La botnet Emotet es responsable del 61% de las cargas maliciosas
- Endpoint
La popularidad de Emotet se refleja en el continuo incremento de ataques con URLs maliciosas. Los troyanos bancarios han constituido solo un 21% de los ataques por correo electrónico, siendo los sectores de ingeniería, automoción y educación los objetivos principales.
Proofpoint ha publicado su informe sobre amenazas durante el primer trimestre de 2019, un período que ha estado marcado por la prevalencia de Emotet. La compañía ha detectado que el 61% de las cargas maliciosas en este periodo han sido impulsadas por el distribuidor de la red de la botnet, desbancando en gran medida a ladrones de credenciales, descargadores independientes y herramientas de control remoto (RAT) en el escenario general de amenazas.
La popularidad de Emotet se refleja en el continuo incremento de ataques con URLs maliciosas, frente a aquellos que contienen archivos adjuntos maliciosos. Según Proofpoint, los emails fraudulentos con enlaces de este tipo superaban en número a los de archivos adjuntos en una proporción de aproximadamente cinco a uno, un 180% más en comparación con el mismo periodo de 2018.
El informe señala asimismo que los troyanos bancarios han constituido solo un 21% de las cargas maliciosas por correo electrónico durante el primer trimestre del año, siendo los principales IcedID, The Trick, Qbot y Ursnif. En cuanto al ransomware, sin contar las campañas de menor tamaño de Gandcrab, esta amenaza ha estado ausente de manera virtual a principios de 2019, ya que el 82% de las cargas maliciosas ha correspondido a Emotet o bancarios.
El concepto "pago" ha sido uno de los más incluidos en mails fraudulentos, hasta llegar a los seis puntos porcentuales respecto al trimestre anterior. Las organizaciones objetivo han tenido una media de 47 ataques de este tipo, unas cifras algo inferiores respecto a los máximos históricos del último trimestre de 2018, lo que puede deberse a una mayor selección de los objetivos de ataque y a variaciones estacionales. Los sectores de ingeniería, automoción y educación han sido los objetivos principales de los ataques por correo electrónico.
Respecto a los ataques basados en web, las muestras de Coinhive han repuntado a finales de enero a 4,9 veces la media semanal del trimestre. Tras el cierre de Coinhive, otros han llenado este vacío en minería ilícita de criptomonedas, ya que los actores de amenazas siguen operando en este entorno pese a la continua volatilidad del mercado.
Por su parte, los ataques de ingeniería social a través de webs comprometidas y publicidad maliciosa han estado por debajo de los niveles del cuarto trimestre de 2018, en torno a un 50%, lo cual puede ser un indicativo de estacionalidad. A pesar de ello, la actividad seguía siendo 16 veces superior al mismo trimestre de 2018.
Sobre los fraudes con dominios, el informe indica que más del triple de dominios fraudulentos contaban con un certificado SSL, al igual que los dominios legítimos, lo que proporciona una falta sensación de seguridad a los usuarios cuando se encuentran con estos dominios online y en casos de ataques por correo electrónico. Durante el trimestre, la proporción de dominios identificados como potencialmente fraudulentos que se resolvían en una dirección IP ha sido 26 puntos porcentuales superior a la de todos los dominios en la web. La proporción de respuestas HTTP generadas ha sido 43 puntos porcentuales superior a la de todos los dominios.
