Crecen los ciberataques contra infraestructuras críticas y ciudadanos

  • Endpoint

Los ataques Living off the Land (LotL) explotaron Excel y otras herramientas para atacar con éxito a líderes políticos y ejecutivos de alto rango. El malware fue la técnica utilizada con mayor frecuencia, con el 46% del total de incidentes, y los ataques a las personas aumentaron un 73%.

Trellix ha publicado su Informe Threat Labs: abril de 2022, que examina el comportamiento de los ciberdelincuentes durante los últimos seis meses. Los hallazgos clave del informe incluyen que los consumidores individuales son el objetivo número uno de los ciberdelincuentes, seguidos de cerca por el sector de atención médica. Además, las industrias de transporte, logística, fabricación y tecnología de la información mostraron un fuerte aumento de amenazas.

El cuarto trimestre de 2021 vio un aumento de la ciberactividad dirigida a sectores esenciales para el funcionamiento de la sociedad. Transporte y logística fueron el objetivo del 27% de todas las amenazas persistentes avanzadas (APT), mientras que sanidad fue el segundo sector más atacado, con el 12% del total de detecciones. A principios de este mes, Trellix publicó un Informe que revela que muchos proveedores de infraestructura crítica no han implementado las mejores prácticas de ciberseguridad a pesar de las infracciones de alto perfil.

Por otro lado, Trellix Threat Labs ha estado investigando el malware wiper y otras ciberamenazas dirigidas a Ucrania. El análisis del malware Whispergate y HermeticWiper utilizado antes y durante la invasión de Ucrania detalla las similitudes y diferencias de las dos cepas utilizadas para desestabilizar los sistemas de TI ucranianos al destruir las comunicaciones dentro del país. Entre los actores de amenazas que apuntan a Ucrania están Actinium APT, Gamaredon APT, Nobelium APT (también conocido como APT29), UAC-0056 y Shuckworm APT. De toda la actividad de APT que Trellix observó en el cuarto trimestre de 2021, APT29 representó el 30% de las detecciones.

El informe señala el uso continuado de los métodos Living off the Land (LotL), en los que los delincuentes usan el software existente y los controles nativos de un dispositivo para ejecutar un ataque. Trellix Threat Labs descubrió recientemente técnicas de LotL implementadas por DarkHotel, un grupo APT de Corea del Sur, utilizando archivos de Excel para infiltrarse con éxito en hoteles de lujo y recopilar información sobre invitados destacados que viajan por trabajo y conferencias.

A principios de este año, Trellix Threat Labs también identificó un ataque de espionaje de varias etapas en la oficina de un primer ministro para vigilar a funcionarios gubernamentales de alto rango y ejecutivos de negocios del sector de defensa. Esta campaña presentó el uso de OneDrive de Microsoft como servidor de comando y control (C2) y Excel para obtener acceso a los entornos de las víctimas.

Según el informe, Cobalt Strike ocupó el primer lugar entre las herramientas utilizadas por los grupos APT en el cuarto trimestre de 2021, un aumento del 95% con respecto al tercer trimestre. Los archivos o la información ofuscados, seguidos de las credenciales de los navegadores web y el descubrimiento de archivos y directorios, fueron las técnicas más observadas en el cuarto trimestre de 2021. El malware representó el 46% del total de incidentes y aumentó un 15% desde el tercer trimestre de 2021.

Finalmente, el informe encontró un aumento del 73% en los incidentes cibernéticos dirigidos a individuos, lo que posicionó a las personas como el principal sector de ataque en el cuarto trimestre de 2021. Esto incluye amenazas ejecutadas a través de las redes sociales, dispositivos móviles y otros servicios donde los consumidores almacenan datos y credenciales. Por ejemplo, en el cuarto trimestre de 2021, Facebook descubrió campañas de spyware dirigidas a usuarios de todo el mundo y otro grupo criminal aprovechó el malware Joker para apuntar a usuarios de Android en todo el mundo. Estos ataques suelen tener una motivación política para seguir las interacciones y los contactos de una persona.