Cibercriminales, grupos patrocinados por el estado que intensifican los ataques que explotan la pandemia de COVID-19


Los investigadores de IntSights encuestaron el panorama de amenazas cibernéticas y encontraron una amplia variedad de señuelos de phishing con temática de coronavirus, infecciones de malware, intrusiones de red, estafas y campañas de desinformación.

No existe un terreno sagrado cuando se trata de piratería y eso se ha vuelto cada vez más evidente desde el brote de coronavirus en todo el mundo. Casi inmediatamente en enero, los ciberdelincuentes comenzaron a explotar la crisis a través de una variedad de estafas con temática de coronavirus, y estos esfuerzos solo han crecido en amplitud y sofisticación desde entonces.

Un nuevo informe de la firma de seguridad cibernética IntSights por el analista de amenazas cibernéticas Charity Wright y el jefe de seguridad Etay Maor explora la charla en la world wide web oscura relacionada con COVID-19 y las iniciativas patrocinadas por el estado que han tomado forma desde que la pandemia sacudió el mundo.

Desde enero, los dos expertos en seguridad cibernética han observado cómo los ciberdelincuentes, los grupos de ransomware y varios actores estatales se involucraron rápidamente en ataques con temática de coronavirus, aprovechando los temores sobre el virus para robar dinero e información de miles de personas.

«Cada vez que hay un evento importante, hay ataques de phishing, hay malware y diferentes grupos quieren aprovechar la situación», dijo Maor en una entrevista. «Ves todas estas estafas y engaños, pero luego ves lo rápido que pasó del phishing al malware, como el malware del mapa de coronavirus. Y de repente tienes otros grupos entrando en escena».

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

En su búsqueda inicial a través de la charla cibercriminal, encontraron docenas de estafas para diferentes desinfectantes de manos y máscaras faciales falsas, así como personas que vendían su propia sangre como posibles curas para el virus.

Un hecho clave observado en el informe fue el asombroso aumento en los sitios internet con temática de coronavirus. En 2019, había 119 dominios registrados con coronavirus, y solo en enero, aumentó a 1,400. Para el último día de marzo, alcanzó más de 78,000 dominios en solo un mes. Si bien no todos estos sitios web eran phishing o maliciosos, la avalancha de nuevos sitios web y aplicaciones que inundaban Web ha permitido que los ciberdelincuentes y algunos actores estatales se cuelen para atrapar a los internautas desprevenidos.

«Google y Android realmente no funcionan tan bien al filtrar aplicaciones maliciosas, y hemos visto un gran aumento en la cantidad de aplicaciones móviles que se encuentran en las tiendas relacionadas con el coronavirus», dijo Wright. «Un mapa falso de coronavirus de cómo se está propagando o algún tipo de aplicación relacionada con la atención médica que alega dar consejos sobre el seguimiento de ubicaciones y cosas por el estilo. En este momento hay muchas aplicaciones maliciosas en las tiendas de aplicaciones».

Wright y Maor dijeron que las tiendas de aplicaciones ahora están cargadas de adware, malware, adware y otras aplicaciones maliciosas que roban información y que también hacen una variedad de afirmaciones falsas para atraerlo, desde la capacidad de encontrar personas infectadas cerca de usted hasta vendedores dudosos. Consejo médico.

Pero los ciberdelincuentes también han expandido los ataques para aprovechar el hecho de que la mayoría de los países están en cuarentena, obligando a millones a trabajar ahora desde sus hogares.

«Una de las cosas más interesantes para mí en el informe fue cuando decidimos ver de qué hablan los delincuentes cuando se trata de aplicaciones de trabajo remoto. Observamos la charla y los CVE de 2017 o 2018 tuvieron cero charla, y luego todos repentinamente en enero se dispara. En enero, febrero y marzo, las cosas alrededor de Zoom y Webex de repente vieron mucho interés «, dijo Maor.

«Realmente están buscando cómo aprovechar la fuerza laboral en casa. Todos esperan phishing, pero ahora todos usan Zoom, Webex, Teams y Hangouts. Los atacantes realmente están investigando cómo pueden usar eso para diferentes ataques. Ahora se ha convertido en la charla del día sobre los problemas con Zoom, cómo mantenemos segura nuestra información y cuán vulnerable es «.

VER: Lista de verificación de respuesta de malware (TechRepublic Premium)

Además de la discusión en sitios cibercriminales sobre cómo explotar herramientas de trabajo remotas, grupos patrocinados por el estado de Corea del Norte, Rusia, China, Pakistán y otras naciones también están buscando formas de aprovechar la situación, según Wright y Maor.

La prensa ha documentado bien los problemas de seguridad con las herramientas en el lugar de trabajo, pero el problema solo empeorará a medida que los actores criminales en línea tengan más tiempo para expandir sus esfuerzos y encontrar más vulnerabilidades con herramientas ampliamente utilizadas como Zoom, Slack y otras.

Muchos actores maliciosos saben que la seguridad es más laxa cuando las personas están en casa y lejos de los equipos de TI de la empresa o los perímetros de seguridad, lo que los convierte en objetivos fáciles para ataques bastante simples.

Mientras que algunos cuestionarían por qué los grupos patrocinados por el estado estarían atacando a otros países en un momento en que todo el mundo está luchando por contener el virus, Wright dijo que no había tácticas consideradas fuera de los límites cuando se trata de ataques digitales.

«Desde el punto de vista patrocinado por el estado, esto es suitable para ellos. Los malos, ya sean ciberdelincuentes o trabajen para un gobierno o un ejército, están buscando la forma más fácil de obtener acceso a la crimson y obtener la información que necesitan de sus adversarios. Si eso significa usar el coronavirus y este pandmeico como señuelo, y ese es el punto de entrada más fácil, definitivamente es lo que van a hacer «, dijo Wright, quien pasó años trabajando para la NSA como operativo ofensivo chino. .

«Cuando se trata de ciberespionaje y amenazas, es más possible que usen tácticas como usar una vulnerabilidad de Zoom o una vulnerabilidad de Webex para obtener acceso a ese dispositivo en normal para que puedan recopilar algún tipo de información valiosa. Si supieran eso uno de mis clientes es un fabricante de automóviles muy grande, entonces intentarán pasar de mí a la purple de ese cliente utilizando un correo electrónico de phishing o algún tipo de intrusión como esa. Solo lo están utilizando como una herramienta para tener acceso a lo que necesitan «.

Según Wright, también ha habido un aumento en la desinformación patrocinada por el estado relacionada con el coronavirus, con algunos actores estatales que intentan promover la división y la desconfianza en instituciones como la prensa libre, los grupos de la sociedad civil y las organizaciones no gubernamentales.

Uno de los temas principales del informe es cómo los ciberdelincuentes y los grupos patrocinados por el estado han utilizado la pandemia de coronavirus para adaptarse a sus objetivos reales, ya sea robar información, dinero o sembrar la división.

Tanto Wright como Maor dijeron que todos deben asegurarse de que todos sus dispositivos estén parcheados y, en normal, tengan cuidado de hacer clic en cualquier cosa relacionada con el coronavirus a menos que provenga de un medio de comunicación aprobado o una fuente gubernamental.

Para aquellos que trabajan desde casa, permanecer en VPN es vital, agregaron ambos investigadores. Señalaron que muchas personas pueden encontrar que las conexiones VPN son lentas o engorrosas y deciden optar por no participar en ellas, pero al acceder a la información comercial, period importante que las personas usaran siempre conexiones seguras.

«Tenemos que tener en cuenta que no hay lugar como el trabajo. Cuando estás en el trabajo, tienes firewalls y todo tipo de protecciones. Cuando estás en casa, es probable que tu empresa te proteja con algún tipo de protección de punto last , pero cuando estás fuera de esos muros, estás mucho más expuesto a diferentes tipos de ataques «, dijo Maor.

«Los delincuentes han estado hablando desde enero sobre cómo manipular y aprovechar Zoom, y saben que la gente está usando estas tecnologías y cometiendo errores, creando puentes lógicos y físicos entre redes, trayendo archivos desde áreas no seguras. Todo crea problemas. «.

Wright agregó que las compañías deberían hacer evaluaciones de riesgo de terceros de su red, y para las compañías más grandes, también se necesitaban controles de seguridad para cualquier proveedor o socio para asegurarse de que todas las partes de una cadena de suministro cumplieran con las pautas de seguridad.

Este tipo de evaluaciones puede verificar en la website cualquier discusión sobre vulnerabilidades que los delincuentes puedan estar mirando en relación con su empresa, agregó Wright, diciendo que las compañías pueden buscar cualquier indicador de ataque o credenciales filtradas.

Lo clave que dijeron ambos expertos es que cualquiera puede ser atacado. Maor habló extensamente sobre los ataques a enfermeras y médicos como formas en que los ciberdelincuentes pueden atacar a los hospitales, incluso en un momento en que trabajan duro para salvar vidas.

«Todos somos un objetivo. No son solo estos. Otras herramientas de colaboración serán objetivos, y cualquier forma de colaboración debe estar bajo escrutinio. Preste atención porque estamos cambiando la forma en que estamos trabajando, pero no todos estamos acostumbrados a trabajar desde casa y lo que algunas de nuestras acciones pueden significar en el futuro «, dijo Maor.

«No hay tema tabú o tierra sagrada. Si pueden usarlo, lo usarán».

Ver también

Malware y concepto criminal

Imagen: iStockphoto / peshkov



Enlace a la noticia authentic