Header Monthly Email Threat Review

Email Threat Review octubre 2021

Written by Security Lab / 16.11.2021 /
Home » Blog » Email Threat Review octubre 2021

Resumen general

Este mes hemos hecho seguimiento a la continuidad de ataques de phishing a gran escala contra los bancos alemanes que comenzó a finales del mes pasado.

Resumen

En esta edición de nuestro Email Threat Review mensual, presentamos un resumen de las amenazas por correo electrónico observadas en octubre de 2021 y las comparamos con las del mes anterior.

El reporte ofrece información sobre:

Correos electrónicos no deseados por categoría

La siguiente tabla muestra la distribución de los correos electrónicos no deseados por categoría.

Categoría del correo electrónico%
Rechazado80.92
Spam13.50
Amenaza4.68
Amenaza avanzada0.86
Contenido0.03

El siguiente histograma temporal muestra el volumen de correos electrónicos por categoría y por día.

El gran pico de correos electrónicos no deseados, cerca del 2021-10-26, puede atribuirse a una campaña de correos electrónicos de extorsión sexual que se repite mensualmente.

Metodología

Las categorías de email listadas corresponden a las mismas listadas en el Email Live Tracking del Control Panel de Hornetsecurity. Por lo que nuestros usuarios ya están familiarizados con ellas. Para quiénes no las conocen, las categorías son:

CategoríaDescripción
SpamEstos correos electrónicos no son deseados y a menudo son promocionales o fraudulentos. Los emails son enviados simultáneamente a un gran número de destinatarios.
ContenidoEstos correos electrónicos tienen un archivo adjunto no válido. Los administradores definen en el módulo de control de contenido qué archivos adjuntos no son válidos.
AmenazaEstos correos electrónicos tienen contenido dañino, como archivos adjuntos o enlaces maliciosos, o se envían para cometer delitos, como el phishing.
Amenaza avanzadaAdvanced Threat Protection ha detectado una amenaza en estos correos electrónicos. Los correos electrónicos se utilizan para fines ilegales e implican medios técnicos sofisticados que sólo se pueden rechazar mediante procedimientos dinámicos avanzados.
RechazadoNuestro servidor de correo electrónico rechaza estos correos directamente durante el diálogo SMTP debido a características externas, como la identidad del remitente, y los correos no se analizan más.

Tipos de archivos utilizados en los ataques

La siguiente tabla muestra la distribución de los tipos de archivo utilizados en los ataques.

Tipo de archivo (utilizado en los correos maliciosos)%
HTML37.3
Archivo25.8
PDF13.1
Excel7.0
Archivos de imagen de disco5.2
Otros4.2
Ejecutables3.4
Word3.3
Powerpoint0.4
Archivo de script0.1

Otros tipos de archivos que no aparecen en la lista individual son los archivos de correo electrónico (reenviados como archivos adjuntos .eml), los archivos de acceso directo al escritorio de Windows (.lnk), los archivos de acceso directo a Internet (.url), los archivos Java Archive (.jar), los archivos iCalendar (.ics), los archivos vCard (.vcf), los formatos de libros electrónicos (.epub, .mobi) y muchos otros formatos de archivo aún más exóticos. Estos se combinan en «Otros».

El siguiente histograma temporal muestra el volumen de correo electrónico por tipo de archivo utilizado en los ataques durante 7 días.

Índice de amenaza del correo electrónico por industria

La siguiente tabla muestra nuestro índice de amenaza por correo electrónico por sector, calculado en base al número de correos electrónicos maliciosos en comparación con los correos electrónicos limpios recibidos según cada industria (mediana).

IndustriasPorcentaje de amenaza en los correos amenazados y limpios
Sector educativo5.6
Sector sanitario5.6
Industria manufacturera5.5
Industria de la investigación5.4
Industria del automóvil4.8
Industria de los medios de comunicación4.7
Industria de la construcción4.6
Servicios públicos4.4
Industria minera4.1
Industria del transporte4.0

El siguiente gráfico de barras visualiza la amenaza que supone el correo electrónico para cada industria.

Metodología

Las organizaciones de distinto tamaño reciben un número absoluto de correos electrónicos diferente. Por lo tanto, calculamos el porcentaje de correos electrónicos amenazantes de cada organización y los correos electrónicos limpios para compararlas entre sí. A continuación, calculamos la mediana de estos valores porcentuales para todas las organizaciones del mismo sector de forma de obtener la puntuación final de amenaza del sector.

Marcas de empresa y organizaciones suplantadas

La siguiente tabla muestra las marcas y organizaciones de empresas mayormente detectadas por nuestros sistemas, en los ataques de suplantación de identidad.

Marca u organización suplantada%
Sparkasse47.4
Volks- und Raiffeisenbank17.7
Otros6.9
Deutsche Post / DHL5.8
Amazon5.4
DocuSign4.4
PayPal2.4
UPS2.1
LinkedIn1.5
Fedex1.5

El siguiente histograma muestra el volumen de correos electrónicos de marcas de empresas y organizaciones detectadas en ataques de suplantación de identidad por hora.

Aquí vemos la suplantación continua de dos asociaciones bancarias alemanas para difundir el phishing.

Ransomleaks

Los actores de las amenazas siguen filtrando datos robados a las víctimas de ransomware para presionarlas a pagar por descifrar los archivos y no publicar datos sensibles. Nuestra supervisión automatizada observó el siguiente número de filtraciones en sitios de filtración de ransomware (no protegidos por CAPTCHAS):

Sitio de filtraciónNúmero de fugas de datos de las víctimas
Conti65
Blackmatter44
Pysa27
Hive8
Cuba7
LV6
REvil4
Vice Society4
Everest3
Atomsilo2
Bonaci2
Xing Team2
RansomEXX1

El siguiente gráfico de barras visualiza el número de fugas de datos de víctimas por sitio de fuga.

Añadimos las siguientes páginas de fuga de ransomware a nuestra monitorización:

  • Atomsilo
  • Blackmatter
  • Bonaci

El 2021-10-04, Europol anunció dos detenciones y siete registros de propiedades en Ucrania en relación con una banda de ransomware. Europol no dio el nombre de la banda de ransomware.1

El 2021-10-26, Europol anunció la adopción de medidas contra 12 delincuentes implicados en el ransomware LockerGoga, MegaCortex y Dharma, entre otros.2

El 2021-10-29, el Departamento de Justicia de los Estados Unidos anunció la extradición de un ciudadano ruso de Corea del Sur a los Estados Unidos por su presunta participación en el desarrollo y despliegue del malware Trickbot.3

Referencias

También le puede interesar