Boletín de seguridad de Kaspersky

Amenazas cibernéticas a instituciones financieras en 2022

Una mirada retroactiva hacia el año 2021 y que esperar para 2022

Para empezar, vamos a analizar los pronósticos que hicimos a finales de 2020 y ver qué tan precisas fueron. Luego, revisaremos los eventos clave de 2021 en relación con los ataques a instituciones financieras. Por último, haremos algunas pronósticos acerca de los ataques financieros en 2022.

Análisis de los pronósticos para 2021

  • Es probable que la pandemia de COVID-19 cause una ola masiva de pobreza, que invariablemente se traduce en más personas que recurren al delito, incluido delito cibernético. Es posible que veamos algunas economías colapsar y las divisas locales caer en picada, por lo que el robo de bitcoins sería mucho más atractivo. Es esperable que haya más fraude principalmente contra el BTC, ya que esta criptomoneda es la más popular.
  • Sí. Los datos de la Federación Brasileña de Bancos registró un aumento considerable del delito (como explosiones en sucursales de bancos para robar dinero) y del delito cibernético (aumento del phishing y los ataques de ingeniería social) contra clientes de bancos e infraestructuras bancarias. Por supuesto, esto es el resultado de problemas económicos causados por la pandemia.

    Además, el bitcoin finalizó el año 2020 en aproximadamente $28 000 y alcanzó con rapidez un pico de $40 000 en enero de 2021. Al momento, el bitcoin alcanzó un valor aproximado de $60 000 y los ciberdelincuentes adaptaron el malware para que controle el portapapeles del sistema operativo y redirija fondos a direcciones bajo su control. De hecho, desde enero a finales de octubre, Kaspersky detectó más de 2300 recursos globales fraudulentos que apuntaban a 85 000 criptoinversores o criptousuarios potenciales interesados en la minería de criptomonedas. El efecto del aislamiento en la economía global conduce a que mercados emergentes y diferentes regiones adopten la criptomoneda como moneda de curso legal o al menos como una manera de almacenar valor durante estos tiempos.

  • Los ataques de Magecart se mueven hacia el lado del servidor. Podemos ver que la cantidad de autores de amenazas que hacen uso de ataques del lado del cliente (JavaScript) disminuye cada día. Es razonable creer que habrá un cambio hacia el lado del servidor.
  • Sí. Magecart Group 12, conocido por robar información de pago de compradores en línea, ahora utiliza web shells PHP para obtener acceso administrativo remoto a los sitios que ataca a fin de robar datos de tarjetas de crédito en lugar de utilizar su código JavaScript favorecido previamente. Un archivo que intenta hacerse pasar como ‘imagen/png’ pero no tiene el formato .PNG adecuado carga un web shell PHP en los sitios comprometidos mediante el reemplazo de las etiquetas del ícono de acceso directo legítimo con una ruta a un archivo .PNG falso. El web shell es más difícil de detectar y bloquear, ya que inyecta el código de clonación en el lado del servidor en lugar del lado del cliente.

  • Una reintegración e internalización de operaciones dentro del ecosistema de la delincuencia cibernética: los principales participantes en el mercado de la delincuencia cibernética y aquellos que hicieron ganancias suficientes usarán principalmente su propio desarrollo en casa y, así, reducirán las tercerizaciones para mejorar las ganancias.
  • Sí. Muchos grupos reclutaron a numerosos afiliados, pero este enfoque viene con los problemas potenciales del error humano y las filtraciones. A fin de mejorar sus ganancias y depender menos de la tercerización, algunos grupos como REvil incluso estafaron a sus afiliados mediante la incorporación de una puerta trasera capaz de desviar las negociaciones con víctimas y la captación del 70 % de los pagos de rescate que se supone que debe ir a los afiliados.

    Conti fue otro grupo que también tuvo problemas con sus asociados cuando un afiliado aparentemente vengativo filtró el manual de estrategias del grupo de ransomware después de reclamar que la notoria organización de delincuencia cibernética le había pagado de menos por hacer el trabajo sucio. Los datos que se filtraron en la publicación incluyeron las direcciones IP para los servidores de comando y control (C2s) de Cobalt Strike y un archivo de 113 MB que contenía muchas herramientas y materiales de capacitación que explicaban cómo Conti lleva a cabo sus ataques de ransomware.

