Tap here to download the Cisco News Mobile App for the best Cisco Network mobile experience!

Malware 2018: Las amenazas más destacadas que Talos rastreó en el año

Malware 2018: Las amenazas más destacadas que Talos rastreó en el año
Le presentamos una mirada retrospectiva sobre el malware más prominente que descubrimos y las principales tendencias que vimos, algunas de las cuales pareciera que continuarán en 2019.
Malware 2018: Las amenazas más destacadas que Talos rastreó en el año READ FULL ARTICLE

Malware 2018: Las amenazas más destacadas que Talos rastreó en el año

January 21, 2019
  • Press Release

  • 2924

  • Save

  • Noticias Corporativas, Seguridad

Indudablemente el 2018 fue un año vertiginoso en temas de ciberseguridad. Comenzó con una explosión en febrero, cuando el Olympic Destroyer apuntó su artillería para intentar interrumpir la ceremonia de apertura de los Juegos Olímpicos de Invierno.

Y las cosas se complicaron más adelante, con los mineros de criptomonedas apareciendo en todas partes, y VPNFilter saboteando al mundo durante el verano. No hubo escasez de noticias sobre ciberseguridad en ningún momento de 2018, y Talos estuvo allí para analizarlo todo.

Le presentamos una mirada retrospectiva sobre el malware más prominente que descubrimos y las principales tendencias que vimos, algunas de las cuales pareciera que continuarán en 2019. Revise a continuación nuestro Malware Year in Review, así como una cronología de los principales ataques que Talos descubrió en el año.

Olympic Destroyer

El Olympic Destroyer malware mencionado anteriormente hizo comenzar el año (2018) con una explosión. Este ataque surgió por primera vez la noche de la Ceremonia de Apertura en Corea del Sur, eliminando temporalmente el sitio web de venta de entradas de los Juegos Olímpicos e infectando los sistemas en el estadio donde se celebraban las ceremonias. Talos identificó varias muestras de malware que indicaban que un actor malicioso esperaba interrumpir las ceremonias, ya que el malware solo contenía capacidades destructivas. En las siguientes semanas, los investigadores intentaron identificar a quién estaba detrás del ataque. Sin embargo, el malware incluía varias banderas falsas los que hizo complicar la atribución. El Olympic Destroyer regresó finalmente con una variante más adelante en el año, que hace que sea más difícil de detectar.

VPNFilter

Unos meses después, VPNFilter causó una tormenta en el mundo. Talos fue el que dio a conocer primero los detalles de este ataque. Fue en mayo. En ese momento, publicamos todos nuestros hallazgos sobre el malware en un intento de informar a los consumidores, que deberían restablecer sus enrutadores inalámbricos lo antes posible. Estimamos que VPNFilter -que podría ibgresar a los ruteadores y restringir el acceso de Internet a los usuarios- había infectado a 500,000 dispositivos en todo el mundo.

Si bien los atacantes nunca activaron VPNFilter, tenía el potencial de ser muy serio. Si no se detecta, el malware podría robar las credenciales del sitio web de los usuarios y monitorear los protocolos Modbus SCADA, e incluso podría bloquear completamente el dispositivo. La única forma de eliminar VPNFilter de su dispositivo es reiniciar completamente el dispositivo (de hecho se realizó un anuncio nacional con esta recomendación). Incluso después de nuestro informe inicial, los investigadores de Talos continuaron investigando el malware. Nuestra comprensión de VPNFilter creció, y en junio publicamos nuestros resultados actualizados. Talos descubrió que el malware infectó varios dispositivos de otros proveedores, así como un nuevo módulo de etapa 3, que le dio a todas las muestras del malware la capacidad de apagar completamente un dispositivo infectado. Pero tampoco se detuvo allí. Los atacantes finalmente añadieron siete nuevos módulos de tercera etapa  a VPNFilter, que le dio al malware capacidades aún más destructivas. Estas nuevas características permitieron a los atacantes filtrar datos, disfrazar las comunicaciones con los servidores de comando y control (C2) e incluir capacidades de túneles cifrados.

Mineros de criptomoneda

El valor de las criptomonedas se disparó desde finales de 2017 hasta principios de 2018. Los atacantes que tradicionalmente dependían de los pagos de las campañas de ransomware, vieron de repente una nueva fuente de ingresos. Con el tiempo, vimos surgir más mineros de criptomoneda, que reemplazaron al popular ransomware. Talos escribió por primera vez en enero sobre estos mineros, que desviaron el poder de las computadoras para extraer en secreto la criptomoneda, cuando vimos el surgimiento de una serie de mineros basados en encuestas. En lugar de que los atacantes buscaran obtener un gran pago de suma global, podrían recolectar dinero todos los días en forma de criptomonedas. Para el usuario, esto significaba, a veces, facturas de energía más altas si sus sistemas trabajaban horas extras y una potencia de cómputo reducido para todo lo que no implicaba la minería. Cualquier organización golpeada con estos mineros corría un riesgo aún mayor de estos efectos. Finalmente, descubrimos a "Rocke", un actor de idioma chino que se convirtió en uno de los usuarios más importantes de los mineros de criptomoneda . Rocke pasó todo el año distribuyendo y ejecutando el cifrado de malware, utilizando un variado conjunto de herramientas, incluidos los repositorios Git, los servidores de archivos Http, la eliminación de mineros mediante scripts de shell y puertas traseras de JavaScript. En ese momento, predecimos que Rocke exploraría la ingeniería social como otra forma de engañar a los usuarios para que descarguen a los mineros de criptomoneda. A lo largo del año, el valor de las criptomonedas ha disminuido considerablemente. Esto ha hecho que los mineros sean menos rentables de lo que alguna vez fueron. Sin embargo, no se puede menospreciar a los mineros de criptomoneda en ningún lugar y en ningún momento.

Malware para móviles

Más consumidores están recurriendo a los dispositivos móviles para sus necesidades diarias en lugar de los equipos de escritorio. Y a medida que cada vez más consumidores usan sus teléfonos inteligentes para hacer compras, correo electrónico y más, los atacantes pueden aprovechar a las personas que pueden no estar tan conscientes de las amenazas en línea como deberían. Esto ha abierto la puerta al malware para dispositivos móviles, que se basa en engañar a los usuarios para que permitan que las aplicaciones malintencionadas accedan a contenido que no deberían poder ver de otra manera. En algunos casos, los atacantes han adquirido la capacidad de apoderarse completamente de un dispositivo móvil, como en una pequeña campaña que descubrimos en la India en julio. En la mencionada labor, Talos descubrió 13 dispositivos infectados con el software de gestión de dispositivos móviles (MDM, por sus siglas en inglés)  que podía estar en capacidad de permitir a los atacantes agregar características maliciosas a aplicaciones legítimas, dándoles la posibilidad de filtrar información, como contactos, fotos, mensajes y ubicación. Más adelante en el año, descubrimos que esta campaña apuntó a más dispositivos de lo que inicialmente pensamos, e incluso conectamos el ataque a otro actor que tenía un historial de ataques a dispositivos Android.

Otro truco que los atacantes querían usar este año en dispositivos móviles disfrazados. En el caso de GPlayed, un ataque que descubrimos en octubre, un actor pudo engañar a los usuarios para que descargaran una aplicación maliciosa que se disfrazaba de legítima tienda de aplicaciones Google Play. Una vez instalada, la aplicación maliciosa puede cargar complementos e inyectar scripts. Finalmente, GPlayed evolucionó hasta el punto de que incluía un banking trojan que intentó robar las credenciales de inicio de sesión de los usuarios a los sitios web de servicios financieros.

MALWARE EN 2018
ENERO 

Los mineros de criptomonedas comienzan a convertirse en un jugador importante en la escena del malware. Estas campañas capitalizan la popularidad de las criptomonedas, utilizando los equipos de las víctimas para poder extraer la moneda digital.


FEBRERO

Cisco Talos descubre Olympic Destroyer, un malware que apuntó a los Juegos Olímpicos de Invierno en Corea del Sur. Los atacantes intentaron interrumpir las ceremonias de apertura sacando del aire al sitio web donde los asistentes podían imprimir sus boletos, así como los sistemas informáticos en el estadio donde se celebraban las ceremonias.


MARZO

Surgen nuevos ataques distribuyendo el conocido troyano bancario ISFB de Gozi. Los atacantes comienzan a utilizar la botnet "Dark Cloud" para dirigirse a organizaciones específicas.


ABRIL

Los atacantes enfilan sus armas contra los switches de Cisco aprovechando un mal uso del protocolo en Cisco Smart Install Client. Se creía que algunos de estos ataques eran obra de actores del estado-nación.


MAYO

- Cisco Talos revela los detalles de TeleGrab, un malware que fue detectado robando mensajes en la plataforma de mensajería instantánea segura Telegram, dirigido principalmente a hablantes de ruso y a usuarios que utilizaban la aplicación del cliente de escritorio.

- El mundo de la ciberseguridad es tomado por asalto por VPNFilter, una campaña masiva de malware que Talos descubrió con la ayuda de partners de seguridad. En un momento dado, el malware infectó a más de 500,000 dispositivos de red en todo el mundo y tenía el potencial de bloquear completamente el acceso a internet para esos usuarios.

- Los atacantes intentan aprovechar una cumbre histórica entre los EE.UU. y Corea del Norte, distribuyendo el malware NavRAT en correos electrónicos no deseados. Estos correos electrónicos decían que contenían información relacionada con las conversaciones entre el presidente de los Estados Unidos, Donald Trump, y el líder norcoreano, Kim Jong-Un.


JUNIO

Surgen nuevos detalles sobre VPNFilter. Investigaciones adicionales descubren un nuevo módulo de etapa 3, que inyecta un código malicioso en el tráfico web, así como la contaminación de dispositivos adicionales.

JULIO

- Aparece una nueva versión del descargador de Smoke Loader. Esta variante incluye complementos que intentan robar la información confidencial de la víctima, incluidas las credenciales de inicio de sesión almacenadas o información transferida a través de un navegador web.

- Cisco Talos descubre una campaña gestionada para los dispositivos móviles en India, que infectó Dispositivos iOS y Windows. El atacante usó una técnica de carga para instalar lo que parecía ser aplicaciones legítimas en el dispositivo del usuario, que eventualmente instalaba malware que robó información confidencial, incluidos registros de chat, fotos, contactos y más.


AGOSTO

- Los atacantes abusan de Remcos RAT que produce una empresa del mercado gris llamada "rompiendo seguridad". Si bien la compañía afirmó que solo estaba vendiendo el software para usos legítimos, los actores malintencionados lo utilizaron para ejecutar redes de bots ilegales y propagar malware.


SEPTIEMBRE

- Una nueva versión de Adwind RAT se dirige a los usuarios en Turquía. Los atacantes utilizaron archivos falsificados de Microsoft Office que contenían información presunta sobre el costo de zapatos, para engañar a los usuarios, buscando que abrieran los archivos adjuntos.

- A pesar de que VPNFilter se había extinguido en gran medida, Talos descubrió que los criminales seguían atacando a los enrutadores MikroTik, específicamente su utilidad de administración de Winbox. Talos lanza una herramienta de decodificación que permite a los investigadores estudiar esta utilidad para detectar posibles actividades maliciosas.


OCTUBRE

- Los atacantes implementan una familia de malware conocida como "GPlayed" que se dirige a dispositivos Android. El malware se disfraza de tienda legítima de Google Play. Eventualmente, el malware evoluciona para incluir también un troyano bancario.

- Una nueva campaña basada en RTF comienza a eliminar el popular malware Agent Tesla y el ladrón de información Loki. Sin ser detectado, el Agente Tesla podría robar la información de inicio de sesión de los usuarios de una serie de aplicaciones importantes de software, como Google Chrome, Mozilla Firefox y Microsoft Outlook.


NOVIEMBRE

Surge una doble campaña dirigida a agencias gubernamentales en el Medio Oriente. Los atacantes implementan el malware DNSpionage para infectar computadoras y les envían información de DNS y HTTP. Mientras tanto, los actores también llevan a cabo una campaña de redireccionamiento de DNS que afecta a estas mismas agencias, así como a una aerolínea libanesa.


DICIEMBRE

Los mismos atacantes que estuvieron detrás de una campaña de correo electrónico de sextortion en octubre, amplían su alcance esta vez enviando amenazas de bombas falsas. Varias organizaciones reciben correos electrónicos que dicen que estas bombas detonarán si no les pagan a los atacantes un pago Bitcoin establecido, lo que obliga a varios edificios gubernamentales, escuelas y universidades a evacuar.

Also post on Post
0 Comments