Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CIBERSEGURIDAD
2023
USTED
MERECE
LA MEJOR
SEGURIDAD
INTRODUCCIÓN
AL INFORME SOBRE
SEGURIDAD DE
CHECK POINT 2023
M AYA HOROW IT Z
Vicepresidenta de Investigación de Check Point
Maya Horowitz
Vicepresidenta de Investigación en Check Point Software Technologies
EJE CRONOLÓGICO
DE LOS EVENTOS
CIBERNÉTICOS
CLAVE DE 2022
ENERO
Ucrania ha sido golpeada por un ciberataque a gran escala que derribó varios sitios web
gubernamentales. Los agentes de amenazas desfiguraron el sitio web de Asuntos Exteriores
y colocaron un mensaje amenazante que decía “¡Ucranianos! Toda la información sobre
ustedes se ha hecho pública. Tengan miedo y esperen lo peor”. Los investigadores también
encontraron evidencia sobre una importante operación en curso dirigida a múltiples
organizaciones en Ucrania: se utilizaba un malware disfrazado de ransomware que podría
hacer que un sistema quede inoperable.
Los canales de televisión y una estación de radio dirigida por la emisora estatal de Irán fueron
hackeados en un complejo ataque perpetrado por un grupo de oposición exiliado. El grupo
hacktivista Edalat-e Ali (Justicia de Ali) hackeó el sitio web de la televisión iraní y transmitió
un video con un fuerte mensaje de oposición. El video comenzó con imágenes de personas en
el estadio Azadi de Teherán gritando “muerte al dictador”, refiriéndose al líder supremo Ali
Kamenei, luego cortó un primer plano de un hombre enmascarado similar al protagonista
de la película V de Vendetta, quien dijo “Khamenei tiene miedo, los cimientos del régimen se
tambalean”. Check Point Research realizó un análisis técnico profundo de uno de los ataques.
CPR pudo descubrir parte de las herramientas que se utilizaron en esta operación, incluida la
evidencia del uso de un malware wiper destructivo.
UCR A NI A IR Á N
FEBRERO
Ucrania ha estado en el centro de diversos ataques de DDoS dirigidos contra sus fuerzas
armadas, el Ministerio de Defensa, la radio pública y los sitios web de los bancos nacionales.
El Gobierno de Estados Unidos ha atribuido oficialmente los ataques a la Dirección Principal
del Estado Mayor de las Fuerzas Armadas de Rusia.
https://research.checkpoint.com/2022/state-sponsored-attack-groups-capitalise-on-russia-ukraine-war-for-cyber-espionage/
Check Point Research ha publicado datos sobre los ciberataques observados en torno al
actual conflicto entre Rusia y Ucrania. Los ciberataques contra los sectores gubernamental
y militar de Ucrania aumentaron en un 196 % en los primeros tres días de combate. Los
ciberataques a organizaciones rusas aumentaron en un 4 %. Los correos electrónicos de
phishing en lenguas eslavas orientales se multiplicaron por 7.
MARZO
El “ejército de TI” de Ucrania, formado por ciberoperadores y voluntarios de todo el mundo,
se ha adjudicado ataques que derribaron múltiples sitios web clave rusos y bielorrusos,
incluido el sitio oficial del Kremlin.
Como parte de la fuga de NVIDIA perpetrada por la banda de ransomware Lapsus$, se utilizaron
2 certificados de firma de código robados para firmar sus controladores y archivos ejecutables.
Los atacantes ya han comenzado a utilizar estos certificados para firmar malware, con la esperanza
de evadir las soluciones de seguridad. La banda de ransomware Lapsus$, que se adjudicó la
responsabilidad de la filtración al gigante de la fabricación de chips NVIDIA, afirma que ha logrado
infiltrarse en el fabricante coreano Samsung y publicar 190 GB de datos confidenciales en Internet.
Uno de los mayores productores cárnicos de Rusia, Miratorg Agribusiness Holding, ha sufrido
un importante ciberataque. Los agentes de amenazas usaron Windows BitLocker para cifrar los
sistemas de TI de la víctima en volúmenes completos y exigieron un rescate. El ataque provocó
interrupciones en la distribución durante varios días.
RUSI A
ABRIL
Check Point Research (CPR) reveló un gran aumento en los ataques perpetrados por
grupos de amenazas persistentes avanzadas (Advanced Persistent Threat, APT) en todo el
mundo, utilizando como señuelo la guerra entre Rusia y Ucrania. La mayoría de los ataques
comenzaron con correos electrónicos de spear-phishing con documentos con macros
maliciosas que soltaban malware, como loki.Rat de puerta trasera.
SING A PUR
Sintonice CP<RADIO> nuestro canal de podcast para escuchar este podcast revelador
https://research.checkpoint.com/2022/blockchain-security-101/
MAYO
Lincoln College, una institución con 157 años de trayectoria en Illinois, anunció que cerrará
indefinidamente después de que un importante ataque de ransomware ocurrido en diciembre
de 2021 afectara las operaciones escolares.
El grupo de hackers con patrocinio del estado ruso, Turla, ha lanzado una campaña de
reconocimiento contra la Cámara Federal de Economía de Austria, una plataforma de la
OTAN, y el Baltic Defense College (Colegio de Defensa del Báltico).
JUNIO
Se ha informado que los servicios de inteligencia rusos han aumentado los ataques contra los
gobiernos y las ONG que apoyan a Ucrania en 42 países diferentes, con el objetivo de obtener
información confidencial de las agencias de los países miembro de la OTAN.
JULIO
Tanto Noruega como Lituania fueron víctimas de DDoS a gran escala. Se presume que
los ataques han sido perpetrados por grupos de hackers independientes prorrusos, con el
objetivo de desalentar el apoyo de estos países a Ucrania.
Twitter ha sufrido una filtración de datos después de que agentes de amenazas utilizaran
una vulnerabilidad para crear una base de datos de números de teléfono y direcciones de
correo electrónico pertenecientes a 5,4 millones de cuentas; estos datos están actualmente
a la venta en un foro de hackers por 30 000 USD. Según se ha informado en un mercado de
datos robados, la base de datos contiene información sobre varias cuentas, incluidas las de
celebridades, empresas y usuarios al azar.
NORUEG A LIT UA NI A
AGOSTO
South Staffordshire Water, la empresa de suministro de agua más grande del Reino Unido que
abastece 330 millones de litros de agua potable a 1,6 millones de consumidores diariamente,
ha sido víctima de un ataque de ransomware lanzado por Cl0p, una banda de ransomware
de habla rusa. El grupo causó la interrupción de los sistemas de TI de la compañía, lo que
les permitió acceder a más de 5 TB de datos, incluidos pasaportes, capturas de pantalla de
sistemas SCADA para el tratamiento del agua, licencias de conducir y mucho más.
Apple ha emitido un parche urgente para dos fallas de día cero aprovechadas activamente por
los atacantes para hackear iPhones, iPads o Macs. Entre ellos se encuentra CVE-2022-32893,
una vulnerabilidad de escritura fuera de límites en WebKit que permitiría a un atacante
realizar la ejecución de código arbitrario, y CVE-2022-32894, una vulnerabilidad de escritura
fuera de límites en el núcleo del sistema operativo que permitiría a un atacante ejecutar
código con privilegios del núcleo.
Check Point Research ha descubierto una campaña de minería de criptomonedas activa que
imita a “Google Translate Desktop” y a otro software gratuito para infectar las PC. Creada por
una entidad de habla turca llamada Nitrokod, la campaña cuenta con 111 000 descargas en
11 países desde 2019.
SEPTIEMBRE
Se produjo un gran embotellamiento en Moscú tras un tipo de ataque físico de DDoS, cuando
atacantes hackearon el servicio ruso de taxis Yandex y enviaron a cientos de automóviles a
una ubicación específica. El grupo Anonymous afirma estar detrás de este ataque.
Varios ciberataques vinculados con Irán han estado alterando los sistemas gubernamentales
de Albania desde julio, obligando a este país a cerrar algunos servicios en línea. En
respuesta, el gobierno de Albania puso fin a sus vínculos diplomáticos con Irán, y ordenó al
personal a que se fuera dentro de las 24 horas. El último ataque que ocurrió durante el fin
de semana, supuestamente perpetrado por el mismo actor, tuvo como objetivo el sistema
informático de la policía albanesa y obligó a los funcionarios a dejar de usar su sistema TIMS,
que se utiliza para el registro de datos de inmigración.
Esta semana se registró un nuevo ataque DDoS récord, que alcanzó un máximo de
704,8 Mpps, aproximadamente un 7 % más que el ataque anterior registrado en la misma
organización europea el pasado julio.
OCTUBRE
Los grupos hacktivistas de todo el mundo han apuntado al régimen iraní, a medida que
continúan las protestas en todo el país. Los grupos han estado filtrando información
relacionada con funcionarios del gobierno iraní y ofreciendo apoyo a los manifestantes para
que compartan información y evadan la censura.
Check Point Research publicó un informe que explica la tendencia creciente del hacktivismo
estatal. Si bien en el pasado los grupos hacktivistas solían no afiliarse con intereses
nacionales, actualmente los grupos participan en iniciativas dirigidas por el estado,
impulsados por conflictos geopolíticos.
El grupo de amenazas de habla rusa, Killnet, se adjudica la responsabilidad por los ataques
que dejaron fuera de servicio diferentes sitios web del gobierno estatal de los EE. UU.,
incluidos los de Colorado, Kentucky, Misisipi y otros.
La empresa de compras en línea Woolworths ha informado una filtración de datos que afecta a
más de dos millones de usuarios australianos de su subsidiaria MyDeal. La empresa dijo que la
vulneración se debió a una credencial de usuario comprometida que se utilizó para obtener acceso
no autorizado al sistema de gestión de relaciones con los clientes de MyDeal. Varias compañías
australianas han sido atacadas durante octubre: Medibank, la firma de seguros médicos más
grande del país, congeló sus operaciones en la bolsa de valores de Australia después de
confirmar una filtración de datos de 200 GB; en una vulneración de la red del minorista de vinos
Vinomofo se filtraron datos de más de 500 000 clientes; un ataque a la compañía de energía
EnergyAustralia dejó expuestos los datos de pago de cientos de clientes de la compañía.
El grupo hacktivista afiliado a Rusia “Killnet” ha lanzado un ataque DDoS contra sitios web del
gobierno de Bulgaria, haciendo que estos sean inaccesibles. Killnet afirmó que Bulgaria fue
blanco de sus ataques debido a su “traición a Rusia” y al suministro de armas a Ucrania.
El fabricante de cobre más grande de Europa, Aurubis, ha sido víctima de un ciberataque dirigido
a sus sistemas de TI, y obligó a la compañía a apagar muchos de los sistemas de sus sitios.
OpenSSL, que se utiliza ampliamente para comunicaciones seguras, advirtió sobre una
vulnerabilidad crítica en las versiones 3.0 y superiores que se publicarán el martes 1.º de
noviembre. Eventualmente, las vulnerabilidades publicadas se redujeron a gravedad “alta”.
Check Point Research descubrió que los ataques globales aumentaron en un 28 % en el tercer
trimestre de 2022, siendo los sectores de educación/investigación los más afectados en general
y el sector de atención médica como el blanco más elegido para ataques de ransomware.
NOVIEMBRE
El Ejército de TI de Ucrania afirma haber obtenido acceso al Banco Central de Rusia. Publicaron
27 000 de los archivos filtrados, que contenían datos personales, legales y financieros.
Check Point Research identificó un paquete malicioso nuevo y único en PyPI, el índice de
paquetes líder utilizado por los desarrolladores para el lenguaje de programación de Python.
El paquete fue diseñado para ocultar código en imágenes e infectar a través de proyectos de
código abierto en Github.
El ransomware Azov se está distribuyendo en todo el mundo para cifrar los archivos de
las víctimas mientras que, de hecho, un análisis de Check Point Research demuestra que
el ransomware Azov es un wiper de datos destinado a destruir datos sin forma de recuperar
los archivos.
Meta ha despedido a varios empleados que están acusados de recibir miles de dólares en
sobornos de hackers externos a cambio de otorgarles acceso a los perfiles de Facebook o
Instagram de los usuarios. Los empleados utilizaron la herramienta de soporte interno de
la empresa, que permite el acceso completo a cualquier cuenta de usuario.
El sitio web del Parlamento Europeo ha sido atacado tras un voto que declaraba a Rusia
como estado patrocinador del terrorismo. Los grupos hacktivistas prorrusos, Anonymous
Russia y Killnet, se han atribuido la responsabilidad del ataque que ha causado una deneg-
ación de servicio distribuida (DDoS) continua.
El grupo de ransomware Black Basta está llevando a cabo una campaña dirigida a organi-
zaciones en los Estados Unidos, Canadá, Reino Unido, Australia y Nueva Zelanda. El grupo
utiliza el troyano bancario QakBot (también conocido como QBot, Pinkslipbot) para infectar
un entorno e instalar una puerta trasera que le permita insertar el ransomware.
DICIEMBRE
Los ciberdelincuentes que vulneraron los sistemas australianos de Medibank han liberado otro
lote de datos en la web oscura y afirman que los archivos contienen todos los datos recopilados
en el último atraco bancario que afectó a 9,7 millones de clientes en octubre de 2022. Medibank
ha confirmado la filtración de datos.
Los investigadores descubrieron que más de 300 000 usuarios en 71 países fueron afecta-
dos por una campaña contra Android destinada a robar credenciales de Facebook. Esto se
logró gracias al uso del troyano de dispositivos móviles Schoolyard Bully que se implementó
en aplicaciones legítimas con temas educativos, disponibles en Google Play Store oficial.
Check Point Research ha analizado la actividad del grupo de ciberespionaje Cloud Atlas.
Desde su descubrimiento en 2014, el grupo ha lanzado múltiples ataques altamente dirigidos
a infraestructuras críticas en varias zonas geográficas e involucradas en conflictos políticos;
sin embargo, su alcance se ha reducido significativamente el último año, con un claro enfoque
en Rusia, Bielorrusia y áreas en conflicto en Ucrania y Moldavia.
A medida que los modelos de inteligencia artificial (IA) se vuelven cada vez más populares, Check
Point Research analiza los riesgos y las ventajas de la tecnología. CPR demuestra cómo las
tecnologías de IA, como ChatGPT y Codex, pueden utilizarse fácilmente para crear un flujo de
infección completo, desde el spear-phishing hasta la ejecución de una shell inversa, y proporciona
ejemplos del impacto positivo de la IA del lado de los defensores.
TENDENCIAS DE
CIBERSEGURIDAD
EN 2022
CONFLICTO ENTRE
RUSIA Y UCRANIA
La guerra Rusia-Ucrania en curso ha tenido un Tal como en el campo de batalla físico, los
profundo efecto en el ciberespacio y ha causado rusos aparentemente no se prepararon
un aumento significativo en los ciberataques para una campaña cibernética larga.
en 2022. El hacktivismo se ha transformado Sus operaciones cibernéticas, que en las
y el uso de malware destructivo por parte de primeras etapas incluyeron ataques precisos
grupos patrocinados por el estado y entidades cuidadosamente planificados, han cesado.
independientes se ha vuelto más frecuente a Múltiples herramientas y wipers nuevos, que
nivel mundial. eran característicos de las etapas iniciales,
han sido reemplazados por un modo operativo
El rol de la ciberguerra se ilustra claramente diferente. Los ciberataques ofensivos actuales
en este primer conflicto híbrido completamente son principalmente vulneraciones rápidas de
desarrollado, donde las batallas se combaten oportunidades a medida que surgen y el uso de
tanto en línea como en tierra física. Los rusos herramientas de ataque ya conocidas. Estos no
revelaron nuevas herramientas cibernéticas y pretenden ser un complemento de los esfuerzos
lograron objetivos tácticos que afectaron las de combate táctico, sino crear un efecto
comunicaciones militares y civiles, incluido el psicológico infligiendo daño a la infraestructura
bloqueo de las transmisiones en los medios civil ucraniana.
públicos. Si bien la actividad cibernética no
puede ganar la guerra por sí sola, desempeña El reclutamiento de ciberprofesionales,
un papel importante en las operaciones tácticas delincuentes y otros civiles para la iniciativa
y tiene un efecto psicológico y económico cibernética militar, en ambos lados del
indiscutible. conflicto, ha difuminado aún más la
distinción entre agentes de estado nación,
Para que las operaciones cibernéticas sean ciberdelincuentes y hacktivistas. El gobierno
eficaces, no es solo cuestión de emplear ucraniano ha conformado un ejército de
malware. Al igual que la guerra convencional, hacktivistas cuyo manejo es muy diferente
la ciberguerra también requiere preparaciones de cualquier cosa que hayamos visto antes.
meticulosas y exhaustivas. El reconocimiento, Anteriormente caracterizadas por una
la recopilación y evaluación de inteligencia, la cooperación poco estructurada entre personas
compilación y priorización de bancos objetivo, circunstanciales, las nuevas organizaciones
el desarrollo de cargas útiles dedicadas y hacktivistas llevan a cabo el reclutamiento, la
la infiltración de redes son todos requisitos capacitación, la recopilación de inteligencia
previos para una campaña exitosa. y asignación de objetivos y la compilación
del estado del campo de batalla de manera Ocho años de hostilidad cibernética continua
militarizada. Los ataques a entidades rusas, entre Rusia y Ucrania han servido como
que alguna vez fueron considerados vedados período de capacitación para ambas partes.
por muchas entidades de delitos cibernéticos, Las organizaciones de defensa cibernética de
ahora han aumentado y Rusia está luchando Ucrania son elogiadas como “las estructuras
bajo una ola de hackeo sin precedentes que cibernéticas defensivas más eficaces de
combina actividad patrocinada por el estado, la historia”. Conocer las herramientas y el
guerreros cibernéticos políticos y acciones modus operandi de los adversarios es de
criminales. Por otro lado, se establecieron suma importancia en la guerra cibernética. El
múltiples grupos hacktivistas afiliados a Rusia impacto de la primera implementación de un
que apuntan no solo a Ucrania, sino también
wiper particular puede ser devastador pero
a Europa, América del Norte y Japón. Para
el impacto de una segunda es, por lo general,
obtener más detalles, lea nuestra sección sobre
mucho más pequeño. Por ejemplo, el efecto del
hacktivismo.
ataque del Industroyer2 en el sector energético
El uso extensivo de malware destructivo ya ha en Ucrania en marzo de 2022 fue limitado en
ocasionado un aumento de actividades similares comparación con la primera implementación
en otras regiones que son perpetradas por
del Industroyer en 2016.
otros grupos geopolíticos. ¿Los ciberataques
pueden considerarse un acto hostil? ¿Qué tipo Aún no se ha visto el alcance completo de los
de prueba y cuán extenso debe ser el daño para
cambios provocados por este conflicto, pero ya
ser considerado un casus belli? ¿Se requieren
hemos aprendido algunas lecciones valiosas.
modificaciones a los tratados existentes?
Abordamos estas preguntas en otro capítulo del
informe titulado “Wipers”.
EL AÑO DE L A DISRUPCIÓN
DESCONTROL ADA DEL WIPER
Los wipers y otros tipos de malware destructivo Stuxnet, posiblemente el malware destructivo
están cuidadosamente diseñados para causar más famoso, se utilizó en 2010 para sabotear
daños irreversibles y, si se usan en estrecha las centrifugadoras en el proyecto nuclear
colaboración con la ciberguerra, el efecto iraní. En ese momento, Stuxnet era único en
puede ser catastrófico. Es probable que por muchos aspectos, pero principalmente porque
eso solo hayamos visto un uso limitado de su impacto inmediato era la destrucción física
los wipers a lo largo de los años y, por lo del hardware mecánico. En 2012, se implementó
general, asociados con los estados nación. Shamoon para interrumpir las actividades de
Hasta hace poco, los países utilizaban los las empresas petroleras en Oriente Medio,
ciberataques principalmente con el fin de llevar apuntando a las instalaciones de Arabia
a cabo tácticas de espionaje y recopilación Saudita y Qatar. En 2013, DarkSeoul, atribuido
de inteligencia, y solo rara vez recurrían a a Corea del Norte, se utilizó para destruir
herramientas cibernéticas destructivas. En más de 30 000 computadoras asociadas con
2022, hemos visto un cambio en la apariencia los sectores bancarios y de comunicación en
de múltiples familias de wipers nuevos que se Corea del Sur. Este ataque tuvo lugar durante
utilizan para destruir miles de máquinas. un período de fuertes tensiones entre los dos
países después de pruebas nucleares por parte
Los wipers son malware destructivo, diseñados de Core del Norte.
para causar daños con un potencial limitado
de ganancias financieras para los atacantes. En los años siguientes, fuimos testigos
Por lo tanto, el uso temprano de wipers para del ataque de Black Energy en 2015 a la
exhibir las capacidades de los atacantes fue infraestructura energética ucraniana (KillDisk)
limitado y de corta duración. Pero en todos y otro ataque a objetivos saudíes llamado
los casos, el propósito principal de los wipers Shamoon2 en 2016. NotPetya se distribuyó
es interrumpir las operaciones o destruir los contra objetivos ucranianos en 2017 en un
datos de manera irreversible. Sin embargo, el ataque a la cadena de suministro que causó
proceso de destrucción de datos tiene varias daños colaterales significativos a nivel mundial.
implementaciones tecnológicas. En 2018, el Olympic Destroyer, supuestamente
diseñado por Corea del Norte, fue utilizado
por el grupo afiliado a Rusia, Sandworm, para
interrumpir las ceremonias de apertura de los
Juegos Olímpicos de Invierno. En 2019, Dustman de arranque (Master Boot Record, MBR) de los
y ZeroCleare se utilizaron en ataques iraníes sistemas para evitar el reinicio del sistema
contra objetivos en Oriente Medio relacionados y la recuperación de archivos. Los atacantes
con la producción petrolera. En promedio, hubo dejaron una nota de rescate pero no ofrecieron
un ataque de una familia de wipers por año. un mecanismo de recuperación, lo que llevó a
la especulación de que la demanda de pago solo
Durante 2022, hubo un cambio notable en tenía la intención de engañar a las víctimas.
las tácticas de implementación de malware Los archivos se corrompieron aún más con una
destructivo. El ciberespionaje continuó como carga útil de segunda etapa que se alojaba en
antes pero esta actividad se ha complementado un canal Discord.
con operaciones cibernéticas destructivas,
instigadas por naciones cuyo objetivo parece ser En la víspera de la invasión terrestre en
infligir tanto daño como sea posible. Durante el febrero, se implementaron tres wipers
inicio de la guerra Rusia-Ucrania en febrero se adicionales: HermeticWiper, HermeticWizard
observó un repunte masivo en los ciberataques y HermeticRansom. Las herramientas deben
disruptivos llevados a cabo por Rusia contra su nombre al certificado que se emitió a
Ucrania. Rusia tiene una larga historia de “Hermetica Digital Ltd”. Más adelante ese
ciberataques contra su vecino. En enero de mismo mes se informó sobre la implementación
2022, WhisperGate se utilizó para atacar a de wipers adicionales. Otro ataque se dirigió a
organizaciones gubernamentales y financieras la red eléctrica ucraniana en abril, utilizando
en Ucrania, sobrescribiendo el registro maestro una nueva versión de Industroyer, el malware
que se utilizó en un ataque similar en 2016.
En total, fueron al menos nueve los distintos En enero de 2022, el servicio de difusión
wipers que se implementaron en Ucrania estatal iraní IRIB fue atacado por un malware
en menos de un año. Muchos de ellos destructivo. El ataque, investigado por cp<r>,
muy probablemente fueron desarrollados causó daños a las computadoras en cientos de
por separado por diferentes servicios de estaciones de televisión y radio en todo Irán.
inteligencia rusos y emplearon diferentes Las imágenes de los líderes de la oposición
mecanismos de limpieza y evasión. iraní, la organización terrorista Mojahedin-e-
Khalq (MEK), se transmitieron en las pantallas
Uno de los ataques, perpetrado horas antes de televisión en todo el país, reclamando
de la invasión terrestre a Ucrania, tenía como “¡Muerte a Ayatolla Khamenei!”. MEK, que
objetivo interferir con Viasat, la compañía lleva a cabo gran parte de su actividad desde
de comunicaciones satelitales que prestaba el exilio en Albania, negó su responsabilidad.
servicios a Ucrania. El ataque utilizó un wiper En junio, el wiper Chaplin, una versión revisada
llamado AcidRain que fue diseñado para borrar de Meteor que había utilizado antes Predatory
módems y enrutadores, y cortar el acceso Sparrow, afectó a las plantas de acero en
a Internet a cientos de miles de sistemas. Irán. Se informaron otros ataques de wipers
También hubo daños colaterales significativos, en Irán que emplearon a las familias Dilema
incluidas miles de turbinas eólicas en Alemania. y Forsaken, pero atrajeron menos atención
debido a los disturbios generales dados en
Los ataques fueron claramente el resultado
el país.
de una planificación detallada. Algunas de las
herramientas se diseñaron específicamente El 18 de julio, solo unos días antes de la
para adaptarse a sus objetivos previstos, con conferencia de MEK titulada “la Cumbre
atacantes que vulneraban las medidas de Mundial de Irán Libre”, el gobierno albanés
seguridad y obtenían acceso meses antes y, declaró que había tenido que “cerrar
luego, utilizaban objetos de políticas grupales temporalmente el acceso a servicios públicos
(Group Policy Objects, GPO) para implementar en línea y otros sitios web gubernamentales”
sus wipers en el momento del ataque real. debido a actividades cibernéticas disruptivas.
El grupo hacktivista Homeland Justice
La actividad destructiva cibernética no se
responsable del incidente (más tarde atribuido
limitó a Rusia-Ucrania. En Oriente Medio, Irán
a Irán) utilizó varias imágenes y artículos que
ha sufrido una serie de ataques destructivos
sugieren que se llevó a cabo en represalia
desde mediados de 2021. En julio de 2021, un
por los ataques a la República Islámica.
grupo hacktivista que se identificaba como
Los investigadores descubrieron que el
Predatory Sparrow atacó el sistema ferroviario
wiper utilizado en este caso, ZeroClear, está
de Irán, causando demoras y pánico general.
relacionado con ataques destructivos dirigidos
Una investigación realizada por Check Point
previamente a objetivos del sector energético
Research (cp<r>) reveló que se utilizaron
en Oriente Medio.
versiones más antiguas de los wipers en
ataques contra múltiples objetivos en Siria.
La cumbre de MEK fue cancelada, pero esto Azov es un nuevo wiper generalizado que se
no impidió que un segundo ciberataque vincula falsamente con varios investigadores
golpeara los sistemas del gobierno albanés de seguridad y culpa a múltiples naciones y
en septiembre. Si bien este fue un ataque sin entidades políticas por el estado actual de
precedentes a un estado miembro de la OTAN, guerra. Azov no ha sido oficialmente vinculado
la alianza defensiva no lo consideró un “ataque con ninguna de las partes en combate y ha
armado” según lo definido por el Artículo 5
estado causando daños indiscriminadamente
del tratado de la OTAN. Sin embargo, la
desde noviembre de 2022, como se detalla en
organización ha reafirmado, anteriormente, que
una investigación reciente realizada por cp<r>.
el ciberespacio es parte de la tarea central de
defensa colectiva de la OTAN. Irán ha invertido
Este año se han utilizado más wipers de los
constantemente en ampliar su posición en la
que probablemente se registraron en los
infraestructura de TI de los países occidentales.
últimos 30 años y han evolucionado tanto en la
Este audaz acto de implementar malware
forma de implementarse como en el impacto
destructivo contra un miembro de la OTAN
que ocasionan. Algunos participantes en esta
sin recibir represalias podría tener
área están dispuestos a tomar medidas que
consecuencias graves.
podrían justificar una guerra, modelando la
definición de hostilidad cibernética prolongada.
La actividad cibernética destructiva continuó
Se ha vuelto cada vez más difícil diferenciar
durante 2022. Somnia, un nuevo wiper
la actividad de APT de los estados nación
devenido en ransomware fue implementado
de los grupos hacktivistas. Muchos países
por el grupo hacktivista FRwL (From Russia
están involucrados en un cierto grado en las
with Love) contra objetivos ucranianos. Los
actividades de entidades no gubernamentales,
ataques se asemejaron a las técnicas utilizadas
que van desde proporcionar inspiración,
por los grupos de ransomware, pero no se
herramientas y asignación de objetivos hasta la
exigió rescate y, obviamente, la intención era
gestión directa y el financiamiento de ataques
solo causar el máximo trastorno posible a la
encubiertos como iniciativas privadas. Esta
víctima. Recientemente, ataques similares que
ambigüedad amplía aún más las probabilidades
implementan el malware CryWiper han estado
de que los agentes de amenazas operen
apuntando a municipalidades y tribunales en
sin recibir represalias. Esto conducirá a
Rusia, dejando notas de rescate y direcciones
operaciones cibernéticas destructivas más
de la billetera de Bitcoin. Sin embargo, en
generalizadas y, a su vez, a niveles cada vez
realidad el daño es irreversible.
más altos de daños colaterales.
EL HACKTIVISMO ADQUIERE
UN ROL PROTAGONISTA
EN EL ESCENARIO GEOPOLÍTICO
A diferencia de Anonymous, que tiene una La batalla no se trata solo de causar daños.
política de puertas abiertas, sin requerimientos Todos los grupos activos son conscientes de la
de habilidades o agendas específicas, los importancia que supone la cobertura mediática.
hacktivistas de la nueva era desestiman a Utilizan sus canales de comunicación para
aquellos postulantes que no cumplen con recopilar informes de ataques exitosos y los
requisitos específicos. Esto reduce el riesgo publican para maximizar el efecto. Por ejemplo,
de exponer el funcionamiento interno de sus Killnet tiene más de 89 000 suscriptores en su
operaciones. XakNet, un grupo prorruso, canal de Telegram, donde publican ataques,
declaró que no reclutará hackers, pentesters reclutan miembros del equipo y comparten
ni especialistas en OSINT sin experiencia herramientas de ataque. También hay una
y habilidades comprobadas. Otros grupos, amplia cobertura de la actividad del grupo
como el prorruso NoName057(16),ofrecen en los principales medios de difusión rusos
capacitación a través de plataformas de para promover sus logros en el ciberespacio y
aprendizaje electrónico, tutoriales, cursos validar el impacto de sus ataques exitosos.
o tutoría.
Los grupos bien organizados y coordinados
Las operaciones organizadas invierten en la también utilizan sus recursos para cooperar
competencia técnica y las herramientas de con otras entidades. El éxito de Killnet los
sus miembros y las desarrollan. Aunque la ha puesto en una posición en la que otros
mayor parte de la actividad se centra en la grupos quieren colaborar con ellos o unir
desfiguración y los ataques DDoS utilizando fuerzas oficialmente. El 24 de octubre, Zarya
botnets, en algunos casos, los grupos utilizan (escuadrón de Killnet) supuestamente llevó a
herramientas destructivas más sofisticadas. cabo una operación conjunta con dos grupos de
TeamOneFist, un grupo afiliado a Ucrania, habla rusa, Xaknet y Beregini, para vulnerar
ha sido vinculado a actividades destructivas y filtrar datos del Servicio de Seguridad de
contra los sistemas SCADA en Rusia. El grupo Ucrania (Ukrainian Security Service, SBU).
bielorruso Belarusian Cyber Partisans, en un Además, Killnet anunció recientemente el
intento por evitar el movimiento de las tropas lanzamiento de una cooperativa de Killnet
rusas a Ucrania, encriptó las bases de datos que se ha convertido en una organización
internas de los ferrocarriles bielorrusos para coordinadora de 14 grupos hacktivistas
interrumpir su operación justo antes de que prorrusos.
comenzara la invasión. Se puedo observar al
grupo prorruso “From Russia with Love” (FRwL)
utilizando un wiper de datos llamado “Somnia”
para cifrar los datos de las organizaciones
ucranianas e interrumpir sus operaciones.
EL USO DE HERRAMIENTAS
LEGÍTIMAS COMO ARMAS
La capa básica de protección cibernética Existen varias razones por las que el uso
es reconocer las herramientas y los de herramientas legítimas es una opción
comportamientos maliciosos antes de que atractiva para los ciberdelincuentes. En primer
estos den su golpe. Los proveedores de lugar, dado que estas herramientas no son
seguridad invierten recursos sustanciales en intrínsecamente maliciosas, a menudo evaden
la investigación y el mapeo de tipos y familias la detección y son difíciles de distinguir de las
de malware, y su atribución a agentes de de usuarios regulares u operaciones de TI. En
amenazas específicos y campañas asociadas, segundo lugar, muchas de estas herramientas
a la vez que identifican técnicas, tácticas son de código abierto o están disponibles para
y procedimientos (Techniques, Tactics and la compra, por lo que los agentes de amenazas
Procedures, TTP) que proporcionan información tienen fácil acceso a ellas. Además, cuando los
a los ciclos de seguridad y la política de agentes de amenazas comparten herramientas,
seguridad adecuados. es más difícil identificar quién es responsable
de un ataque en particular.
Para combatir las sofisticadas soluciones de
ciberseguridad, los agentes de amenazas están
LIVING OFF THE L AND (LOTL)
desarrollando y perfeccionando sus técnicas
de ataque, que dependen cada vez menos Los ataques LotL o LOLBin, que han existido
del uso de malware personalizado y tienden durante varios años, aprovechan las utilidades
a utilizar herramientas que no son de firma. ya disponibles dentro del sistema objetivo. Los
Utilizan capacidades y herramientas de sistema atacantes las utilizan para descargar y ejecutar
operativo integradas, que ya están instaladas archivos maliciosos, realizar movimientos
en los sistemas objetivo, y aprovechan las laterales y para la ejecución de comandos
herramientas de gestión de TI populares generales. En el SO Windows, estas utilidades
que tienen menos probabilidades de generar suelen incluir shell de comandos, instrumental
sospechas cuando se detectan. A menudo de administración de Windows y plataformas
también se utilizan herramientas comerciales nativas de secuencias de comandos de Windows
de pentesting y red team disponibles para la como PowerShell, mshta, wscript o cscript.
venta. Aunque este no es un fenómeno nuevo, Esta técnica permite que los atacantes actúen
lo que alguna vez fue raro y exclusivo para los sin ser detectados, ya que es menos probable
agentes sofisticados, ahora se ha convertido en que el software legítimo y los binarios nativos
una técnica generalizada adoptada por agentes del SO generen sospechas y, por lo general,
de amenazas de todo tipo. se encuentran en la lista blanca de manera
Al igual que con Cobalt Strike, se compartió SOFT WARE DE SEGURIDAD Y TI LEGÍTIMO
una versión crackeada de Brute Ratel en foros El software de gestión y monitoreo remotos
ilegales de ciberdelincuentes en septiembre de (Remote Management and Monitoring, RMM)
2022, lo que llevó a predecir que esta herramienta se utiliza diariamente para fines legítimos.
será ampliamente adoptada por los agentes de Dado su potencial destructivo cuando se utiliza
amenazas. Esta es una expansión preocupante en campañas maliciosas, es crucial vigilar
del uso criminal de las herramientas de un de cerca su uso e implementar políticas de
Red Team, ya que Brute Ratel fue desarrollado seguridad inteligentes.
por un exmiembro de un Red Team con amplio
conocimiento de las tecnologías de detección En 2022, múltiples bandas de ransomware
y respuesta de terminales (Endpoint Detection lograron campañas exitosas mediante el uso de
and Response, EDR) y está específicamente software de TI legítimo. Uno de los desarrollos
diseñado para evadir la detección por parte de fue el surgimiento de campañas de ingeniería
los productos de EDR. social al estilo BazarCall, ahora empleadas
por múltiples grupos de ransomware. Visto
Otro marco ofensivo emergente detectado en por primera vez en 2021 cuando lo utilizó la
2022 es Manjusaka, la contraparte china de banda de ransomware Ryuk/Conti, un ataque de
Cobalt Strike, que está disponible libremente en BazarCall comienza con un correo electrónico
GitHub. La herramienta se detectó en campañas de phishing que insta a la víctima a llamar a un
dirigidas a la región de la prefectura autónoma centro de llamadas controlado por un agente. El
mongol y tibetana de Haixi en China. Otra operador le indica a la víctima que instale una
herramienta es el marco Sliver, que se vio en potente herramienta de gestión que se utilizará
múltiples campañas durante 2022, y continuó como malware. Esto no solo permite a los
ganando popularidad hacia el final de ese año. agentes de amenazas enfocarse en entidades
específicas basadas en la industria objetivo, los
A principios de este año, Check Point Research
ingresos u otros factores específicos, sino que
descubrió una campaña de dos años dirigida
además aprovecha las técnicas de ingeniería
a organizaciones financieras en regiones
social para controlar el proceso de entrega de
de habla francesa de África. Los atacantes
malware. En múltiples campañas informadas
implementaron varias de estas herramientas,
en 2022, tres grupos separados, Silent Ransom,
incluidas Metasploit y PoshC2, otro marco
Quantum y Roy/Zeon, utilizaron este método
ofensivo disponible en GitHub. DWservice es
para iniciar sesiones de Zoho Assist, una
otra herramienta interesante que se encontró
herramienta de soporte remoto legítima,
en esta campaña. DWservice es un servicio de
que les permitió obtener acceso inicial a las
acceso remoto legítimo y, si bien está basado en
redes corporativas.
suscripciones, también tiene un plan gratuito.
Todas estas son herramientas fáciles de usar,
que aprovechan los agentes con diferentes
niveles de experiencia técnica, y prevemos
que su uso aumente en diferentes etapas de
operaciones ofensivas.
de las víctimas, incluso omiten la fase de cifrado agentes de amenazas que operan un modelo
amenazas de publicación de datos para generar as-a-Service, RaaS) a través de afiliados. Los
pagos de rescate. Esto puede tener graves afiliados, que pueden participar en múltiples
el tiempo de cifrado incluyen permitir a los lleva a cabo a través de medios relativamente
afiliados elegir entre varios modos de cifrado seguros, utilizando códigos de acceso de
exigencias. A menudo se comunican con los demandas de rescate por 10 millones de USD,
las víctimas para aumentar la presión. Este grupo REvil) arrojaron cantidades masivas
directo con los clientes de las víctimas, se interrupción del embarazo, el abuso de drogas
observó por primera vez en 2020 y se denomina y alcohol, problemas de salud mental y otros
El grupo Lapsus$ también recibió mucha datos que se pueden buscar, lo que permite
atención pública después de una serie de a los empleados, clientes y otras posibles
filtraciones de datos de grandes empresas víctimas buscar en repositorios de datos
tecnológicas, incluidas Microsoft, Nvidia y robados. Además, los valiosos datos robados
Samsung. Desde su primer ataque registrado a menudo se monetizan al venderse en los
en diciembre de 2021 al ministerio de salud mercados de la red oscura.
brasileño, en el que robó y amenazó con
publicar información médica sobre las vacunas Otros agentes de amenazas han recurrido a
enfoque hacia la filtración de datos en lugar del El grupo de ransomware Onyx, activo desde
cifrado. Dirigido por jóvenes delincuentes de abril de 2022, destruye archivos de más de
nacionalidad británica y brasileña, Lapusus$ 2MB en lugar de cifrarlos. Otros han seguido el
utiliza varios métodos para obtener acceso ejemplo. Una nueva muestra de la herramienta
inicial a sus víctimas, incluidos pagos a de filtración ExMatter ahora incluye una
social. El grupo se centra en localizar y filtrar inicialmente se detectó como parte del RaaS
a sus afiliados evitar cifrar áreas críticas, como publicación de datos es comprensiblemente
datos pertenecientes a pacientes de atención atractivo para los atacantes. Ofrece la opción
morales entre los hackers. El RaaS Hive, que de víctimas se vuelve más simple. No es
ser eficaz y los agentes de amenazas han logísticamente complicado. Sobre todo,
elaborados. Los grupos de ransomware grandes agentes de RaaS que exigen su parte
A medida que este modelo de extorsión más difíciles y los mecanismos de protección
digital adquiere predominancia, las existentes que se basan en la detección de la
posibles ramificaciones incluyen una mayor actividad de cifrado podrían resultar menos
fragmentación del ecosistema de ransomware. efectivos. En su lugar, los proveedores de
La atribución de responsabilidad de las ciberseguridad deberán enfocarse más en
operaciones de ransomware y el seguimiento de la eliminación de datos y la detección de
los agentes de amenazas pueden volverse aún filtraciones.
R A NSOM WA RE
CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 37
CAPÍTULO 3
En nuestro informe de mitad del año 2022, los usuarios funcionalidades ampliadas o
revisamos algunos eventos importantes en el acceso que no están disponibles en la versión
panorama de amenazas móviles, incluido el original. En los últimos años, hemos visto
gran aumento en la cantidad de aplicaciones versiones modificadas de una variedad de
maliciosas que se infiltran en las tiendas de aplicaciones, desde aplicaciones de mensajería
Google y Apple. A menudo camufladas como instantánea y redes sociales hasta transmisión
aplicaciones inocentes, como lectores QR, en vivo, servicios VPN y mucho más. Las
aplicaciones Bluetooth externas, linternas o aplicaciones generalmente se distribuyen a
juegos, están diseñadas para atraer la menor través de canales no oficiales a usuarios que
atención posible. En nuestro último análisis, buscan versiones gratuitas de aplicaciones
nos enfocamos en los intentos de ocultar conocidas o funciones adicionales que no
malware en dispositivos móviles en versiones existen en las versiones originales. En
“no oficiales” de aplicaciones conocidas. En algunos casos, se seleccionan a los usuarios
su mayoría, estas son versiones maliciosas y se les ofrecen enlaces directos a los APK
modificadas (también conocidas como Mods), modificados. En otros casos, los usuarios
generalmente distribuidas a través de tiendas los buscan voluntariamente debido al acceso
de aplicaciones de terceros y descargadas limitado a las aplicaciones oficiales. Por
por usuarios que prefieren una versión no ejemplo, FMWhatsApp permite a los usuarios
oficial por una variedad de motivos. Esta no es rediseñar su interfaz de WhatsApp y editar
una amenaza completamente inaudita, pero las funcionalidades de “visto por última
durante el 2022, se han visto múltiples ataques vez” y la “marca azul”. Estos Mods no se
utilizando aplicaciones que son bien conocidas, examinan tan cuidadosamente como la versión
confiables y ampliamente utilizadas. oficial, lo que los convierte en un objetivo de
aprovechamiento natural para los agentes de
Los Mod de APK (kits de paquetes Android; amenazas. A menudo, la infección se logra a
aplicaciones para dispositivos Android) son través de los SDK de publicidad, utilizados por
copias reacondicionadas de aplicaciones los desarrolladores de Mods. Este fue el caso
conocidas, diseñadas para proporcionar a de la infección con HMWhatsApp perpetrada por
el troyano Triada en agosto de 2021 y APKPure
más adelante ese año.
a los permisos que recibe la aplicación oficial agentes a nivel de los estados nación. En
de WhatsApp. Esto permite a los agentes agosto, los investigadores dieron a conocer el
de amenazas eludir los mecanismos de spyware Dracarys para Andoid, que se había
control sobre una amplia gama de aplicaciones aplicación de mensajería Signal. A pesar de los
y cuentas, desde correo electrónico hasta informes de ataques contra sus usuarios, Signal
propia cuenta WhatsApp. La última campaña segura, pero su versión modificada proporcionó
aplicaciones modificadas, que fue informada espionaje junto con sus funciones regulares.
por Check Point Research, utilizó copias falsas La operación se atribuyó a Bitter APT, un
de la aplicación de mensajería Telegram para grupo conocido por operar en Asia del Sur, que
Mods similares para Facebook, Telegram, perpetrados por agentes con motivaciones
YouTube y WhatsApp. El ataque se perpetró financieras o políticas. Este fue el caso en
utilizando sitios de phishing que imitaban el 2018 y 2019 cuando el gobierno iraní bloqueó
sitio de Signal genuino y, muy probablemente, aplicaciones seguras de mensajería instantánea
llegaba a los usuarios a través de correos (MI), lo que dio como resultado un aumento en
electrónicos de phishing y redes sociales. las versiones no oficiales clonadas de Telegram,
Meta también acusó a Transparent Tribe (APT- Instagram y otras aplicaciones de MI. Muchas de
36), un actor de amenazas afiliado a Pakistán las aplicaciones no oficiales se dieron a conocer
patrocinado por el estado, de crear y usar posteriormente como parte de un programa
versiones falsas de WhatsApp, WeChat y gubernamental para espiar y controlar a la
YouTube, e identificó a más de 10 000 usuarios oposición y a los grupos minoritarios.
posiblemente afectados.
Los dispositivos móviles son el blanco de
El grupo mercenario Bahamut APT, que ofrece entidades hostiles por una variedad de razones
servicios de piratería a una amplia gama y motivaciones. Los atacantes a menudo
de clientes, utilizó las versiones maliciosas apuntan a las aplicaciones más populares,
modificadas de dos aplicaciones VPN móviles, conocidas y ampliamente utilizadas que
SoftVPN y OpenVPN para espiar a los usuarios. los usuarios considerarían seguras. Las
vulnerabilidades pueden adoptar la forma de
Las poblaciones de regímenes totalitarios aplicaciones modificadas o falsas, o a través
a menudo tienen acceso limitado a las del aprovechamiento de vulnerabilidades en las
aplicaciones en las tiendas de aplicaciones versiones originales. Debemos tomar esto como
oficiales y deben buscar otras alternativas. recordatorio de la necesidad de estar atentos,
Esto las hace más susceptibles a sufrir ataques especialmente al usar las aplicaciones más
populares y más utilizadas.
L A NUBE:
AMENAZA DE TERCEROS
Hacia fin de año, Uber sufrió otra fuga de datos de Desde reglas básicas como no almacenar las
alto perfil que expuso datos confidenciales de sus claves de acceso a la nube en lugares públicos
empleados y la empresa. Esta vez, los atacantes o no ignorar los intentos de omisión de 2FA,
vulneraron a la empresa al comprometer un hasta las más complicadas pero esenciales,
servidor en la nube de AWS utilizado por Tequivity, como la prevención de configuraciones
que proporciona a Uber servicios de gestión y erróneas de la nube y el uso de IAM adecuado,
seguimiento de activos. No está claro si el acceso los eventos de 2022 demuestran que cualquier
no autorizado se debió a una configuración violación de estas reglas pone en riesgo los
errónea o a credenciales robadas, pero es evidente entornos en la nube.
que necesitamos adaptar nuestros métodos de
evaluación del riesgo de terceros al mundo de la
infraestructura en la nube.
AMENAZA
CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 43
CAPÍTULO 4
ANÁLISIS
GLOBAL
GLOBAL
MALWARE MULTIPROPÓSITO*
32%
INTERCEPTORES DE INFORMACIÓN
24%
CRIPTOMINEROS
16%
MÓVIL
9%
RANSOMWARE
7%
Figura 3: Porcentaje de organizaciones afectadas por el tipo de malware a nivel mundial en 2022.
* Las botnets y los troyanos bancarios, anteriormente clasificados como dos tipos distintos, se combinan en una sola categoría. Como muchos troyanos bancarios recibieron
funcionalidades adicionales, lo que dificulta la diferenciación entre las dos categorías, introducimos la categoría “malware multipropósito” para incluir a ambos grupos.
INTERCEPTORES DE INFORMACIÓN
18%
CRIPTOMINEROS
12%
MÓVIL
7%
RANSOMWARE
5%
INTERCEPTORES DE INFORMACIÓN
25%
CRIPTOMINEROS
15%
MÓVIL
8%
RANSOMWARE
8%
INTERCEPTORES DE INFORMACIÓN
30%
CRIPTOMINEROS
25%
MÓVIL
14%
RANSOMWARE
9%
Figura 8: Promedio global de ataques semanales por organización por industria en 2022 [% de cambio desde 2021]
Los datos recopilados en 2022 muestran un aumento continuo en los ataques contra
todas las industrias. La mayor parte de las industrias seleccionadas para los ataques
son instituciones educativas y de investigación, con un promedio de 2314 ataques por
semana por organización, un aumento de más del 40 % con respecto a 2021. Los ataques
al sector de la atención médica son los que registraron el mayor aumento, un 74 % más
de ataques que el año pasado, lo que la coloca como la tercera industria con más ataques
en este índice. Desde hospitales y clínicas hasta centros de investigación, los atacantes
se han centrado en la industria de la atención médica desde el comienzo de la pandemia
de la COVID-19, en busca de ganancias financieras. El 89 % de las organizaciones de
atención médica informaron ciberataques en el último año con un costo total promedio
que alcanzó los 4,4 millones de USD. CommonSpirit Health, la segunda cadena de
hospitales sin fines de lucro más grande de los EE. UU se incluía entre las instituciones
que informaron ataques. CommonSpirit, que opera 140 hospitales, ha informado el robo
de datos de más de 600 000 pacientes, ataque que ha provocado daños médicos a los
pacientes. Los hospitales de Nueva York fueron atacados en noviembre por ransomware
que dejó inactivos los sistemas médicos durante semanas después del ataque. Un ataque
a Tenet Healthcare Corporation con sede en Dallas, que opera cientos de centros médicos,
causó interrupciones en las operaciones de cuidados intensivos. Entre los grupos
de ransomware a los que se les adjudica apuntar a organizaciones de atención
médica se encuentran Lockbit, BlackCat, Cuba, Zeppelin y muchos más.
33% 36%
67% 64%
83%
84%
2022
14%
86%
Figura 9: Protocolos de entrega: el correo electrónico frente a los vectores de ataque web en 2018-2022.
57%
10%
8%
5% 4% 3% 2% 1% 1% 1%
r
sb
e
c
m
dl
pd
ja
do
xl
ex
ps
ln
xl
ht
26%
22%
17%
15%
9%
4%
3% 3%
0.8% 0.6%
e
sx
sm
cx
s
m
pd
rt
do
xl
vb
ex
do
xl
ht
xl
51%
15%
9%
6%
4%
2% 2% 2% 1% 1%
p
gz
7z
z
ra
tg
r0
is
im
ca
zi
Las comparaciones de datos que se presentan en las siguientes secciones de este informe se basan
en datos extraídos del Mapa de amenazas cibernéticas ThreatCloud de Check Point entre enero y
diciembre de 2022.
Para cada una de las regiones a continuación, presentamos el porcentaje de redes corporativas
afectadas por cada familia de malware, para el malware más frecuente en 2022.
GLOBAL
10%
8%
4%
3% 3% 3%
2% 2% 2%
1%
T
et
la
ok
ot
er
er
s
bo
RA
co
Ri
es
ot
Qb
gg
ad
bo
ki
XM
m
nj
Em
tT
lo
lo
rm
Lo
Re
en
Gu
ey
Fo
Ag
eK
ak
Sn
AMÉRICA
8%
3% 3%
2% 2% 2%
1% 1% 1% 1%
T
et
ot
la
ok
er
er
t
bo
RA
co
Ri
es
ot
Qb
ad
gg
bo
ki
XM
m
nj
Em
tT
lo
lo
rm
Lo
Re
en
Gu
ey
Fo
Ag
eK
ak
Sn
4% 4% 4%
3%
2% 2%
1% 1%
T
et
la
ok
ot
er
er
bo
RA
co
Ri
es
ot
Qb
gg
ad
bo
ki
XM
nj
Em
tT
lo
lo
rm
Lo
Re
en
Gu
ey
Fo
Ag
eK
ak
Sn
ASIA-PACÍFICO (APAC)
15%
14%
9%
7%
5%
4%
3% 3%
2% 2%
T
et
la
ok
er
ot
ba
bo
ni
RA
Ri
es
ot
Qb
gg
bo
te
m
ki
XM
nj
Em
tT
up
Ra
lo
rm
Lo
en
ey
Gl
Fo
Ag
eK
ak
Sn
GLOBAL AMÉRICA
22% 19%
Emotet Emotet 3%
Qbot 3% 45% Qbot 5% 43%
Raspberry Robin 5% Raspberry Robin
5%
Phorpiex 5% Phorpiex
6%
Glupteba 5% Glupteba
Icedid 15% Icedid 19%
Otro Otro
Figura 17: Malware multipropósito más frecuente Figura 18: Malware multipropósito más frecuente
a nivel global en América
23% 23%
Emotet Emotet
Qbot 3% 46% Qbot 3% 47%
Raspberry Robin 3% Glupteba 5%
Phorpiex
4% Phorpiex
5% 6%
Glupteba Raspberry Robin
Icedid
7%
17% Mylobot
9%
Otro Otro
Figura 19: Malware multipropósito más frecuente Figura 20: Malware multipropósito más frecuente
en EMEA en APAC
Al igual que en nuestro último informe de mitad del año, se han fusionado dos
categorías de malware, los troyanos bancarios y las botnets, que anteriormente se
clasificaban como dos tipos distintos. Como muchos troyanos bancarios recibieron
funcionalidades adicionales, lo que dificulta la diferenciación entre las dos
categorías, introducimos la categoría unificada “malware multipropósito”. Por lo
tanto, las comparaciones en esta categoría se relacionan con el último informe de
mitad del año y no con datos anuales más antiguos.
Emotet y Qbot han aumentado su actividad relativa y ahora son los responsables
de más del 60 % de los intentos de infecciones en esta categoría. Raspberry Robin
es un nuevo participante de la lista de malware multipropósito. Raspberry Robin
se detectó por primera vez en septiembre de 2021 cuando utilizaba dispositivos
USB infectados y capacidades de tipo gusano para propagarse, y se ha convertido
en una de las plataformas de distribución de malware activo más grandes en un
año. Se informó que implementaba otras diversas familias de malware, incluidas
IcedID, Bumblebee y marcas de ransomware como Clop y LockBit. Con posibles
relaciones con Evil Corp, este malware constituye una nueva amenaza grave.
La botnet Phorpiex, que ha sido conocida por distribuir otras familias de malware
a través de campañas de spam, así como por alimentar el spam a gran escala, las
campañas de extorsión sexual y la propagación de ransomware dio inicio al 2022
con el secuestro de criptotransacciones y continúa su expansión, ocupando el
cuarto lugar en la tabla de posiciones de malware multipropósito.
