Boletín de seguridad Kaspersky: Panorama del año 2017

Introducción

Fin de año es un buen momento para hacer un balance de los principales incidentes que las ciberamenazas provocaron en los últimos 12 meses, para reflejar el impacto que tuvieron en organizaciones y en usuarios particulares, como también para considerar su posible significado en la evolución de las amenazas en su conjunto.

Haciendo una retrospectiva de 2017, vemos que los límites entre diferentes tipos de amenazas y diferentes tipos de actores de amenazas se están haciendo cada vez más difusos. Un ejemplo de esta tendencia es el ataque ExPter, que copó los titulares en junio. A primera vista, parecía ser otro programa más de ransonware, pero resultó ser un eliminador de datos selectivo y muy destructivo. Otro ejemplo es el volcado de códigos realizado por el grupo Shadow Brokers, que puso exploits avanzados -supuestamente desarrollados por la NSA- a disposición de grupos criminales que de otra manera no habrían podido acceder a códigos tan sofisticados. Un ejemplo más es la aparición de campañas APT (Amenaza selectiva avanzada) que no se enfocaban en el ciberespionaje, sino en el robo de dinero para financiar otras actividades relacionadas con grupos APT. Será interesante ver la evolución de esta tendencia en 2018.

Hitos en 2017

  • Las ciberamenazas que marcaron el 2017 fueron, sin duda alguna, los ataques ransomware de WannaCry,ExPetr y BadRabbit. Se cree que el famoso actor de amenazas Lazarus estuvo detrás de WannaCry, que se propagó a una velocidad sorprendente y se estima que se ha cobrado unas 700 000 víctimas en todo el mundo. ExPter fue más selectivo con sus víctimas, entre las cuales figuraban compañías de renombre mundial, a través de ataques con software corporativo infectado. Maersk, la principal compañía de transporte marítimo del mundo, ha declarado por anticipado pérdidas de entre 200 y 300 millones de dólares a consecuencia de ‘significativas interrupciones en sus negocios’ causadas por el ataque. Por su parte, FedEx/TNT ha anunciado pérdidas de unos 300 millones de dólares.
  • En otras latitudes, los principales actores de amenazas del ciberespionaje mundial continuaron haciendo de las suyas, pero con herramientas y estrategias nuevas y más difíciles de detectar. Informamos sobre una amplia variedad de campañas, entre ellas la notable Moonlight Maze, que se cree está relacionada con Turla, así como sobre otra APT también relacionada con Turla, a la que bautizamos WhiteBear. Asimismo, descubrimos el más reciente paquete de herramientas de Lamberts, un actor avanzado de amenazas que puede compararse con Duqu, Equation, Regin o ProjectSauron por su complejidad, y revelamos más detalles técnicos sobre el grupo SpringDragon. En octubre, nuestros sistemas avanzados antiexploit identificaron un nuevo exploit día cero de Adobe Flash usado en Internet contra nuestros clientes, a los que llegaba mediante un documento de Microsoft Office. Con toda certeza podemos asociar este ataque con un actor, BlackOasis, al que hemos hecho seguimiento. Para conocer en más detalle las actividades APT en 2017, le invitamos a ver nuestro webinar anual APT aquí.
  • En 2107 también observamos el resurgimiento de ataques selectivos diseñados para destruir datos, robarlos o ambas cosas, por ejemplo Shamoon 2.0 y StoneDrill. También encontramos actores de amenazas que tuvieron éxito, a veces por años, con campañas sencillas y mal ejecutadas. El ataque EyePyramid en Italia es un buen ejemplo de ello. Microcin es otro ejemplo de cómo unos ciberpiratas lograron sus objetivos con herramientas baratas y la selección cuidadosa de sus víctimas.
  • 2017 también reveló en qué medida los actores avanzados de amenazas recurrían a robos comunes para financiar sus costosas operaciones. Informamos sobre BlueNoroff, un subgrupo del famoso grupo Lazarus, responsable de generar lucro ilícito. BlueNoroff atacó a instituciones financieras, casinos, fabricantes de software para finanzas y otras compañías dedicadas al comercio de monedas criptográficas. Una de las campañas más notables de Bluenoroff fueron los ataques contra instituciones financieras en Polonia.
  • Los ataques contra cajeros automáticos siguieron aumentando en 2017, con ataques contra la infraestructura bancaria y sistemas de pago mediante sofisticados programas maliciosos que no utilizaban archivos, y métodos más rudimentarios, como cubirir cámaras CCTV con cinta adhesiva y perforar agujeros. Hace poco descubrimos un nuevo ataque selectivo que afectó a instituciones financieras, sobre todo bancos en Rusia, pero también algunos bancos en Malasia y Armenia. Los atacantes detrás del troyano Silence utilizaron una estrategia similar a la de Carbanak.
  • Los ataques contra eslabones de la cadena de aprovisionamiento parecen ser los nuevos “abrevaderos” cuando se trata de víctimas corporativas. Se trata de una tendencia emergente en 2017, que se evidenció con ExPetr y ShadowPad, que al parecer aumentará en 2018.
  • A un año de la red zombi Mirai, la botnet Hajime logró infectar a unos 300 000 dispositivos conectados , y esta fue sólo una de las campañas dirigidas contra dispositivos y sistemas conectados.
  • 2017 también fue testigo de una gran cantidad de fugas de datos, con millones de datos expuestos, como por ejemplo los casos de AvantiMarkets, Election Systems & Software, Down Jones, America’s Job Link Alliance y Equifax. La fuga de datos en Uber que ocurrió en octubre de 2016 y que expuso los datos de 57 millones de clientes y conductores, no fue dada a conocer sino hasta noviembre de 2017.
  • El escenario de programas maliciosos móviles también evolucionó en 2017, con apps móviles que contenían troyanos y cuyas víctimas se vieron inundadas con publicidad agresiva, o sufrieron ataques de ransomware, robos mediante SMS o cobros por WAP. Los programas maliciosos móviles utilizaron nuevos trucos para evitar ser detectados y así poder explotar nuevos servicios. En 2016, muchas apps maliciosas estaban disponibles en fuentes confiables, como Google Play Store. Entre los troyanos sobresalientes de 2017 se encuentran Ztorg, Svpeng, Dvmap, Asacub y Faketoken.

Conclusión

2017 fue un año en el que muchas cosas resultaron ser muy distintas a lo que inicialmente aparentaban: un ransomware que resultó ser un limpiador, un software corporativo legítimo que resultó ser un arma, actores de amenazas avanzadas que se valieron de herramientas simples, mientras que atacantes mucho menos avanzados utilizaron herramientas altamente sofisticadas. Estas arenas movedizas en el escenario de las ciberamenazas representan un creciente desafío para los defensores de la seguridad.

Para más información sobre estas tendencias y algunas recomendaciones para su protección en línea, por favor consulte el informe completo del año 2017.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *