Resumen general

  • Este mes hemos hecho seguimiento a la continuidad de ataques de phishing a gran escala contra los bancos alemanes que comenzó a finales del mes pasado.

Resumen

En esta edición de nuestro Email Threat Review mensual, presentamos un resumen de las amenazas por correo electrónico observadas en octubre de 2021 y las comparamos con las del mes anterior.

El reporte ofrece información sobre:

Correos electrónicos no deseados por categoría

La siguiente tabla muestra la distribución de los correos electrónicos no deseados por categoría.

Categoría del correo electrónico %
Rechazados 80.92
Spam 13.50
Amenaza 4.68
Amenaza avanzada 0.86
Contenido 0.03

El siguiente histograma temporal muestra el volumen de correos electrónicos por categoría y por día.

Unerwünschte E-Mails nach Kategorie

El gran pico de correos electrónicos no deseados, cerca del 2021-10-26, puede atribuirse a una campaña de correos electrónicos de extorsión sexual que se repite mensualmente.

Metodología

Las categorías de email listadas corresponden a las mismas listadas en el Email Live Tracking del Control Panel de Hornetsecurity. Por lo que nuestros usuarios ya están familiarizados con ellas. Para quiénes no las conocen, las categorías son:

Categoría Descripción
Spam Estos emails no son deseados y a menudo son promocionales o fraudulentos. Los emails son enviados simultáneamente a un gran número de destinatarios.
Contenido Estos correos electrónicos tienen un archivo adjunto no válido. Los administradores definen en el módulo de control de contenido qué archivos adjuntos no son válidos.
Amenaza Estos correos electrónicos tienen contenido dañino, como archivos adjuntos o enlaces maliciosos, o se envían para cometer delitos, como el phishing.
Amenaza avanzada Advanced Threat Protection ha detectado una amenaza en estos correos electrónicos. Los correos electrónicos se utilizan para fines ilegales e implican medios técnicos sofisticados que sólo se pueden rechazar mediante procedimientos dinámicos avanzados.
Rechazado Nuestro servidor de correo electrónico rechaza estos correos directamente durante el diálogo SMTP debido a características externas, como la identidad del remitente, y los correos no se analizan más.

Tipos de archivos utilizados en los ataques

La siguiente tabla muestra la distribución de los tipos de archivo utilizados en los ataques.

Tipo de archivo (utilizado en emails maliciosos) %
HTML 37.3
Archivo 25.8
PDF 13.1
Excel 7.0
Archivos de imagen de disco 5.2
Otros 4.2
Ejecutables 3.4
Word 3.3
Powerpoint 0.4
Archivo de script 0.1

Otros tipos de archivos que no aparecen en la lista individual son los archivos de correo electrónico (reenviados como archivos adjuntos .eml), los archivos de acceso directo al escritorio de Windows (.lnk), los archivos de acceso directo a Internet (.url), los archivos Java Archive (.jar), los archivos iCalendar (.ics), los archivos vCard (.vcf), los formatos de libros electrónicos (.epub, .mobi) y muchos otros formatos de archivo aún más exóticos. Estos se combinan en “Otros”.

El siguiente histograma temporal muestra el volumen de correo electrónico por tipo de archivo utilizado en los ataques durante 7 días.

Bei Angriffen verwendete Dateitypen

Índice de amenaza del correo electrónico por industria

La siguiente tabla muestra nuestro índice de amenaza por correo electrónico por sector, calculado en base al número de correos electrónicos maliciosos en comparación con los correos electrónicos limpios recibidos según cada industria (mediana).

Industrias Porcentaje de amenazas en los correos electrónicos maliciosos y limpios
Sector educativo 5.6
Sector sanitario 5.6
Industria manufacturera 5.5
Industria de la investigación 5.4
Industria del automóvil 4.8
Industria de los medios de comunicación 4.7
Industria de la construcción 4.6
Servicios públicos 4.4
Industria minera 4.1
Industria del transporte 4.0

El siguiente gráfico de barras visualiza la amenaza que supone el correo electrónico para cada industria.

Hornetsecurity Industry Email Threat Index

Metodología

Las organizaciones de distinto tamaño reciben un número absoluto de correos electrónicos diferente. Por lo tanto, calculamos el porcentaje de correos electrónicos amenazantes de cada organización y los correos electrónicos limpios para compararlas entre sí. A continuación, calculamos la mediana de estos valores porcentuales para todas las organizaciones del mismo sector de forma de obtener la puntuación final de amenaza del sector.

Marcas de empresa y organizaciones suplantadas

La siguiente tabla muestra las marcas y organizaciones de empresas mayormente detectadas por nuestros sistemas, en los ataques de suplantación de identidad.

Marca u organización suplantada %
Sparkasse 47.4
Volks- und Raiffeisenbank 17.7
Otros 6.9
Deutsche Post / DHL 5.8
Amazon 5.4
DocuSign 4.4
PayPal 2.4
UPS 2.1
LinkedIn 1.5
Fedex 1.5

El siguiente histograma muestra el volumen de correos electrónicos de marcas de empresas y organizaciones detectadas en ataques de suplantación de identidad por hora.

Imitierte Firmenmarken oder Organisationen

Aquí vemos la suplantación continua de dos asociaciones bancarias alemanas para difundir el phishing.

Ransomleaks

Los actores de las amenazas siguen filtrando datos robados a las víctimas de ransomware para presionarlas a pagar por descifrar los archivos y no publicar datos sensibles. Nuestra supervisión automatizada observó el siguiente número de filtraciones en sitios de filtración de ransomware (no protegidos por CAPTCHAS):

Leak-Seite Anzahl der Opfer
Conti 65
Blackmatter 44
Pysa 27
Hive 8
Cuba 7
LV 6
REvil 4
Vice Society 4
Everest 3
Atomsilo 2
Bonaci 2
Xing Team 2
RansomEXX 1

El siguiente gráfico de barras visualiza el número de fugas de datos de víctimas por sitio de fuga.

Ransomleaks

Añadimos las siguientes páginas de fuga de ransomware a nuestra monitorización:

  • Atomsilo

Atomsilo Leak Seite

  • Blackmatter

Blackmatter Leak Seite

  • Bonaci

Bonaci Leak Seite

El 2021-10-04, Europol anunció dos detenciones y siete registros de propiedades en Ucrania en relación con una banda de ransomware. Europol no dio el nombre de la banda de ransomware.1

El 2021-10-26, Europol anunció la adopción de medidas contra 12 delincuentes implicados en el ransomware LockerGoga, MegaCortex y Dharma, entre otros.2

El 2021-10-29, el Departamento de Justicia de los Estados Unidos anunció la extradición de un ciudadano ruso de Corea del Sur a los Estados Unidos por su presunta participación en el desarrollo y despliegue del malware Trickbot.3

Referencias