Resumen general

• Este mes hemos hecho seguimiento a la continuidad de ataques de phishing a gran escala contra los bancos alemanes que comenzó a finales del mes pasado.

Resumen

En esta edición de nuestro Email Threat Review mensual, presentamos un resumen de las amenazas por correo electrónico observadas en octubre de 2021 y las comparamos con las del mes anterior.

El reporte ofrece información sobre:

• Correos electrónicos no deseados por categoría
• Tipos de archivos utilizados en los ataques
• Índice de amenazas por correo electrónico del sector
• Marcas de empresa y organizaciones suplantadas
• Ransomleaks

Correos electrónicos no deseados por categoría

La siguiente tabla muestra la distribución de los correos electrónicos no deseados por categoría.

Categoría del correo electrónico	%
Rechazados	80.92
Spam	13.50
Amenaza	4.68
Amenaza avanzada	0.86
Contenido	0.03

El siguiente histograma temporal muestra el volumen de correos electrónicos por categoría y por día.

El gran pico de correos electrónicos no deseados, cerca del 2021-10-26, puede atribuirse a una campaña de correos electrónicos de extorsión sexual que se repite mensualmente.

Metodología

Las categorías de email listadas corresponden a las mismas listadas en el Email Live Tracking del Control Panel de Hornetsecurity. Por lo que nuestros usuarios ya están familiarizados con ellas. Para quiénes no las conocen, las categorías son:

Categoría	Descripción
Spam	Estos emails no son deseados y a menudo son promocionales o fraudulentos. Los emails son enviados simultáneamente a un gran número de destinatarios.
Contenido	Estos correos electrónicos tienen un archivo adjunto no válido. Los administradores definen en el módulo de control de contenido qué archivos adjuntos no son válidos.
Amenaza	Estos correos electrónicos tienen contenido dañino, como archivos adjuntos o enlaces maliciosos, o se envían para cometer delitos, como el phishing.
Amenaza avanzada	Advanced Threat Protection ha detectado una amenaza en estos correos electrónicos. Los correos electrónicos se utilizan para fines ilegales e implican medios técnicos sofisticados que sólo se pueden rechazar mediante procedimientos dinámicos avanzados.
Rechazado	Nuestro servidor de correo electrónico rechaza estos correos directamente durante el diálogo SMTP debido a características externas, como la identidad del remitente, y los correos no se analizan más.

Tipos de archivos utilizados en los ataques

La siguiente tabla muestra la distribución de los tipos de archivo utilizados en los ataques.

Tipo de archivo (utilizado en emails maliciosos)	%
HTML	37.3
Archivo	25.8
PDF	13.1
Excel	7.0
Archivos de imagen de disco	5.2
Otros	4.2
Ejecutables	3.4
Word	3.3
Powerpoint	0.4
Archivo de script	0.1

Otros tipos de archivos que no aparecen en la lista individual son los archivos de correo electrónico (reenviados como archivos adjuntos .eml), los archivos de acceso directo al escritorio de Windows (.lnk), los archivos de acceso directo a Internet (.url), los archivos Java Archive (.jar), los archivos iCalendar (.ics), los archivos vCard (.vcf), los formatos de libros electrónicos (.epub, .mobi) y muchos otros formatos de archivo aún más exóticos. Estos se combinan en «Otros».

El siguiente histograma temporal muestra el volumen de correo electrónico por tipo de archivo utilizado en los ataques durante 7 días.

Índice de amenaza del correo electrónico por industria

La siguiente tabla muestra nuestro índice de amenaza por correo electrónico por sector, calculado en base al número de correos electrónicos maliciosos en comparación con los correos electrónicos limpios recibidos según cada industria (mediana).

Industrias	Porcentaje de amenazas en los correos electrónicos maliciosos y limpios
Sector educativo	5.6
Sector sanitario	5.6
Industria manufacturera	5.5
Industria de la investigación	5.4
Industria del automóvil	4.8
Industria de los medios de comunicación	4.7
Industria de la construcción	4.6
Servicios públicos	4.4
Industria minera	4.1
Industria del transporte	4.0

El siguiente gráfico de barras visualiza la amenaza que supone el correo electrónico para cada industria.

Metodología

Las organizaciones de distinto tamaño reciben un número absoluto de correos electrónicos diferente. Por lo tanto, calculamos el porcentaje de correos electrónicos amenazantes de cada organización y los correos electrónicos limpios para compararlas entre sí. A continuación, calculamos la mediana de estos valores porcentuales para todas las organizaciones del mismo sector de forma de obtener la puntuación final de amenaza del sector.

Marcas de empresa y organizaciones suplantadas

La siguiente tabla muestra las marcas y organizaciones de empresas mayormente detectadas por nuestros sistemas, en los ataques de suplantación de identidad.

Marca u organización suplantada	%
Sparkasse	47.4
Volks- und Raiffeisenbank	17.7
Otros	6.9
Deutsche Post / DHL	5.8
Amazon	5.4
DocuSign	4.4
PayPal	2.4
UPS	2.1
LinkedIn	1.5
Fedex	1.5

El siguiente histograma muestra el volumen de correos electrónicos de marcas de empresas y organizaciones detectadas en ataques de suplantación de identidad por hora.

Aquí vemos la suplantación continua de dos asociaciones bancarias alemanas para difundir el phishing.

Ransomleaks

Los actores de las amenazas siguen filtrando datos robados a las víctimas de ransomware para presionarlas a pagar por descifrar los archivos y no publicar datos sensibles. Nuestra supervisión automatizada observó el siguiente número de filtraciones en sitios de filtración de ransomware (no protegidos por CAPTCHAS):

Leak-Seite	Anzahl der Opfer
Conti	65
Blackmatter	44
Pysa	27
Hive	8
Cuba	7
LV	6
REvil	4
Vice Society	4
Everest	3
Atomsilo	2
Bonaci	2
Xing Team	2
RansomEXX	1

El siguiente gráfico de barras visualiza el número de fugas de datos de víctimas por sitio de fuga.

Añadimos las siguientes páginas de fuga de ransomware a nuestra monitorización:

• Atomsilo

• Blackmatter

• Bonaci

El 2021-10-04, Europol anunció dos detenciones y siete registros de propiedades en Ucrania en relación con una banda de ransomware. Europol no dio el nombre de la banda de ransomware.¹

El 2021-10-26, Europol anunció la adopción de medidas contra 12 delincuentes implicados en el ransomware LockerGoga, MegaCortex y Dharma, entre otros.²

El 2021-10-29, el Departamento de Justicia de los Estados Unidos anunció la extradición de un ciudadano ruso de Corea del Sur a los Estados Unidos por su presunta participación en el desarrollo y despliegue del malware Trickbot.³

Referencias

• ¹ https://www.europol.europa.eu/newsroom/news/ransomware-gang-arrested-in-ukraine-europol%E2%80%99s-support
• ² https://www.europol.europa.eu/newsroom/news/12-targeted-for-involvement-in-ransomware-attacks-against-critical-infrastructure
• ³ https://www.justice.gov/opa/pr/russian-national-extradited-united-states-face-charges-alleged-role-cybercriminal

Resumen ejecutivo

• Este mes, los ataques de phishing a gran escala se han dado contra dos asociaciones bancarias alemanas (Sparkasse and Volksbanken y Raiffeisenbanken).

Resumen

En esta entrega de nuestra revisión mensual de las amenazas por correo electrónico, presentamos un resumen de las amenazas de septiembre de 2021 y las comparamos con las del mes anterior.

El informe ofrece información sobre:

• Correos electrónicos no deseados por categoría
• Tipos de archivos utilizados en los ataques
• Índice de amenazas del correo en la industria
• Técnicas de ataque
• Suplantación de marcas y organizaciones empresariales
• Ransomleaks

Correos no deseados por categoría

La siguiente tabla muestra la distribución de los correos no deseados por categoría.

Categoría de correo	%
Rechazado	80.83
Spam	14.15
Amenaza	4.07
AdvThreat	0.91
Contenido	0.03

El siguiente histograma temporal muestra el volumen de correos electrónicos por categoría y por día.

El pico de correos electrónicos rechazados en torno al 2021-09-23 puede atribuirse a una campaña mensual recurrente de correos electrónicos de extorsión sexual escritos en alemán que observamos cada mes.

Metodología

Las categorías de email listadas corresponden a las categorías de email listadas en el Email Live Tracking del Panel de Control de Hornetsecurity. Así que nuestros usuarios ya están familiarizados con ellas. Para otros, las categorías son:

Categoría	Descripción
Spam	Estos correos electrónicos no son deseados y a menudo son promocionales o fraudulentos. Los correos electrónicos se envían simultáneamente a un gran número de destinatarios.
Contenido	Estos correos electrónicos tienen un adjunto no válido. Los administradores definen en el módulo de control de contenidos qué archivos adjuntos no son válidos.
Amenaza	Estos correos electrónicos tienen un adjunto no válido.Estos correos tienen contenido dañino, como archivos adjuntos o enlaces maliciosos, o se envían para cometer delitos, como el phishing..
AdvThreat	Advanced Threat Protection ha detectado una amenaza en estos correos electrónicos. Los correos electrónicos se utilizan con fines ilegales e implican medios técnicos sofisticados que sólo pueden ser combatidos mediante procedimientos dinámicos avanzados.
Rechazado	Nuestro servidor de correo electrónico rechaza estos correos directamente durante el diálogo SMTP debido a características externas, como la identidad del remitente, y los correos no se analizan más.

Tipos de archivos utilizados en los ataques

La siguiente tabla muestra la distribución de los tipos de archivos utilizados en los ataques.

Tipo de archivo (utilizado en los correos maliciosos)	%
HTML	37.2
Archivo	28.8
PDF	11.3
Excel	6.4
Archivos de imagen de disco	4.6
Otro	4.0
Word	3.7
Ejecutable	3.5
Powerpoint	0.2
Archivo de script	0.2

El siguiente histograma temporal muestra el volumen de correo electrónico por tipo de archivo utilizado en los ataques durante 7 días.

Vemos la continuación de la observación del mes pasado sobre el aumento de los archivos HTML adjuntos (.htm, .html, etc.) usados en los ataques. Si se analiza más detenidamente, el crecimiento puede atribuirse a las múltiples campañas que utilizan archivos HTML para el phishing, adjuntando el sitio web del phishing directamente al correo¹ (para eludir los filtros de URL). Ya hemos reportado esta técnica en nuestro blog.

Índice de amenazas del correo electrónico en la industria

La siguiente tabla muestra nuestro Índice de Amenazas de Correo Electrónico de la Industria, calculado sobre la base del número de correos amenazantes en comparación con los correos limpios recibidos de cada sector (en la mediana).

Sectores	Porcentaje de amenaza en los correos amenazados y limpios
Sector manufactura	6.0
Sector investigación	5.7
Sector entretenimiento	5.3
Sector salud	5.2
Sector automóvilistico	5.1
Sector educativo	5.1
Sector transporte	5.0
Sector de la construcción	4.9
Sector minero	4.9
Sector retail	4.4

The following bar chart visualizes the email-based threat posed to each industry.

Observamos un aumento general de los correo con amenazas a por cada email limpio recibido para todos los sectores de la industria.

Metodología

Las organizaciones de distinto tamaño reciben un número absoluto diferente de correos electrónicos. Por lo tanto, calculamos el porcentaje de correos con ciberamenazas de cada organización y los correos limpios para comparar las organizaciones. A continuación, calculamos la mediana de estos valores porcentuales para todas las organizaciones dentro del mismo sector para formar la puntuación final de la amenaza del sector.

Técnicas de ataque

La siguiente tabla muestra las técnicas de ataque utilizadas.

Técnica de ataque	%
Otras	39.0
Phishing	29.1
Suplantación de la identidad	10.3
URL	10.0
Estafa por adelantado	3.5
Extorsión	3.1
Ejecutable en archivo/disco-imagen	3.1
Maldoc	1.9

El siguiente histograma temporal muestra el volumen de correos electrónicos por técnica de ataque utilizada por hora.

Suplantación de marcas y organizaciones empresariales

La siguiente tabla muestra las marcas de empresas y organizaciones que nuestros sistemas detectaron más en los ataques de suplantación de identidad.

Suplantación de marca u organización	%
Sparkasse	19.7
Volks- und Raiffeisenbank	15.0
Deutsche Post / DHL	13.5
DocuSign	12.5
Otros	11.3
Amazon	8.9
PayPal	4.6
LinkedIn	1.9
Microsoft	1.7
UPS	1.3
HSBC	1.1

El siguiente histograma muestra el volumen de correos electrónicos de marcas de empresas y organizaciones detectadas en ataques de suplantación de identidad por hora.

Hay un aumento significativo de campañas que suplantan a los bancos alemanes Sparkasse y Volks- und Raiffeisenbank. Hemos detectado varias campañas de phishing dirigidas a estos dos bancos alemanes.

Un ejemplo de correo electrónico de phishing suplantando a la Sparkasse:

Un ejemplo de correo electrónico de phishing suplantando al Volks- und Raiffeisenbank:

En todas las variantes de las campañas a gran escala, los bancos supuestamente cambiaron sus procesos (de seguridad) y el usuario necesita conectarse para confirmar el cambio para mantener el acceso a su cuenta bancaria..

Ransomleaks

Los actores de las amenazas siguen filtrando datos robados a las víctimas de ransomware para presionarlas a pagar por descifrar los archivos y no publicar datos sensibles. Hemos observado el siguiente número de filtraciones en sitios de filtración de ransomware:

Sitio de filtración	Número de fugas de datos de las víctimas
Conti	40
LockBit 2.0	34
Pysa	15
Everest	8
Vice Society	7
Hive	5
REvil	5
RansomEXX	3
Lorenz	1

El siguiente gráfico de barras visualiza el número de fugas de datos de víctimas por sitio.

El 2021-09-16, una agencia policial no identificada obtuvo las claves de descifrado del ransomware REvil y BitDefender publicó un descifrador.

El 2021-09-21, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro añadió a SUEX OTC, S.R.O. (SUEX), una casa de cambio virtual, a su lista de sanciones de la OFAC por su participación en la facilitación de las transacciones financieras para los actores del ransomware. El análisis de las transacciones conocidas de SUEX muestra que más del 40% del historial de transacciones conocidas de SUEX está asociado con actores ilícitos relacionados con el ransomware.²

Este mes, LockBit 2.0 ha añadido un CAPTCHA de protección DDOS a su sitio web.

El 2021-09-16, una agencia policial no identificada obtuvo el ransomware Cl0p también ha añadido un CAPTCHA a su sitio de filtración, impidiendo el seguimiento automático de los anuncios.

Referencias

• ¹ https://www.hornetsecurity.com/en/security-informationen-en/html-phishing-asking-for-the-password-twice/
• ² https://home.treasury.gov/news/press-releases/jy0364

Resumen ejecutivo

• Los expertos del Sec Lab de Hornetsecurity han observado un aumento del phishing a través de archivos adjuntos HTML.

Resumen

En esta edición de nuestro informe mensual sobre las amenazas por correo electrónico, ofrecemos un resumen de los ataques por correo observados en julio de 2021 y los comparamos con los del mes anterior.

El informe ofrece información sobre:

• Correos electrónicos no solicitados por categoría
• Tipos de archivos utilizados en los ataques
• Índice de amenazas del correo electrónico en la industria
• Técnicas de ataque
• Suplantación de marcas de empresa u organizaciones
• Ransomleaks

Correos electrónicos no solicitados por categoría

La siguiente tabla muestra la distribución de los correos electrónicos no solicitados por categoría.

Categoría de email	%
Rechazado	83.19
Spam	12.92
Amenaza	3.02
Amenaza avanzada	0.83
Contenido	0.03

El siguiente histograma temporal muestra el volumen de correos electrónicos por categoría y hora.

El pico de correos electrónicos rechazados en torno al 2021-07-31 puede atribuirse a la campaña mensual recurrente de correos electrónicos de extorsión sexual en alemán, que provoca regularmente picos de correos electrónicos rechazados.

Metodología

Las categorías de correo electrónico listadas corresponden a las categorías de correo electrónico listadas en el Email Live Tracking del Control Panel de Hornetsecurity. Así que nuestros usuarios ya están familiarizados con ellos. Para otros, las categorías son:

Categoría	Descripción
Spam	Estos correos electrónicos no son solicitados y suelen tener un carácter publicitario o fraudulento. Los correos electrónicos se envían simultáneamente a un gran número de destinatarios.
Contenido	Estos correos electrónicos tienen un archivo adjunto no válido. Los administradores determinan qué archivos adjuntos no son válidos en el módulo de control de contenidos.
Amenaza	Estos correos electrónicos contienen contenidos peligrosos, como archivos adjuntos o enlaces maliciosos, o se envían para cometer delitos como el phishing.
Amenaza avanzada	Advanced Threat Protection ha identificado una amenaza en estos correos electrónicos. Los correos electrónicos se utilizan con fines ilegales y emplean medios técnicos sofisticados que sólo pueden contrarrestarse con la ayuda de métodos dinámicos avanzados.
Rechazado	Estos correos electrónicos son rechazados directamente por nuestro servidor de correo electrónico en el curso del diálogo SMTP debido a características externas que pueden referirse, por ejemplo, a la identidad del remitente, y no se analizan más.

Tipos de archivos utilizados en los ataques

La siguiente tabla muestra la distribución de los tipos de archivos utilizados en los ataques.

Tipo de archivo (utilizado en los correos electrónicos maliciosos)	%
Archivo	33.7
HTML	25.1
PDF	14.9
Excel	8.7
Word	5.1
Otro	4.3
Ejecutable	4.0
Archivos de imagen de disco	3.8
Archivo de script	0.3
Powerpoint	0.1
Email	0.0
Archivo LNK	0.0

El siguiente histograma temporal muestra el volumen de correo electrónico por tipo de archivo utilizado en los ataques durante 7 días.

Se observa un aumento de los archivos adjuntos HTML (.htm, .html, etc.) utilizados en los ataques. Si se analiza más detenidamente, el aumento puede atribuirse a varias campañas que utilizan archivos HTML para el phishing, adjuntando el sitio web de phishing directamente al correo electrónico¹ (con lo que se evitan los filtros de URL). Ya hemos informado sobre esta técnica en nuestro blog.

Índice de amenazas del correo electrónico en la industria

La siguiente tabla muestra los 10 primeros puestos de nuestro Índice de Amenazas del Correo Electrónico en la Industria, calculado mediante el número de correos electrónicos amenazantes en comparación con el número de correos electrónicos limpios recibidos (en la mediana) para cada industria.

Industrias	Porcentaje de correos electrónicos amenazantes en los correos electrónicos válidos y amenazantes
Industria manufacturera	4.3
Industria del entrenimiento	3.7
Industria de la investigación	3.5
Industria de los medios de comunicación	3.4
Industria sanitaria	3.4
Industria minera	3.3
Industria del transporte	3.3
Industria de la educación	3.0
Industria hotelera	2.9
Industria automotriz	2.8

El siguiente diagrama de barras refleja la situación de cada sector respecto al correo electrónico.

Metodología

Las organizaciones de distinto tamaño reciben un número absoluto de correos electrónicos diferente. Por lo tanto, para comparar las organizaciones, hemos calculado el porcentaje de correos electrónicos amenazantes de entre los correos electrónicos amenazantes y válidos de cada organización. A continuación, calculamos la mediana de estos porcentajes en todas las organizaciones del mismo sector para determinar el Índice de Amenaza final del sector.

Técnicas de ataque

La siguiente tabla muestra la técnica de ataque utilizada en los ataques.

Técnicas de ataque	%
Otras	40.2
Phishing	27.8
URL	11.2
Suplantación de identidad	5.8
Estafa por adelantado	4.8
Ejecutable en archivo/disco-imagen	4.0
Extorsión	3.7
Maldoc	2.4
LNK	0.0

El siguiente histograma temporal muestra el volumen de correos electrónicos por técnica de ataque utilizada por hora.

El aumento de documentos maliciosos (maldocs proveniente de documento malicioso en inglés) a finales de mes, se debe a un rackscatter de una campaña de malspam de formbook en la que se utilizó la dirección de correo electrónico de uno de nuestros clientes como dirección de remitente falsa. Muchos de los mensajes rebotados contenían los documentos maliciosos de la campaña y, por tanto, nuestros filtros los incluyeron en las estadísticas como documentos maliciosos.

Suplantación de marcas de empresa u organizaciones

La siguiente tabla muestra las marcas de empresas que nuestros sistemas detectaron con mayor frecuencia en los ataques de suplantación de identidad.

Imitación de la marca u organización de la empresa	%
DocuSign	18.2
Deutsche Post / DHL	17.9
Otra	16.8
Amazon	12.6
PayPal	10.0
Microsoft	2.8
Volks- und Raiffeisenbank	2.6
HSBC	2.0
LinkedIn	1.8
O2	1.4
Santander	1.1
Tesco	1.1

El siguiente histograma temporal muestra el volumen de correos electrónicos por hora de las marcas de empresas detectadas en los ataques de suplantación de identidad.

Hay un flujo constante de phishing y otros ataques que suplantan a las grandes marcas para engañar a los destinatarios y hacer que abran los correos electrónicos.

Ransomleaks

Los actores de las amenazas siguen publicando los datos robados a las víctimas del ransomware para presionarlas no sólo a pagar por el descifrado de los archivos cifrados por el ransomware, sino también a no publicar los datos robados antes del cifrado. Hemos observado el siguiente número de leaks en sitios de filtración de ransomware:

Sitios de filtración	Número de víctimas
LockBit 2.0	87
Conti	46
Hive	27
Pysa	16
Everest	5
Cuba	4
RansomEXX	4
LV	3
Vice Society	3
Lorenz	2
Cl0p	1
RagnarLocker	1
Suncrypt	1
Xing Team	1

El siguiente gráfico de barras visualiza el número de víctimas por sitios de fuga.

El 2021-08-12, la operación del ransomware SynAck se rebautizó a sí misma como El_Cometa. Además, se publicaron las claves de descifrado del ransomware SynAck.² Nuestro análisis registró un total de 15 víctimas en la página de filtraciones de SynAck en junio y julio. Así que la operación bajo el nombre de SynAck fue más bien efímera.

Según los informes³ el ransomware Ragnarok dejó de funcionar el 2021-08-27. Nuestro monitoreo reveló que el sitio de filtración de Ragnarok estuvo en línea por última vez el 2021-05-17. En total, el sitio de filtraciones del grupo publicó datos de 22 víctimas. Los operadores detrás del ransomware Ragnarok también publicaron una clave de descifrado universal.

Esta práctica de publicar las claves de descifrado después de que una operación de ransomware haya terminado está muy extendida. Es probable que sea un intento de los ciberdelincuentes que están detrás del ransomware de cortar todos los lazos con la operación y permitir que las víctimas se recuperen, privando así a las víctimas y a las fuerzas de seguridad de razones para seguir persiguiendo a los operadores del ransomware. También proporciona una clara negativa en caso de que los operadores del ransomware sean sorprendidos con las claves de descifrado, que antes eran secretas, pero ahora son públicas y están disponibles para todo el mundo.

Referencias

• ¹ https://www.hornetsecurity.com/en/security-informationen-en/html-phishing-asking-for-the-password-twice/
• ² https://www.bleepingcomputer.com/news/security/synack-ransomware-releases-decryption-keys-after-el-cometa-rebrand/
• ³ https://www.bleepingcomputer.com/news/security/ragnarok-ransomware-releases-master-decryptor-after-shutdown/

Resumen

En esta nueva entrega de nuestro «Email Threat Review» presentamos un resumen de los principales ciberataques por correo electrónico, observados en julio de 2021, y los comparamos con el mes anterior.

El informe ofrece contenido sobre:

• Tipos de archivos utilizados en los ataques
• Índice de amenazas del correo en la industria
• Técnicas de ataque
• Suplantación de marcas y organizaciones empresariales
• Campañas de correo sobre amenazas destacadas
• Ransomleaks

Correos no deseados por categoría

La siguiente tabla muestra la distribución de los correos electrónicos no deseados por categoría.

Categoría de correo	%
Rechazado	84.05
Spam	11.99
Amenaza	3.02
AdvThreat	0.91
Contenido	0.03

El siguiente histograma temporal muestra el volumen de correos electrónicos por categoría y por día.

El pico de correos electrónicos rechazados el 30-07-2021 puede atribuirse a la campaña mensual de correos electrónicos de extorsión sexual escrita en alemán que causó picos similares en meses anteriores.

Metodología

Las categorías de email listadas corresponden al Email Live Tracking del Control Panel de Hornetsecurity. Por ello, nuestros usuarios ya están familiarizados con ellas. Para otros, las categorías son:

Categoría	Descripción
Spam	Estos correos no son deseados y a menudo son promocionales o fraudulentos. Los emails se envían simultáneamente a un gran número de destinatarios.
Contenido	Estos correos tienen un adjunto que no es válido. Los administradores definen en el módulo de control de contenidos qué archivos adjuntos no son válidos.
Amenaza	Estos correos electrónicos tienen contenido dañino, como archivos adjuntos o enlaces maliciosos, o se envían para cometer delitos, como el phishing.
AdvThreat	Advanced Threat Protection ha detectado una amenaza en estos correos electrónicos. Los correos se utilizan con fines ilícitos e implican medios técnicos sofisticados que sólo pueden ser rechazados utilizando técnicas avanzadas
Rechazado	Nuestro servidor de correo electrónico rechaza estos correos directamente durante el diálogo SMTP y, debido a características externas como: la identidad del remitente, dichos emails dejan de analizarse.

Tipos de archivos utilizados en los ataques

La siguiente tabla muestra la distribución de los tipos de archivos utilizados en los ataques.

Tipo de archivo (utilizado en los correos maliciosos)	%
Archivo	30.0
PDF	20.8
HTML	17.1
Ejecutable	11.7
Excel	7.0
Word	5.4
Otro	4.3
Ficheros de imagen de disco	3.3
Archivo script	0.1
PowerPoint	0.1
Email	0.0
Archivo LNK	0.0

El siguiente histograma temporal muestra el volumen de correos electrónicos por tipo de archivo utilizado en los ciberataques durante 7 días.

Aquí vemos un aumento en el uso de documentos maliciosos de Word. En el mes anterior, sólo el 3,6% de los ciberataques utilizaban documentos Word. Dichos documentos solían ser el formato dominante utilizado en los ataques basado en archivos. Sin embargo, en 2020 muchos actores de amenazas cambiaron a Excel; utilizando la antigua función de macros de Excel 4.0 para ejecutar código malicioso, lo que hizo que el número de documentos de Word maliciosos utilizados en los ciberataques disminuyera. Los proveedores de seguridad detectaron muchos menos ataques de macros de Excel 4.0 en comparación con aquellas amenazas basadas en macros VBA. Sin embargo, desde que Microsoft ha añadido la compatibilidad con las macros de Excel 4.0 a AMSI ¹ el incremento de documentos maliciosos de Word indica que los actores de amenazas podría están considerando volver a utilizar documentos de Word, en lugar de Excel.

Índice de amenazas de correo en la industria

La siguiente tabla muestra nuestro Índice de Amenazas de Correo Electrónico en la Industria, calculado sobre la base del número de correos electrónicos amenazantes en comparación con los correos limpios recibidos (en la mediana) por sector.

Sectores	Porcentaje de riesgo en los correos amenazados y limpios
Sector investigación	4.3
Sector industrial	3.8
Sector agrícola	3.4
Sector transporte	3.4
Sector educativo	3.2
Sector entretenimiento	3.1
Sector minero	3.1
Sector comunicación	2.9
Sector turístico	2.9
Sector sanitario	2.8

El siguiente gráfico de barras visualiza la amenaza que supone el correo electrónico por sector.

Este gráfico sirve para comparar el gráfico de barras del índice de amenazas basado en el correo electrónico del mes pasado:

Observamos un descenso en la puntuación global de la amenaza del correo electrónico.

Metodología

Las organizaciones de distinto tamaño reciben un número absoluto diferente de correos electrónicos. Por lo tanto, calculamos el porcentaje de correos amenazantes de cada organización y los correos electrónicos limpios para comparar las organizaciones. A continuación, calculamos la mediana de estos valores porcentuales para todas las organizaciones dentro del mismo sector para formar la puntuación final de la amenaza del sector.

Técnicas de ataque

La siguiente tabla muestra las técnicas de ataque utilizadas.

Técnica de ataque	%
Otras	53.2
Phishing	24.2
URL	8.1
Ejecutable en archivo/disco-imagen	4.7
Estafa de pago por adelantado	3.7
Extorsión	2.8
Suplantación de identidad	2.2
Maldoc	1.1
LNK	0.0

El siguiente histograma temporal muestra el volumen de correos electrónicos por técnica de ataque, utilizada por hora.

No hay anomalías significativas.

Marcas y organizaciones suplantadas

La siguiente tabla muestra qué marcas de empresas y organizaciones detectaron más ataques de suplantación de identidad en nuestros sistemas.

Marca u organización suplantada	%
DocuSign	20.5
PayPal	13.4
Deutsche Post / DHL	12.4
Amazon	11.7
LinkedIn	4.3
Microsoft	2.5
HSBC	2.2
Santander	2.2
O2	1.7
Volks- und Raiffeisenbank	1.6

El siguiente histograma muestra el volumen de correos electrónicos de las marcas y organizaciones, detectado por hora, en los ataques de suplantación de identidad.

Es un flujo constante de phishing y otros ciberataques que se hacen pasar por grandes marcas y organizaciones para atraer a los destinatarios a abrir los correos electrónicos.

Campañas de correo de amenazas destacadas

En esta sección, queremos destacar algunas campañas de malspam de actores de amenazas prominentes y conocidas.

Ten en cuenta que esto no incluye todas las campañas. Por lo tanto, la lista, así como las cifras de volumen, no deben tomarse como una clasificación global. Nos esforzamos por ampliar esta sección de nuestros informes en un futuro.

En el siguiente histograma se muestra el volumen de correos con amenazas destacadas por hora.

Metodología

Hornetsecurity observa miles de campañas de correo electrónico con amenazas diferentes de diversos actores que van desde ataques muy poco sofisticados y de bajo esfuerzo, hasta esquemas de ciberataques ofuscados altamente complejos. Destacamos solo un subconjunto de esas campañas de correo con amenazas.

Ransomleaks

Los actores de amenazas continúan filtrando datos robados a las víctimas de ransomware presionándolos para que paguen por descifrar los archivos y no publicar datos sensibles. Observamos la siguiente cantidad de sitios de fugas de ransomware:

Sitio de filtración	Número de filtraciones de datos de las víctimas
LockBit 2.0	66
Conti	36
Hive	16
Synack	11
Lorenz	8
REvil	7
Everest	5
Promethous	5
Vice Society	4
Grief	3
RansomEXX	3
Cl0p	2
LV	2
RagnarLocker	2
Xing Team	2
Nephilim	1

El siguiente gráfico de barras visualiza el número de sitios de filtración de datos de las víctimas.

Una nueva incorporación a nuestros informes es el sitio de filtración de LockBit 2.0. que ya estaba en funcionamiento en junio, los actores detrás de dicho sitio estaban buscando afiliados.

Los cibercriminales ofrecieron a sus partners potenciales una comparación del rendimiento del ransomware LockBit 2.0 con respecto a otras ofertas de RaaS (ransomware-as-a-service).

Además, los ciberdelincuentes ofrecieron una comparativa de las velocidades de transferencia para la infiltración de datos.

Posteriormente, el 13 de julio de 2021, el sitio de filtración comenzó a publicar los datos de las víctimas.

Con un conjunto de 66 víctimas, el ransomware LockBit 2.0 anunció casi el doble de afectados que Conti; convirtiéndose en el sitio de filtraciones con la segunda mayor cantidad de víctimas este mes.

 

Referencias

• ¹ https://www.microsoft.com/security/blog/2021/03/03/xlm-amsi-new-runtime-defense-against-excel-4-0-macro-malware/

Resumen

En esta edición de nuestra revisión mensual de las amenazas por correo electrónico, presentamos un resumen de aquellas observadas en mayo de 2021 y las comparamos con las del mes anterior.

El informe ofrece información sobre:

• Emails no deseados por categoría
• Tipos de archivos usados en ataques
• Índice de amenazas del correo electrónico en la industria
• Suplantación de marcas de empresas u organizaciones
• Campañas de correo electrónico sobre amenazas destacadas
• Ransomleaks

Emails no deseados por categoría

La siguiente tabla muestra la distribución de los correos electrónicos no deseados por categoría.

Categoría del email	%
Rechazado	81.56
Spam	13.81
Amenaza	3.73
Amenaza avanzada	0.87
Contenido	0.03

El siguiente histograma temporal muestra el volumen de correos electrónicos por categoría y por día.

El pico de correos electrónicos rechazados entre el 23 y el 26 de mayo de 2021 se debe a una oleada de correos electrónicos de extorsión sexual dirigidos a usuarios de lengua alemana.

Esta campaña y el consiguiente pico de correos electrónicos rechazados es similar a la observada en marzo¹ en la que los atacantes ganaron unos 5.000 euros. Esta vez no hubo transacciones entrantes en los moneros de Bitcoin del atacante utilizados en el ciberataque.

Metodología

Las categorías de email listadas corresponden a las que aparecen en el Email Live Tracking del Control Panel de Hornetsecurity. Nuestros usuarios ya están familiarizados con ellas. Para los que no, las categorías son:

Categoría	Descripción
Spam	Estos correos electrónicos no son deseados y a menudo son promocionales o fraudulentos. Los correos electrónicos se envían simultáneamente a un gran número de destinatarios.
Contenido	Estos correos tienen un adjunto no válido. Los administradores definen en el módulo de control de contenidos qué archivos adjuntos no son válidos.
Amenaza	Estos correos electrónicos tienen contenido dañino, como archivos adjuntos o enlaces maliciosos, o se envían para cometer delitos, como el phishing.
Amenaza avanzada	Advanced Threat Protection ha detectado una amenaza en estos correos electrónicos. Los correos se utilizan con fines ilícitos e implican medios técnicos sofisticados que sólo pueden combatirse mediante procedimientos dinámicos avanzados.
Rechazado	Nuestro servidor de correo electrónico rechaza estos correos directamente durante el diálogo SMTP debido a características externas, como la identidad del remitente, y los correos no se analizan más.

Tipos de archivos usados en ataques

La siguiente tabla muestra la distribución de los tipos de archivos utilizados en los ciberataques.

Tipo de archivo (usado en emails maliciosos)	%
Archivo	33.1
Otro	19.9
HTML	17.8
Excel	7.6
PDF	7.5
Ejecutable	5.8
Archivos de imágenes de disco	4.7
Word	2.8
Powerpoint	0.6
Archivo script	0.2
Email	0.1
Archivo LNK	0.0

El siguiente histograma temporal muestra el volumen de correos electrónicos por tipo de archivo utilizado en el ataque durante 7 días.

Índice de amenazas de correo por industria

La siguiente tabla muestra nuestro índice de amenazas de correo electrónico por industria, calculado sobre la base del número de correos electrónicos amenazantes en comparación con los correos  limpios recibidos (en la mediana) por industria.

Industrias	Porcentaje de amenaza en los correos amenazados y limpios
Investigación	6.9
Transporte	5.3
Manufactura	5.0
Educación	4.1
Salud	4.0
Media	3.9
Automoción	3.9
Entretenimiento	3.8
Servicios públicos	3.8
Hostelera	3.8

El siguiente gráfico de barras visualiza la amenaza que supone el correo electrónico para cada industria.

Para comparar el gráfico de barras del índice de amenazas por correo electrónico del mes pasado:

Metodología

Las organizaciones de distinto tamaño reciben un número absoluto diferente de correos electrónicos. Por lo tanto, calculamos el porcentaje de correos amenazantes de cada organización y los correos electrónicos limpios. A continuación, calculamos la mediana de estos valores porcentuales de todas las organizaciones del mismo sector para obtener la puntuación final del sector en cuanto a amenazas.

Suplantación de marcas de empresa u organizaciones

La siguiente tabla muestra las marcas de empresas que nuestros sistemas detectaron más en los ataques de suplantación de identidad.

Suplantación de marca u organización	%
DocuSign	19.9
Amazon	17.6
Deutsche Post / DHL	16.8
Other	15.4
LinkedIn	4.0
Microsoft	2.8
PayPal	2.7
1&1	2.5
HSBC	2.1
O2	2.0

El siguiente histograma temporal muestra el volumen de correo electrónico de las marcas de empresas detectadas en los ataques de suplantación de identidad por hora.

Es un flujo constante de phishing y otros ataques que suplantan a las grandes marcas para atraer a los destinatarios a abrir los correos electrónicos.

Campañas de correo electrónico sobre amenazas destacadas

En esta sección, queremos destacar algunas campañas de malspam de actores de amenazas prominentes y conocidos.

El siguiente histograma de tiempo muestra el volumen de correo electrónico de las campañas de amenazas destacadas por hora.

Podemos ver que las oleadas de malspam de las campañas seleccionadas tienen puntos de inicio y final bien definidos, a diferencia de las campañas de correo electrónico de spam masivo menos sofisticadas, que enviarán correos electrónicos en un flujo constante.

Por favor, ten en cuenta que esto no contiene todas las campañas. Por tanto, la clasificación, así como las cifras de volumen, no deben tomarse como una clasificación global.

A partir de los datos, podemos ver que el malspam de Hancitor que suplanta a DocuSign es una campaña de malspam constante y de gran volumen.

Al final del mes, el aumento de los «tr» de QakBot basados en URLs (llamados así por la etiqueta de configuración/identificación de la campaña tr encontrado en la configuración del malware QakBot que ha sido distribuido) se puede ver el malspam. Esta campaña (al igual que otras campañas de malspam de QakBot) utiliza email conversation threat hijacking.²

Otro aspecto interesante de la campaña es que utiliza URLs de texto plano en las que no se puede hacer clic y que carecen de la dirección http://. Así, las víctimas deben copiar la URL manualmente en su navegador. Esto se hace probablemente con la esperanza de que los filtros de URL no detecten la URL en esta forma. Obviamente, la campaña utiliza varios sitios web comprometidos para alojar los archivos ZIP maliciosos, lo que complica aún más su detección.

Metodología

Hornetsecurity ha observado cientos de miles de campañas de correo electrónico de diferentes actores de amenazas que van desde ataques poco sofisticados y de bajo esfuerzo hasta esquemas de ataque ofuscados muy complejos. Nuestro análisis incluye solo las principales campañas de correo electrónico de amenazas sofisticadas.

Ransomleaks

Los actores de las amenazas siguen filtrando datos robados a las víctimas de ransomware para presionarlas a pagar no sólo por descifrar los archivos cifrados por el ransomware, sino también por no hacer públicos los datos robados antes del cifrado. Hemos observado el siguiente número de filtraciones en sitios de filtración de ransomware:

Leaksite	Número de fugas de datos de las víctimas
Conti	73
Avaddon	56
Pysa	33
Darkside	25
REvil	21
Lorenz	19
Babuk	15
Xing Team	13
Nephilim	8
Cuba	6
Networm	5
Grief	5
Cl0p	4
RansomEXX	4
MountLocker	3
Everest	3
RagnarLocker	3
Astro Team	2

El siguiente gráfico de barras visualiza el número de fugas de datos de víctimas por sitio de fuga.

Hemos añadido la recopilación de datos para los siguientes sitios de filtración de ransomware:

El leaksite del ransomware Cuba fue visto por primera vez a finales de 2019. Sin embargo, el grupo no era muy activo. El leaksite actualmente cuenta con seis filtraciones.

.

Recientemente se ha informado de que el ransomware Cuba coopera con el malware Hancitor, de cuyas campañas de malspam informamos en una  sección anterior. Por lo tanto, hemos añadido el sitio de filtración del ransomware Cuba a nuestro conjunto de datos.

El sitio de fugas del Xing Team fue anunciado a través del sitio de fugas del Astro Team el 2021-05-06 como nuevo partner del equipo.

El sitio de filtraciones de Xing Team presenta un diseño idéntico al sitio de filtraciones de Astro Team, pero contiene diferentes filtraciones de datos.

Por el momento se desconoce lo que implica esta asociación.

Otro sitio de filtraciones que surgió este mes es el del ransomware Prometheus. En su sitio, afirman una afiliación con el ransomware REvil. Sin embargo, hay que ver cuál es esa afiliación y si el ransomware REvil sabe siquiera que este nuevo sitio de filtraciones afirma tener una afiliación con ellos.

El sitio de fugas Prometheus no elimina las entradas de las empresas que han pagado el rescate o de los datos que podría vender. Las entradas respectivas simplemente se actualizan para reflejar si la empresa ha pagado o los datos se han vendido.

Otra novedad es el sitio de filtración «Grief».

Actualmente, se desconoce qué ransomware está asociado al sitio de filtraciones Grief, si es un ransomware ya conocido renombrado como Grief o si utilizan su propio ransomware.

Referencias

• ¹ https://www.hornetsecurity.com/es/threat-research/email-threat-review-march-2021/#unwanted-emails-by-category
• ² https://www.hornetsecurity.com/es/security-information/email-conversation-thread-hijacking/

Resumen

En esta segunda entrega de nuestra revisión mensual de las amenazas del correo electrónico, presentamos un resumen de aquellos incidentes observados en abril de 2021 y lo comparamos con marzo de 2021.

El presente reporte proporciona información sobre:

• Emails no deseados por categoría
• Tipos de archivos usados en los ataques
• Índice de amenazas del correo electrónico en la industria
• Técnicas de ataques
• Suplantación de marcas de empresa u organizaciones
• Campañas de correo electrónico sobre amenazas destacadas
• Ransomleaks

Emails no deseados por categoría

La tabla a continuación muestra la distribución de correos electrónicos no deseados por categoría.

Categoría del email	%
Rechazado	78.60
Spam	16.41
Amenaza	4.05
Amenaza avanzada	0.89
Contenido	0.04

El siguiente histograma temporal muestra el volumen de correos electrónicos por categoría y por hora.

A diferencia de marzo, en abril no hubo picos anómalos evidentes en los volúmenes de correo electrónico no deseado.

Metodología

Las categorías de email listadas corresponden a las categorías del Email Live Tracking del control panel de Hornetsecurity. Nuestros usuarios ya están familiarizados con ellas. Para otros, las categorías serían:

Category	Description
Spam	Estos correos electrónicos no son deseados y a menudo son promocionales o fraudulentos. Los correos electrónicos se envían simultáneamente a un gran número de destinatarios.
Contenido	Estos correos electrónicos tienen un adjunto no válido. Los administradores definen en el módulo de control de contenidos qué archivos adjuntos no son válidos.
Amenaza	Estos correos electrónicos poseen contenidos peligrosos, como archivos adjuntos o enlaces maliciosos, o se envían para cometer delitos, como el phishing.
Amenaza avanzada	Advanced Threat Protection ha detectado una amenaza en estos correos electrónicos. Los correos electrónicos se utilizan con fines ilícitos e implican medios técnicos sofisticados que sólo pueden combatirse mediante procedimientos dinámicos avanzados.
Rechazado	Nuestro servidor de correo electrónico rechaza estos correos directamente durante el diálogo SMTP debido a características externas, como la identidad del remitente, y los correos no se analizan más.

Tipos de archivos usados en los ataques

La siguiente tabla muestra la distribución de los tipos de archivos utilizados en los ataques.

Tipo de archivo (usado en emails maliciosos)	%
Archivo	35.6
Otro	17.6
HTML	17.3
Excel	7.6
Executable	7.0
PDF	4.8
Archivos de imagen de disco	4.6
Word	3.5
Powerpoint	1.3
Archivo script	0.5
Email	0.1
Archivo LNK	0.0

El siguiente histograma temporal muestra el volumen de correo electrónico por tipo de archivo utilizado en los ataques durante 7 días.

Archivos (.zip, .rar, .gzip, .ace, .tar.gz, etc.) son más populares. El uso más frecuente de los archivos en los ataques es comprimir el ejecutable del malware y adjuntarlo directamente al correo electrónico de ataque. Esto se hace con la esperanza de que el sistema de correo electrónico objetivo no sea capaz de escanear los archivos adjuntos comprimidos. Los actores de amenazas criminales de baja calidad suelen utilizar esta técnica, ya que no requiere ninguna experiencia técnica. Otro uso de los archivos es la compresión de documentos maliciosos. Esto también se hace para reducir la detección.

Archivos HTML (.htm, .html, etc.) se utilizan para la suplantación de identidad, adjuntando el sitio web de phishing directamente al correo electrónico¹ (eludiendo así los filtros de URL), redirigiendo a las víctimas a sitios web para la descarga de malware² (de nuevo para no incluir directamente una URL clicable en el correo electrónico), o ingeniería social.

Archivos Excel (.xls, .xlsm, .xlsx, .xslb, etc.) con sus macros XLM ganaron popularidad el año pasado. A diferencia del malware de macros VBA, el malware de macros XLM es menos detectado y, por tanto, favorecido por muchos actores de amenazas.^3,4 De hecho, muchos actores de amenazas utilizan el mismo generador de documentos maliciosos llamado «EtterSilent» para generar sus macro documentos XLM.

PDFs (.pdf) utiliza enlaces incrustados u otros señuelos de ingeniería social.⁴

Adjuntando ejecutables (.exe) directamente a los correos electrónicos es el enfoque más perezoso. Lo utilizan principalmente los actores de amenazas criminales de baja calidad.

Los archivos de imagen de disco (.iso, .img, etc.) se utilizan de forma similar a los archivos.⁵ Windows puede montar automáticamente los archivos de imagen de disco de forma similar a los archivos ZIP.

Índice de amenazas del correo electrónico en la industria

La siguiente tabla muestra el Top 10 de nuestro Industry Email Threat Index calculado en base al número de correos electrónicos amenazantes en comparación con los correos electrónicos limpios recibidos (en la mediana) por cada industria.

Industrias	Porcentaje de amenaza en los correos electrónicos amenazados y limpios
Industria de investigación	5.0
Industria manufacturera	3.9
Media industria	3.6
Industria hospitalaria	3.6
Industria educativa	3.5
Industria de la salud	3.5
Industria automotriz	3.3
Industria del transporte	3.2
Industria minorista	3.0
Industria de la tecnología de la información	3.0

El siguiente gráfico de barras visualiza la amenaza que supone el correo electrónico para cada industria.

• Marzo 2021:

• Abril 2021:

En las organizaciones la mediana global de correos electrónicos tanto de amenaza como limpios cayó del 3,7% en marzo al 3,0% en abril. Este descenso se observa en todos los sectores. Sin embargo, mientras que la industria manufacturera bajó del 5,3% al 3,9% y el resto de las industrias tuvieron una curva similar; la industria de la investigación se mantiene en el 5% de proporción de correos electrónicos de amenaza entre sus correos electrónicos recibidos tanto de amenaza como limpios.

Metodología

Las organizaciones de distinto tamaño reciben un número absoluto diferente de correos electrónicos. Por lo tanto, para comparar las organizaciones, calculamos el porcentaje de correos electrónicos amenazantes de cada organización y de los correos electrónicos limpios. A continuación, calculamos la mediana de estos valores porcentuales entre todas las organizaciones del mismo sector para obtener la puntuación final de la amenaza del sector.

Técnicas de ataque

La siguiente tabla muestra la técnica de ataque utilizada en los ataques.

Técnica de ataque	%
Otro	38.4
Phishing	23.4
URL	20.8
Extorsión	9.0
Ejecutable en archivo/disco-imagen	3.4
Timo nigeriano	2.8
Suplantación de identidad	1.8
Maldoc	0.4
LNK	0.0

El siguiente histograma temporal muestra el volumen de correos electrónicos según técnica de ataque utilizada por hora.

Suplantación de marcas de empresa u organizaciones

La siguiente tabla muestra las marcas de empresas que nuestros sistemas mayormente detectaron en los ataques de suplantación de identidad.

Suplantación de marca u organización	%
Amazon	23.0
DocuSign	21.5
Deutsche Post / DHL	11.9
PayPal	3.4
Microsoft	2.9
LinkedIn	2.8
1&1	2.6
HSBC	2.2
Unicredit	1.6
O2	1.5
Otras	Resto

El siguiente histograma temporal muestra el volumen de correo electrónico de las marcas de empresa detectadas en los ataques de suplantación de identidad por hora.

Se trata de un flujo constante de ataques de phishing y de otro tipo que suplantan a grandes marcas para atraer a los destinatarios a abrir los correos electrónicos.

Una campaña recurrente de malspam de Hancitor domina la suplantación de la marca DocuSign.

Campañas de correo electrónico sobre amenazas destacadas

En esta sección, queremos destacar algunas campañas de malspam de actores de amenazas prominentes y conocidos.

El siguiente histograma de tiempo muestra el volumen de correo electrónico por hora para una lista de campañas de correo electrónico de amenazas destacadas.

Hay que tener en cuenta que no se incluyen todas las campañas. Por tanto, la clasificación, así como las cifras de volumen, no deben tomarse como una clasificación global. Nos esforzaremos por ampliar esta sección de nuestros informes en el futuro.

Podemos ver que las oleadas de malspam de las campañas seleccionadas tienen puntos de inicio y finalización bien definidos, a diferencia de las campañas de correo electrónico de spam masivo menos sofisticadas, que enviarán correos electrónicos bajo un flujo constante.

Como ha sido resaltado anteriormente en la sección de suplantación de marcas de empresa u organizaciones la campaña recurrente de malspam de Hancitor se hace pasar por documentos enviados a través de DocuSign. Los picos de la campaña se corresponden con los picos anteriores de detecciones de suplantación de DocuSign.

Una de las campañas mostradas destaca no por su volumen, sino por su baja tasa de detección por parte de otras soluciones de seguridad. La red de bots Cutwail-A actualizó sus maldocs XLSM. Esta vez distribuía Ursnif.

En el momento de la entrega, los maldocs de la campaña sólo fueron detectados por 3 de 62 detecciones en VirusTotal.

Somos conscientes de que la detección de VirusTotal no representa la detección dinámica real de los productos de seguridad listados. Sin embargo, debido a que la campaña ya fue capturada por el Filtro de Spam y Malware de Hornetsecurity utilizando firmas de detección estática, es una comparación de manzanas-a-manzanas y describe las capacidades de detección de Hornetsecurity cuando se trata de la detección de amenazas de correo electrónico.

Metodología

Hornetsecurity ha observado cientos y miles de campañas de correo electrónico de diferentes actores de amenazas que van desde ataques poco sofisticados y de bajo esfuerzo hasta esquemas de ataque ofuscados muy complejos. Nuestro análisis incluye solo las principales campañas de correo electrónico de amenazas sofisticadas.

Ransomleaks

Los actores de las amenazas siguen filtrando datos robados a las víctimas de ransomware para presionarlas a pagar no sólo por descifrar los archivos cifrados por el ransomware, sino también por no hacer públicos los datos robados antes del cifrado. Hemos observado el siguiente número de filtraciones en sitios de filtración de ransomware:

Sitio de filtración	Número de fugas de datos de las víctimas
Conti	41
Avaddon	40
REvil	33
Darkside	19
Babuk	17
Ragnarok	12
Astro Team	10
Cl0p	9
Everest	5
RansomEXX	2
Nephilim	1
RagnarLocker	1

El siguiente gráfico de barras visualiza el número de fugas de datos de víctimas por sitio de fuga.

Este mes, el grupo de ransomware Darkside ha anunciado que pone a la venta información privilegiada. Los vendedores a corto plazo podrían comprar información sobre las empresas comprometidas por el ransomware Darkside antes de su publicación en el sitio de filtraciones Darkside.

Tras el anuncio, Darkside comenzó a etiquetar a sus víctimas publicadas con sus respectivos tickers de acciones.

Además, este mes el ransomware Babuk anunció el cierre de su operación de ransomware.

Sin embargo, sólo unos días después, aclararon que sólo cerrarían la parte de su operación relacionada con el ransomware. Seguirán robando datos de las víctimas y extorsionándolas con la publicación de los datos robados.

Conclusión

Esperamos que la segunda entrega de nuestra revisión mensual de las amenazas del correo electrónico te haya resultado informativa. Regresa el mes que viene para que veas información más actualizada sobre el panorama de las amenazas del correo electrónico.

Referencias

• ¹ https://www.hornetsecurity.com/es/security-informationen-es/html-phishing-asking-for-the-password-twice/
• ² https://www.hornetsecurity.com/es/seguridad-de-la-informacion/clop-clop-quien-es-un-analisis-del-malspam-html-de-ta505/
• ³ https://www.hornetsecurity.com/es/threat-research/qakbot-archivos-xlsb/
• ⁴ https://www.hornetsecurity.com/es/threat-research/bazarloaders-elaborado-cebo-floristeria/
• ⁵ https://www.hornetsecurity.com/es/seguridad-de-la-informacion/campana-de-robo-rrhh-lalala-infostealer/