1 de cada 4 empresas sufrió al menos una brecha de seguridad de correo electrónico, según la encuesta de Hornetsecurity

1 de cada 4 empresas sufrió al menos una brecha de seguridad de correo electrónico, según la encuesta de Hornetsecurity

La seguridad del correo electrónico es uno de los principales temas de preocupación para cualquier departamento de informática, y por una buena razón. Las brechas de seguridad a menudo conducen a la pérdida de datos confidenciales, el tiempo de inactividad de la operación y la pérdida de ingresos. Por ello, realizamos una encuesta de seguridad de correo electrónico a más de 420 empresas, y encontramos que el 23% de ellas, o 1 de cada 4, reportó un incidente de seguridad relacionado con el correo electrónico. De estas brechas de seguridad, el 36% fueron causadas por ataques de phishing dirigidos al punto más débil de cualquier sistema de seguridad, los usuarios finales.

La encuesta también examinó cómo las empresas que operan en la plataforma Microsoft 365 utilizan la seguridad del correo electrónico, y si usan o no las herramientas de seguridad de Microsoft 365 o recurren a soluciones de terceros. Es importante tener en cuenta que los resultados revelan el número de infracciones de seguridad que los encuestados conocían y que, a menudo, las posibles brechas de seguridad se notifican meses después, cuando se han perdido por completo o no se han notificado en absoluto.

Reported Email Security Breach

¿Cuál es la causa principal de las brechas de seguridad del correo electrónico?

De las brechas de seguridad que los encuestados conocían, el 36% fueron causadas por ataques de phishing dirigidos específicamente a los usuarios finales. Lo más sorprendente es que el 62% de todas las brechas de seguridad de correo reportadas ocurrieron debido al uso de contraseñas comprometidas por el usuario y ataques de phishing exitosos.

User Compromised PW and Phishing Attacks

Este hecho confirma lo que muchos ya asumían como una certeza: que sus funciones de seguridad de correo electrónico son tan útiles como la formación proporcionada a los usuarios finales para usar dichas funciones de manera correcta y responsable.

Uso de las funcionalidades de seguridad de Microsoft 365

Teniendo en cuenta estos datos, queríamos cuantificar y comprender lo que las empresas están haciendo para reforzar la seguridad de su correo electrónico. Hicimos una serie de preguntas sobre la mayoría de las funcionalidades de seguridad integradas actualmente en Microsoft 365. Más concretamente, preguntamos si las empresas las están utilizando y, en caso negativo, por qué. Esto es lo que encontramos:

  • 1/3 de las empresas no habilitan la autenticación multifactorial para todos los usuarios
  • Más de la mitad (55%) de los que usan MFA no usan acceso condicional
  • El 69% de los encuestados no firma digitalmente los mensajes
  • El 58% de los encuestados no utiliza el cifrado de mensajes al enviar correos electrónicos
Do not enable MFA for users

Estos problemas también se ven agravados por el hecho de que el 57% de nuestros encuestados también mencionan que no aprovechan las directivas de Prevención de Pérdida de Datos de Microsoft 365 y el 23% de estos, apuntan a una falta de conocimiento sobre la implementación de dichas políticas como la principal causa.

Leverage DataLoss Prevention Policies

El 68% de las empresas espera que Microsoft 365 las mantenga a salvo de las ciberamenazas de correo electrónico, pero el 50% utiliza soluciones de terceros

Parece haber una desconexión entre las expectativas que las empresas tienen de la seguridad del correo electrónico de Microsoft 365 y la realidad: mientras que 2 de cada 3 esperan que Microsoft los mantenga a salvo de las amenazas de correo, la mitad de todos los encuestados recurren a soluciones de terceros para complementar la seguridad del correo.

MS Keeping Safe from Email Threats
MS Email Security Features Licensing

Soluciones de terceros más efectivas, un 82% no reporta infracciones

Aquellos encuestados que usan soluciones de terceros, informaron de la tasa más baja de brechas de seguridad por correo electrónico en comparación con las organizaciones que usan paquetes de seguridad ofrecidos por Microsoft 365. Un 82% de todos nuestros encuestados que utilizan soluciones de seguridad de correo electrónico de terceros, no informaron de infracciones.

82 Percent report no Security Breaches

Además, de los que informaron haber pagado extra por Enterprise Mobility & Security E3 o E5 de Microsoft, el 48% también usaron soluciones de terceros. Por tanto, si bien las expectativas de seguridad del correo de Microsoft 365 son altas, la realidad es que la mayoría de las empresas creen que no es suficiente; y los números respaldan esa afirmación.

¿Qué empresas son las más vulnerables a las amenazas de seguridad por correo electrónico?

Para contextualizar, aquí hay algunos datos geográficos sobre nuestros encuestados: la abrumadora mayoría (63.8%) proviene de América del Norte, le sigue Europa con 26.5%. El resto se reparte entre Asia (3,5%), África (2,9%), Australia (1,3%), América Latina (1,3%) y Oriente Medio (0,5%).

El 74% de todas las brechas de seguridad reportadas en esta encuesta fueron por compañías que se encontraban dentro de los dos rangos de tamaño de la compañía. Aquellos con 201-500 empleados y 501-1000 empleados. Esto probablemente se deba a una combinación de factores como el presupuesto y las prioridades de contratación que no reconocen la ciberseguridad como una preocupación importante desde el principio.

