Informe de amenazas de ESET, cuarto trimestre de 2020


Una vista del panorama de amenazas del cuarto trimestre de 2020 visto por la telemetría de ESET y desde la perspectiva de los expertos en investigación y detección de amenazas de ESET

2020 fue muchas cosas (“típico” no es una de ellas), y seguro que se siente bien escribir sobre eso en tiempo pasado.

Como si realmente tratara de demostrar un punto, la pandemia tomó un nuevo impulso en el último trimestre, provocando las mayores oleadas de infecciones y más bloqueos en todo el mundo. En medio del caos, los lanzamientos de vacunas tan esperados trajeron un suspiro colectivo de alivio o, al menos, un rayo de esperanza en algún lugar de un futuro no muy lejano.

En el ciberespacio, los acontecimientos también dieron un giro dramático hacia el ultimate del año, cuando las noticias del ataque a la cadena de suministro de SolarWinds se extendieron por toda la industria. Con muchas víctimas de alto perfil, el incidente es un claro recordatorio del alcance potencial y el impacto de este tipo de ataques, que también son extremadamente difíciles de detectar y prevenir.

Si bien no todos son tan impactantes como el hack de SolarWinds, los ataques a la cadena de suministro se están convirtiendo en una tendencia importante: solo en el cuarto trimestre, ESET descubrió tantos como el sector entero vio anualmente hace unos años. Y, al ver cuánto pueden ganar los ciberdelincuentes con ellos, se espera que su número continúe creciendo en el futuro.

Sin embargo, afortunadamente, los actores de amenazas no son los únicos en la ofensiva. En octubre de 2020, ESET participó en una campaña world wide de disrupción dirigida a TrickBot, una de las redes de bots más grandes y duraderas. Gracias a los esfuerzos combinados de todos los que participaron en esta operación, TrickBot recibió un duro golpe con el 94% de sus servidores desactivados en una sola semana.

Dado que el trabajo desde casa es la nueva normalidad en muchos sectores, uno de los cambios más grandes provocados por la pandemia, el enorme crecimiento del 768% de los ataques de RDP entre el primer y el cuarto trimestre de 2020 no es una sorpresa. A medida que mejore la seguridad del trabajo remoto, se espera que el auge de este tipo de ataques disminuya, lo que ya vimos algunos signos en el cuarto trimestre. Una de las razones más apremiantes para prestar atención a la seguridad de RDP es el ransomware, comúnmente implementado a través de exploits de RDP y que representa un gran riesgo para los sectores público y privado.

En el cuarto trimestre de 2020, los ultimátums hechos por las bandas de ransomware fueron más agresivos que nunca, y los actores de amenazas exigieron probablemente las cantidades de rescate más altas hasta la fecha. Y mientras Maze, un pionero en la combinación de ataques de ransomware y la amenaza de doxing, cerró sus puertas en el cuarto trimestre, otros actores de amenazas agregaron técnicas cada vez más agresivas para aumentar la presión sobre sus víctimas. Al ver los turbulentos desarrollos en la escena del ransomware a lo largo de 2020, no hay nada que sugiera que estos ataques desenfrenados no continuarán en 2021.

El crecimiento del ransomware podría haber sido un aspect importante en la disminución del malware bancario un descenso que solo se intensificó durante el último trimestre del año. El ransomware y otras actividades maliciosas son simplemente más rentables que el malware bancario, cuyos operadores ya tienen que lidiar con el aumento de la seguridad en el sector bancario. Sin embargo, hubo una excepción a esta tendencia: el malware bancario de Android registró los niveles de detección más altos de 2020 en el cuarto trimestre, impulsado por la filtración del código fuente del troyano Cerberus.

Con la pandemia creando un terreno fértil para todo tipo de actividades maliciosas, es casi obvio que los estafadores de correo electrónico no querrían quedarse fuera. Nuestra telemetría mostró que COVID-19 se utilizó como señuelos en correos electrónicos ilícitos durante todo el 2020. El cuarto trimestre también vio un aumento en las estafas de vacunas utilizadas como señuelos, una tendencia que se espera que continúe en 2021.

En un desarrollo comparable al increase de las criptomonedas de 2017, el valor de bitcoin se disparó a fines de este año. Esto fue acompañado por un ligero aumento en las detecciones de criptomonedas, el primero desde octubre de 2018. Si las criptomonedas continúan su crecimiento, podemos esperar que el malware dirigido a criptomonedas, el phishing y las estafas se vuelvan más frecuentes.

El último trimestre de 2020 también fue rico en hallazgos de investigación, con ESET Research descubriendo una serie de ataques a la cadena de suministro: un ataque de Lazarus en Corea del Sur, un ataque a la cadena de suministro de Mongolia llamado Operación StealthyTrident y el ataque a la cadena de suministro Procedure SignSight contra una autoridad de certificación en Vietnam. Nuestros investigadores también descubrieron Crutch, una puerta trasera previamente indocumentada por Turla, y XDSpy, un grupo de APT que opera de manera encubierta al menos desde 2011.

ESET continúa contribuyendo activamente a la base de conocimientos de MITRE ATT & CK, en la que se agregaron cinco entradas de ESET en la actualización de octubre. Y, como siempre, los investigadores de ESET aprovecharon múltiples oportunidades para compartir su experiencia en varias conferencias virtuales este trimestre, hablando en Black Hat Asia, AVAR, CODE BLUE y muchos otros.

El Informe de amenazas del cuarto trimestre de 2020 ofrece no solo una descripción common del panorama de amenazas del cuarto trimestre de 2020, sino también comentarios sobre las tendencias más amplias observadas a lo largo de 2020, así como las predicciones para 2021 de los especialistas en investigación y detección de malware de ESET. Para aquellos especialmente interesados ​​en las actualizaciones de investigación de ESET, el informe también proporciona información no publicada anteriormente sobre las operaciones del grupo APT, como Operation In (ter) ception, InvisiMole, PipeMon y más.

Seguir Investigación de ESET en Twitter para obtener actualizaciones periódicas sobre las tendencias clave y las principales amenazas.





Enlace a la noticia original