Boletín de seguridad de Kaspersky

Crimeware y ciberamenazas financieras en 2023

Una mirada retroactiva hacia el año 2022 y qué esperar para 2023

Cada año, como parte del Boletín de seguridad de Kaspersky, predecimos las principales tendencias que seguirán en el próximo año los atacantes, que tienen como objetivo las organizaciones financieras. Las predicciones, basadas en nuestra extensa experiencia, ayudan a individuos y empresas a mejorar su ciberseguridad y prevenir una amplia variedad de posibles riesgos.

Debido a la evolución radical que tuvo el entorno de amenazas financieras durante los últimos años, con la expansión de actividades como el ransomware o el fraude de criptomonedas, creemos que ya no es suficiente considerar solo las amenazas a instituciones financieras tradicionales (como bancos), sino evaluar las amenazas financieras en conjunto. El mercado del ciberdelito se desarrolló de manera extensiva, y la gran mayoría de los ciberdelincuentes buscan un objetivo en particular: las ganancias financieras (sin importar el origen). Sin embargo, la manera en la que persiguen este objetivo cambia año a año, por lo que entender las variaciones en sus tácticas y herramientas puede ayudar a las organizaciones a mejorar su seguridad.

Este año, decidimos ajustar nuestras predicciones teniendo esto en cuenta, al expandirlas para incluir los desarrollos en crimeware y ciberamenazas financieras en su conjunto.

En este informe, evaluaremos qué tan precisas fueron nuestras predicciones sobre los desarrollos en el entorno de amenazas financieras durante el 2022 y reflexionaremos sobre qué esperar en 2023.

Análisis de los pronósticos para 2022

  • Alza y consolidación de ladrones de información. Nuestra telemetría muestra un crecimiento exponencial de los ladrones de información en 2021. Dada la variedad de ofertas, los costos bajos y la eficacia, creemos que esta tendencia continuará. Además, podría incluso usarse como un recolector masivo para ataques más orientados y complejos.

    Sí. Si bien no vimos un crecimiento exponencial en el uso de robos, su avance y evolución es muy notable. En 2022, descubrimos nuevas familias maliciosas, vendidas de forma activa en los mercados negros, como Rhadamanthys, BlueFox y Parrot, que roban información confidencial de los dispositivos de las víctimas. Uno de los ladrones más notables es OnionPoison. A diferencia de otros ladrones, este malware recopila datos que pueden utilizarse para identificar a las víctimas, como historiales de navegación, ID de cuentas de redes sociales y redes de Wi-Fi. Los ladrones descubiertos anteriormente no se quedaron atrás. Este año, vimos actualizaciones de los ladrones AcridRain y Racoon, y la evolución sorprendente del ladrón RedLine, que se convirtió en una amenaza autopropagable que ataca a jugadores a través de YouTube. Otro ejemplo notable que observamos en el 2022 fueron las campañas, que se hacen pasar por marcas de software reconocidas, como Notepadd++. La tendencia permanece sólida, y estos tipos de campañas repercuten en un gran número de usuarios que se benefician de una marca. Asimismo, un grupo de ransomware, ransomExx, también abusa del software de código abierto al recompilarlo para cargar un shellcode malicioso, y Notepad++ también se utilizó en uno de sus ataques.

    Si bien aún hay amenazas de primer nivel que no se distribuyen abiertamente, la gran mayoría de los ladrones se volvieron más económicos y menos costosos para los ciberdelincuentes promedio, lo que hace probable que esta amenaza evolucione aún más en el próximo año.

  • Ataques dirigidos a las criptomonedas. El negocio de las criptomonedas sigue creciendo, y las personas siguen invirtiendo su dinero en este mercado porque es un activo digital y todas las transacciones ocurren en línea. También ofrece anonimato a los usuarios. Estos son aspectos atractivos a los que los grupos de delincuencia cibernética no se podrán resistir. Y, además de los grupos de ciberdelincuencia, hay grupos patrocinados por el Estado que ya comenzaron a apuntar hacia esta industria. Después del ataque al Banco de Bangladesh, el grupo BlueNoroff sigue atacando de manera agresiva el negocio de las criptomonedas, y prevemos que esta actividad continuará.

    En parte, sí. Se espera que el número global de usuarios de criptomonedas llegue a los 1 mil millones hacia fines de este año, y los hackers de criptomonedas ya robaron más de USD 2,5 mil millones, lo que prueba que esta industria sigue siendo un favorito para los ciberdelincuentes. En 2022, descubrimos una nueva campaña maliciosa dirigida apodada VileRAT, lanzada por el grupo mercenario de APT DeathStalker. Uno de sus objetivos principales eran los agentes de intercambio de criptomonedas. También vimos una actividad continua del clúster BlueNoroff dirigido a empresas emergentes de criptomonedas, que enviaba una backdoor de Windows con todas las funciones de supervisión bajo la apariencia de un “contrato” u otro archivo comercial.

    A pesar de que se descubrieron estas campañas, era más probable que los atacantes buscaran obtener criptomonedas a través de campañas de phishing, al ofrecer plataformas de corretaje de criptomonedas sospechosas y lanzar actividades de cryptojacking para minar criptomonedas de manera ilegal. Anteriormente, el minado era una amenaza para usuarios generales, pero, en la actualidad, los mineros roban energía de grandes empresas e infraestructuras críticas. Incluso los grandes operadores de ransomware, por ejemplo, AstraLocker, están cerrando sus operaciones para pasar al cryptojacking.

  • Más amenazas relacionadas con las criptomonedas: billeteras de hardware falsas, ataques de contratos inteligentes, hackeos de DeFi y más. En la lucha por las oportunidades de inversión en criptomonedas, creemos que los ciberdelincuentes se aprovecharán de la fabricación y venta de dispositivos fraudulentos con backdoors, seguido de campañas de ingeniería social y otros métodos para robar los activos financieros de las víctimas.

    Sí. En 2022, observamos muchas otras amenazas relacionadas a las criptomonedas, debido a las cuales los usuarios podrían perder millones de dólares. Desde el comienzo de 2022, los ciberdelincuentes robaron USD 3 mil millones de los protocolos de DeFi, con 125 hackeos de criptomonedas en total. De acuerdo a los últimos datos sobre DeFi, cada hora se detectan 15 estafas nuevas contra contratos inteligentes. A este ritmo, el 2022 superará al 2021 como el año con más actividades de piratería registradas. La falta de seguridad actualizada relacionada con los contratos inteligentes lleva a ataques en estas plataformas, lo que hace posible que los atacantes (en caso de que tengan éxito) logren robar grandes cantidades de dinero según cómo funcione el modelo de negocios.

  • Ransomware dirigido: más dirigido y más regional. Junto a las iniciativas internacionales para acabar con los principales grupos de ransomware dirigido, veremos un crecimiento en los grupos pequeños y regionales enfocados en víctimas regionales. La adopción de la Banca abierta en más países puede resultar en mayores oportunidades para los ciberdelincuentes.

    Sí. Observamos un aumento en el número de ataques de ransomware dirigidos y regionales. Una de las razones por las que los ataques de ransomware se volvieron más regionales es la disminución en la colaboración entre los grupos de ransomware. En el pasado, muchos actores unían fuerzas para atacar y cifrar tantas organizaciones alrededor del mundo como fuera posible. Pero gracias a las iniciativas internacionales, como No More Ransom, que buscan poner un freno a estas actividades maliciosas, los ataques globales se volvieron menos frecuentes.

    Es interesante ver que esta tendencia también estuvo influenciada por conflictos geopolíticos, que no anticipábamos el año pasado. Muchos grupos de ransomware eligieron un bando en el conflicto entre Rusia y Ucrania, al enfocar sus actividades en ataques destructivos o limitar el rango geográfico de sus ataques. La reacción más significativa de todas fue tal vez la del grupo de ransomware Conti que anunció que tomaría represalias, con todas sus capacidades, contra la infraestructura crítica de cualquier “enemigo” si Rusia se volvía víctima de ciberataques. Por otro lado, Kaspersky descubrió Freeud, un borrador bajo la apariencia de ransomware, cuyos creadores anunciaron que apoyaban a Ucrania.

  • Especialistas en agentes de acceso inicial: profesionalice el acceso a redes comprometidas. Podríamos esperar que los operadores de ransomware como servicio, en lugar de esforzarse por comprometer el acceso a una entidad corporativa o pública, prefieran comprarle el acceso a otro grupo de ciberdelincuentes que ya haya accedido al objetivo y enfocar sus actividades en el despliegue de ransomware.

    Sí. En efecto, los atacantes recurren a la compra de acceso inicial a servicios comprometidos con mayor frecuencia en lugar de hackearlo ellos mismos. Esto se convirtió en un verdadero negocio independiente en la red oscura (malware como servicio). Este año, detectamos una campaña maliciosa de spam dirigida a organizaciones con un crecimiento del 1000 % en un mes, que propagaba el malware Emolet, utilizado por afiliados de ransomware de Conti, para obtener acceso inicial. Una vez que se obtenía el acceso, la organización se ubicaba en un grupo de objetivos de ransomware potenciales. Este crecimiento en la campaña de Emotet sugiere que el Acceso como servicio sigue siendo muy utilizado por grupos de ciberdelincuentes, y es probable que la tendencia de contratación de agentes especialistas en acceso inicial continúe en 2023.

  • Troyanos bancarios móviles en alza. Debido a la amplia adopción de servicios bancarios móviles en todo el mundo como resultado de la pandemia (en Brasil, representaron el 51 % de todas las transacciones de 2020), podemos esperar la detección de más troyanos bancarios móviles en dispositivos Android, en especial RAT que pueden sortear las medidas de seguridad adoptadas por bancos (como OTP y MFA). Los proyectos de implante regionales para Android pasarán a ser mundiales, con la exportación de ataques a los países de Europa Occidental.

    Sí. La seguridad sigue siendo el mayor problema para los usuarios que quieren hacer pagos regulares desde dispositivos móviles. De acuerdo con lo previsto, el número de detecciones de troyanos bancarios móviles aumentó de forma significativa en 2022, en comparación con el año anterior, con más de 55 000 ataques en el segundo trimestre de 2022, únicamente. Con el aumento en el número de ataques, los ciberdelincuentes desarrollaron nuevos troyanos bancarios dirigidos a usuarios de dispositivos móviles. En 2022, investigadores de Kaspersky descubrieron más de 190 aplicaciones que distribuían el troyano Harly con 4,8 millones de descargas. Si bien estas aplicaciones estaban disponibles en las tiendas oficiales y encubiertas como aplicaciones legítimas, los estafadores detrás de ellas suscribían a usuarios desprevenidos a servicios de pago no deseados.

  • Auge de amenazas a sistemas de pago en línea. En medio de la pandemia, muchas empresas se digitalizaron y pusieron sus sistemas en línea. Y, cuanto más tiempo pasa la gente en el hogar por la cuarentena y los aislamientos, más confía en mercados y sistemas de pago en línea. Sin embargo, este cambio rápido no estuvo acompañado por las medidas de seguridad adecuadas, y está atrayendo a muchos ciberdelincuentes. Este problema es particularmente grave en países en vías de desarrollo, y los síntomas durarán por un tiempo.

    No. Este año, no observamos muchos jugadores nuevos de la tecnología financiera que hayan tenido un crecimiento importante y se hayan convertido en nuevos objetivos para ciberdelincuentes.