Reported Breaches based on Company Size

Una vez que el número de empleados supera los 1.000, la incidencia de una brecha de seguridad por email disminuye al 17%, probablemente debido a las preocupaciones de seguridad anteriores y la capacidad de invertir en protocolos de ciberseguridad más sólidos e infraestructura de TI más avanzada. Lo que ilustra este punto es el hecho de que las empresas con más de 1,001 empleados tienen un 11% más de probabilidades de tener un MFA (Autenticación Multifactor) habilitado para todos los usuarios que aquellas con 201-500 empleados.

Aquí hay otra conclusión interesante: los encuestados de América del Norte informaron un 5% más de brechas de seguridad de correo electrónico que las ocurridas en Europa. Sin embargo, ambas regiones usan Autenticación Multifactor a la misma velocidad: 68%. Esto podría deberse al hecho de que las infracciones estadounidenses tienden a producir pagos mucho más altos, por ello, las organizaciones norteamericanas podrían ser atacadas de manera más agresiva.

¿Cómo se sienten las empresas acerca del almacenamiento de sus datos confidenciales en Exchange Online y Microsoft 365?

MS365 and MS Exchange Security Concerns

La mayoría de los encuestados no informaron de tener ninguna preocupación con el almacenamiento de datos confidenciales, pero resulta que casi 4 de cada 10 empresas no almacenan datos confidenciales utilizando la plataforma Microsoft 365 debido a problemas de seguridad de datos. Ese porcentaje no es insignificante teniendo en cuenta que plataformas como Microsoft 365 son críticas para la mayoría de las operaciones de la compañía.

Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

Resumen ejecutivo

  • FireEye descubrió un ataque global de tipo troyano a la cadena de suministro de la Plataforma Orión de SolarWinds, a causa de una puerta trasera que FireEye llamó SUNBURST.
  • Versiones afectadas: plataforma SolarWinds Orion, versiones 2019.4 HF 5, 2020.2 (sin ningún hotfix instalado), 2020.2 HF 1
  • Versión corregida: Plataforma SolarWinds Orion versión 2020.2.1 HF 2
  • Aunque las versiones troyanas de la Plataforma Orión de SolarWinds se han difundido ampliamente entre organizaciones públicas y privadas de todo el mundo, la información actual indica que la puerta trasera de SUNBURST fue utilizada para el espionaje por un estado nacional y sólo se usó para infiltrarse en un grupo selecto de víctimas. Otros daños colaterales ocurrieron al  instalar las versiones troyanas de la Plataforma Orión de SolarWinds .
  • Para saber si estás afectado (más allá de comprobar las versiones instaladas de la Plataforma Orion de SolarWinds) comprueba los registros DNS consultando avsvmcloud[.]com o.digitalcollege[.]org (¡Incluyendo subdominios!).
  • Hornetsecurity no se ve afectada y no utiliza productos de SolarWinds.
  • Debido a que se trata de un incidente global en curso, comprueba los enlaces a los siguientes recursos para obtener información e imágenes actualizadas.

Resumen

El 13 de diciembre de 2020, FireEye reveló una puerta trasera en las actualizaciones de la Plataforma Orión de SolarWinds. Las organizaciones afectadas deben actualizar la versión corregida de manera inmediata.

La puerta trasera es parte de una operación de espionaje global y se utiliza para acceder a las redes del Gobierno y de empresas privadas de alto perfil.

Hornetsecurity evaluó su situación y no se ve afectada.

Antecedentes

La Plataforma Orion de SolarWinds es el líder del mercado de monitorización de redes, con más de 275.000 clientes en 190 países y proporcionando monitorización de redes a 400 de las empresas de la lista Fortune 500, el gobierno de EE.UU. y otras organizaciones de alto perfil.

El 13 de diciembre de 2020, FireEye reveló que durante el periodo comprendido entre el 01-03-2020 y 01-06-2020, las actualizaciones de la Plataforma Orión de SolarWinds fueron troyanizadas, por ello, lo llamaron la puerta trasera de SUNBURST.3 Previamente el 18-12-2020 FireEye  reveló una brecha de seguridad en su propia organizaciónn,2 para la que más tarde se identificó la actualización de la Plataforma Orión de SolarWinds como el vector de intrusión.

FireEye atribuye esta intrusión a un actor de amenaza aún desconocido que están rastreando como UNC2452. Aunque muchos medios de comunicación informan de esta intrusión atribuida al APT29, creemos que esto es incorrecto ya que el APT29 es un actor de amenaza designado por el propio FireEye pero aún así no lo han atribuido directamente al APT29.

El 14-12-2020  SolarWinds publicó un aviso de seguridad1 en relación a este asunto.

Análisis técnico

La puerta trasera deSolarWinds.Orion.Core.BusinessLayer.dll del software de la plataforma de SolarWinds Orion, espera después de la instalación una cantidad  entre 12 y 14 días – seleccionada al azar – antes de ejecutar su código malicioso.  Intenta establecer una comunicación C2 usando un algoritmo de generación de nombres de dominio (DGA) to <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com. El código <ENCODED VICTIM HOSTNAME> de la parte del subdominio contiene el nombre del host codificado de las víctimas. Puede ser decodificado usando una herramienta proporcionada por RedDrip77

Los registros de subdominio correspondientes a los nombres de host de las víctimas a las que se dirigía la intrusión recibieron una respuesta DNS CNAME que los redirigió a uno de los dominios C2. Las víctimas que no eran el objetivo no recibieron un CNAME.6Aunque se trata de un ataque a gran escala a la cadena de suministro, la información actual indica que el propósito de la intrusión es el espionaje llevado a cabo por un estado nacional. Esto significa que mientras (según los archivos de la SEC de SolarWinds 8) alrededor de 18.000 víctimas instalaron las actualizaciones comprometidas, sólo una fracción muy pequeña fue realmente el objetivo de este ataque, el resto son daños colaterales.

En las organizaciones seleccionadas, la puerta trasera se utiliza como puente en la red de la organización, mediante la instalación de la TEARDROP y BEACON (del marco de Cobalt Strike) malware para infiltrarse aún más en la red.

Conclusión y medidas

A diferencia del ataque a la cadena de suministro contra el paquete de contabilidad fiscal ucraniano M.E.Doc, que dio lugar al incidente global de NotPetya en 2017, el objetivo de esta intrusión era el espionaje. Por lo tanto, sólo redes de objetivos seleccionados fueron instruidas a través de la puerta trasera de SUNBURST, del software comprometido de la Plataforma Orion de SolarWinds.

Las organizaciones que hayan instalado una versión de la Plataforma Orión de SolarWinds afectada deben tratar a todos los anfitriones monitoreados por la Plataforma Orión de SolarWinds como comprometidos, identificar todas las cuentas e infraestructuras controladas por los actores de la amenaza dentro de la organización y eliminarlas, y sólo entonces reconstruir la instalación de la Plataforma Orión de SolarWinds. Las organizaciones con requisitos de protección elevados pueden seguir la guía de la Directiva de Emergencia 21-01 del DHS4 (obviamente sin informar al CISA, a menos que la organización sea parte del gobierno de los EE.UU).

Un buen punto de partida para identificar la actividad de los actores de la amenaza es buscar los IoCs proporcionados por FireEye3,5 en los registros DNS. En caso de que los DNS consulten a uno de los <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com subdominios encontrados, puedes usar SunBurst DGA Decoder provided by RedDrip77 para averiguar qué nombre de host, ejecutó tu red por puerta trasera SUNBURST. En caso de que encuentres respuestas CNAME a estas consultas DNS, esto significaría que además de ejecutar el código de puerta trasera, los actores de la amenaza están/estaban interesados en el host y elevaron la conexión a una conexión C2 completa. En este último caso, recomendamos contactar inmediatamente con un proveedor de respuesta a incidentes competente.

Aplaudimos a nuestros colegas de FireEye por sus minuciosas investigaciones.

Referencias

Indicadores de compromiso (IoCs)

Para una lista completa de IoCs y firmas de detección, por favor vea las contramedidas publicadas por FireEye: https://github.com/fireeye/sunburst_countermeasures

DNS

  • .avsvmcloud[.]com
  • .appsync-api.eu-west-1[.]avsvmcloud[.]com
  • .appsync-api.us-west-2[.]avsvmcloud[.]com
  • .appsync-api.us-east-1[.]avsvmcloud[.]com
  • .appsync-api.us-east-2[.]avsvmcloud[.]com
  • .digitalcollege[.]org

¡Indicadores conocidos solamente a partir del 16-12-2020! Por favor, para obtener información actualizada comprueba los recursos vinculados.

Aumento de los ciberdelitos en la temporada prenavideña

Aumento de los ciberdelitos en la temporada prenavideña

El nuevo Infopaper da consejos sobre cómo proteger mejor tu negocio

El año está llegando a su fin, y los primeros compradores están pensando en qué regalar a sus seres queridos en Navidad. Las tiendas online y los comercios locales se están preparando para el negocio de alto volumen, prenavideño.

El último fin de semana de noviembre comienza oficialmente la temporada de “Black Friday” y el “Cyber Monday”. Muchas empresas ofrecerán estos días promociones especiales para sus clientes, con el fin de atraer a los cazadores de ofertas. Pero esta temporada no sólo es extremadamente lucrativa para las empresas, los ciberdelincuentes también buscan cobrar un bonus decente de Navidad. Una vez más, este año, los expertos del Security Lab de Hornetsecurity se preparan para un aumento significativo de los ciberataques a las empresas. Con el nuevo documento «Cibercriminales en la temporada prenavideña – 5 trucos para proteger mejor a tu empresa», los expertos en seguridad informática ofrecen consejos útiles para que las navidades no supongan un problema para las empresas.

Cuidado cazadores de gangas: los ciberdelincuentes quieren cobrar

Black Friday, Cyber Monday y la Navidad también son eventos que atraen la atención del público. Despiertan el interés con descuentos y promociones que atraen a los cazadores de gangas. No debe sorprender que los correos electrónicos de phishing en nombre de grandes marcas como Amazon sean particularmente comunes. El año pasado, el Security Lab de Hornetsecurity observó un aumento en los correos electrónicos de phishing en nombre de Amazon entre noviembre y diciembre:

Uso no autorizado de los dominios de Amazon para el envío de correo electrónico

Las empresas son particularmente vulnerables durante la temporada de Navidad

Cabe suponer que las empresas no sólo tendrán que prepararse para un aumento de los ciberataques de phishing por correo electrónico. Después de todo, el repertorio de los cibercriminales incluye muchos más métodos, como los ataques DDoS, en los que los piratas informáticos utilizan una avalancha de solicitudes de servidores para poner de rodillas los sistemas de los proveedores, con la consecuente pérdida de oportunidades de venta.

En el siguiente Infopaper, explicamos los ciberataques que las empresas deben esperar y por qué son cada vez más peligrosos.

Protégete ahora

  • La protección contra los sofisticados ataques de ransomware y phishing la proporciona nuestro servicio Advanced Threat Protection.
  • La protección contra el fallo de tu servidor de correo es proporcionada por nuestro Continuity Service.
Ataques híbridos con leakware y ransomware

Ataques híbridos con leakware y ransomware

Resumen

Desde diciembre de 2019, los operadores de ransomware vienen empleando ataques híbridos de ransomware y leakware con cada vez mayor frecuencia. Estos ataques combinan el clásico ataque de ransomware con un ataque de leakware. En los ataques de ransomware clásicos, los datos de la víctima se cifran, descifrándose únicamente una vez la víctima haya pagado un rescate a los autores. En los ataques de leakware, se roban los datos y se chantajea a la víctima con su publicación para que pague cierto importe. En un ataque híbrido de leakware y ransomware, los datos primero se roban, y después se cifran. A continuación, se exige a la víctima que pague un rescate para descifrarlos. Si la víctima se niega a pagar el rescate, los atacantes la amenazan con publicar los datos robados. En algunos casos, los atacantes establecen contacto con socios o clientes de la víctima, informándoles de la próxima publicación de los datos para aumentar la presión sobre la víctima.

En este artículo describimos cómo funcionan estos ataques híbridos de leakware y ransomware, en qué se diferencian de los ataques de ransomware clásicos, y cómo puede protegerse de ellos.

Detalles

Con el auge de las criptomonedas, el ransomware ha ganado popularidad entre los ciberdelincuentes. Aunque el ransomware ya existía antes de las criptomonedas, éstas han simplificado enormemente la logística del pago de rescates.

Según ID Ransomware, un servicio gratuito para la identificación de ransomware, existen 928 tipos de ransomware distintos1.

El ransomware suele distribuirse e implementarse mediante malware de otro tipo. Un vector de ataque frecuente es el correo electrónico. La cadena de infección típica durante un ataque de ransomware es la siguiente:

Cadena de infección de ataque de ransomware mediante correo electrónico

La motivación de los responsables del ransomware es económica. Su ransomware cifra los datos de la víctima. Los atacantes solo acceden a descifrar los datos si la víctima paga un rescate.

Los rescates exigidos pueden ir de unos centenares de euros por ordenadores individuales, a varios millares para pequeñas empresas o incluso millones para grandes corporaciones y/u organismos públicos. El rescate más elevado jamás pagado del que se tenga noticia fue de 4,5 millones de dólares, aportado por la agencia de viajes estadounidense CWT2.

El ransomware clásico

En un caso clásico de ransomware, las interacciones y el flujo de información siguen este esquema:

Esquema de interacciones en casos de ransomware

Nuevo híbrido de leakware y ransomware

Desde diciembre de 2019, los responsables de la operación de ransomware conocida como Maze comenzaron a combinar el ransomware con un ataque previo conocido como leakware.

En un ataque de leakware se sustraen datos a la víctima para, a continuación, amenazarla con publicarlos si ésta se resiste a pagar un rescate. Por tanto, el leakware es lo contrario del ransomware: en lugar de denegar a la víctima el acceso a sus datos, dicho acceso se concede a todo el mundo si la víctima no paga.

Este nuevo esquema híbrido combina leakware y ransomware. Con este propósito, antes de cifrar los datos de la víctima con ransomware, los responsables los sustraen para, a continuación, amenazar con su publicación si la víctima se niega a pagar el rescate.

Adicionalmente, algunos operadores de ransomware se ponen en contacto con los socios o clientes de la víctima, cuyos datos también suelen encontrarse entre los que se van a publicar. Los responsables del ransomware Clop son famosos por operar así. Esta técnica incrementa la presión sobre las víctimas para que paguen el rescate.

En el nuevo híbrido de leakware y ransomware, las interacciones y el flujo de información siguen este esquema:

Esquema de interacciones de ranshameware

El problema para las víctimas es que, incluso si pagan el rescate, no tienen más garantía de que los datos filtrados vayan a eliminarse que la palabra de unos delincuentes. Los datos sustraídos podrían venderse en el mercado negro, emplearse en futuros ataques e incluso para volver a extorsionar a la misma víctima en un momento posterior.

Ejemplo: el ransomware Clop

Con el ejemplo del ransomware Clop, a continuación describiremos el desarrollo de un ataque híbrido con leakware y ransomware.

El ransomware Clop está controlado por un operador conocido comúnmente como TA505. Hornetsecurity ya ha informado anteriormente sobre sus actividades3. El acceso inicial se obtiene mediante un correo malicioso. TA505 se dedica a la caza mayor, apuntando específicamente a grandes corporaciones con grandes ingresos. Si un destinatario abre el correo y sigue las instrucciones, que suelen implicar descargar un documento malicioso y permitirle que ejecute macros, se convierte en víctima. A continuación, el código de macro contenido en el documento descarga un troyano de administración remota (RAT, por sus siglas en inglés). Este RAT permite a los atacantes obtener acceso remoto al ordenador de la víctima. A continuación, el RAT se emplea para desplazarse lateralmente por la red de la empresa de la víctima y recopilar información adicional. Aparte de esto, suelen emplearse otras herramientas (como las del framework Cobalt Strike) para obtener derechos de administrador de dominio. A continuación se extraen datos valiosos. Por datos de víctimas publicados en el pasado, sabemos que estos datos suelen abarcar el contenido íntegro de los discos compartidos de la empresa infectada. En algún momento, el ransomware Clop se despliega por toda la empresa para cifrar e incapacitar el mayor número de sistemas posible, maximizando así el perjuicio a la empresa.

A continuación, los operadores del ransomware Clop envían a la víctima a un sitio web con la nota de secuestro alojado en un servicio oculto de Tor. La página web de la nota de secuestro incluye detalles acerca del rescate y de cómo pagarlo.

Página del descifrador de Clop

Dependiendo del tamaño de la empresa y de sus beneficios estimados, el rescate exigido puede ascender a millones de euros. Recordemos que TA505 se dedica a la caza mayor, es decir, que se centra solo en grandes corporaciones con elevados ingresos. La página web de la nota de secuestro también contiene un temporizador y una amenaza de doblar el precio si el rescate no se paga puntualmente.

Para demostrar a la víctima que los archivos pueden descifrarse, la página con la nota de secuestro también ofrece un «descifrado de prueba».

Descifrado de prueba de la página del descifrador de Clop

La página de la nota de secuestro también incluye un chat de servicio técnico. Estos chats suelen emplearse para negociar el rescate, los plazos o ampliaciones de los mismos.

Chat de asistencia de la página del descifrador de Clop

Si alguna víctima se niega a pagar o a negociar, los responsables del ransomware empiezan a enviar notificaciones por correo electrónico en masa a sus socios y/o clientes. He aquí un ejemplo de notificación enviada por los responsables del ransomware Clop:

Correo de notificación de Clop

El archivo adjunto list.txt contiene una lista de dominios de Windows y sus recursos compartidos correspondientes de los cuales han extraído datos los responsables del ransomware Clop. Los enlaces del correo de notificación apuntan a la subpágina del sitio de filtraciones de Clop en que se comparten los datos robados.

El sitio web de filtraciones de Clop se llama «CL0P^_- LEAKS». Actualmente cuenta con 13 víctimas. He aquí un ejemplo de vista de datos filtrados:

Sitio de filtraciones de Clop

Lista de sitios de filtraciones

Actualmente, hay 13 operaciones de software diferentes con sitios de filtraciones. La distribución de víctimas entre cada sitio de filtraciones se muestra en el siguiente gráfico:

Distribución de víctimas en sitios de filtraciones de ransomware

Maze

Con 220, el sitio de filtraciones del ransomware Maze es el que con mayor número de víctimas cuenta. Por lo visto, los responsables del ransomware Maze tienen tantas víctimas potenciales que han constituido el denominado «cartel de Maze», con el que ayudan a otras operaciones de ransomware a cambio de una parte de sus beneficios.

Sitio de filtraciones de Maze

Curiosamente, el sitio de filtraciones de Maze está alojado en la web convencional, y no a través de un servicio oculto.

REvil / Sodinokibi

El segundo ransomware más notable con un sitio de filtraciones es REvil. Su sitio, llamado «Happy Blog», contiene datos de 67 víctimas.

Sitio de filtraciones de REvil

Además, en junio de 2020, los responsables del ransomware REvil empezaron a «subastar» los datos sustraídos:

Subasta de REvil

Sin embargo, la página de la subasta no contiene información sobre cómo pujar. Posiblemente no se trate más que de un método con el que obtener relevancia mediática e intimidar a las empresas para que paguen a los atacantes.

DoppelPaymer

Con 59 víctimas, el sitio de filtraciones «Doppel leaks» del ransomware DoppelPaymer está tercero en el ranking.

Sitio de filtraciones de DoppelPaymer

El sitio también es accesible a través de un dominio de la web convencional.

Conti

El sitio de filtraciones del nuevo ransomware Conti, «Conti News», ya cuenta con los datos de 43 víctimas. En base a toda la información disponible, el ransomware Conti parece ser el sucesor del famoso ransomware Ryuk.

Sitio de filtraciones de Conti Sitio de filtraciones de Conti

El sitio también es accesible a través de un dominio de la web convencional.

Después de Maze, Conti es actualmente el ransomware que más rápido incrementa su número de víctimas, ganando en ocasiones hasta 10 nuevas víctimas al día. Aquí es importante recordar que en los sitios de filtraciones solo se publican los datos de víctimas que se nieguen a pagar el rescate.

NetWalker

Los datos de 37 víctimas del ransomware NetWalker se han publicado en su sitio de filtraciones, «NetWalker Blog».

Sitio de filtraciones de NetWalker

Mespinoza / Pysa

El ransomware Mespinoza, también conocido como Pysa, ha titulado su sitio de filtraciones «Pysa’s Partners». Contiene datos de 28 víctimas.

Sitio de filtraciones de Mespinoza

Nephilim

El sitio de filtraciones del ransomware Nephilim, titulado «Corporate Leaks», contiene los datos de 16 víctimas.

Sitio de filtraciones de Nephilim

RagnarLocker

El sitio de filtraciones del ransomware RagnarLocker se llama «RAGNAR LEAKS NEWS». Contiene datos de 14 víctimas.

Sitio de filtraciones de RagnarLocker

SunCrypt

El sitio de filtraciones del ransomware SunCrypt se llama simplemente «News». Sin embargo, ciertos investigadores han sido capaces de ponerse en contacto con los operadores del sitio y han confirmado que está asociado al ransomware SunCrypt. El sitio de filtraciones alberga los datos de 9 víctimas.

Sitio de filtraciones de SunCrypt

Sekhmet

El sitio de filtraciones del ransomware Sekhmet, titulado «Sekhmet Leaks», solo está disponible a través de una dirección de la web convencional. Actualmente contiene datos de 8 víctimas.

Página de filtraciones de Sekhmet

Avaddon

En la primera campaña de Avaddon observada por Hornetsecurity4 no se sustrajeron datos. La campaña distribuía Avaddon a través de la red de bots Phorpiex, y el cifrado de los datos de las víctimas estaba completamente automatizado. Por tanto, la campaña no estaba centrada en víctimas de alto valor para las cuales hubiese valido la pena hacer filtraciones. Sin embargo, desde entonces, Avaddon se ha empleado en diferentes campañas, y su sitio de filtraciones, titulada «Avaddon Info», cuenta actualmente con los datos de 4 víctimas.

Sitio de filtraciones de Avaddon

Darkside

Un sitio de filtraciones muy reciente es «Darkside», del ransomware Darkside. Contiene datos de 2 víctimas.

MedusaLocker / AKO

El ransomware MedusaLocker también tuvo un sitio de filtraciones que llegó a contener datos de 7 víctimas.

Sitio de filtraciones de MedusaLocker

Sin embargo, actualmente el sitio tan solo contiene un mensaje de «próximamente» y no publica contenidos de ninguna víctima. Parece que el sitio se encuentra actualmente en reformas.

Nemty

El ransomware Nemty también solía tener un sitio de filtraciones al que se podía acceder a través de un dominio de la web convencional. Sin embargo, el sitio ya no se encuentra disponible.

ProLock

Hornet ha analizado con anterioridad el ransomware ProLock, que también afirma haber «recopilado […] datos sensibles» y estar dispuesto «a compartirlos si [la víctima] se niega a pagar»5. Sin embargo, por ahora no ha aparecido ningún sitio de filtraciones de ProLock.

Conclusión y soluciones

Los nuevos ataques híbridos con leakware/ransomware hacen las infecciones con malware más peligrosas que nunca para las empresas. Mientras que unas buenas copias de seguridad ayudaban contra los ataques con ransomware clásicos, éstas no ofrecen ninguna protección frente a la revelación de datos privados y/o confidenciales al público. El anuncio general de la filtración de datos a socios y clientes causa perjuicios adicionales y pérdida de reputación a las víctimas, ya que sus socios y clientes, así como sus competidores, obtienen acceso ilimitado a documentos internos, tales como contratos, listas de precios, resultados de investigación y desarrollo, etc.

En general, la única protección posible ante estos ataques híbridos con leakware y ransomware es invertir en una seguridad informática eficaz. En lo que respecta al correo electrónico, Spam and Malware Protection y Advanced Threat Protection de Hornetsecurity protegen frente a ataques híbridos que emplean el correo electrónico como su vector de infección inicial del mismo modo que protegen frente a los ataques con ransomware clásicos: repeliéndolos desde el comienzo mismo de la cadena de ataque, antes de que los atacantes puedan obtener un primer acceso a sus sistemas.

Referencias

Emotet en archivos adjuntos cifrados – Una creciente ciberamenaza

Emotet en archivos adjuntos cifrados – Una creciente ciberamenaza

Los ciberdelincuentes, que están detrás del troyano bancario Emotet, usan diversos trucos para burlar los filtros antivirus y propagar el malware a aún más sistemas. Estos trucos van: desde el secuestro de hilo de correos, a los cambios en Webshells, hasta la actualización del cargador de Emotet, lo que llevó a un gran aumento de las descargas de malware. Ahora Emotet está enviando de nuevo archivos adjuntos cifrados a través de su malspam (malware + spam) para expandir aún más su red de botnets.

Desde septiembre, el Security Lab de Hornetsecurity ha observado un aumento significativo en el malware de Emotet, que nuevamente envía archivos cifrados. La contraseña para descifrar el archivo, se incluye como texto plano en la carta de presentación del correo electrónico. Al cifrar el archivo adjunto, los programas antivirus convencionales no son capaces de detectar y bloquear el malware oculto. Sin embargo, la víctima puede descifrar, abrir y ejecutar el archivo, lo que eventualmente recarga el malware.

Ejemplo de archivo adjunto cifrado
Ejemplo de archivo adjunto cifrado

Pero este método no es nuevo: ya en abril de 2019, los analistas de seguridad descubrieron las primeras oleadas del malspam de Emotet, usando archivos zip cifrados. Desde entonces, tales olas de spam han ido apareciendo de vez en cuando a lo largo del año y duran unos pocos días. El grupo de white hats «Cryptolaemus» llama a esta acción de los actores detrás de Emotet operación: «Zip Lock». El equipo de más de 20 investigadores de seguridad y administradores de sistemas se ha fijado el objetivo de frenar la propagación del «malware más peligroso del mundo». Cada día, el grupo publica todas las actualizaciones de Emotet en su página web y en su cuenta de Twitter. Su objetivo es permitir que, los administradores de sistemas y redes, introduzcan en sus filtros de seguridad los llamados: Indicadores de Compromiso (IOCs), las direcciones IP de los servidores de comando de Emotet, las líneas de asunto y los hashes de archivos infectados por Emotet, para protegerse de posibles infecciones por Emotet.

La actual ola de malspam con archivos cifrados ha estado activa desde al menos el 1 de septiembre y fue dirigida por primera vez al mundo de habla japonesa.

Bsp Email JP Emotet

Finalmente, el Security Lab de Hornetsecurity registró olas de spam en español, inglés y alemán a partir del 14 de septiembre.

Distribución de Malspam Emotet en todo el mundo HSE

Para aumentar aún más las posibilidades de que su víctima abra realmente el correo electrónico malicioso, y active el archivo adjunto una vez llegue a su bandeja de entrada, los ciberdelincuentes también utilizan la técnica de «secuestro de hilo de conversación de correo electrónico». Al hacerlo, se utilizan los hilos de conversación del correo electrónico de la víctima para parecer más «auténticos». Es entonces, cuando los atacantes responden a las conversaciones existentes que su objetivo todavía tiene almacenadas en el buzón.

Una tendencia popular de la ciberdelincuencia

En general, el método de ciberataque  por correo electrónico –  con archivos adjuntos codificados – es bastante popular entre los grupos de ciberdelincuentes. Los analistas de seguridad de Hornetsecurity descubrieron documentos de Office cifrados en las campañas de malware de GandCrab, y el malware Ursnif también se está propagando a través de archivos zip cifrados.

Bsp Email GandCrab

¿Cómo puedo protegerme de esto?

Los archivos cifrados de Emotet, aún no son detectados por los programas antivirus convencionales, como demuestra el servicio de escaneo de malware VirusTotal.

VirusTotal Emotet detección de cero de los adjuntos

La técnica del secuestro de hilos de conversaciones de correo electrónico también contribuye al «éxito» de los ciberdelincuentes, pues es casi imposible que los destinatarios detecten ese tipo de ciberataque, ya que los correos electrónicos maliciosos se envían desde una cuenta legítima pero comprometida.

Sin embargo, filtros más avanzados y mecanismos de seguridad inteligentes son capaces de detectar ambas técnicas de ciberataque y mantenerlas alejadas del buzón del destinatario. Las acciones de los ciberdelincuentes que están detrás de Emotet, dejan claro que es hora de que las empresas den el siguiente paso en temas de ciberseguridad. Después de todo, los ciberataques exitosos continúan impulsando las ambiciones de los hackers y traen más cibercriminales a escena.

Más información:

  • Hornetsecuritys Advanced Threat Protection puede analizar e identificar estos archivos adjuntos encriptados gracias a la función de desencriptación de documentos maliciosos.
Secuestro de hilos de correo

Secuestro de hilos de correo

Resumen

Abrir archivos adjuntos y enlaces únicamente de remitentes conocidos es una recomendación habitual para prevenir ataques de malware y suplantación de identidad perpetrados mediante correo electrónico. Sin embargo, en este artículo describimos una técnica de ataque denominada «secuestro de hilos de correo» que explota hilos de correo previos de las víctimas y, de este modo, relaciones de confianza con las mismas para propagarse. En estos casos, el consejo mencionado ya no sirve. Aquí explicaremos el modo en que los atacantes se sirven del secuestro de hilos de correo y cómo éste incrementa de modo dramático la probabilidad de que las víctimas abran enlaces o archivos adjuntos maliciosos.

 

Detalles

Los ciberdelincuentes intentan incitar a las víctimas a abrir enlaces o archivos adjuntos maliciosos. Con este propósito, a menudo se valen de correos que imitan la apariencia de correos lícitos, tales como facturas. Sin embargo, si la víctima no es cliente de una empresa o servicio concreto, probablemente no le dé por abrir supuestas facturas de dichas empresas o servicios, especialmente sabiendo que se trata de la táctica más habitual empleada por los delincuentes para incitar a las víctimas a ejecutar su malware. Por tanto, los delincuentes suelen recurrir a acontecimientos especiales para despertar el interés de las víctimas por abrir sus enlaces o archivos adjuntos maliciosos. Ejemplos de tales acontecimientos son la Navidad, el Black Friday, Halloween o el día de San Valentín, así como, actualmente, la pandemia de COVID-19. Sin embargo, a menudo los usuarios también conocen estas estrategias y no abren ningún enlace o archivo adjunto malicioso, especialmente cuando aparecen de la nada y sin ningún contexto.

Por tanto, cada vez hay más atacantes que recurren a una técnica llamada «secuestro de hilos de correo». Con esta técnica, los atacantes se valen de hilos de correo de sus víctimas para propagarse hacia otras víctimas. Antiguamente, los atacantes se limitaban a emplear las direcciones de correo contenidas en las agendas de sus víctimas. El secuestro de hilos de correo también emplea hilos de correo antiguos de la víctima para encontrar nuevas víctimas. Con este fin, los atacantes responden a conversaciones que la víctima tiene en su buzón de correo.

 

¿Cómo funciona el secuestro de hilos de correo?

En el secuestro de hilos de correo, el ataque comienza contagiando a una primera víctima. A continuación, se roban sus correos y, a menudo, también sus datos de acceso a la cuenta de correo. Seguidamente, los atacantes responden a los correos de la víctima con sus mensajes maliciosos.

En el siguiente ejemplo, el campo «From» del correo contiene la dirección de la víctima. El campo «To» contiene la dirección de correo del usuario atacado, con el cual la víctima mantuvo previamente una comunicación por correo electrónico. El campo «Subject» contiene el asunto original del hilo de correo precedido por «Re: «. La cita bajo el mensaje contiene toda la conversación entre las dos partes.

Ejemplo de secuestro de hilos de correo

Los buenos atacantes también adaptan el idioma de la respuesta al empleado en el hilo de correo secuestrado. Así, por ejemplo, el siguiente ejemplo emplea una respuesta en alemán:

Ejemplo de secuestro de hilos de correo

Mientras que, en los ejemplos anteriores, la respuesta maliciosa contenía un enlace malicioso, estos correos también pueden valerse de archivos adjuntos maliciosos:

Ejemplo de secuestro de hilos de correo

 

¿Cómo de eficaz es el secuestro de hilos de correo?

