El ransomware tiene un crecimiento brutal: 91%
Estadísticas de distintas firmas advierten la mayor suba en 3 años, LockBit llega a Apple y la Superintendencia de Argentina confirmó un ransomware.
SecOps es un resumen semanal de noticias de seguridad informática. Los temas están seleccionados por Juan Brodersen según estos criterios de edición.
14>21
abr
🔒 Brutal crecimiento del ransomware: 91% más casos
A pesar de que el negocio del ransomware cayó de 2021 a 2022, la cantidad de ataques está en alza: 459 registrados en marzo, lo que representa un incremento del 91% comparado con el mismo período del año anterior.
Así lo confirmó la compañía de ciberseguridad NCC Group, que le atribuyó este crecimiento a la actividad del cártel de ransomware Cl0p. El grupo aprovechó una vulnerabilidad grave para desplegar su código de encriptación, bloquear accesos a archivos y extorsionar por un rescate en dinero a cambio.
El exploit que abusó Cl0p fue el de la herramienta de transferencia de archivos GoAnywhere MFT que, por ser un un zero-day (CVE-2023-0669), hizo estragos: en apenas 10 días llegaron a robar datos de 130 empresas.
El crecimiento de los ataques tiene que ver con una profesionalización cada vez más alta de los grupos, lo que dibuja una curva exponencial:
La compañía de ciberseguridad Malware Bytes da contexto del tipo de vulnerabilidad explotada:
“El uso con éxito de zero-days por parte de bandas de ransomware como Cl0p y REvil es relativamente raro. Sin embargo, cuando ocurre puede ser devastador. Las bandas siempre están buscando nuevas tácticas que les ayuden a maximizar el impacto de sus ataques y todos deberíamos estar preocupados por el ejemplo que ha dado Cl0p al utilizar como arma una vulnerabilidad recién descubierta y explotarla antes de que se publique o aplique un parche”.
Por esto se torna crucial tener los sistemas actualizados, aunque el gap entre que un zero-day es detectado y se parchea abre la ventana a este tipo de ataques de ransomware.
Si a esto se le suma lo que demora el usuario promedio en actualizar, esa ventana torna al problema mucho más grave.
🕵 LockBit fue destronado
Otra compañía que publicó sus estadísticas fue precisamente Malware Bytes, con algunos datos destacables. Su equipo de análisis de amenazas rankeó a los grupos dominantes y el título que sobresale es que Cl0p destronó a LockBit en cantidad de ataques (algo que se explica por el apartado anterior).
Por otro lado, las bandas siguen muy activas: sus sitios web clandestinos se actualizan casi diariamente, con víctimas privadas y públicas (como el Banco de Venezuela esta semana). El podio lo completan Black Basta, ALPHV y Royal.
Por otro lado, es notable cómo Play, un grupo que arrancó de manera modesta el año pasado y que tuvo al Poder Judicial de la Provincia de Córdoba, en Argentina, como uno de los puntapiés de su historia delictiva, se profesionalizó en poco tiempo.
Mientras que el año pasado dejaban una nota de rescate en un archivo de texto (C:\ReadMe.txt) con apenas una dirección de correo electrónico, hoy ya tienen una página en la dark web con detalles de sus víctimas para ejercer una doble extorsión.
Otro aspecto interesante que destaca Malware Bytes tiene que ver con los sectores más afectados por el ransomware: “servicios” dominó la categoría, seguido por logística y retail. En este campo no hay unanimidad entre las empresas de análisis de amenazas: otras marcan al sector industrial como el más afectado (OT).
Para más información, ver este enlace.
🏦 La Superintendencia de la Nación confirmó un ciberataque: datos encriptados
La Superintendencia de Seguros de la Nación (SSN) de Argentina confirmó en un informe técnico que sufrió, a principios de mes, un ataque de Ransomware.
La autoridad de aplicación de las leyes de Seguros y de los Aseguradores y su control presentó un informe en el que ampliaron el comunicado que hablaba de un problema en “los sistemas informáticos del organismo”:
“La SSN sufrió un evento informático a partir de acciones ejecutadas por un grupo de ciber atacantes internacionales, que incluyó la ejecución de un ransomware de la familia D0NUT. Este ransomware es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema infectado”
A pesar del evento, aseguran que “hasta el momento no se pudo identificar que los ciberatacantes hubieran realizado otras acciones maliciosas significativas ni que hubieran extraído información de la SSN”.
El informe completo, firmado por la Gerenta de Asuntos Institucionales de la entidad, María Verónica López Quesada, se puede leer en este PDF:
🍏 LockBit llega a Apple
LockBit está trabajando en un encriptador de archivos para MacOS, según publicó Malware Hunter Team esta semana. Históricamente, la banda operó sobre Windows y Linux. Pero desde fines del año pasado ya estaba en marcha una versión para dispositivos Apple, incluso teniendo en cuenta su chip propietario (“locker_Apple_M1_64”)
Mauro Eldritch, analista de amenazas de BCA LDT, explica a SecOps que no es llamativo encontrar que los encrypters funcionen en distintos sistemas:
“Es común encontrar ransomware multiplataforma. A nivel técnico esto implica tener elementos dedicados enteramente al desarrollo de cada uno de esos subproductos y hasta es común ver ‘bolsas de trabajo’ para ciertos grupos en foros especializados. En el último tiempo, varios anuncios pedían desarrolladores Rust”
Brett Callow, experto de Emsisoft, advirtió a SecOps que este descubrimiento, sin embargo, está en una fase de prueba:
"Esto ni siquiera es una versión alfa. Es básicamente una versión de prueba muy, muy tosca que ni siquiera se ejecutaría con éxito en macOS. Es, sin embargo, una señal de que LockBit está -o al menos estaba- mirando a macOS como un posible objetivo"
Como sea, la expansión de las operaciones a otros OS da cuenta del músculo técnico y las capacidades de las organizaciones delictivas.
🚗 Hackear un auto con un Nokia 3310
Motherboard (Vice) publicó esta semana una investigación para comprobar si se puede hackear un auto con un teléfono Nokia 3310, un móvil lanzado hace 23 años. ¿La respuesta? Sí.
El artículo demuestra el paso a paso, donde se ve a un hombre sentado en el asiento del conductor de un Toyota que presiona repetidamente un botón al lado del volante y, tras un parpadeo, no arranca. Sin la llave, el conductor saca de su bolsillo un Nokia 3310, lo conecta con un cable USB negro y, luego de revisar algunas opciones en la pequeña pantalla de LCD, obtiene lo que quiere: arrancar el motor.
Así, según Vice, se trata de una nueva forma de robar autos con un teléfono, a través de pequeños dispositivos conocidos como “engine starters” que permiten ocultarse hasta en pequeños parlantes bluetooth. Una forma ingeniosa que permite, en menos de 15 segundos, llevarse un auto ajeno.
El sistema afecta a autos de diversas marcas, entre ellos algunos de alta gama como Maserati, Land Cruiser y Lexus.
🪟 Microsoft cambia la taxonomía de los actores de amenazas
El equipo de seguridad de Microsoft replanteó su esquema de nombres de actores de amenazas: la empresa dejó de usar elementos químicos, árboles y volcanes para los nombres de actores patrocinados por el estado, APTs, proveedores de cibervigilancia y grupos de ciberdelincuencia.
El motivo tiene que ver con que la comunidad de ciberseguridad venía planteando dificultades para encontrar información: ante las búsquedas, muchos resultados eran vagos y poco concretos.
Así, el nuevo esquema de nombres de Microsoft ahora incluirá una combinación de un color y un fenómeno meteorológico para los nombres de los actores de amenazas.
Se puede leer la lista completa de nuevos nombres en este enlace.
🔬 Ranking de Malware: marzo
CheckPoint Research también publicó su informe con el ranking de amenazas. Este mes, detectaron que la cepa de malware Emotet viene explotando exitosamente formas alternativas de distribuir archivos maliciosos desde que Microsoft anunció que bloquearía las macros de los archivos de Office.
En la última campaña analizada, los ciberdelincuentes adoptaron una nueva estrategia que consiste en el envío de mensajes de spam con un archivo malicioso de OneNote, la aplicación de Microsoft que generó grandes problemas de seguridad. Una vez abierto, aparece un mensaje falso que engaña a la víctima para que haga clic en el documento, lo que descarga la infección de Emotet.
Explica Maya Horowitz, vicepresidenta de investigación de Check Point Software:
“Sabemos que Emotet es un troyano sofisticado y no nos sorprende ver que ha logrado sortear las últimas defensas de Microsoft. Lo más importante que pueden hacer los usuarios es asegurarse de que cuentan con la seguridad adecuada en el correo electrónico, evitar la descarga de archivos inesperados y comprobar siempre el origen de un e-mail y su contenido y en caso de sospecha, no hacer clic en ningún link”
Por fuera de Emotet, Check Point Research publicó el desagregado por país y estos fueron los tres malware más buscados en Argentina en marzo:
Qbot – AKA Qakbot, es un troyano bancario que apareció por primera vez en 2008 diseñado para robar las credenciales bancarias y las pulsaciones de teclas. Ha sido responsable del 16,55 % de los ataques en Argentina.
Nanocore: NanoCore es un troyano de acceso remoto que se dirige a los usuarios del sistema operativo Windows y se observó por primera vez en 2013. Su incidencia en el país es del 5.52%.
Injuke: Injuke es un troyano propagado principalmente a través de correos electrónicos de phishing. Tan pronto como el troyano infecta el sistema, encripta la información en la PC de la víctima o impedirá que la herramienta funcione de manera correcta, mientras muestra una nota de rescate exigiendo ser pagado para descifrar los documentos o restaurar el sistema de archivos a su estado original. Este troyano impactó en 4,15% de las empresas argentinas.
Las tres industrias más atacadas a nivel mundial
Educación/investigación
Gobierno/militar
Sanidad
El informe completo, en este enlace.
🔗 Más info
LockBit lista al Banco de Venezuela entre sus víctimas
WhatsApp refuerza sus medidas de seguridad
La empresa israelí de spyware QuaDream cierra sus operaciones
El grupo Medusa dice tener 12 GB de código fuente de Bing Maps y Cortana (Microsoft)
Nuevo mercado negro: cuentas robadas de ChatGPT