  • Con cada vez más aplicaciones de tecnología financiera en el mercado, el volumen creciente de datos financieros atrae a muchos ciberdelincuentes. Gracias a los sistemas de pago en línea y a las aplicaciones de tecnología financiera, mucha información personal importante se almacena en los celulares. Muchos grupos de ciberdelincuentes seguirán atacando los teléfonos móviles personales con malware avanzado y estrategias nuevas, como tecnología deepfake, para robar datos de las víctimas.

    No. Las técnicas de malware para móviles no cambiaron mucho durante el 2022.

  • Los trabajadores remotos que utilizan equipos corporativos para propósitos de entretenimiento, como juegos de video en línea, siguen representando amenazas financieras para organizaciones. Escribimos que los usuarios utilizaban equipos corporativos para jugar juegos de video, ver películas y utilizar plataformas de aprendizaje digital. Este comportamiento fue fácil de identificar porque hubo una explosión en el mercado de tarjetas gráficas para celular de Intel y AMD en 2020-2021, en comparación con años anteriores. Esta tendencia llegó para quedarse y, mientras que en 2020 el 46 % de los empleados nunca había trabajado de manera remota antes, ahora dos tercios de ellos afirman que no volverían a las oficinas, y el resto declara que le gustaría asistir menos días por semana a la oficina.

    Sí. El nivel de ciberseguridad luego de la pandemia y la adopción inicial masiva de trabajo remoto por parte de las organizaciones mejoró mucho, pero, aun así, los equipos corporativos utilizados para propósitos de entretenimiento siguen siendo una de las formas más importantes de obtener acceso inicial a la red de una empresa. En busca de fuentes alternativas para descargar un episodio de un programa o una película de estreno, se enfrentan a diferentes tipos de malware, incluidos troyanos, spyware y backdoors, así como adware. De acuerdo con las estadísticas de Kaspersky, el 35 % de los usuarios que se enfrentaron a amenazas bajo la apariencia de plataformas de streaming fueron afectados por troyanos. Si este tipo de malware termina en un equipo corporativo, los atacantes potenciales podrían incluso penetrar la red corporativa para buscar y robar información confidencial, incluidos tanto secretos comerciales como datos personales de empleados.

  • Regreso potenciado de malware de cajeros automáticos y puntos de ventas. Durante la pandemia, los niveles de transacciones de cajeros automáticos y puntos de venta de algunas instalaciones cayeron de manera significativa. El aislamiento forzó a las personas a quedarse en sus casas y a hacer compras en línea, y esto se vio reflejado también en el malware de cajeros automáticos/puntos de venta. A medida que se levantan las restricciones, podemos esperar el regreso de los proyectos de malware de cajeros automáticos/puntos de venta conocidos y la aparición de nuevos proyectos. Los ciberdelincuentes recuperarán su fácil acceso físico a dispositivos de cajero automático y puntos de venta al mismo tiempo que los clientes de minoristas e instituciones financieras.

    Sí. De acuerdo a las predicciones, con el levantamiento de las restricciones de la COVID-19, los atacantes intensificaron sus actividades nuevamente en 2022. En los primeros ochos meses de 2022, el número de dispositivos únicos afectados por malware de cajeros automáticos y puntos de venta creció un 19 % en comparación con el mismo período en 2020, y casi un 4 % en comparación con el 2021. Los investigadores de Kaspersky también descubrieron a ciberdelincuentes que creaban y desplegaban herramientas nunca antes vistas, dirigidas a dispositivos de cajeros automáticos y puntos de venta. Por ejemplo, el grupo de amenazas Prilex, conocido por robar millones de dólares de bancos, evolucionó de manera notable. De manera específica, Prilex actualizó sus herramientas desde un simple raspador de RAM a un malware complejo dirigido a terminales de puntos de venta (PoS) modulares, y pasó a ser el primer malware que logró clonar transacciones con tarjetas de crédito (incluso las protegidas por CHIP y PIN).

    Tal vez uno de los mayores cambios fue la transformación del malware de puntos de venta en un servicio vendido en la red oscura, que lo hace disponible para otros ciberdelincuentes y aumenta el riesgo de perder dinero para empresas de todo el mundo.

Pronósticos para 2023

Liderado por gamers y otros sectores del entretenimiento, web3 sigue ganando terreno y, por ende, también lo harán amenazas para web3.

Con la creciente popularidad de las criptomonedas, el número de estafas basadas en estos activos digitales también aumentó. Sin embargo, creemos que ahora los usuarios tienen mucha más información sobre las criptomonedas y no caerán en estafas primitivas como el video de un deepfake de Elon Musk prometiendo grandes retornos por invertir en un esquema de criptomonedas sospechoso que se hizo viral. Los ciberdelincuentes seguirán intentando robar dinero mediante NFT e ICO (ofertas iniciales de monedas) falsas y otras clases de robo financiero basadas en criptomonedas (como el abuso de contratos inteligentes vulnerables), pero sus métodos y herramientas serán más avanzados.

Los loaders de malware se convertirán en los bienes más buscados en el mercado ilegal.

Muchos individuos tienen su propio malware, pero esto no es suficiente. En el pasado, las muestras enteras solían consistir solo de ransomware, pero, cuantos más módulos diferentes haya en un ransomware, mejores serán las tácticas de evasión de la amenaza. Como resultado, ahora los atacantes prestan mucha más atención a los downloaders y droppers, que pueden evitar la detección. Esto se volvió una de las principales commodities dentro de la industria del Malware como servicio (MaaS), e incluso los ciberdelincuentes ya tienen a sus favoritos en la darknet, por ejemplo, el downloader Matanbuchus. En resumen, en 2023 el foco de los desarrolladores de loaders maliciosos estará en la ejecución oculta y la circunvalación de EDR.

Más frameworks de pruebas de penetración de “Red Team” nuevos, desplegados por ciberdelincuentes.

Mientras que los diferentes proveedores crean y mejoran los frameworks de pruebas de penetración para proteger las empresas, se espera que los actores de crimeware los utilicen de forma más activa para realizar actividades ilegales. El ejemplo más notable de esta tendencia (que comienza a expandirse en todo el mundo) es Cobalt Strike. La herramienta es tan avanzada que los grupos de amenazas la sumaron a su arsenal y ya la utilizan en muchas clases de ataques y campañas de espionaje. En 2022, llegó a las noticias la historia de que otro conjunto de herramientas de pruebas de penetración, llamado Brute Ratel C4, había sido hackeado y ahora se distribuye en foros de hackers. Nuestra predicción es que, a medida que se desarrollen nuevas herramientas de penetración, los ciberdelincuentes las utilizarán para propósitos maliciosos; y Brute Ratel C4 y Cobalt Strike son solo el comienzo de esta tendencia.

Las negociaciones y los pagos de ransomware comienzan a depender menos de Bitcoin como transferencia de valor

A medida que se dicten más sanciones, los mercados se vuelvan más regulados y las tecnologías mejoren su seguimiento del flujo y las fuentes de Bitcoin, los ciberdelincuentes dejarán cada vez más de lado esta criptomonedas y comenzarán a adoptar otras formas de transferencia de valores.

Los grupos de ransomware buscarán más actividades destructivas, en lugar de beneficios financieros

Es probable que esta sea una predicción sorpresiva en un informe acerca de las amenazas financieras futuras, pero el ransomware ha sido una de las principales amenazas de los últimos años, con daños financieros masivos para las organizaciones. En un contexto en el que las agendas geopolíticas ocupan un lugar cada vez más importante en la atención del público, y también de los ciberdelincuentes, esperamos que los grupos de ransomware realicen pedidos para alguna clase de acción política, en lugar de exigencias de dinero de rescate. Un ejemplo de esto es Freeud, un ransomware nuevo con capacidades de wiper.

Crimeware y ciberamenazas financieras en 2023

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada