Resumen

En esta segunda entrega de nuestra revisión mensual de las amenazas del correo electrónico, presentamos un resumen de aquellos incidentes observados en abril de 2021 y lo comparamos con marzo de 2021.

El presente reporte proporciona información sobre:

Emails no deseados por categoría

La tabla a continuación muestra la distribución de correos electrónicos no deseados por categoría.

Categoría del email %
Rechazado 78.60
Spam 16.41
Amenaza 4.05
Amenaza avanzada 0.89
Contenido 0.04

El siguiente histograma temporal muestra el volumen de correos electrónicos por categoría y por hora.

Unwanted emails by category

A diferencia de marzo, en abril no hubo picos anómalos evidentes en los volúmenes de correo electrónico no deseado.

Metodología

Las categorías de email listadas corresponden a las categorías del Email Live Tracking del control panel de Hornetsecurity. Nuestros usuarios ya están familiarizados con ellas. Para otros, las categorías serían:

Category Description
Spam Estos correos electrónicos no son deseados y a menudo son promocionales o fraudulentos. Los correos electrónicos se envían simultáneamente a un gran número de destinatarios.
Contenido Estos correos electrónicos tienen un adjunto no válido. Los administradores definen en el módulo de control de contenidos qué archivos adjuntos no son válidos.
Amenaza Estos correos electrónicos poseen contenidos peligrosos, como archivos adjuntos o enlaces maliciosos, o se envían para cometer delitos, como el phishing.
Amenaza avanzada Advanced Threat Protection ha detectado una amenaza en estos correos electrónicos. Los correos electrónicos se utilizan con fines ilícitos e implican medios técnicos sofisticados que sólo pueden combatirse mediante procedimientos dinámicos avanzados.
Rechazado Nuestro servidor de correo electrónico rechaza estos correos directamente durante el diálogo SMTP debido a características externas, como la identidad del remitente, y los correos no se analizan más.

Tipos de archivos usados en los ataques

La siguiente tabla muestra la distribución de los tipos de archivos utilizados en los ataques.

Tipo de archivo (usado en emails maliciosos) %
Archivo 35.6
Otro 17.6
HTML 17.3
Excel 7.6
Executable 7.0
PDF 4.8
Archivos de imagen de disco 4.6
Word 3.5
Powerpoint 1.3
Archivo script 0.5
Email 0.1
Archivo LNK 0.0

El siguiente histograma temporal muestra el volumen de correo electrónico por tipo de archivo utilizado en los ataques durante 7 días.

Filetypes used in attacks

Archivos (.zip, .rar, .gzip, .ace, .tar.gz, etc.) son más populares. El uso más frecuente de los archivos en los ataques es comprimir el ejecutable del malware y adjuntarlo directamente al correo electrónico de ataque. Esto se hace con la esperanza de que el sistema de correo electrónico objetivo no sea capaz de escanear los archivos adjuntos comprimidos. Los actores de amenazas criminales de baja calidad suelen utilizar esta técnica, ya que no requiere ninguna experiencia técnica. Otro uso de los archivos es la compresión de documentos maliciosos. Esto también se hace para reducir la detección.

Archivos HTML (.htm, .html, etc.) se utilizan para la suplantación de identidad, adjuntando el sitio web de phishing directamente al correo electrónico1 (eludiendo así los filtros de URL), redirigiendo a las víctimas a sitios web para la descarga de malware2 (de nuevo para no incluir directamente una URL clicable en el correo electrónico), o ingeniería social.

Archivos Excel (.xls, .xlsm, .xlsx, .xslb, etc.) con sus macros XLM ganaron popularidad el año pasado. A diferencia del malware de macros VBA, el malware de macros XLM es menos detectado y, por tanto, favorecido por muchos actores de amenazas.3,4 De hecho, muchos actores de amenazas utilizan el mismo generador de documentos maliciosos llamado «EtterSilent» para generar sus macro documentos XLM.

PDFs (.pdf) utiliza enlaces incrustados u otros señuelos de ingeniería social.4

Adjuntando ejecutables (.exe) directamente a los correos electrónicos es el enfoque más perezoso. Lo utilizan principalmente los actores de amenazas criminales de baja calidad.

Los archivos de imagen de disco (.iso, .img, etc.) se utilizan de forma similar a los archivos.5 Windows puede montar automáticamente los archivos de imagen de disco de forma similar a los archivos ZIP.

Índice de amenazas del correo electrónico en la industria

La siguiente tabla muestra el Top 10 de nuestro Industry Email Threat Index calculado en base al número de correos electrónicos amenazantes en comparación con los correos electrónicos limpios recibidos (en la mediana) por cada industria.

Industrias Porcentaje de amenaza en los correos electrónicos amenazados y limpios
Industria de investigación 5.0
Industria manufacturera 3.9
Media industria 3.6
Industria hospitalaria 3.6
Industria educativa 3.5
Industria de la salud 3.5
Industria automotriz 3.3
Industria del transporte 3.2
Industria minorista 3.0
Industria de la tecnología de la información 3.0

El siguiente gráfico de barras visualiza la amenaza que supone el correo electrónico para cada industria.

  • Marzo 2021:

Hornetsecurity Industry Email Threat Index March 2021

  • Abril 2021:

Hornetsecurity Industry Email Threat Index April 2021

En las organizaciones la mediana global de correos electrónicos tanto de amenaza como limpios cayó del 3,7% en marzo al 3,0% en abril. Este descenso se observa en todos los sectores. Sin embargo, mientras que la industria manufacturera bajó del 5,3% al 3,9% y el resto de las industrias tuvieron una curva similar; la industria de la investigación se mantiene en el 5% de proporción de correos electrónicos de amenaza entre sus correos electrónicos recibidos tanto de amenaza como limpios.

Metodología

Las organizaciones de distinto tamaño reciben un número absoluto diferente de correos electrónicos. Por lo tanto, para comparar las organizaciones, calculamos el porcentaje de correos electrónicos amenazantes de cada organización y de los correos electrónicos limpios. A continuación, calculamos la mediana de estos valores porcentuales entre todas las organizaciones del mismo sector para obtener la puntuación final de la amenaza del sector.

Técnicas de ataque

La siguiente tabla muestra la técnica de ataque utilizada en los ataques.

Técnica de ataque %
Otro 38.4
Phishing 23.4
URL 20.8
Extorsión 9.0
Ejecutable en archivo/disco-imagen 3.4
Timo nigeriano 2.8
Suplantación de identidad 1.8
Maldoc 0.4
LNK 0.0

El siguiente histograma temporal muestra el volumen de correos electrónicos según técnica de ataque utilizada por hora.

Attack techniques

Suplantación de marcas de empresa u organizaciones

La siguiente tabla muestra las marcas de empresas que nuestros sistemas mayormente detectaron en los ataques de suplantación de identidad.

Suplantación de marca u organización %
Amazon 23.0
DocuSign 21.5
Deutsche Post / DHL 11.9
PayPal 3.4
Microsoft 2.9
LinkedIn 2.8
1&1 2.6
HSBC 2.2
Unicredit 1.6
O2 1.5
Otras Resto

El siguiente histograma temporal muestra el volumen de correo electrónico de las marcas de empresa detectadas en los ataques de suplantación de identidad por hora.

Impersonated company brands

Se trata de un flujo constante de ataques de phishing y de otro tipo que suplantan a grandes marcas para atraer a los destinatarios a abrir los correos electrónicos.

Una campaña recurrente de malspam de Hancitor domina la suplantación de la marca DocuSign.

Campañas de correo electrónico sobre amenazas destacadas

En esta sección, queremos destacar algunas campañas de malspam de actores de amenazas prominentes y conocidos.

El siguiente histograma de tiempo muestra el volumen de correo electrónico por hora para una lista de campañas de correo electrónico de amenazas destacadas.

Highlighted threat email campaigns

Hay que tener en cuenta que no se incluyen todas las campañas. Por tanto, la clasificación, así como las cifras de volumen, no deben tomarse como una clasificación global. Nos esforzaremos por ampliar esta sección de nuestros informes en el futuro.

Podemos ver que las oleadas de malspam de las campañas seleccionadas tienen puntos de inicio y finalización bien definidos, a diferencia de las campañas de correo electrónico de spam masivo menos sofisticadas, que enviarán correos electrónicos bajo un flujo constante.

Como ha sido resaltado anteriormente en la sección de suplantación de marcas de empresa u organizaciones la campaña recurrente de malspam de Hancitor se hace pasar por documentos enviados a través de DocuSign. Los picos de la campaña se corresponden con los picos anteriores de detecciones de suplantación de DocuSign.

Una de las campañas mostradas destaca no por su volumen, sino por su baja tasa de detección por parte de otras soluciones de seguridad. La red de bots Cutwail-A actualizó sus maldocs XLSM. Esta vez distribuía Ursnif.

Cutwail-A email

En el momento de la entrega, los maldocs de la campaña sólo fueron detectados por 3 de 62 detecciones en VirusTotal.

XLSM distributing Ursnif via malspam from Cutwail-A botnet low detection

Somos conscientes de que la detección de VirusTotal no representa la detección dinámica real de los productos de seguridad listados. Sin embargo, debido a que la campaña ya fue capturada por el Filtro de Spam y Malware de Hornetsecurity utilizando firmas de detección estática, es una comparación de manzanas-a-manzanas y describe las capacidades de detección de Hornetsecurity cuando se trata de la detección de amenazas de correo electrónico.

Metodología

Hornetsecurity ha observado cientos y miles de campañas de correo electrónico de diferentes actores de amenazas que van desde ataques poco sofisticados y de bajo esfuerzo hasta esquemas de ataque ofuscados muy complejos. Nuestro análisis incluye solo las principales campañas de correo electrónico de amenazas sofisticadas.

Ransomleaks

Los actores de las amenazas siguen filtrando datos robados a las víctimas de ransomware para presionarlas a pagar no sólo por descifrar los archivos cifrados por el ransomware, sino también por no hacer públicos los datos robados antes del cifrado. Hemos observado el siguiente número de filtraciones en sitios de filtración de ransomware:

Sitio de filtración Número de fugas de datos de las víctimas
Conti 41
Avaddon 40
REvil 33
Darkside 19
Babuk 17
Ragnarok 12
Astro Team 10
Cl0p 9
Everest 5
RansomEXX 2
Nephilim 1
RagnarLocker 1

El siguiente gráfico de barras visualiza el número de fugas de datos de víctimas por sitio de fuga.

Ransomleaks

Este mes, el grupo de ransomware Darkside ha anunciado que pone a la venta información privilegiada. Los vendedores a corto plazo podrían comprar información sobre las empresas comprometidas por el ransomware Darkside antes de su publicación en el sitio de filtraciones Darkside.

Darkside offering insider trading information for sale

Tras el anuncio, Darkside comenzó a etiquetar a sus víctimas publicadas con sus respectivos tickers de acciones.

Darkside tagging victims with their stock ticker

Además, este mes el ransomware Babuk anunció el cierre de su operación de ransomware.

Babuk ransomware press release announcing closing

Sin embargo, sólo unos días después, aclararon que sólo cerrarían la parte de su operación relacionada con el ransomware. Seguirán robando datos de las víctimas y extorsionándolas con la publicación de los datos robados.

Conclusión

Esperamos que la segunda entrega de nuestra revisión mensual de las amenazas del correo electrónico te haya resultado informativa. Regresa el mes que viene para que veas información más actualizada sobre el panorama de las amenazas del correo electrónico.

Referencias