Las principales ciberamenazas en el primer trimestre fueron los archivos adjuntos al correo electrónico

HP ha publicado su informe trimestral, HP Wolf Security Threat Insights, que muestra que los ciberdelincuentes están recurriendo a redireccionamientos abiertos, facturas vencidas y técnicas LotL (“Living-off-the-Land”) para eludir la protección. El informe proporciona un análisis de los ciberataques del mundo real, ayudando a las organizaciones a mantenerse al día con las últimas técnicas que los ciberdelincuentes utilizan para evadir la detección y vulnerar los ordenadores en el cambiante panorama de la ciberdelincuencia.

Basándose en los datos de millones de endpoints que ejecutan HP Wolf Security, entre las campañas más destacadas identificadas por los investigadores de amenazas de HP se incluyen:

• Los atacantes utilizan redireccionamientos abiertos para engañar a los usuarios: en una campaña avanzada de WikiLoader, los atacantes explotaron vulnerabilidades de redireccionamiento abierto en sitios web para evitar la detección. Los usuarios eran redirigidos a sitios de confianza, a menudo a través de vulnerabilidades de redireccionamiento abierto en incrustaciones de anuncios. A continuación, eran redirigidos a sitios web maliciosos, lo que hacía casi imposible que los usuarios detectaran el cambio.
• Vivir fuera del BITS: varias campañas abusaron del servicio de transferencia inteligente en segundo plano (BITS) de Windows, un mecanismo legítimo utilizado por programadores y administradores de sistemas para descargar o subir archivos a servidores web y archivos compartidos. Esta técnica de LotL ayudó a los atacantes a pasar desapercibidos utilizando BITS para descargar los archivos maliciosos.
• Facturas falsas que conducen a ataques de contrabando HTML: HP identificó actores de amenazas que ocultaban malware dentro de archivos HTML que se hacían pasar por facturas de entrega y que, una vez abiertos en un navegador web, desencadenaban una cadena de eventos que desplegaban malware de código abierto, AsyncRAT. Curiosamente, los atacantes prestaron poca atención al diseño del señuelo, lo que sugiere que el ataque se creó con una pequeña inversión de tiempo y recursos.

Patrick Schläpfer, investigador principal de amenazas del equipo de investigación de amenazas de HP Wolf Security, ha resaltado: «Dirigirse a las empresas con señuelos de facturas es uno de los trucos más antiguos, pero todavía puede ser muy eficaz y, por tanto, lucrativo. Los empleados que trabajan en departamentos financieros están acostumbrados a recibir facturas por correo electrónico, por lo que es más probable que las abran. Si tienen éxito, los atacantes pueden monetizar rápidamente su acceso vendiéndolo a intermediarios cibercriminales, o desplegando ransomware«.

Al aislar las amenazas que han eludido las herramientas basadas en la detección -pero permitiendo que el malware se active de forma segura-, HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes. Hasta la fecha, los clientes de HP Wolf Security han hecho clic en más de 40.000 millones de adjuntos de correo electrónico, páginas web y archivos descargados sin que se haya informado de ninguna infracción.

El informe detalla cómo los ciberdelincuentes siguen diversificando los métodos de ataque para eludir las políticas de seguridad y las herramientas de detección. Otras conclusiones son:

• Al menos el 12% de las amenazas de correo electrónico identificadas por HP Sure Click eludieron uno o más escáneres de gateway de correo electrónico.
• Los principales vectores de amenaza en el primer trimestre fueron los archivos adjuntos al correo electrónico (53%), las descargas desde navegadores (25%) y otros vectores de infección, como el almacenamiento extraíble -como las memorias USB- y los archivos compartidos (22%).
• Este trimestre, al menos el 65% de las amenazas de documentos se basaban en un exploit para ejecutar código, en lugar de macros.

Carlos Manero, responsable de servicios digitales y seguridad de HP ha comentado: “Las técnicas de ‘Living-off-the-Land’ ponen de manifiesto los fallos fundamentales de confiar únicamente en la detección. Dado que los atacantes utilizan herramientas legítimas, es difícil detectar las amenazas sin arrojar una gran cantidad de falsos positivos perjudiciales. La contención de amenazas proporciona protección incluso cuando falla la detección, impidiendo que el malware filtre o destruya los datos o las credenciales de los usuarios y evitando la persistencia de los atacantes. Por eso, las organizaciones deben adoptar un enfoque de defensa en profundidad de la seguridad, aislando y conteniendo las actividades de alto riesgo para reducir su superficie de ataque«.

HP Wolf Security ejecuta las tareas de riesgo en máquinas virtuales desechables aisladas y reforzadas por hardware que se ejecutan en el endpoint para proteger a los usuarios, sin afectar a su productividad. También captura rastros detallados de los intentos de infección. La tecnología de aislamiento de aplicaciones de HP mitiga las amenazas que escapan a otras herramientas de seguridad y proporciona información única sobre las técnicas de intrusión y el comportamiento de los actores de amenazas.