial: aspectos destacados de la técnica . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Mapas de calor de TTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Ejecución, persistencia y evasión de defensa . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Comando y control, exfiltración e impacto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Datos globales de botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Niños nuevos en Bot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Perspectivas desde las trincheras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Host Bastión malicioso de BYO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Crimen financiero oportunista que dominó el centro de atención . . . . . . . . . . . . 34

Consideraciones finales para el equipo del SOC . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Aspectos destacados clave del segundo semestre de 2022:

No excluya el pasado Ransomware y Wipers Presentamos “La zona roja”

Exchange se convierte en un Manténgase atento a Pre-

Reconocimiento y desarrollo de recursos

Figura 1: Actividad de los actores y la confiabilidad de su información

n Intercambio y anuncios de datos robados

n Diversos accesos a infraestructura comprometida

n Vulneraciones de día cero y vulnerabilidades de seguridad

n DDoS y actividades de desfiguración del sitio web

n Distribución de herramientas de acceso malintencionado y registros de ladrones

Figura 2: Número de víctimas de ransomware anunciado en la Deep Web

Figura 3: Charlas sobre vulnerabilidad en la Deep Web por año de divulgación

n Recopilación de información mediante una solución de protección de riesgo digital.

Acceso inicial: aspectos destacados de la técnica

Detección Remoto Transferencia Datos cifrados

Si desea explorar más, regístrese en nuestra herramienta gratuita: FortiGuard Threat

Figura 6: Técnicas para datos de FortiSandbox Cloud por táctica

África Asia Europa América del Oceanía América del

Figura 7: Técnicas para datos de FortiSandbox Cloud por táctica y región

Aproximadamente del 0.8 % de todos los CVE yy bajo

No observado en endpoints Observado en endpoints Observado y bajo ataque

Los proveedores difieren en términos de presencia de CVE y objetivo en los endpoints

No observado en endpoints Observado en endpoints Observado y bajo ataque

100 K CVE-2019-0948 CVE-2016-3351 CVE-2019-2449

100100 K 100M100B 100100 K 100M100B

Figura 11: Prevalencia de las principales detecciones de IPS por plataforma

Figura 12: Las 5 principales detecciones de IPS específicas de Microsoft

Al examinar las amenazas de MS.Windows, vemos que MS.Windows.CVE-2020-1381.Privilege.Elevation es una vulnerabilidad de

Luego tenemos MS.Windows.HTTP.sys.Request.Handling.Remote.Code.Execution, descubierta por primera vez en 2014. Esta

Por último, MS.Windows.Print.Spooler.AddPrinterDriver.Privilege.Escalation, una vulnerabilidad de seguridad en Microsoft Windows

El largo alcance de Log4j

Novato del semestre

n Next-Generation Firewall con IPS para proteger dispositivos de TI/TO/IoT en la red

n Web Application Firewall con IPS para proteger servidores Web

n Tecnología Sandbox para detectar vulnerabilidades de seguridad y TTP nuevos y avanzados.

Figura 14: Principales APT observadas

Figura 15: Principales familias por tipo de malware

En primera instancia, empecemos a observar algunos aspectos interesantes:

También vemos un nombre familiar en la parte superior de la categoría RAT (troyano

Afortunadamente, hay muchos servicios y herramientas disponibles para que las

Examinamos una colección de 98 variantes diferentes de Emotet y analizamos su

Figura 17: Volumen mensual de ransomware para 2022

¿Necesita ayuda su equipo de operaciones de seguridad con poco personal?

Figura 18: Volumen trimestral de wiper de 2022

Ejecución, persistencia y evasión de defensa

Figura 21: Técnicas de evasión de defensa MITRE que observó IR de FortiGuard

PowerShell: continúa siendo una herramienta fundamental en los manuales de

Comando y control, exfiltración e impacto

Figura 26: Volumen mensual de las 10 botnets principales