GLOBAL AMÉRICA
11% 16%
1%
5% 2% 29%
AgentTesla 35% AgentTesla
12% 8%
Formbook Formbook
SnakeKeylogger SnakeKeylogger
Lokibot Lokibot 12%
Vidar 16% Vidar 22%
Pony 20% RedLine Stealer 12%
Otro Otro
Figura 21: Principales malware de interceptación Figura 22: Principales malware de interceptación
a nivel global en América
1% 8%
1% 10%
5%
4%
AgentTesla AgentTesla 12% 35%
12% 38%
Formbook Formbook
SnakeKeylogger SnakeKeylogger
Lokibot Lokibot
15% 17%
Vidar Vidar
xloader
19% Pony 21%
Otro Otro
Figura 23: Principales malware de interceptación Figura 24: Principales malware de interceptación
en EMEA en APAC
GLOBAL AMÉRICA
1% 1%
5% 4% 4%
8% 7%
10%
XMRig XMRig
LemonDuck LemonDuck 84%
76%
Wannamine Wannamine
Kinsing Lucifer
Otro Otro
Figura 25: Principales malware de criptominería Figura 26: Principales malware de criptominería
a nivel global en América
2% 6% 2%
5%
3%
5% 14%
Figura 27: Principales malware de criptominería Figura 28: Principales malware de criptominería
en EMEA en APAC
GLOBAL AMÉRICA
25% 26%
31%
Figura 29: Troyanos bancarios más frecuentes Figura 30: Troyanos bancarios más frecuentes
a nivel global en América
19%
34%
38%
Anubis 49% Joker
18%
Joker Anubis
AlienBot Sharkbot
Hydra Hiddad 5%
9% 5%
Hiddad
5% 6%
AlienBot 5% 17%
Otro Otro
Figura 31: Troyanos bancarios más frecuentes Figura 32: Troyanos bancarios más frecuentes
en EMEA en APAC
VULNERABILIDADES
GLOBALES DE
ALTO PERFIL
2022 6%
2021 9%
2020 9%
2019 5%
2018 10%
2017 12%
2016 7%
2015 11%
2014 10%
2013 4%
2012 7%
Earlier 10%
0 2 4 6 8 10
Figura 33: Porcentaje de ataques que aprovechan las vulnerabilidades por año de divulgación en 2022. 12
VULNERABILIDAD
PERSPECTIVA DE
LA RESPUESTA
ANTE INCIDENTES
(En el recuadro, se destaca un caso específico investigado por CPIRT en 2022. Otro texto
incluye observaciones y datos que se refieren a todos los casos manejados en 2022.
Se han modificado ciertos detalles para garantizar la confidencialidad del cliente.)
7%
3%
3%
Ransomware 3%
Compromiso de correo electrónico 4%
Compromiso de servidor único
Intento de phishing 5%
Credenciales comprometidas 49%
Compromiso de múltiples hosts 5%
Compromiso de un solo host
Fuerza bruta
Filtración de datos
10%
Otros
11%
Figura 34: Desglose de casos del equipo CPIRT según indicios de amenaza inicial en 2022
En casi la mitad de los casos en los que trabaja CPIRT, el punto de apoyo inicial
se logra mediante el aprovechamiento de un servidor débil con una vulnerabilidad
de RCE sin parches y puertos abiertos a Internet. De hecho, las vulnerabilidades
ProxyShell específicamente fueron la causa de uno de cada seis incidentes que
CPIRT investigó en 2022, a pesar de que esas vulnerabilidades se comunicaron y
aplicaron parches en 2021.
Amenaza interna 7%
Credenciales comprometidas 3%
Figura 35: Desglose de vectores de entrada inicial en casos investigados por CPIRT en 2022
0 10 20 30 40 50
Esto enfatiza la necesidad de tratar cada vulneración con la misma seriedad que
un ataque de ransomware total. Al igual que en este caso, los criptomineros y
otros tipos de malware “leves” a menudo son indicadores iniciales de un posible
aprovechamiento que podría conducir a desastres cibernéticos más adelante.
Las estadísticas de casos del equipo CPIRT revelan una amplia utilización por parte
de los atacantes de herramientas que no son de firma. Las principales herramientas
utilizadas este año fueron Cobalt Strike y Mimikatz. Sin embargo, por primera vez, la
tercera herramienta más popular de esta lista, AnyDesk, es una herramienta de
administración legítima. A medida que los agentes de amenazas han comenzado
a usar herramientas de administración más legítimas en sus ataques, el uso de
malware personalizado creado por los mismos agentes de amenazas ha disminuido, y
estamos viendo un aumento en los ataques que podrían no incluir ningún malware
en absoluto. Este cambio en las herramientas implementadas por los atacantes se
detalla en un capítulo exclusivo de este informe.
Mimikatz 33%
AnyDesk 21%
XMRig 13%
PsExec 9%
RdpWrap 8%
Teamviewer 7%
Session Gropher 7%
Metasploit 6%
Kali Linux 6%
ADAudit 5%
0 5 10 15 20 25 30 35
Figura 36: Herramientas utilizadas en sistemas comprometidos en casos investigados por CPIRT en 2022. 40
Lockbit 8%
Black Basta 7%
Conti 7%
Dharma 5%
Hive 5%
Royal 5%
Vice Society 4%
Phobos 4%
Figura 37: Principales familias de ransomware observadas en casos tomados por IR en 2022
0 1 2 3 4 5 6 7 8
Este caso es uno de los cientos que el equipo CPIRT manejó en 2022 y que enfatiza
la importancia crítica de lo siguiente:
• implementar los parches inmediatamente cuando haya una actualización
disponible;
• aplicar una política de contraseñas compleja con actualizaciones frecuentes;
• utilizar la seguridad de terminales y antiransomware en sistemas críticos.
Reducir la complejidad para reducir los riesgos: Las organizaciones tienen redes
distribuidas e implementaciones en la nube más complejas que nunca debido
a la pandemia. Con tantos elementos a considerar, los equipos de seguridad
necesitan consolidar sus infraestructuras de TI y seguridad para mejorar sus
defensas y reducir su carga de trabajo para poder mantenerse a la vanguardia
de las amenazas. Las estadísticas hablan por sí solas: más de dos tercios de los
directores en Seguridad de la Información afirmaron que trabajar con menor
cantidad de soluciones de proveedores aumentaría la seguridad de su empresa.
Los equipos de seguridad necesitan consolidar sus infraestructuras de TI y
seguridad para mejorar sus defensas y reducir su carga de trabajo para poder
mantenerse a la vanguardia de las amenazas.
LA PREVENCIÓN
ESTÁ AL ALCANCE
Los ataques de día cero son riesgos cibernéticos desconocidos que eluden
fácilmente las soluciones de seguridad basadas en firmas y, por lo tanto,
representan un riesgo excepcionalmente peligroso para las empresas. Los
ataques de ransomware se convirtieron en una amenaza cibernética central y
se oponen a un factor disruptivo a nivel mundial para las organizaciones, las
empresas e, incluso, los gobiernos. Los ataques de phishing pueden tener
varios objetivos diferentes, como la entrega de malware, el robo de dinero y
el robo de credenciales. Sin embargo, la mayoría de las estafas de phishing
diseñadas para robar su información personal pueden detectarse y, a veces,
pueden evitarse daños enormes. Una filtración de datos puede hacer estragos
en una organización. Una filtración de datos a menudo resulta en costosas
auditorías de seguridad, multas y, en consecuencia, las partes interesadas
muchas veces pierden la confianza en la organización. El rápido aumento de
las filtraciones de datos de alto perfil demuestra que es fundamental que los
profesionales de seguridad vuelvan a examinar sus estrategias de seguridad
actuales e implementen seguridad unificada en entornos de red, nube y móviles
en un esfuerzo por prevenir filtraciones posteriores. Las modernas aplicaciones
en la nube presentan nuevos desafíos de seguridad a los desarrolladores que
deben asegurarse de prevenir continuamente fugas de código y otras posibles
vulneraciones que pueden ser desastrosas.
Hay varias medidas que una empresa puede tomar para minimizar su exposición y
los posibles impactos de un ataque de ransomware.
3. Parches actualizados
WannaCry, una de las variantes de ransomware más famosas que existen, es un
ejemplo de gusano de ransomware. En lugar de utilizar los correos electrónicos
de phishing o el Protocolo de Escritorio Remoto (RDP) para acceder a los sistemas
objetivo, WannaCry logró propagarse mediante una vulnerabilidad en el protocolo
de bloque de mensajes del servidor (Server Message Block, SMB) de Windows.
Cuando se produjo el famoso ataque de WannaCry en mayo de 2017, ya existía un
parche para la vulnerabilidad de EternalBlue de la que se aprovechó WannaCry.
Este parche estaba disponible un mes antes del ataque y había sido etiquetado
como “crítico” debido a su alto potencial de vulneración. Sin embargo, hubo
muchas organizaciones y personas que no lograron aplicar el parche a tiempo,
lo que tuvo como consecuencia un brote de ransomware que infectó a 200 000
computadoras en un plazo de tres días. Mantener las computadoras actualizadas
y aplicar parches de seguridad, especialmente aquellos etiquetados como críticos,
puede ayudar a disminuir la vulnerabilidad de una organización a los ataques de
ransomware porque dichos parches a veces son omitidos o se retrasan demasiado
tiempo como para brindar la protección adecuada.
5. Soluciones antiransomware
Si bien las medidas de prevención de ransomware descritas anteriormente
pueden ayudar a mitigar la exposición de una organización a las amenazas de
ransomware, no proporcionan una protección perfecta. Algunos operadores de
ransomware utilizan correos electrónicos de phishing de objetivo definido bien
investigados y altamente dirigidos como su vector de ataque. Estos correos
electrónicos pueden engañar incluso al empleado más precavido y hacer que el
ATA Q U E S
CHECK POINT SOFT WARE | INFORME SOBRE SEGURIDAD 2023 89
CAPÍTULO 8
Como resultado, los ataques de phishing están diseñados para robar credenciales
de inicio de sesión de varias maneras, como por ejemplo:
• Sitios de phishing: Los atacantes crearán sitios similares que requieren
autenticación de usuario e incluirán estos sitios en sus correos electrónicos de
phishing. Tenga cuidado con los enlaces que lo dirigen a lugares imprevistos.
Las técnicas de phishing y los pretextos utilizados por los ciberdelincuentes para
hacer que sus ataques parezcan realistas cambian con frecuencia. Los empleados
deben recibir capacitación sobre las tendencias actuales de phishing para
aumentar la probabilidad de que puedan identificar y responder adecuadamente a
los ataques de phishing.
Para obtener más información sobre cómo protegerse contra los ataques de
phishing programe una demostración privada para ver usted mismo cómo las
soluciones de seguridad de correo electrónico de Check Point pueden ayudarlo a
identificar y bloquear los ataques de phishing contra su organización.
La protección contra este tipo de ataque a gran escala requiere acceso a inteligencia
sobre amenazas de alta calidad. Cuando una organización experimenta un ataque,
los datos que recopila pueden ser invaluables para otras organizaciones que intentan
detectar y bloquear el mismo tipo de ataque. Sin embargo, la velocidad y el
volumen de las campañas de ataque modernas hacen que el intercambio manual
de inteligencia sobre amenazas sea demasiado lento para ser eficaz.
L AS FILTRACIONES DE DATOS
PUEDEN PREVENIRSE
EDUCAR Y CAPACITAR
En primer lugar, educar y
1
capacitar a su fuerza laboral
para que tome precauciones de
seguridad a fin de evitar que
CONTRASEÑAS SEGURAS
2
ocurra una vulneración.
Crear una contraseña segura y
cambiarla con frecuencia para
evitar el acceso.
REDUCIR EL ACCESO
A LOS DATOS
Reducir la capacidad de
3
transferir datos de un dispositivo
a otro disminuye el riesgo de que
EVALUAR A PROVEEDORES
los datos lleguen a las manos
DE TERCEROS
equivocadas.
4 Evaluar a proveedores de
terceros para asegurarse de
que tengan los protocolos
CIFRAR LAS PC Y LOS de seguridad adecuados
DISPOSITIVOS
5
implementados para evitar que
los hackers accedan a través de
Se puede reducir significativamente
su red.
la regulación de las computadoras
y los dispositivos de los empleados
a través de los cuales tienen acceso
CREAR UNA NUBE
INTERNA
6
a los datos de la empresa utilizando
solo PC y dispositivos cifrados.
Una forma de evitar el acceso
abierto a datos confidenciales es
mediante la creación de una nube
ACTUALIZAR interna donde solo aquellos que
CONTRASEÑAS
7
necesitan acceso a ella puedan,
de hecho, acceder a ella.
La implementación de
actualizaciones de contraseñas
y la autenticación de dos pasos
también mitigan este problema.
ACTUALIZAR EL
8
Las medidas de seguridad SOFTWARE
adicionales, como limitar el acceso
Las actualizaciones frecuentes
al sitio web desde los dispositivos
de software de seguridad pueden
de trabajo, los cambios frecuentes
evitar brechas en su seguridad.
de contraseñas, la actualización
Actualizar es crucial.
del software de seguridad y el
monitoreo del acceso a los datos,
pueden reducir significativamente
el riesgo de una filtración de datos.
DESCRIPCIONES
DE LAS FAMILIAS
DE MALWARE
AcidRain
AcidRain es un malware destructivo que se informó el 24 de febrero de 2022 dirigido
a módems de Viasat. En coincidencia con la invasión terrestre rusa a Ucrania, el
ataque de AcidRain a los sistemas de comunicación satelital causó una disrupción
generalizada de los sistemas de comunicación que prestaban servicios a Ucrania.
AgentTesla
AgentTesla es un RAT avanzado que funciona como un registrador de pulsaciones
de teclas e interceptación de contraseñas; ha estado activo desde 2014. Agent Tesla
puede monitorear y recopilar el ingreso de datos a través del teclado de la víctima
y del portapapeles del sistema, así como también tomar capturas de pantalla y
extraer credenciales de una variedad de software instalados en la máquina de una
víctima (incluidos Google Chrome, Mozilla Firefox y el cliente de correo electrónico
Microsoft Outlook). Agent Tesla se vende en varios mercados en línea y foros de hackeo.
AlienBot
AlienBot es un troyano bancario para Android que se vende ilegalmente como
malware como servicio (MaaS). Admite registro de las pulsaciones de tecla,
superposiciones dinámicas para robo de credenciales y obtención de SMS para
omisión de 2FA. Se proveen capacidades de control remoto adicional usando un
módulo de TeamViewer.
Anubis
Anubis es un malware troyano bancario diseñado para teléfonos móviles con
Android. Desde su detección inicial, se ha visto aumentado con funciones
adicionales, incluidas la funcionalidad de troyano de acceso remoto (RAT),
registrador de pulsaciones de teclas, capacidades de grabación de audio y varias
características de ransomware. Ha sido detectado en cientos de aplicaciones
diferentes disponibles en Google Store.
AZORult
AZORult es un troyano que recopila y extrae datos del sistema infectado. Una vez
que el malware está instalado en un sistema, puede enviar contraseñas guardadas,
archivos locales, datos de criptobilleteras e información de perfil de la computadora
a un servidor de C&C remoto. El generador Gazorp, disponible en la web oculta,
permite a cualquier persona alojar un servidor de C&C con Azorult con un esfuerzo
moderadamente bajo.
Azov
Azov es un wiper que se informó por primera vez en noviembre de 2022 y que se
propaga principalmente a través del malware SmokeLoader. La nota de rescate que
se dejó en los sistemas de las víctimas culpa a los investigadores de seguridad y a
las entidades políticas por la lucha en Ucrania.
Bazar
Bazar Loader y Bazar Backdoor se descubrieron en 2020 y fueron usados en
las etapas iniciales de la infección por el grupo delictivo de delito cibernético
WizardSpider. El cargador es responsable de alcanzar las etapas siguientes y la
puerta trasera se creó para conservar la persistencia. Las infecciones generalmente
están seguidas de una implementación de ransomware a escala completa, usando
Conti o Ryuk.
BlackMatter
BlackMatter es un ransomware operado en un modelo RaaS. El malware ha
estado activo desde 2021, y entre sus víctimas se incluyen múltiples entidades de
infraestructura crítica de los EE. UU. BlackMatter es posiblemente el ransomware
DarkSide con otro nombre.
Bumblebee
BumbleBee es un nuevo cargador que está activo desde principios de 2022 y se utiliza
para entregar otras cargas útiles. Las cargas útiles de Bumblebee varían en gran
medida según el tipo de víctima. Por lo general, las computadoras independientes
infectadas son atacadas con troyanos bancarios o interceptores de información,
mientras que las redes organizacionales son blanco de ataques que utilizan
herramientas más avanzadas posteriores al aprovechamiento, como CobaltStrike.
Conti
El ransomware Conti surgió en 2020 y desde entonces se ha utilizado en múltiples
ataques contra organizaciones en todo el mundo. Este ransomware es entregado
como la etapa final después de una intrusión exitosa en la red de las víctimas. La
intrusión inicial puede realizarse mediante campañas de spearphishing, credenciales
robadas o débiles para RDP o campañas de ingeniería social por teléfono.
CryWiper
CryWiper es un malware de eliminación de datos disfrazado de ransomware que
se utilizó en 2022 para atacar a entidades del sector público ruso. A pesar de las
demandas de pago que figuran en las notas de rescate, los archivos cifrados por
CryWiper no se pueden restaurar.
Cl0p
Cl0p es un ransomware que se descubrió por primera vez a principios de 2019 y que
mayormente está dirigido a grandes empresas y corporaciones. Durante 2020, los
operadores de Clop comenzaron a ejecutar una estrategia de doble extorsión donde,
además de cifrar los datos de la víctima, los atacantes también amenazan con publicar
información robada a menos que se cumplan las demandas de rescate. En 2021, el
ransomware Clop se usó en numerosos ataques donde el acceso inicial fue obtenido
al utilizar las vulnerabilidades del día cero en Accellion File Transfer Appliance.
Dracarys
Dracarys es un interceptor de información para Android descubierto en 2022,
utilizado por el grupo Bitter APT para robar contactos, mensajes, registros de
llamadas, capturas de pantalla y más.
Dridex
Dridex es un troyano bancario devenido en botnet que tiene como objetivo
la plataforma Windows. Se introduce mediante campañas de spam y kits de
explotación, y se basa en seminarios web para interceptar y redirigir credenciales
bancarias a un servidor controlado por los atacantes. Dridex contacta a un servidor
remoto, envía información sobre el sistema infectado y puede descargar y ejecutar
módulos adicionales para el control remoto.
Dustman/ZeroCleare
Dustman es un wiper, detectado por primera vez en diciembre de 2019, dirigido a
entidades de Oriente Medio. Dustman es una variante del wiper ZeroCleare y tiene
similitudes de código con el malware Shamoon.
Emotet
Emotet es un troyano avanzado modular de autopropagación. Emotet se utilizó
en su momento como un troyano bancario y ahora se utiliza como distribuidor de
otros malware o campañas maliciosas. Utiliza múltiples métodos para mantener la
persistencia y técnicas de evasión para eludir la detección. Además, Emotet también
se puede propagar a través de correos electrónicos no deseados de suplantación de
identidad (phishing) con enlaces o archivos adjuntos maliciosos.
FormBook
FormBook es un interceptor de información dirigido al SO Windows. Se detectó
por primera vez en 2016. Se distribuye a modo de malware como servicio (MaaS)
en foros de hackeo ilegales por sus sólidas técnicas de evasión y su precio
relativamente bajo. FormBook recopila credenciales de varios navegadores web y
capturas de pantalla, controla y registra pulsaciones de teclas, y puede descargar y
ejecutar archivos de acuerdo con las órdenes de su C&C.
Glupteba
Glupteba es una puerta trasera de Windows conocida desde 2011 que, gradualmente,
se convirtió en un botnet. En 2019, ya incluía un mecanismo de actualización de
dirección de C&C a través de listas públicas de bitcoins, un interceptor de navegador
incorporado y un aprovechador de enrutador.
GuLoader
GuLoader es un descargador que se informó por primera vez en 2019. Desde entonces,
se utilizó para distribuir diversos malware, incluidos Lokibot, NanoCore, Formbook,
Azorult, Remcos y muchos más.
HermeticRansom
A principios de 2022, el malware HermeticRansom se utilizó para distraer a
las víctimas, mientras que HermeticWiper lanzaba ataques contra diversas
organizaciones en Ucrania. Estos ataques dejaron inoperables los dispositivos y,
como tales, fueron de naturaleza destructiva, y no existía una motivación financiera
de fondo.
HermeticWiper
HermeticWiper es un malware destructivo que se informó por primera vez en enero
de 2022 y se utilizó para atacar a organizaciones en Ucrania. El malware forma
parte de una serie de malware de eliminación dirigido a organizaciones ucranianas
durante la guerra Rusia-Ucrania y tiene similitudes con WhisperGate
Hiddad
Es un malware para Android que reempaqueta aplicaciones legítimas y, a
continuación, las libera en tiendas de terceros. Su función principal es mostrar
anuncios, pero también puede obtener acceso a datos de seguridad clave integrados
en el SO.
Hive
El ransomware Hive surgió en junio de 2021 y utiliza múltiples mecanismos para
comprometer las redes comerciales, como los correos electrónicos de phishing con
archivos adjuntos maliciosos para obtener acceso y el protocolo de escritorio remoto
(RDP), para moverse lateralmente una vez en la red. Hive implica tanto el cifrado como
la exfiltración de datos y opera un “sitio de fuga” en TOR.
Hydra
Hydra en un troyano bancario para Android descubierto en 2019 que se distribuía a
través de aplicaciones infectadas en Google Play Store.
IcedID
IcedID es un troyano bancario que apareció por primera vez en septiembre de 2017.
Se propaga mediante campañas de spam y a menudo utiliza otros malware, como
Emotet, para ayudar a su propagación. IcedID utiliza técnicas evasivas, como la
inyección de procesos y la esteganografía, y roba datos financieros del usuario a
través de ataques de redireccionamiento (instala un proxy local para redirigir a los
usuarios a sitios clonados falsos) y ataques de inyección web.
Joker
Joker, un malware de dispositivos móviles para Android se conoce desde 2017, es
un interceptor capaz de acceder a mensajes SMS, listas de contactos e información
de dispositivos. Joker genera ingresos principalmente a través de suscripciones no
autorizadas a servicios prémium pagados.
Kinsing
Descubierto en 2020, Kinsing es un criptominero Golang con un componente de
rootkit. Originalmente diseñado para vulnerar los sistemas de Linux, Kinsing se
instaló en servidores afectados al abusar de las vulnerabilidades en los servicios
que se conectan a Internet. A fines de 2021, se desarrolló también variante de
malware de Windows, permitiendo que los atacantes aumentaran su superficie
de ataque.
LemonDuck
LemonDuck es un criptominero que fue descubierto por primera vez en 2018 que
se dirige a los sistemas de Windows. Tiene módulos avanzados de propagación,
incluyendo el envío de malspam, la fuerza bruta de RDP y el aprovechamiento
en masa mediante vulnerabilidades conocidas como BlueKeep. Se observó que
recopilaba correos electrónicos y credenciales con el paso del tiempo como así
también enviaba otras familias de malware, como Ramnit.
LockBit
LockBit es un ransomware que opera en un modelo RaaS, y se informó por primera
vez en septiembre de 2019. LockBit tiene como objetivo a grandes empresas y
entidades gubernamentales de varios países, absteniéndose de víctimas rusas u otras
víctimas de la Comunidad de Estados Independientes.
LokiBot
LokiBot es un interceptor de información de consumo para Windows. Recolecta
credenciales desde diversas aplicaciones, navegadores web, clientes de correo
electrónico, herramientas de administración de TI como PuTTY, etc. LokiBot se
vende en foros de hackeo y se cree que su código fuente ha sido filtrado, lo que
permite la aparición de una gran cantidad de variantes. Se identificó por primera vez
en febrero de 2016.
MyloBot
MyloBot es un botnet sofisticado que emergió por primera vez en junio de 2018 y
está equipado con técnicas complejas de evasión que incluyen técnicas anti-VM,
antisandbox y antidepuración. El botnet permite que un atacante tome control total del
sistema del usuario y descargue cualquier carga útil adicional desde su C&C.
NanoCore
NanoCore es un troyano de acceso remoto que fija los usuarios del sistema
operativo Windows como objetivo y se observó por primera vez en la red en 2013.
Todas las versiones de RAT contienen complementos básicos y funcionalidades,
como capturas de pantalla, minería de criptomonedas, control remoto del escritorio
y robo de sesión de cámara web.
njRAT
njRAT, también conocido como Bladabindi, es un RAT desarrollado por el grupo
de hackers M38dHhM. Se informó por primera vez en 2012, y se ha utilizado
principalmente contra objetivos en Oriente Medio.
Pegasus
Pegasus es un spyware altamente sofisticado que se dirige a los dispositivos
móviles de Android e iOS, desarrollado por el grupo israelí NSO. El malware se
ofrece para la venta, mayoritariamente para organizaciones y corporaciones
relacionadas con el gobierno. Pegasus puede aprovechar las vulnerabilidades que
permiten una fuga silenciosa del dispositivo e instalan el malware.
Phobos
Phobos es un ransomware detectado por primera vez en diciembre de 2018. Tiene
como objetivos a los sistemas operativos Windows y su vector de ataque a menudo
incluye el aprovechamiento de puertos RDP abiertos o poco protegidos. Phobos tiene
un gran parecido con el ransomware Dharma, tanto en su nota de rescate como
con gran parte de su código. Se cree que han sido desarrollados y utilizados por el
mismo grupo.
Phorpiex
Phorpiex es una botnet que ha estado activa desde 2010 y que, en su auge, llegó a
controlar más de un millón de hosts infectados. Es conocido por distribuir otras
familias de malware a través de campañas de spam, así como también por impulsar
campañas de extorsión sexual y de spam de gran escala.
Ponystealer
PonyStealer es un interceptor de información que se utiliza para robar contraseñas
de una gran cantidad de aplicaciones, incluidas VPN, clientes FTP, programas de
correo electrónico, herramientas de mensajería instantánea y navegadores web.
Qbot
Qbot, también conocido como Qakbot, es un troyano bancario que apareció por
primera vez en 2008. Fue diseñado para robar las credenciales bancarias y las
pulsaciones de teclas de los usuarios. A menudo distribuido por correo electrónico
de spam, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para
dificultar el análisis y evadir la detección.
Quantum
Quantum es un ransomware operado en un modelo RaaS. El malware se descubrió
en 2021 y entre sus víctimas se incluyen múltiples entidades de atención médica.
Los investigadores vinculan a Quantoum con exacgentes de Conti.
Raccoon
El interceptor Raccoon se observó por primera vez en abril de 2019. Este interceptor
se dirige a los sistemas de Windows y se vende como malware como servicio (MaaS)
en los foros ilegales. Es un interceptor simple capaz de recopilar las cookies
del buscador, el historial, las credenciales de inicio de sesión, las billeteras de
criptomonedas y la información de las tarjetas de crédito.
Ramnit
Ramnit es un troyano bancario modular que se descubrió por primera vez en
2010. Ramnit roba la información de la sesión web y brinda a los operadores la
capacidad de robar las credenciales de las cuentas de todos los servicios utilizados
por la víctima, incluidas cuentas bancarias, corporativas y de redes sociales. El
troyano utiliza dominios con códigos fijos y dominios generados por un algoritmo de
generación de dominio (Domain Generation Algorithm, DGA) para comunicarse con
el servidor de C&C y descargar módulos adicionales.
RansomEXX
RansomEXX es un ransomware operado en un modelo RaaS con variantes de
Windows y Linux. El malware ha estado activo desde 2020 y sus objetivos han sido
principalmente grandes corporaciones.
Raspberry Robin
Raspberry Robin es un malware multipropósito distribuido inicialmente a través de
dispositivos USB infectados con capacidades de gusano.
RedLine Stealer
RedLine Stealer es un interceptor en tendencia que se vio por primera vez en marzo de
2020. Vendido como malware como servicio (MaaS) y, a menudo, distribuido mediante
adjuntos de correo electrónico malicioso, tiene todas las capacidades de un interceptor
moderno: recopilación de información del buscador web (detalles de la tarjeta de
crédito, cookies de la sesión, datos de autocompletar), obtención de billeteras de
criptomoneda, la capacidad de descargar cargas útiles adicionales y más.
Remcos
Remcos es un RAT que apareció por primera vez en línea en 2016. Remcos se
distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a
correos electrónicos SPAM, y está diseñado para evitar la seguridad de control de
cuentas de usuario (User Account Control, UAC) de Microsoft Windows y ejecutar
malware con privilegios de alto nivel.
REvil
REvil, también conocido como Sodinokibi, es un ransomware como servicio que
opera un programa de “afiliados” y se detectó por primera vez en 2019. REvil cifra los
datos en el directorio del usuario y elimina las copias de seguridad de instantáneas
con el fin de dificultar la recuperación de los datos. Además, los afiliados de
REvil utilizan varias tácticas para propagarlo a través del aprovechamiento de las
vulnerabilidades de servidores y del spam, además de introducirlo por hackeo en
los sistemas de back-end de los proveedores de servicios administrados (Managed
Service Provider, MSP) y a través de campañas de publicidad maliciosa con
redirección al kit de explotación de RIG.
SharkBot
Sharkbot roba credenciales e información bancaria en dispositivos móviles Android.
Atrae a las víctimas para que ingresen sus credenciales en ventanas que imitan
formularios legítimos de entrada de credenciales. Cuando el usuario introduce sus
credenciales en estas ventanas, los datos capturados se envían a un servidor del
atacante. El malware implementa la función de geodelimitación y excluye o a los
usuarios de China, India, Rumania, Rusia, Ucrania o Bielorrusia. SharkBot incluye
varias técnicas de evasión anti-sandbox.
Snake Keylogger
Snake Keylogger es un registrador de pulsaciones de teclas/interceptor modular
.NET. Surgió alrededor de fines de 2020 y alcanzó rápidamente popularidad entre
los ciberdelincuentes. Snake es capaz de registrar pulsaciones de teclas, tomar
capturas de pantalla, recolectar credenciales y contenido de portapapeles. Admite la
filtración de datos robados tanto por los protocolos de HTTP y SMTP.
Somnia
Somnia es un tipo de ransomware que fue implementado por el grupo FRwL (From
Russia with Love) contra entidades ucranianas en noviembre de 2022. A las víctimas
de Somnia no se les solicitaba que pagaran por el descifrado. En lugar de obtener
ganancias financieras, el objetivo de los atacantes era interrumpir los sistemas.
Stuxnet
Stuxnet es un gusano informático malicioso que se descubrió en 2010 y cuyo objetivo
era interrumpir el programa nuclear iraní. Provocó daños físicos a los equipos
mediante la manipulación de sistemas de control industrial y fue el primer ejemplo
de ciberataques estados nación.
Triada
Triada que se descubrió por primera vez en 2016, es una puerta trasera modular
para Android que otorga privilegios de administrador para descargar otro malware.
Su última versión se distribuye mediante kits de desarrollo de adware en WhatsApp
para Android.
TrickBot
TrickBot es un troyano bancario modular, atribuido al grupo delictivo de delito
cibernético WizardSpider. Mayoritariamente enviadas mediante campañas vía spam
y otras familias de malware como Emotet y BazarLoader. TrickBot envía información
sobre el sistema infectado y también puede descargar y ejecutar módulos arbitrarios
de una gran variedad de módulos disponibles, incluidos un módulo VNC para control
remoto y un módulo SMB para propagarse dentro de una red comprometida. Una vez
que una máquina está infectada, los atacantes detrás de este malware utilizan esta
amplia gama de módulos no solo para robar credenciales bancarias de la PC objetivo,
sino también para el movimiento y reconocimiento laterales en la organización objetivo
en sí, antes de implementar un ataque de ransomware dirigido a toda la compañía.
Vidar
Vidar es un interceptor de información que fija los sistemas operativos de Windows
como objetivo. Se detectó por primera vez a fines de 2018 y está diseñado para robar
contraseñas, datos de tarjetas de crédito y otra información confidencial de diversos
navegadores web y billeteras digitales. Vidar se vende en varios foros en línea y se
utiliza como un instalador de malware para descargar el ransomware GandCrab
como su carga útil secundaria.
WannaMine
WannaMine es un sofisticado gusano de criptominería Monero que se propaga
mediante la vulnerabilidad EternalBlue. WannaMine implementa un mecanismo
de propagación y técnicas de persistencia al aprovechar las suscripciones de
eventos permanentes del Instrumental de administración de Windows (Windows
Management Instrumentation, WMI).
Whispergate
WhisperGate es un malware destructivo que se informó por primera vez en enero de
2022 y se utilizó para atacar a organizaciones en Ucrania. El malware forma parte de
una serie de malware de eliminación dirigido a organizaciones ucranianas durante
la guerra Rusia-Ucrania. WhisperGate daña el registro maestro de arranque (Master
Boot Record, MBR) del sistema mientras muestra un mensaje de rescate falso.
XMRig
XMRig es un software de minería de CPU de código abierto utilizado para extraer
la criptomoneda Monero. Los atacantes a menudo hacen mal uso de este software
de código abierto al integrarlo en su malware para realizar minería ilegal en los
dispositivos de las víctimas.
ZeroCleare
ZeroCleare es un malware wiper destructivo que se identificó por primera vez en
diciembre de 2020. Se ha utilizado en ataques dirigidos contra organizaciones en
Oriente Medio y se caracteriza por su capacidad para evadir la detección y borrar
tanto los discos duros como los sistemas de copia de seguridad. Se cree que
ZeroCleare es el fruto del trabajo de un grupo de hackers patrocinado por el estado.
CONCLUSIÓN
W W W. C H E C K P O I N T. C O M
© 1994-2023 Check Point Software Technologies Ltd. Todos los derechos reservados.