  • Los autores de amenazas avanzadas de países con sanciones económicas pueden recurrir más a ransomware que imita la actividad ciberdelictiva. Pueden reutilizar código públicamente disponible o crear sus propias campañas desde cero.
  • Sí. En abril de 2021, el grupo Andariel intentó propagar ransomware personalizado. De acuerdo con el Instituto Coreano de Seguridad Financiera, Andariel es un subgrupo del autor de amenazas Lazarus. Es interesante mencionar que una víctima había recibido ransomware después de la tercera carga útil. Esta muestra de ransomware fue personalizada y desarrollada explícitamente por el autor de amenazas detrás de este ataque. Este ransomware es controlado por parámetros de línea de comando y puede recuperar una clave de cifrado del C2 o un aumento al momento del inicio.

  • Dado que los grupos de ransomware siguen maximizando las ganancias, podemos esperar ver el uso de exploits de día cero, así como también exploits de día N en los próximos ataques. Estos grupos adquirirán ambos para expandir la escala de sus ataques aún más, lo cual aumentará su tasa de éxito y generará más ganancias.
  • Definitivamente sí. Vimos muchos ataques con exploits de día N, como el ataque orientado hacia la Corte Suprema de Brasil mediante el aprovechamiento de vulnerabilidades en VMWare ESXI (CVE-2019-5544 y CVE-2020-3992). Asimismo, muchos grupos aprovecharon las vulnerabilidades en servidores VPN. Los autores de amenazas llevaron a cabo una serie de ataques mediante el uso del ransomware Cring. Una investigación de incidentes llevada a cabo por Kaspersky ICS CERT en una de las empresas atacadas reveló que aprovecharon una vulnerabilidad en los servidores VPN FortiGate (CVE-2018-13379).
    También hubo atacantes que usaron exploits de día cero. Probablemente el que más impacto tuvo fue el de Kaseya, que aprovechó vulnerabilidades de la cadena de suministro para distribuir ransomware (CVE-2021-30116). Otro ataque impresionante, que también aprovechó el riesgo de la cadena de suministro, fue contra BQE Software, la empresa detrás del software de facturación BillQuick, que dice tener una base de usuarios mundial de 400 000 usuarios. Un grupo de ransomware desconocido aprovechó una inyección de SQL crítica que se encuentra en la solución de tiempo y facturación BillQuick Web Suite para implementar ransomware en las redes de sus destinatarios en ataques continuos (CVE-2021-42258).
    Dado que estos grupos tienen todo el dinero que obtuvieron de numerosos ataques, podemos esperar más exploits de día N y de día cero que envíen ransomware a muchos destinatarios.

  • Tomamos medidas estrictas en el mundo de la delincuencia cibernética. En 2020, la OFAC anunció que supervisaría cualquier pago a grupos de ransomware. Luego, el cibercomando de Estados Unidos desmanteló Trickbot de manera temporal antes de las elecciones. Se puede esperar una expansión de la estrategia de “compromiso persistente” hacia el delito financiero. Asimismo, existe la posibilidad de sanciones económicas contra instituciones, territorios o incluso países que muestren una falta de determinación para combatir la delincuencia cibernética que se origina en su territorio.
  • Sí. Con una oposición continua a los pagos de ransomware, la OFAC dejó claro su punto de vista de que realizar pagos de ransomware alienta futuros ataques de ransomware y, si dichos pagos (y servicios relacionados y facilitación) infringen prohibiciones de sanciones de los EE. UU., puede exponer a los participantes en el pago a la aplicación de sanciones de la OFAC. Y, si bien “el FBI comprende que, cuando los negocios se enfrentan con una incapacidad para funcionar, los ejecutivos evaluarán todas las opciones para proteger a sus accionistas, empleados y clientes”, el comité asesor actualizado desalienta firmemente el pago de rescate o exigencias de extorsión por parte de todas las empresas privadas y ciudadanos, y recomienda centrarse en fortalecer las medidas defensivas y de resiliencia para evitar ataques de ransomware y protegerse de ellos.

    El comité asesor actualizado sobre los posibles riesgos de sanciones por facilitar los pagos de ransomware describe los potenciales riesgos de sanciones asociados con la realización o facilitación de pagos de ransomware y proporciona información para comunicarse con las agencias gubernamentalesrelevantes de los Estados Unidos, incluida la OFAC, si existe algún motivo para sospechar que el ciberautor que exige el pago de ransomware puede ser sancionado o, de otro modo, tener un nexo con las sanciones.

    Además, una nueva ley propuesta obliga a los negocios de Estados Unidos a divulgar cualquier pago de ransomware dentro de las 48 horas de la transacción. La Ley de divulgación de rescate hará lo siguiente:

    • Exigirá a las víctimas de ransomware (sin incluir a las personas individuales) que divulguen información acerca de pagos de rescate a más tardar 48 horas después de la fecha del pago, que debe incluir la cantidad del rescate exigido y pagado, el tipo de moneda que se utilizó para el pago del rescate y cualquier información conocida acerca de la entidad que exige el rescate.
    • Exigirá al Departamento de Seguridad Nacional de los Estados Unidos (DHS) que publique la información divulgada durante el año anterior, sin incluir información de identificación de las entidades que pagaron rescates.
    • Exigirá al DHS que establezca un sitio web a través del cual las personas puedan informar de manera voluntaria el pago de rescates.
    • Ordenará al Secretario de Seguridad Nacional de los Estados Unidos que lleve a cabo un estudio acerca de las propiedades compartidas entre los ataques de ransomware y la medida en la cual la criptomoneda facilitó estos ataques y proporcione recomendaciones para proteger los sistemas de información y fortalecer la seguridad cibernética.

    El Departamento del Tesoro de los Estados Unidos sancionó recientemente dos tipos de cambio virtuales, que ayudaron a los autores de amenazas de ransomware a procesar los pagos de las víctimas. En septiembre de 2021, SUEX recibió una sanción y una acusación de lavado de dinero. En noviembre de 2021, Chatex, empresa directamente conectada a SUEX, también recibió una sanción con cargos similares, de acuerdo con la información pública.

  • Con capacidades técnicas especiales de monitoreo, desanonimización y captura de cuentas de BTC vigentes, podemos esperar que los ciberdelincuentes se pasen a las criptomonedas de tránsito para cobrarles a las víctimas. Existen motivos para creer que podrían pasarse a otras monedas con mayor privacidad, como Monero, para utilizar estas primero como una moneda de transacción y, luego, convertir los fondos a cualquier otra criptomoneda de su elección, incluidos los BTC.
  • No. Mientras que el Departamento de Justicia incautó $2,3 millones en criptomonedas pagadas a los extorsionistas de ransomware Darkside, otras criptomonedas que priorizan la privacidad y el anonimato como Monero, Dash o Zcash, siguen sin ser la opción predeterminada que utilizan los grupos de ciberdelincuencia. Con más presión regulatoria orientada hacia los cambios, los autores de amenazas que intenten cobrar botines de ransomware obtenidos a través de monedas anónimas podrían enfrentarse a más dificultades que aquellos que usen Bitcoin o Ethereum para sus negocios ilegales. Incluso si pueden rastrearse los pagos, diferentes servicios subterráneos de lavado de moneda y mezcla de monedas facilitan el reingreso de fondos al ecosistema de intercambio legítimo. Monero, entre otras criptomonedas similares, quedó por fuera (con prohibición de operar) de los intercambios populares. Usarla para el intercambio o simplemente el cambio no es tan fácil como solía ser.

  • La extorsión está en alza. De una manera u otra, los ciberdelincuentes que apuntan a los activos financieros recurrirán a la extorsión. Si no es ransomware, es un ataque de denegación de servicio (DDoS), o posiblemente ambos. Esto podría ser crítico para empresas que pierden datos, pasan por un proceso exhaustivo de recuperación de datos y, luego, sus operaciones en línea quedan fuera de competencia.
  • Sí. El año 2021 fue testigo de la aparición de dos nuevos botnets. En enero, salieron a la luz noticias del malware FreakOut que ataca dispositivos Linux. Los ciberdelincuentes aprovecharon varias vulnerabilidades esenciales en programas instalados en los dispositivos de la víctima, incluido el recientemente descubierto CVE-2021-3007. Los operadores de botnet utilizan dispositivos infectados para llevar a cabo ataques DDoS o para minar criptomonedas.

    Los ciberdelincuentes también encontraron una variedad de nuevas herramientas para amplificar los ataques DDoS.

    El evento más significativo en el primer trimestre fue el programa de vacunación contra el COVID-19. A medida que nuevos segmentos de la población reunieron los requisitos para la vacunación, sitios web relacionados sufrieron interrupciones. Por ejemplo, a fines de enero, un sitio web de registro de vacunas en el estado de Minnesota de los Estados Unidos sucumbió a la carga.

    Vimos cómo algunos grupos como Egregor (arrestados) extorsionaban a través de la impresión masiva de LAN. Otros grupos recurrieron a llamadas telefónicas para dejar mensajes de voz y amenazar a empleados y a sus familias.

Eventos clave en 2021

  • Arrestos a autores de amenazas de ransomware
  • A medida que los ataques de ransomware se descontrolaron y llegaron a los titulares de este año, los cuerpos de seguridad de todo el mundo han intesificado su lucha contra los grupos de ransomware. En 2021, hemos sido testigos del arresto de Egregor, una de las familias de ransomware más llamativas, que renació de Sekhmet y, anteriormente, de Maze. Otro caso es REvil, también conocida como Sodinokibi, que vino de GandCrab, que a su vez vino de Cerber. En noviembre, algunos de sus afiliados también fueron arrestados. El arresto de Yaroslav Vasinskyi y los cargos contra Yevgeniy Polyanin son ejemplos excelentes de cooperación internacional eficaz en la lucha contra la ciberdelincuencia.

  • Incidentes de Facebook (una filtración de datos en abril y una filtración de datos en octubre)
  • Debido a la renovación de imagen y la nueva misión de Facebook anunciadas por su Director Ejecutivo, las filtraciones de datos de la empresa pueden representar un riesgo grave para sus clientes. Algunas empresas se volcaron totalmente a la virtualidad, y una adquisición de cuenta podría causar un daño grave a sus negocios o ventas.
    Además, supimos que el objetivo de Meta es consolidar las vidas de las personas y conectarlas en todos sus aspectos, incluido el aspecto financiero. Esto incluye, por ejemplo, transferencias de dinero y, potencialmente, otras actividades financieras. Con la información de texto sin formato de los clientes que se divulgó por filtraciones en Internet, los ciberdelincuentes ganaron nuevas posibilidades de ataque.

  • Los banqueros troyanos de Android en alza
  • Este año, observamos más troyanos bancarios de Android orientados hacia usuarios de todo el mundo con un enfoque especial en Europa, América Latina y el Medio Oriente. En 2021, fuimos testigos de cómo varias familias, como RealRAT, Coper, Bian, SMisor, Ubel, TwMobo, BRata y BasBanke apuntaron activamente a usuarios móviles. Algunas de esas campañas se encuentran acompañadas por ingeniería social mediante la cual el autor de amenazas llama a la víctima y envía un mensaje de texto especialmente diseñado con un enlace de descarga que conduce a un archivo APK malicioso después de una conversación corta.

Pronósticos para 2022

  • Alza y consolidación de “infostealers” de información
  • Nuestra telemetría muestra un crecimiento exponencial de los ladrones de información en 2021. Dada la variedad de ofertas, los costos bajos y la eficacia, creemos que esta tendencia continuará. Además, podría incluso usarse como un recolector masivo para ataques más orientados y complejos.

  • Ataque orientado hacia las criptomonedas
  • El negocio de las criptomonedas sigue creciendo, y las personas siguen invirtiendo su dinero en este mercado porque es un activo digital y todas las transacciones ocurren en línea. También ofrece anonimato a los usuarios. Estos son aspectos atractivos a los que los grupos de delincuencia cibernética no se podrán resistir.
    Y, además de los grupos de ciberdelincuencia, hay grupos patrocinados por el Estado que ya comenzaron a apuntar hacia esta industria. Después del ataque al Banco de Bangladesh, el grupo BlueNoroff sigue atacando de manera agresiva el negocio de las criptomonedas, y prevemos que esta actividad continuará.

  • Más amenazas relacionadas con las criptomonedas: billeteras de hardware falsas, ataques contra contratos inteligentes y más
  • Si bien las criptomonedas se prohibieron en algunas regiones, recibieron aceptación y reconocimiento oficial en otras. Y no se trata solo del El Salvador. Por ejemplo, el alcalde de Miami declaró que la Ciudad planea comenzar a pagar a los residentes que usan criptomoneda y manifestó en Twitter que recibiría su salario 100 % en bitcoin.
    Mientras algunas personas consideran que es riesgoso invertir en criptomonedas, aquellos que se dan cuenta de que su billetera es el punto más débil. Mientras que la mayoría de los ladrones de información pueden robar fácilmente una billetera almacenada localmente, una billetera en la nube también es susceptible a ataques y trae el riesgo de perder los fondos. Luego están las billeteras de criptomonedas basadas en hardware. Pero ¿existen evaluaciones de seguridad lo suficientemente confiables y transparentes como para demostrar que son seguras?
    En el barullo de las oportunidades de inversión en criptomonedas, creemos que los ciberdelincuentes se aprovecharán de la fabricación y la venta de dispositivos vulnerables con puertas traseras, seguido de campañas de ingeniería social y otros métodos para robar los activos financieros de las víctimas.

  • Ransomware dirigido: más dirigido y más regional
  • Debido a los esfuerzos internacionales para desmantelar los grupos dirigidos más importantes, veremos un alza en grupos derivados regionalmente pequeños centrados en víctimas regionales.

  • La adopción de la Banca Abierta en más países puede conducir a más oportunidades para ciberataques
  • El Reino Unido fue pionero, pero hoy en día muchos países la adoptan. Como la mayoría de los sistemas de Banca Abierta se basan en consultas API web y API, realizadas por instituciones financieras, podemos esperar más ataques contra ellas, como indicó Gartner: “en 2022, los abusos de API pasarán de un vector de ataque poco frecuente al más frecuente, lo cual resultará en filtraciones de datos para aplicaciones web empresariales”.

  • Troyanos bancarios móviles en alza
  • Dado que la banca móvil se adoptó masivamente en todo el mundo debido a la pandemia (en Brasil representó el 51 % de todas las transacciones en 2020), podemos esperar más troyanos bancarios móviles para Android, en especial herramientas de acceso remoto (RAT) que puedan sortear las medidas de seguridad adoptadas por los bancos (como OTP y MFA). Los proyectos de implante regionales para Android pasarán a ser mundiales, con la exportación de ataques a los países de Europa Occidental.

  • Alza de la amenaza a sistemas de pago en línea
  • En medio de la pandemia, muchas empresas se digitalizaron y pusieron sus sistemas en línea. Y, cuanto más tiempo pasa la gente en el hogar por la cuarentena y los aislamientos, más confía en mercados y sistemas de pago en línea. Sin embargo, este cambio rápido no va acompañado por las medidas de seguridad adecuadas, y esto atrae a muchos ciberdelincuentes. Este problema es particularmente grave en países en vías de desarrollo, y los síntomas durarán por un tiempo.

  • Con más aplicaciones de tecnología financiera disponibles, el volumen creciente de datos financieros atrae a ciberdelincuentes
  • Gracias a los sistemas de pago en línea y a las aplicaciones de tecnología financiera, mucha información personal importante se almacena en los celulares. Muchos grupos de delito cibernético seguirán atacando teléfonos celulares personales con estrategias evolucionadas como tecnología deep fake y malware avanzado para robar los datos de las víctimas.

  • Los trabajadores remotos que utilizan computadoras corporativas con fines de entretenimiento, como juegos en línea, siguen exponiendo a las organizaciones a amenazas financieras
  • En 2020, la cantidad de jugadores sobrepasó los 2,7 mil millones, y Asia-Pacífico se convirtió en la región más activa. Aun si las plataformas de videojuegos como Steam alcanzaron los picos más altos de todos los tiempos durante abril y mayo de 2020, este año, Steam tuvo un pico de 27 millones de jugadores concurrentes en marzo. En nuestro artículo ¿Ciberpiratas juegan ciberjuegos durante la cuarentena?, escribimos que los usuarios jugaban videojuegos, veían películas y usaban plataformas de aprendizaje electrónico en computadoras portátiles corporativas. Este comportamiento fue fácil de identificar porque hubo una explosión en el mercado de tarjetas gráficas para celular de Intel y AMD en 2020-2021, en comparación con años anteriores. Esta tendencia llegó para quedarse y, si bien en el 2020 el 46 % de los empleados nunca había trabajado de manera remota, ahora dos tercios de ellos afirman que no volverían a una oficina, y el resto exige tener una semana laboral en la oficina más corta.
    Los ciberdelincuentes propagan el malware y roban datos de inicio de sesión, elementos de los juegos, información de pago y más a través del uso de videojuegos como Minecraft o Counter-Strike: Ofensiva mundial. Además, los éxitos de taquilla de Hollywood se convirtieron en el señuelo perfecto para aquellas personas desesperadas por ver una película antes de su lanzamiento, y todo desde la comodidad de sus propios hogares. Eso fue lo que ocurrió con la última película de James Bond, Sin tiempo para morir, y los ciberdelincuentes utilizaron adware, troyanos y ransomware para robar información privada e incluso chantajear a las víctimas que deseaban recuperar sus datos.

  • Malware de cajeros automáticos y puntos de venta para regresar con una venganza
  • Durante la pandemia, los niveles de transacciones de cajeros automáticos y puntos de venta de algunas instalaciones cayeron de manera significativa. El asilamiento forzó a las personas a quedarse en sus casas y a hacer compras en línea, y esto se vio reflejado también en el malware de cajeros automáticos/puntos de venta. A medida que se levantan las restricciones, podemos esperar el regreso de los proyectos de malware de cajeros automáticos/puntos de venta conocidos y la aparición de nuevos proyectos. Los ciberdelincuentes recuperarán su fácil acceso físico a dispositivos de cajero automático y puntos de venta al mismo tiempo que los clientes de minoristas e instituciones financieras.

Amenazas cibernéticas a instituciones financieras en 2022

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada