Email Threat Review septiembre 2021

Email Threat Review septiembre 2021

Resumen ejecutivo

  • Este mes, los ataques de phishing a gran escala se han dado contra dos asociaciones bancarias alemanas (Sparkasse and Volksbanken y Raiffeisenbanken).

Resumen

En esta entrega de nuestra revisión mensual de las amenazas por correo electrónico, presentamos un resumen de las amenazas de septiembre de 2021 y las comparamos con las del mes anterior.

El informe ofrece información sobre:

Correos no deseados por categoría

La siguiente tabla muestra la distribución de los correos no deseados por categoría.

Categoría de correo %
Rechazado 80.83
Spam 14.15
Amenaza 4.07
AdvThreat 0.91
Contenido 0.03

El siguiente histograma temporal muestra el volumen de correos electrónicos por categoría y por día.

Correos no deseados por categoría

El pico de correos electrónicos rechazados en torno al 2021-09-23 puede atribuirse a una campaña mensual recurrente de correos electrónicos de extorsión sexual escritos en alemán que observamos cada mes.

Metodología

Las categorías de email listadas corresponden a las categorías de email listadas en el Email Live Tracking del Panel de Control de Hornetsecurity. Así que nuestros usuarios ya están familiarizados con ellas. Para otros, las categorías son:

Categoría Descripción
Spam Estos correos electrónicos no son deseados y a menudo son promocionales o fraudulentos. Los correos electrónicos se envían simultáneamente a un gran número de destinatarios.
Contenido Estos correos electrónicos tienen un adjunto no válido. Los administradores definen en el módulo de control de contenidos qué archivos adjuntos no son válidos.
Amenaza Estos correos electrónicos tienen un adjunto no válido.Estos correos tienen contenido dañino, como archivos adjuntos o enlaces maliciosos, o se envían para cometer delitos, como el phishing..
AdvThreat Advanced Threat Protection ha detectado una amenaza en estos correos electrónicos. Los correos electrónicos se utilizan con fines ilegales e implican medios técnicos sofisticados que sólo pueden ser combatidos mediante procedimientos dinámicos avanzados.
Rechazado Nuestro servidor de correo electrónico rechaza estos correos directamente durante el diálogo SMTP debido a características externas, como la identidad del remitente, y los correos no se analizan más.

Tipos de archivos utilizados en los ataques

La siguiente tabla muestra la distribución de los tipos de archivos utilizados en los ataques.

Tipo de archivo (utilizado en los correos maliciosos) %
HTML 37.2
Archivo 28.8
PDF 11.3
Excel 6.4
Archivos de imagen de disco 4.6
Otro 4.0
Word 3.7
Ejecutable 3.5
Powerpoint 0.2
Archivo de script 0.2

El siguiente histograma temporal muestra el volumen de correo electrónico por tipo de archivo utilizado en los ataques durante 7 días.

File types used in attacks

Vemos la continuación de la observación del mes pasado sobre el aumento de los archivos HTML adjuntos (.htm, .html, etc.) usados en los ataques. Si se analiza más detenidamente, el crecimiento puede atribuirse a las múltiples campañas que utilizan archivos HTML para el phishing, adjuntando el sitio web del phishing directamente al correo1 (para eludir los filtros de URL). Ya hemos reportado esta técnica en nuestro blog.

Índice de amenazas del correo electrónico en la industria

La siguiente tabla muestra nuestro Índice de Amenazas de Correo Electrónico de la Industria, calculado sobre la base del número de correos amenazantes en comparación con los correos limpios recibidos de cada sector (en la mediana).

Sectores Porcentaje de amenaza en los correos amenazados y limpios
Sector manufactura 6.0
Sector investigación 5.7
Sector entretenimiento 5.3
Sector salud 5.2
Sector automóvilistico 5.1
Sector educativo 5.1
Sector transporte 5.0
Sector de la construcción 4.9
Sector minero 4.9
Sector retail 4.4

The following bar chart visualizes the email-based threat posed to each industry.

Hornetsecurity Industry Email Threat Index

Observamos un aumento general de los correo con amenazas a por cada email limpio recibido para todos los sectores de la industria.

Metodología

Las organizaciones de distinto tamaño reciben un número absoluto diferente de correos electrónicos. Por lo tanto, calculamos el porcentaje de correos con ciberamenazas de cada organización y los correos limpios para comparar las organizaciones. A continuación, calculamos la mediana de estos valores porcentuales para todas las organizaciones dentro del mismo sector para formar la puntuación final de la amenaza del sector.

Técnicas de ataque

La siguiente tabla muestra las técnicas de ataque utilizadas.

Técnica de ataque %
Otras 39.0
Phishing 29.1
Suplantación de la identidad 10.3
URL 10.0
Estafa por adelantado 3.5
Extorsión 3.1
Ejecutable en archivo/disco-imagen 3.1
Maldoc 1.9

El siguiente histograma temporal muestra el volumen de correos electrónicos por técnica de ataque utilizada por hora.

Attack techniques

Suplantación de marcas y organizaciones empresariales

La siguiente tabla muestra las marcas de empresas y organizaciones que nuestros sistemas detectaron más en los ataques de suplantación de identidad.

Suplantación de marca u organización %
Sparkasse 19.7
Volks- und Raiffeisenbank 15.0
Deutsche Post / DHL 13.5
DocuSign 12.5
Otros 11.3
Amazon 8.9
PayPal 4.6
LinkedIn 1.9
Microsoft 1.7
UPS 1.3
HSBC 1.1

El siguiente histograma muestra el volumen de correos electrónicos de marcas de empresas y organizaciones detectadas en ataques de suplantación de identidad por hora.

Impersonated company brands

Hay un aumento significativo de campañas que suplantan a los bancos alemanes Sparkasse y Volks- und Raiffeisenbank. Hemos detectado varias campañas de phishing dirigidas a estos dos bancos alemanes.

Un ejemplo de correo electrónico de phishing suplantando a la Sparkasse:

Sparkasse Phishing

Un ejemplo de correo electrónico de phishing suplantando al Volks- und Raiffeisenbank:

VR-Bank Phishing

En todas las variantes de las campañas a gran escala, los bancos supuestamente cambiaron sus procesos (de seguridad) y el usuario necesita conectarse para confirmar el cambio para mantener el acceso a su cuenta bancaria..

Ransomleaks

Los actores de las amenazas siguen filtrando datos robados a las víctimas de ransomware para presionarlas a pagar por descifrar los archivos y no publicar datos sensibles. Hemos observado el siguiente número de filtraciones en sitios de filtración de ransomware:

Sitio de filtración Número de fugas de datos de las víctimas
Conti 40
LockBit 2.0 34
Pysa 15
Everest 8
Vice Society 7
Hive 5
REvil 5
RansomEXX 3
Lorenz 1

El siguiente gráfico de barras visualiza el número de fugas de datos de víctimas por sitio.

Ransomleaks

El 2021-09-16, una agencia policial no identificada obtuvo las claves de descifrado del ransomware REvil y BitDefender publicó un descifrador.

El 2021-09-21, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro añadió a SUEX OTC, S.R.O. (SUEX), una casa de cambio virtual, a su lista de sanciones de la OFAC por su participación en la facilitación de las transacciones financieras para los actores del ransomware. El análisis de las transacciones conocidas de SUEX muestra que más del 40% del historial de transacciones conocidas de SUEX está asociado con actores ilícitos relacionados con el ransomware.2

Este mes, LockBit 2.0 ha añadido un CAPTCHA de protección DDOS a su sitio web.

LockBit 2.0 DDOS protection

El 2021-09-16, una agencia policial no identificada obtuvo el ransomware Cl0p también ha añadido un CAPTCHA a su sitio de filtración, impidiendo el seguimiento automático de los anuncios.

Cl0p CAPTCHA

Cl0p CAPTCHA

Referencias

Email Threat Review septiembre 2021

Email Threat Review agosto 2021

Resumen ejecutivo

  • Los expertos del Sec Lab de Hornetsecurity han observado un aumento del phishing a través de archivos adjuntos HTML.

Resumen

En esta edición de nuestro informe mensual sobre las amenazas por correo electrónico, ofrecemos un resumen de los ataques por correo observados en julio de 2021 y los comparamos con los del mes anterior.

El informe ofrece información sobre:

Correos electrónicos no solicitados por categoría

La siguiente tabla muestra la distribución de los correos electrónicos no solicitados por categoría.

Categoría de email %
Rechazado 83.19
Spam 12.92
Amenaza 3.02
Amenaza avanzada 0.83
Contenido 0.03

El siguiente histograma temporal muestra el volumen de correos electrónicos por categoría y hora.

Unerwünschte E-Mails nach Kategorie

El pico de correos electrónicos rechazados en torno al 2021-07-31 puede atribuirse a la campaña mensual recurrente de correos electrónicos de extorsión sexual en alemán, que provoca regularmente picos de correos electrónicos rechazados.

Metodología

Las categorías de correo electrónico listadas corresponden a las categorías de correo electrónico listadas en el Email Live Tracking del Control Panel de Hornetsecurity. Así que nuestros usuarios ya están familiarizados con ellos. Para otros, las categorías son:

Categoría Descripción
Spam Estos correos electrónicos no son solicitados y suelen tener un carácter publicitario o fraudulento. Los correos electrónicos se envían simultáneamente a un gran número de destinatarios.
Contenido Estos correos electrónicos tienen un archivo adjunto no válido. Los administradores determinan qué archivos adjuntos no son válidos en el módulo de control de contenidos.
Amenaza Estos correos electrónicos contienen contenidos peligrosos, como archivos adjuntos o enlaces maliciosos, o se envían para cometer delitos como el phishing.
Amenaza avanzada Advanced Threat Protection ha identificado una amenaza en estos correos electrónicos. Los correos electrónicos se utilizan con fines ilegales y emplean medios técnicos sofisticados que sólo pueden contrarrestarse con la ayuda de métodos dinámicos avanzados.
Rechazado Estos correos electrónicos son rechazados directamente por nuestro servidor de correo electrónico en el curso del diálogo SMTP debido a características externas que pueden referirse, por ejemplo, a la identidad del remitente, y no se analizan más.

Tipos de archivos utilizados en los ataques

La siguiente tabla muestra la distribución de los tipos de archivos utilizados en los ataques.

Tipo de archivo (utilizado en los correos electrónicos maliciosos) %
Archivo 33.7
HTML 25.1
PDF 14.9
Excel 8.7
Word 5.1
Otro 4.3
Ejecutable 4.0
Archivos de imagen de disco 3.8
Archivo de script 0.3
Powerpoint 0.1
Email 0.0
Archivo LNK 0.0

El siguiente histograma temporal muestra el volumen de correo electrónico por tipo de archivo utilizado en los ataques durante 7 días.

Tipos de archivos utilizados en los ataques

Se observa un aumento de los archivos adjuntos HTML (.htm, .html, etc.) utilizados en los ataques. Si se analiza más detenidamente, el aumento puede atribuirse a varias campañas que utilizan archivos HTML para el phishing, adjuntando el sitio web de phishing directamente al correo electrónico1 (con lo que se evitan los filtros de URL). Ya hemos informado sobre esta técnica en nuestro blog.

Índice de amenazas del correo electrónico en la industria

La siguiente tabla muestra los 10 primeros puestos de nuestro Índice de Amenazas del Correo Electrónico en la Industria, calculado mediante el número de correos electrónicos amenazantes en comparación con el número de correos electrónicos limpios recibidos (en la mediana) para cada industria.

Industrias Porcentaje de correos electrónicos amenazantes en los correos electrónicos válidos y amenazantes
Industria manufacturera 4.3
Industria del entrenimiento 3.7
Industria de la investigación 3.5
Industria de los medios de comunicación 3.4
Industria sanitaria 3.4
Industria minera 3.3
Industria del transporte 3.3
Industria de la educación 3.0
Industria hotelera 2.9
Industria automotriz 2.8

El siguiente diagrama de barras refleja la situación de cada sector respecto al correo electrónico.

Hornetsecurity Industry Email Threat Index

Metodología

Las organizaciones de distinto tamaño reciben un número absoluto de correos electrónicos diferente. Por lo tanto, para comparar las organizaciones, hemos calculado el porcentaje de correos electrónicos amenazantes de entre los correos electrónicos amenazantes y válidos de cada organización. A continuación, calculamos la mediana de estos porcentajes en todas las organizaciones del mismo sector para determinar el Índice de Amenaza final del sector.

Técnicas de ataque

La siguiente tabla muestra la técnica de ataque utilizada en los ataques.

Técnicas de ataque %
Otras 40.2
Phishing 27.8
URL 11.2
Suplantación de identidad 5.8
Estafa por adelantado 4.8
Ejecutable en archivo/disco-imagen 4.0
Extorsión 3.7
Maldoc 2.4
LNK 0.0

El siguiente histograma temporal muestra el volumen de correos electrónicos por técnica de ataque utilizada por hora.

Angriffstechniken

El aumento de documentos maliciosos (maldocs proveniente de documento malicioso en inglés) a finales de mes, se debe a un rackscatter de una campaña de malspam de formbook en la que se utilizó la dirección de correo electrónico de uno de nuestros clientes como dirección de remitente falsa. Muchos de los mensajes rebotados contenían los documentos maliciosos de la campaña y, por tanto, nuestros filtros los incluyeron en las estadísticas como documentos maliciosos.

Suplantación de marcas de empresa u organizaciones

La siguiente tabla muestra las marcas de empresas que nuestros sistemas detectaron con mayor frecuencia en los ataques de suplantación de identidad.

Imitación de la marca u organización de la empresa %
DocuSign 18.2
Deutsche Post / DHL 17.9
Otra 16.8
Amazon 12.6
PayPal 10.0
Microsoft 2.8
Volks- und Raiffeisenbank 2.6
HSBC 2.0
LinkedIn 1.8
O2 1.4
Santander 1.1
Tesco 1.1

El siguiente histograma temporal muestra el volumen de correos electrónicos por hora de las marcas de empresas detectadas en los ataques de suplantación de identidad.

Imitierte Firmenmarken oder Organisationen

Hay un flujo constante de phishing y otros ataques que suplantan a las grandes marcas para engañar a los destinatarios y hacer que abran los correos electrónicos.

Ransomleaks

Los actores de las amenazas siguen publicando los datos robados a las víctimas del ransomware para presionarlas no sólo a pagar por el descifrado de los archivos cifrados por el ransomware, sino también a no publicar los datos robados antes del cifrado. Hemos observado el siguiente número de leaks en sitios de filtración de ransomware:

Sitios de filtración Número de víctimas
LockBit 2.0 87
Conti 46
Hive 27
Pysa 16
Everest 5
Cuba 4
RansomEXX 4
LV 3
Vice Society 3
Lorenz 2
Cl0p 1
RagnarLocker 1
Suncrypt 1
Xing Team 1

El siguiente gráfico de barras visualiza el número de víctimas por sitios de fuga.

Ransomleaks

El 2021-08-12, la operación del ransomware SynAck se rebautizó a sí misma como El_Cometa. Además, se publicaron las claves de descifrado del ransomware SynAck.2 Nuestro análisis registró un total de 15 víctimas en la página de filtraciones de SynAck en junio y julio. Así que la operación bajo el nombre de SynAck fue más bien efímera.

Según los informes3 el ransomware Ragnarok dejó de funcionar el 2021-08-27. Nuestro monitoreo reveló que el sitio de filtración de Ragnarok estuvo en línea por última vez el 2021-05-17. En total, el sitio de filtraciones del grupo publicó datos de 22 víctimas. Los operadores detrás del ransomware Ragnarok también publicaron una clave de descifrado universal.

Esta práctica de publicar las claves de descifrado después de que una operación de ransomware haya terminado está muy extendida. Es probable que sea un intento de los ciberdelincuentes que están detrás del ransomware de cortar todos los lazos con la operación y permitir que las víctimas se recuperen, privando así a las víctimas y a las fuerzas de seguridad de razones para seguir persiguiendo a los operadores del ransomware. También proporciona una clara negativa en caso de que los operadores del ransomware sean sorprendidos con las claves de descifrado, que antes eran secretas, pero ahora son públicas y están disponibles para todo el mundo.

Referencias

Email Threat Review septiembre 2021

Email Threat Review Julio 2021

Resumen

En esta nueva entrega de nuestro «Email Threat Review» presentamos un resumen de los principales ciberataques por correo electrónico, observados en julio de 2021, y los comparamos con el mes anterior.

El informe ofrece contenido sobre:

Correos no deseados por categoría

La siguiente tabla muestra la distribución de los correos electrónicos no deseados por categoría.

Categoría de correo %
Rechazado 84.05
Spam 11.99
Amenaza 3.02
AdvThreat 0.91
Contenido 0.03

El siguiente histograma temporal muestra el volumen de correos electrónicos por categoría y por día.

Correos no deseados por categoría

El pico de correos electrónicos rechazados el 30-07-2021 puede atribuirse a la campaña mensual de correos electrónicos de extorsión sexual escrita en alemán que causó picos similares en meses anteriores.

Metodología

Las categorías de email listadas corresponden al Email Live Tracking del Control Panel de Hornetsecurity. Por ello, nuestros usuarios ya están familiarizados con ellas. Para otros, las categorías son:

Categoría Descripción
Spam Estos correos no son deseados y a menudo son promocionales o fraudulentos. Los emails se envían simultáneamente a un gran número de destinatarios.
Contenido Estos correos tienen un adjunto que no es válido. Los administradores definen en el módulo de control de contenidos qué archivos adjuntos no son válidos.
Amenaza Estos correos electrónicos tienen contenido dañino, como archivos adjuntos o enlaces maliciosos, o se envían para cometer delitos, como el phishing.
AdvThreat Advanced Threat Protection ha detectado una amenaza en estos correos electrónicos. Los correos se utilizan con fines ilícitos e implican medios técnicos sofisticados que sólo pueden ser rechazados utilizando técnicas avanzadas
Rechazado Nuestro servidor de correo electrónico rechaza estos correos directamente durante el diálogo SMTP y, debido a características externas como: la identidad del remitente, dichos emails dejan de analizarse.

Tipos de archivos utilizados en los ataques

La siguiente tabla muestra la distribución de los tipos de archivos utilizados en los ataques.

Tipo de archivo (utilizado en los correos maliciosos) %
Archivo 30.0
PDF 20.8
HTML 17.1
Ejecutable 11.7
Excel 7.0
Word 5.4
Otro 4.3
Ficheros de imagen de disco 3.3
Archivo script 0.1
PowerPoint 0.1
Email 0.0
Archivo LNK 0.0

El siguiente histograma temporal muestra el volumen de correos electrónicos por tipo de archivo utilizado en los ciberataques durante 7 días.

Tipos de archivos utilizados en los ataques

Aquí vemos un aumento en el uso de documentos maliciosos de Word. En el mes anterior, sólo el 3,6% de los ciberataques utilizaban documentos Word. Dichos documentos solían ser el formato dominante utilizado en los ataques basado en archivos. Sin embargo, en 2020 muchos actores de amenazas cambiaron a Excel; utilizando la antigua función de macros de Excel 4.0 para ejecutar código malicioso, lo que hizo que el número de documentos de Word maliciosos utilizados en los ciberataques disminuyera. Los proveedores de seguridad detectaron muchos menos ataques de macros de Excel 4.0 en comparación con aquellas amenazas basadas en macros VBA. Sin embargo, desde que Microsoft ha añadido la compatibilidad con las macros de Excel 4.0 a AMSI 1 el incremento de documentos maliciosos de Word indica que los actores de amenazas podría están considerando volver a utilizar documentos de Word, en lugar de Excel.

Índice de amenazas de correo en la industria

La siguiente tabla muestra nuestro Índice de Amenazas de Correo Electrónico en la Industria, calculado sobre la base del número de correos electrónicos amenazantes en comparación con los correos limpios recibidos (en la mediana) por sector.

Sectores Porcentaje de riesgo en los correos amenazados y limpios
Sector investigación 4.3
Sector industrial 3.8
Sector agrícola 3.4
Sector transporte 3.4
Sector educativo 3.2
Sector entretenimiento 3.1
Sector minero 3.1
Sector comunicación 2.9
Sector turístico 2.9
Sector sanitario 2.8

El siguiente gráfico de barras visualiza la amenaza que supone el correo electrónico por sector.

Índice de amenazas del correo de Hornetsecurity por sectores

Este gráfico sirve para comparar el gráfico de barras del índice de amenazas basado en el correo electrónico del mes pasado:

Índice de amenazas del correo de Hornetsecurity por sectores

Observamos un descenso en la puntuación global de la amenaza del correo electrónico.

Metodología

Las organizaciones de distinto tamaño reciben un número absoluto diferente de correos electrónicos. Por lo tanto, calculamos el porcentaje de correos amenazantes de cada organización y los correos electrónicos limpios para comparar las organizaciones. A continuación, calculamos la mediana de estos valores porcentuales para todas las organizaciones dentro del mismo sector para formar la puntuación final de la amenaza del sector.

Técnicas de ataque

La siguiente tabla muestra las técnicas de ataque utilizadas.

Técnica de ataque %
Otras 53.2
Phishing 24.2
URL 8.1
Ejecutable en archivo/disco-imagen 4.7
Estafa de pago por adelantado 3.7
Extorsión 2.8
Suplantación de identidad 2.2
Maldoc 1.1
LNK 0.0

El siguiente histograma temporal muestra el volumen de correos electrónicos por técnica de ataque, utilizada por hora.

Técnicas de ataque

No hay anomalías significativas.

Marcas y organizaciones suplantadas

La siguiente tabla muestra qué marcas de empresas y organizaciones detectaron más ataques de suplantación de identidad en nuestros sistemas.

Marca u organización suplantada %
DocuSign 20.5
PayPal 13.4
Deutsche Post / DHL 12.4
Amazon 11.7
LinkedIn 4.3
Microsoft 2.5
HSBC 2.2
Santander 2.2
O2 1.7
Volks- und Raiffeisenbank 1.6

El siguiente histograma muestra el volumen de correos electrónicos de las marcas y organizaciones, detectado por hora, en los ataques de suplantación de identidad.

Marcas de empresas suplantadas

Es un flujo constante de phishing y otros ciberataques que se hacen pasar por grandes marcas y organizaciones para atraer a los destinatarios a abrir los correos electrónicos.

Campañas de correo de amenazas destacadas

En esta sección, queremos destacar algunas campañas de malspam de actores de amenazas prominentes y conocidas.

Ten en cuenta que esto no incluye todas las campañas. Por lo tanto, la lista, así como las cifras de volumen, no deben tomarse como una clasificación global. Nos esforzamos por ampliar esta sección de nuestros informes en un futuro.

En el siguiente histograma se muestra el volumen de correos con amenazas destacadas por hora.

Campañas de correo de amenazas destacadas

Metodología

Hornetsecurity observa miles de campañas de correo electrónico con amenazas diferentes de diversos actores que van desde ataques muy poco sofisticados y de bajo esfuerzo, hasta esquemas de ciberataques ofuscados altamente complejos. Destacamos solo un subconjunto de esas campañas de correo con amenazas.

Ransomleaks

Los actores de amenazas continúan filtrando datos robados a las víctimas de ransomware presionándolos para que paguen por descifrar los archivos y no publicar datos sensibles. Observamos la siguiente cantidad de sitios de fugas de ransomware:

Sitio de filtración Número de filtraciones de datos de las víctimas
LockBit 2.0 66
Conti 36
Hive 16
Synack 11
Lorenz 8
REvil 7
Everest 5
Promethous 5
Vice Society 4
Grief 3
RansomEXX 3
Cl0p 2
LV 2
RagnarLocker 2
Xing Team 2
Nephilim 1

El siguiente gráfico de barras visualiza el número de sitios de filtración de datos de las víctimas.

Ransomleaks

Una nueva incorporación a nuestros informes es el sitio de filtración de LockBit 2.0. que ya estaba en funcionamiento en junio, los actores detrás de dicho sitio estaban buscando afiliados.

LockBit 2.0 leak site

Los cibercriminales ofrecieron a sus partners potenciales una comparación del rendimiento del ransomware LockBit 2.0 con respecto a otras ofertas de RaaS (ransomware-as-a-service).

LockBit 2.0 leak site

Además, los ciberdelincuentes ofrecieron una comparativa de las velocidades de transferencia para la infiltración de datos.

LockBit 2.0 leak site

Posteriormente, el 13 de julio de 2021, el sitio de filtración comenzó a publicar los datos de las víctimas.

LockBit 2.0 leak site

Con un conjunto de 66 víctimas, el ransomware LockBit 2.0 anunció casi el doble de afectados que Conti; convirtiéndose en el sitio de filtraciones con la segunda mayor cantidad de víctimas este mes.

 

Referencias

Email Threat Review septiembre 2021

Email Threat Review Mayo 2021

Resumen

En esta edición de nuestra revisión mensual de las amenazas por correo electrónico, presentamos un resumen de aquellas observadas en mayo de 2021 y las comparamos con las del mes anterior.

El informe ofrece información sobre:

Emails no deseados por categoría

La siguiente tabla muestra la distribución de los correos electrónicos no deseados por categoría.

Categoría del email %
Rechazado 81.56
Spam 13.81
Amenaza 3.73
Amenaza avanzada 0.87
Contenido 0.03

El siguiente histograma temporal muestra el volumen de correos electrónicos por categoría y por día.

Unwanted emails by category

El pico de correos electrónicos rechazados entre el 23 y el 26 de mayo de 2021 se debe a una oleada de correos electrónicos de extorsión sexual dirigidos a usuarios de lengua alemana.

Sextortion email

Esta campaña y el consiguiente pico de correos electrónicos rechazados es similar a la observada en marzo1 en la que los atacantes ganaron unos 5.000 euros. Esta vez no hubo transacciones entrantes en los moneros de Bitcoin del atacante utilizados en el ciberataque.

Metodología

Las categorías de email listadas corresponden a las que aparecen en el Email Live Tracking del Control Panel de Hornetsecurity. Nuestros usuarios ya están familiarizados con ellas. Para los que no, las categorías son:

Categoría Descripción
Spam Estos correos electrónicos no son deseados y a menudo son promocionales o fraudulentos. Los correos electrónicos se envían simultáneamente a un gran número de destinatarios.
Contenido Estos correos tienen un adjunto no válido. Los administradores definen en el módulo de control de contenidos qué archivos adjuntos no son válidos.
Amenaza Estos correos electrónicos tienen contenido dañino, como archivos adjuntos o enlaces maliciosos, o se envían para cometer delitos, como el phishing.
Amenaza avanzada Advanced Threat Protection ha detectado una amenaza en estos correos electrónicos. Los correos se utilizan con fines ilícitos e implican medios técnicos sofisticados que sólo pueden combatirse mediante procedimientos dinámicos avanzados.
Rechazado Nuestro servidor de correo electrónico rechaza estos correos directamente durante el diálogo SMTP debido a características externas, como la identidad del remitente, y los correos no se analizan más.

Tipos de archivos usados en ataques

La siguiente tabla muestra la distribución de los tipos de archivos utilizados en los ciberataques.

Tipo de archivo (usado en emails maliciosos) %
Archivo 33.1
Otro 19.9
HTML 17.8
Excel 7.6
PDF 7.5
Ejecutable 5.8
Archivos de imágenes de disco 4.7
Word 2.8
Powerpoint 0.6
Archivo script 0.2
Email 0.1
Archivo LNK 0.0

El siguiente histograma temporal muestra el volumen de correos electrónicos por tipo de archivo utilizado en el ataque durante 7 días.

Filetypes used in attacks

Índice de amenazas de correo por industria

La siguiente tabla muestra nuestro índice de amenazas de correo electrónico por industria, calculado sobre la base del número de correos electrónicos amenazantes en comparación con los correos  limpios recibidos (en la mediana) por industria.

Industrias Porcentaje de amenaza en los correos amenazados y limpios
Investigación 6.9
Transporte 5.3
Manufactura 5.0
Educación 4.1
Salud 4.0
Media 3.9
Automoción 3.9
Entretenimiento 3.8
Servicios públicos 3.8
Hostelera 3.8

El siguiente gráfico de barras visualiza la amenaza que supone el correo electrónico para cada industria.

Hornetsecurity Industry Email Threat Index May 2021

Para comparar el gráfico de barras del índice de amenazas por correo electrónico del mes pasado:

Hornetsecurity Industry Email Threat Index April 2021

Metodología

Las organizaciones de distinto tamaño reciben un número absoluto diferente de correos electrónicos. Por lo tanto, calculamos el porcentaje de correos amenazantes de cada organización y los correos electrónicos limpios. A continuación, calculamos la mediana de estos valores porcentuales de todas las organizaciones del mismo sector para obtener la puntuación final del sector en cuanto a amenazas.

Suplantación de marcas de empresa u organizaciones

La siguiente tabla muestra las marcas de empresas que nuestros sistemas detectaron más en los ataques de suplantación de identidad.

Suplantación de marca u organización %
DocuSign 19.9
Amazon 17.6
Deutsche Post / DHL 16.8
Other 15.4
LinkedIn 4.0
Microsoft 2.8
PayPal 2.7
1&1 2.5
HSBC 2.1
O2 2.0

El siguiente histograma temporal muestra el volumen de correo electrónico de las marcas de empresas detectadas en los ataques de suplantación de identidad por hora.

Impersonated company brands

Es un flujo constante de phishing y otros ataques que suplantan a las grandes marcas para atraer a los destinatarios a abrir los correos electrónicos.

Campañas de correo electrónico sobre amenazas destacadas

En esta sección, queremos destacar algunas campañas de malspam de actores de amenazas prominentes y conocidos.

El siguiente histograma de tiempo muestra el volumen de correo electrónico de las campañas de amenazas destacadas por hora.

Highlighted threat email campaigns

Podemos ver que las oleadas de malspam de las campañas seleccionadas tienen puntos de inicio y final bien definidos, a diferencia de las campañas de correo electrónico de spam masivo menos sofisticadas, que enviarán correos electrónicos en un flujo constante.

Por favor, ten en cuenta que esto no contiene todas las campañas. Por tanto, la clasificación, así como las cifras de volumen, no deben tomarse como una clasificación global.

A partir de los datos, podemos ver que el malspam de Hancitor que suplanta a DocuSign es una campaña de malspam constante y de gran volumen.

Al final del mes, el aumento de los «tr» de QakBot basados en URLs (llamados así por la etiqueta de configuración/identificación de la campaña tr encontrado en la configuración del malware QakBot que ha sido distribuido) se puede ver el malspam. Esta campaña (al igual que otras campañas de malspam de QakBot) utiliza email conversation threat hijacking.2

QakBot TR email

Otro aspecto interesante de la campaña es que utiliza URLs de texto plano en las que no se puede hacer clic y que carecen de la dirección http://. Así, las víctimas deben copiar la URL manualmente en su navegador. Esto se hace probablemente con la esperanza de que los filtros de URL no detecten la URL en esta forma. Obviamente, la campaña utiliza varios sitios web comprometidos para alojar los archivos ZIP maliciosos, lo que complica aún más su detección.

Metodología

Hornetsecurity ha observado cientos de miles de campañas de correo electrónico de diferentes actores de amenazas que van desde ataques poco sofisticados y de bajo esfuerzo hasta esquemas de ataque ofuscados muy complejos. Nuestro análisis incluye solo las principales campañas de correo electrónico de amenazas sofisticadas.

Ransomleaks

Los actores de las amenazas siguen filtrando datos robados a las víctimas de ransomware para presionarlas a pagar no sólo por descifrar los archivos cifrados por el ransomware, sino también por no hacer públicos los datos robados antes del cifrado. Hemos observado el siguiente número de filtraciones en sitios de filtración de ransomware:

Leaksite Número de fugas de datos de las víctimas
Conti 73
Avaddon 56
Pysa 33
Darkside 25
REvil 21
Lorenz 19
Babuk 15
Xing Team 13
Nephilim 8
Cuba 6
Networm 5
Grief 5
Cl0p 4
RansomEXX 4
MountLocker 3
Everest 3
RagnarLocker 3
Astro Team 2

El siguiente gráfico de barras visualiza el número de fugas de datos de víctimas por sitio de fuga.

Ransomleaks May 2021

Hemos añadido la recopilación de datos para los siguientes sitios de filtración de ransomware:

El leaksite del ransomware Cuba fue visto por primera vez a finales de 2019. Sin embargo, el grupo no era muy activo. El leaksite actualmente cuenta con seis filtraciones.

.

Cuba ransomware leaksite

Recientemente se ha informado de que el ransomware Cuba coopera con el malware Hancitor, de cuyas campañas de malspam informamos en una  sección anterior. Por lo tanto, hemos añadido el sitio de filtración del ransomware Cuba a nuestro conjunto de datos.

El sitio de fugas del Xing Team fue anunciado a través del sitio de fugas del Astro Team el 2021-05-06 como nuevo partner del equipo.

Astro Team leaksite Xing Team announcement

El sitio de filtraciones de Xing Team presenta un diseño idéntico al sitio de filtraciones de Astro Team, pero contiene diferentes filtraciones de datos.

Xing Team leaksite

Por el momento se desconoce lo que implica esta asociación.

Otro sitio de filtraciones que surgió este mes es el del ransomware Prometheus. En su sitio, afirman una afiliación con el ransomware REvil. Sin embargo, hay que ver cuál es esa afiliación y si el ransomware REvil sabe siquiera que este nuevo sitio de filtraciones afirma tener una afiliación con ellos.

Prometheus leaksite

El sitio de fugas Prometheus no elimina las entradas de las empresas que han pagado el rescate o de los datos que podría vender. Las entradas respectivas simplemente se actualizan para reflejar si la empresa ha pagado o los datos se han vendido.

Prometheus leaksite

Otra novedad es el sitio de filtración «Grief».

Grief leaksite

Actualmente, se desconoce qué ransomware está asociado al sitio de filtraciones Grief, si es un ransomware ya conocido renombrado como Grief o si utilizan su propio ransomware.

Referencias

Email Threat Review Abril 2021

Email Threat Review Abril 2021

Resumen

En esta segunda entrega de nuestra revisión mensual de las amenazas del correo electrónico, presentamos un resumen de aquellos incidentes observados en abril de 2021 y lo comparamos con marzo de 2021.

El presente reporte proporciona información sobre:

Emails no deseados por categoría

La tabla a continuación muestra la distribución de correos electrónicos no deseados por categoría.

Categoría del email %
Rechazado 78.60
Spam 16.41
Amenaza 4.05
Amenaza avanzada 0.89
Contenido 0.04

El siguiente histograma temporal muestra el volumen de correos electrónicos por categoría y por hora.

Unwanted emails by category

A diferencia de marzo, en abril no hubo picos anómalos evidentes en los volúmenes de correo electrónico no deseado.

Metodología

Las categorías de email listadas corresponden a las categorías del Email Live Tracking del control panel de Hornetsecurity. Nuestros usuarios ya están familiarizados con ellas. Para otros, las categorías serían:

Category Description
Spam Estos correos electrónicos no son deseados y a menudo son promocionales o fraudulentos. Los correos electrónicos se envían simultáneamente a un gran número de destinatarios.
Contenido Estos correos electrónicos tienen un adjunto no válido. Los administradores definen en el módulo de control de contenidos qué archivos adjuntos no son válidos.
Amenaza Estos correos electrónicos poseen contenidos peligrosos, como archivos adjuntos o enlaces maliciosos, o se envían para cometer delitos, como el phishing.
Amenaza avanzada Advanced Threat Protection ha detectado una amenaza en estos correos electrónicos. Los correos electrónicos se utilizan con fines ilícitos e implican medios técnicos sofisticados que sólo pueden combatirse mediante procedimientos dinámicos avanzados.
Rechazado Nuestro servidor de correo electrónico rechaza estos correos directamente durante el diálogo SMTP debido a características externas, como la identidad del remitente, y los correos no se analizan más.

Tipos de archivos usados en los ataques

La siguiente tabla muestra la distribución de los tipos de archivos utilizados en los ataques.

Tipo de archivo (usado en emails maliciosos) %
Archivo 35.6
Otro 17.6
HTML 17.3
Excel 7.6
Executable 7.0
PDF 4.8
Archivos de imagen de disco 4.6
Word 3.5
Powerpoint 1.3
Archivo script 0.5
Email 0.1
Archivo LNK 0.0

El siguiente histograma temporal muestra el volumen de correo electrónico por tipo de archivo utilizado en los ataques durante 7 días.

Filetypes used in attacks

Archivos (.zip, .rar, .gzip, .ace, .tar.gz, etc.) son más populares. El uso más frecuente de los archivos en los ataques es comprimir el ejecutable del malware y adjuntarlo directamente al correo electrónico de ataque. Esto se hace con la esperanza de que el sistema de correo electrónico objetivo no sea capaz de escanear los archivos adjuntos comprimidos. Los actores de amenazas criminales de baja calidad suelen utilizar esta técnica, ya que no requiere ninguna experiencia técnica. Otro uso de los archivos es la compresión de documentos maliciosos. Esto también se hace para reducir la detección.

Archivos HTML (.htm, .html, etc.) se utilizan para la suplantación de identidad, adjuntando el sitio web de phishing directamente al correo electrónico1 (eludiendo así los filtros de URL), redirigiendo a las víctimas a sitios web para la descarga de malware2 (de nuevo para no incluir directamente una URL clicable en el correo electrónico), o ingeniería social.

Archivos Excel (.xls, .xlsm, .xlsx, .xslb, etc.) con sus macros XLM ganaron popularidad el año pasado. A diferencia del malware de macros VBA, el malware de macros XLM es menos detectado y, por tanto, favorecido por muchos actores de amenazas.3,4 De hecho, muchos actores de amenazas utilizan el mismo generador de documentos maliciosos llamado «EtterSilent» para generar sus macro documentos XLM.

PDFs (.pdf) utiliza enlaces incrustados u otros señuelos de ingeniería social.4

Adjuntando ejecutables (.exe) directamente a los correos electrónicos es el enfoque más perezoso. Lo utilizan principalmente los actores de amenazas criminales de baja calidad.

Los archivos de imagen de disco (.iso, .img, etc.) se utilizan de forma similar a los archivos.5 Windows puede montar automáticamente los archivos de imagen de disco de forma similar a los archivos ZIP.

Índice de amenazas del correo electrónico en la industria

La siguiente tabla muestra el Top 10 de nuestro Industry Email Threat Index calculado en base al número de correos electrónicos amenazantes en comparación con los correos electrónicos limpios recibidos (en la mediana) por cada industria.

Industrias Porcentaje de amenaza en los correos electrónicos amenazados y limpios
Industria de investigación 5.0
Industria manufacturera 3.9
Media industria 3.6
Industria hospitalaria 3.6
Industria educativa 3.5
Industria de la salud 3.5
Industria automotriz 3.3
Industria del transporte 3.2
Industria minorista 3.0
Industria de la tecnología de la información 3.0

El siguiente gráfico de barras visualiza la amenaza que supone el correo electrónico para cada industria.

  • Marzo 2021:

Hornetsecurity Industry Email Threat Index March 2021

  • Abril 2021:

Hornetsecurity Industry Email Threat Index April 2021

En las organizaciones la mediana global de correos electrónicos tanto de amenaza como limpios cayó del 3,7% en marzo al 3,0% en abril. Este descenso se observa en todos los sectores. Sin embargo, mientras que la industria manufacturera bajó del 5,3% al 3,9% y el resto de las industrias tuvieron una curva similar; la industria de la investigación se mantiene en el 5% de proporción de correos electrónicos de amenaza entre sus correos electrónicos recibidos tanto de amenaza como limpios.

Metodología

Las organizaciones de distinto tamaño reciben un número absoluto diferente de correos electrónicos. Por lo tanto, para comparar las organizaciones, calculamos el porcentaje de correos electrónicos amenazantes de cada organización y de los correos electrónicos limpios. A continuación, calculamos la mediana de estos valores porcentuales entre todas las organizaciones del mismo sector para obtener la puntuación final de la amenaza del sector.

Técnicas de ataque

La siguiente tabla muestra la técnica de ataque utilizada en los ataques.

Técnica de ataque %
Otro 38.4
Phishing 23.4
URL 20.8
Extorsión 9.0
Ejecutable en archivo/disco-imagen 3.4
Timo nigeriano 2.8
Suplantación de identidad 1.8
Maldoc 0.4
LNK 0.0

El siguiente histograma temporal muestra el volumen de correos electrónicos según técnica de ataque utilizada por hora.

Attack techniques

Suplantación de marcas de empresa u organizaciones

La siguiente tabla muestra las marcas de empresas que nuestros sistemas mayormente detectaron en los ataques de suplantación de identidad.

Suplantación de marca u organización %
Amazon 23.0
DocuSign 21.5
Deutsche Post / DHL 11.9
PayPal 3.4
Microsoft 2.9
LinkedIn 2.8
1&1 2.6
HSBC 2.2
Unicredit 1.6
O2 1.5
Otras Resto

El siguiente histograma temporal muestra el volumen de correo electrónico de las marcas de empresa detectadas en los ataques de suplantación de identidad por hora.

Impersonated company brands

Se trata de un flujo constante de ataques de phishing y de otro tipo que suplantan a grandes marcas para atraer a los destinatarios a abrir los correos electrónicos.

Una campaña recurrente de malspam de Hancitor domina la suplantación de la marca DocuSign.

Campañas de correo electrónico sobre amenazas destacadas

En esta sección, queremos destacar algunas campañas de malspam de actores de amenazas prominentes y conocidos.

El siguiente histograma de tiempo muestra el volumen de correo electrónico por hora para una lista de campañas de correo electrónico de amenazas destacadas.

Highlighted threat email campaigns

Hay que tener en cuenta que no se incluyen todas las campañas. Por tanto, la clasificación, así como las cifras de volumen, no deben tomarse como una clasificación global. Nos esforzaremos por ampliar esta sección de nuestros informes en el futuro.

Podemos ver que las oleadas de malspam de las campañas seleccionadas tienen puntos de inicio y finalización bien definidos, a diferencia de las campañas de correo electrónico de spam masivo menos sofisticadas, que enviarán correos electrónicos bajo un flujo constante.

Como ha sido resaltado anteriormente en la sección de suplantación de marcas de empresa u organizaciones la campaña recurrente de malspam de Hancitor se hace pasar por documentos enviados a través de DocuSign. Los picos de la campaña se corresponden con los picos anteriores de detecciones de suplantación de DocuSign.

Una de las campañas mostradas destaca no por su volumen, sino por su baja tasa de detección por parte de otras soluciones de seguridad. La red de bots Cutwail-A actualizó sus maldocs XLSM. Esta vez distribuía Ursnif.

Cutwail-A email

En el momento de la entrega, los maldocs de la campaña sólo fueron detectados por 3 de 62 detecciones en VirusTotal.

XLSM distributing Ursnif via malspam from Cutwail-A botnet low detection

Somos conscientes de que la detección de VirusTotal no representa la detección dinámica real de los productos de seguridad listados. Sin embargo, debido a que la campaña ya fue capturada por el Filtro de Spam y Malware de Hornetsecurity utilizando firmas de detección estática, es una comparación de manzanas-a-manzanas y describe las capacidades de detección de Hornetsecurity cuando se trata de la detección de amenazas de correo electrónico.

Metodología

Hornetsecurity ha observado cientos y miles de campañas de correo electrónico de diferentes actores de amenazas que van desde ataques poco sofisticados y de bajo esfuerzo hasta esquemas de ataque ofuscados muy complejos. Nuestro análisis incluye solo las principales campañas de correo electrónico de amenazas sofisticadas.

Ransomleaks

Los actores de las amenazas siguen filtrando datos robados a las víctimas de ransomware para presionarlas a pagar no sólo por descifrar los archivos cifrados por el ransomware, sino también por no hacer públicos los datos robados antes del cifrado. Hemos observado el siguiente número de filtraciones en sitios de filtración de ransomware:

Sitio de filtración Número de fugas de datos de las víctimas
Conti 41
Avaddon 40
REvil 33
Darkside 19
Babuk 17
Ragnarok 12
Astro Team 10
Cl0p 9
Everest 5
RansomEXX 2
Nephilim 1
RagnarLocker 1

El siguiente gráfico de barras visualiza el número de fugas de datos de víctimas por sitio de fuga.

Ransomleaks

Este mes, el grupo de ransomware Darkside ha anunciado que pone a la venta información privilegiada. Los vendedores a corto plazo podrían comprar información sobre las empresas comprometidas por el ransomware Darkside antes de su publicación en el sitio de filtraciones Darkside.

Darkside offering insider trading information for sale

Tras el anuncio, Darkside comenzó a etiquetar a sus víctimas publicadas con sus respectivos tickers de acciones.

Darkside tagging victims with their stock ticker

Además, este mes el ransomware Babuk anunció el cierre de su operación de ransomware.

Babuk ransomware press release announcing closing

Sin embargo, sólo unos días después, aclararon que sólo cerrarían la parte de su operación relacionada con el ransomware. Seguirán robando datos de las víctimas y extorsionándolas con la publicación de los datos robados.

Conclusión

Esperamos que la segunda entrega de nuestra revisión mensual de las amenazas del correo electrónico te haya resultado informativa. Regresa el mes que viene para que veas información más actualizada sobre el panorama de las amenazas del correo electrónico.

Referencias

Ransomware: precios, presión y protección

Ransomware: precios, presión y protección

Resumen

El ransomware es la forma más sencilla de monetizar las intrusiones informáticas y es, por tanto, el mayor riesgo cibernético para las empresas hoy en día. En el siguiente blog se analizan los precios del ransomware, la presión que los actores de la amenaza ejercen sobre las víctimas y cómo las empresas pueden proteger sus activos.

Importe de los rescates

Para estimar la cantidad de rescate que se pide actualmente, analizamos muestras de ransomware disponibles en fuentes OSINT. Se trata de muestras subidas a varios servicios en línea, como los servicios de escaneo antivirus en línea o los servicios de sandbox de análisis de malware, y así compartirlas con la comunidad de investigadores del área.

Hemos observado peticiones de rescate que van desde los 100 dólares hasta los 10.000.000 dólares americanos.

La petición de rescate más alta que observamos fue de 10.000.000 de US dólares. El ransomware Clop lo ameritaba.

Clop US $ 10M ransom demand

 

Mientras preparábamos este blog, la información pública sobre una demanda de rescate de 50.000.000 US dólares ha superado nuestra demanda máxima observada. Es esencial entender por qué existe un rango tan enorme en la petición de rescate. Por lo tanto, hablaremos de la volatilidad del importe del rescate en la siguiente sección.

Volatilidad del importe del rescate

La demanda de rescates se ajusta en función de varios factores. Uno de ellos es la victimología, es decir, los actores de la amenaza exigen un rescate más elevado a las grandes empresas que a un usuario particular de algún ordenador.

Como caso de estudio, podemos echar un vistazo a la primera campaña del ransomware Avaddon. Se propagó a través de malspam enviado por la red de bots Phorpiex. Hornetsecurity informó sobre esta campaña.1 La red de bots Phorpiex suele enviar spam de tipo Sextortion y otras amenazas de baja calidad. El rescate exigido por Avaddon en ese momento era de sólo 500 US dólares. El despliegue del ransomware era totalmente automático, es decir, una vez que la víctima ejecutaba el ransomware desde el archivo adjunto del correo electrónico, éste comenzaba a cifrar el ordenador de la víctima. Los actores de amenazas de mayor calidad se dirigen específicamente a las grandes empresas y utilizan la infección inicial para el reconocimiento. Después de haber mapeado la red de la empresa e identificado todos los activos, inician el ransomware en muchos de los sistemas informáticos de la empresa simultáneamente. De este modo, pueden exigir un mayor rescate, ya que restaurar toda la infraestructura informática de la empresa a partir de copias de seguridad es mucho más difícil que restaurar un solo ordenador cifrado.

Durante nuestra investigación encontramos una muestra reciente del ransomware Avaddon con una petición de rescate de 3.000.000 US dólares. Esto es mucho más alto que la demanda anterior de Avaddon de sólo 500 US dólares.

 

Avaddon ransomware US $3M ransom demand

 

La demanda anterior está dirigida a una gran empresa, y esto es lo que impulsa la diferencia en la demanda de rescate. Los actores de la amenaza ajustarán el rescate a lo que crean que puedan conseguir. Por lo tanto, no hay cifras claras cuando se trata de peticiones de rescate. A veces, los actores de las amenazas de ransomware incluso analizan los documentos financieros encontrados en la red interna de una empresa para descubrir cuánto rescate pueden pedir o cuánto pagará la cobertura del ciberseguro de la empresa para el ransomware.

Negociación

En caso de mayor Tier, las cantidades exigidas por ransomware suelen ser simplemente precios tentativos y son la base de la negociación. Los operadores de ransomware saben que aunque sea obtener sólo una fracción de lo que piden, es mejor que no obtener nada. De ahí que estén dispuestos a negociar.

Los precios del ransomware automatizado más pequeño son en su mayoría fijos, y si la operación de ransomware ofrece «apoyo» en absoluto, sólo se proporciona para ayudar a las víctimas a obtener la criptomoneda necesaria para pagar el rescate. A continuación se muestran los registros de chat con el «soporte» del ransomware Adhubllka (llamado así por la extensión .adhubllka que añade a los archivos cifrados). El ejecutable del ransomware se adjuntó al correo electrónico dentro de un archivo ZIP y se distribuyó a través de la red de bots Phorpiex en un ataque de ransomware poco sofisticado pero totalmente automatizado, de forma idéntica a la primera campaña de ransomware Avaddon de la que informamos.1

Adhubllka ransomware offers no negotiation

 

Por lo tanto, aunque hay un «soporte» humano incluso en las operaciones de ransomware automatizadas de bajo nivel de Tier, este «soporte» no se negocia. Rastreamos las ganancias totales de su campaña, que fueron de 0 BTC, por lo que ceder a nuestras falsas demandas de descuento les habría hecho ganar potencialmente 1.000 US dólares. Pero como hemos dicho, las operaciones de ransomware automatizadas de bajo nivel de Tier no suelen ofrecer negociaciones.

Presionando a las víctimas del ransomware

Algunos operadores de ransomware ofrecen «servicios» adicionales. Se trata de acciones destinadas a presionar a las víctimas para que paguen el rescate exigido.

Leaksites

Los leaksites de ransomware son sitios web de servicios ocultos de Tor en los que los actores de ransomware amenazan con publicar los datos robados de las redes informáticas de las víctimas antes de cifrarlos si la víctima se niega a pagar el rescate. Ya hemos informado sobre esta práctica.2

DDoS

Los actores del ransomware también pueden, además del problema ya existente de los archivos cifrados, realizar ataques DDoS a la red de la víctima. Un ransomware que lo hace es SunCrypt.

Suncrypt DDOS

 

Acoso a los clientes y/o socios comerciales de la víctima

Otra táctica es la de «notificar» a los clientes y/o socios comerciales de la víctima de la situación. Esto puede ocurrir a través de correos electrónicos de spam; por ejemplo, los actores de la amenaza detrás del ransomware Clop utilizan esta táctica en el siguiente mensaje:

 

Clop email to victim customers and/or business partners

 

Envío de spam a periodistas y medios de comunicación

Los actores del ransomware también «notifican» a los periodistas y a los medios de comunicación de la violación de datos con instrucciones sobre dónde descargar los datos filtrados. Aquí tenemos de nuevo un ejemplo del ransomware Clop utilizando esta táctica.

 

Clop email to journalists and news outlets

 

Notificación a las autoridades

Algunas operaciones de ransomware también amenazan con informar a las autoridades responsables de la protección de datos sobre la violación, si la víctima no paga el rescate. A menudo citan el GDPR de la UE y las posibles multas que las autoridades pueden recibir por la filtración de datos.

Precios del ransomware

El costo que supone para el atacante la adquisición de software de ransomware varía. Un atacante puede desarrollar su propio ransomware. Esto sólo supondrá el tiempo de desarrollo como costo. Sin embargo, muchos delincuentes son técnicamente incapaces de desarrollar malware por sí mismos o les supone demasiado trabajo adicional. Como alternativa, pueden comprar, alquilar, suscribir y/o asociarse con un desarrollador y/o operador de ransomware. Para ello, el desarrollador de ransomware puede vender todo el código fuente de su software de ransomware por un pago único. Sin embargo, esto no suele ser atractivo debido a los grandes pagos de rescate que se generan con dicho software de ransomware. Pero exigir decenas o incluso cientos de miles de dólares por el software de ransomware puede no conseguir que se venda el software, ya que el pago del rescate no está garantizado.

Para resolver esto, se establecieron operaciones de ransomware como servicio (RaaS). Un atacante con acceso o medios para acceder a las redes de la empresa puede alquilar, suscribir y/o asociarse con una operación de ransomware. El atacante obtiene el software de ransomware listo para ser desplegado en los sistemas informáticos de las víctimas. En cambio, el operador de ransomware proporciona el software de ransomware y -si está disponible y/o es necesario- la infraestructura de backend para el ransomware, como un portal de ransomware en línea para ayudar a las víctimas a comprar y utilizar el software de descifrado.

Al igual que el rescate exigido, el precio del ransomware varía. El precio de entrada puede ser tan bajo como cientos de dólares americanos, como se puede ver en el siguiente ejemplo de ofertas del ransomware Egalyty.

Egalyty ransomware offering

 

Los esquemas de afiliación con reparto de beneficios dividirán el rescate pagado entre la parte que suministra el ransomware y la que facilita la intrusión. Además, en este caso, la proporción de reparto varía mucho. Aunque hemos visto avisos en foros de ciberdelincuencia en los que se ofrece el 90% del rescate a la parte intrusa, esto no suele ser la norma.

 

Cheap ransomware affiliate program offering

La proporción habitual de los programas de afiliación de ransomware bien establecidos sólo concede entre el 10% y el 30% del rescate a la parte intrusa.

 

Conclusión y contramedidas

Estos nuevos avances en las tácticas del ransomware hacen que las infecciones de malware sean más peligrosas que nunca para las empresas. Aunque unas buenas copias de seguridad, preferiblemente utilizando la estrategia de copia de seguridad 3-2-1,3 ayudaron contra los ataques clásicos de ransomware, no proporcionan ninguna protección contra los datos privados y/o confidenciales que se filtran intencionadamente al público. El anuncio derivado de la filtración de datos a los socios comerciales y a los clientes causará más daño y pérdida de reputación a las víctimas, a los socios comerciales y a los clientes. Y lo que es peor, los competidores también tendrán acceso sin restricciones a documentos internos, como contratos, precios, resultados de investigación y desarrollo. Los medios de comunicación empezarán a ponerse en contacto con la empresa afectada, provocando más tensión en plena crisis del ransomware. Además, supongamos que la red sufre un ataque DDoS. Sería difícil recuperarse de esa situación, ya que esto probablemente afectará a cualquier infraestructura de red restante que la empresa pueda tener para transmitir información, como su página web pública.

A continuación, no subas a Internet el ransomware que te ha infectado. Aunque los servicios en línea como VirusTotal u otras cajas de arena en línea son convenientes, conceden a los usuarios registrados acceso a la muestra. La URL de la nota del ransomware puede apuntar a un sitio web de «soporte» que ofrece un chat en línea para la negociación. Estos chats en línea son accesibles para cualquier persona con acceso a los datos de la nota de rescate, por lo tanto, todo el mundo con acceso a la muestra de ransomware. Así que si además de todos los otros problemas, no quieres que los medios de comunicación filtren los registros del chat de negociación, mantén tus muestras de ransomware en privado. O sigue las buenas prácticas y no negocies, pero comparte la muestra de ransomware con la comunidad de investigadores de seguridad.

Pagar un rescate no es recomendable de todos modos:
1. La violación de los datos permanece. Incluso si una empresa paga para que se eliminen los datos filtrados, debe cumplir con sus respectivas leyes de notificación de violaciones.
2. Pagar un rescate a un atacante ubicado en un país que figura en las listas de sanciones, puede violar las leyes de sanciones comerciales y/o de exportación y causar a la víctima aún más problemas a largo plazo.
3. No hay garantía de descifrado ni de eliminación de los datos filtrados.
Una vez que los datos filtrados ya se han descargado del sitio de filtración, no hay forma de contener la filtración.

Hornetsecurity, con sus ofertas en la nube puede ayudar a las organizaciones a prepararse y prevenir el ransomware. El Spam and Malware Protection, de Hornetsecurity con las tasas de detección más altas del mercado y Advanced Threat Protection de Hornetsecurity pueden detectar y poner en cuarentena los ataques de malware basados en el correo electrónico antes de que puedan conducir a una infección de ransomware. El Email Archiving de Hornetsecurity es una solución de archivado de correo electrónico totalmente automatizada y a prueba de auditorías para el almacenamiento seguro e inalterable a largo plazo de información, datos y archivos importantes de la empresa. De esta manera, la comunicación importante no puede ser destruida por el ransomware.

Pero incluso si tu empresa se ve afectada por el ransomware, ofertas como el Email Continuity Service de Hornetsecurity mantendrán tu comunicación por correo electrónico disponible si el ransomware ha puesto tu servidor de correo local fuera de servicio.

 

Referencias