Para ilustrar lo eficaz que es el secuestro de hilos de correo, hemos recreado una comunicación por correo electrónico que observamos durante una inspección rutinaria de falsos positivos:

Ejemplo de secuestro de hilos de correo

En este ejemplo, los atacantes comprometieron la cuenta de correo de Joe Schmoe y respondieron desde ella a un correo que Joe había recibido previamente de Alice. En su respuesta incluyeron un enlace malicioso (ABRE EL ENLACE) y algo de texto genérico. Alice sacó el correo de la cuarentena para abrir el enlace malicioso, pero su navegador la salvó de infectarse. Después escribió a la cuenta de correo comprometida de Joe para decir que no podía abrir «el archivo», y que necesitaría que se lo enviara en otro formato. A continuación, los atacantes enviaron a Alice otro enlace malicioso. Aunque estamos convencidos de que el hecho de que los atacantes volviesen a secuestrar un hilo de correo secuestrado previamente fue una coincidencia, este ejemplo demuestra lo eficaz que puede resultar el secuestro de hilos de correo.

Por suerte, (por ahora) no hay ningún atacante que adapte sus correos en función del hilo secuestrado. Sin embargo, como los delincuentes disponen de herramientas de secuestro de hilos de correo altamente automatizadas, la probabilidad de que los hilos secuestrados impliquen el intercambio de documentos en ambas direcciones es elevada. E incluso si tal cosa no ocurre, ¿quién no iba alguien a abrir un documento enviado por un contacto conocido dentro de un hilo de correo previo?

 

¿Quién emplea el secuestro de hilos de correo?

El número de delincuentes que emplean ataques de secuestro de hilos de correo sigue aumentando. Aunque la primera vez que se observó, en mayo de 2017, formaba parte de una campaña limitada de spear phishing, muchos ciberdelincuentes generalistas adoptaron la técnica en 2018.

En 2019, también Emotet adoptó el secuestro de hilos de correo. Con este propósito, añadieron un módulo de robo de correos. El módulo roba correos y datos de acceso de las víctimas y los envía a los servidores de control de Emotet, desde los cuales se distribuyen a los sistemas de otras víctimas infectados con el módulo de spam de Emotet, donde se emplean para atacar a nuevas víctimas. Recientemente, Emotet ha ampliado su secuestro de hilos de correo sustrayendo archivos adjuntos a sus víctimas y colocando su archivo malicioso entre archivos adjuntos benignos robados para que los correos parezcan aún más legítimos.

QakBot también se distribuye frecuentemente a través de respuestas a hilos de correo previos. En 2020, el malware Valek empezó también a distribuirse mediante secuestro de hilos de correo.

Hornetsecurity ha observado un aumento en las cuentas comprometidas empleadas para enviar correos maliciosos. Aunque (por ahora) no se emplea el secuestro de hilos de correo, sino que simplemente se utilizan las cuentas de correo de las víctimas para enviar correos, teniendo acceso a dichas cuentas es muy sencillo perpetrar ataques de secuestro de hilos de correo: basta con que el delincuente responda a correos recibidos por sus víctimas. Por tanto, estamos convencidos de que la tendencia a los ataques mediante secuestro de hilos de correo va a continuar. Así, los usuarios ya no van a poder fiarse de remitentes de confianza a la hora de decidir si es seguro o no abrir un archivo adjunto o hacer clic en un enlace.

 

Conclusión y soluciones

La recomendación de abrir únicamente archivos adjuntos o enlaces de correos electrónicos de remitentes conocidos está obsoleta. Con el secuestro de hilos de correo, incluso los ciberdelincuentes generalistas pueden automatizar correos altamente sofisticados y eficaces para cometer spear phishing. A menudo, las víctimas no saben que están infectadas. En tales casos es importante informar a las víctimas de que están distribuyendo contenido malicioso por correo electrónico para que puedan tomar medidas contra la infección. La medida más urgente sería cambiar los datos de acceso a la cuenta de correo. Otros pasos consistirían en determinar cómo obtuvieron los atacantes acceso a la cuenta de correo en primer lugar para evitar que tales incidentes se repitan en el futuro.

A los seres humanos les resulta muy difícil, si no imposible, detectar el secuestro de hilos de correo, ya que, al enviarse a través de cuentas de correo legítimas aunque comprometidas, y dejando aparte el estilo de escritura, los correos son indistinguibles de correos legítimos reales. Sin embargo, los filtros de correo que inspeccionan los archivos adjuntos o enlaces en correos pueden detectar contenidos maliciosos a pesar de eso.

Spam and Malware Protection de Hornetsecurity, con las tasas de detección más elevadas del mercado, detecta y pone en cuarentena las amenazas independientemente de si se emplean ataques de secuestro de hilos de correo o no. Advanced Threat Protection de Hornetsecurity tampoco se ve afectado por el secuestro de hilos de correo, e inspecciona los contenidos de cada correo independientemente de si se han enviado desde una cuenta comprometida. Los filtros de malware, phishing y ATP de Hornetsecurity tienen preferencia sobre las listas blancas de remitentes. De este modo, los clientes de Hornetsecurity estarán protegidos incluso si un remitente en una lista blanca se ve comprometido y su cuenta de correo se emplea para enviar correos maliciosos.