HP anunció que el equipo de investigación de amenazas de HP Wolf Security identificó un aumento de 27 veces en las detecciones que se derivan de las campañas de spam malicioso de Emotet durante el primer trimestre de 2022, comparado con el cuarto trimestre de 2021 cuando Emotet hizo su primera reaparición. El más reciente Informe Global de Inteligencia sobre Amenazas Cibernéticas de HP Wolf Security —el cual ofrece un análisis de los ataques de ciberseguridad en el mundo real— muestra que Emotet se ha catapultado 36 lugares al frente para convertirse en la familia de malware más común detectada en este trimestre (representando el 9% de todo el malware capturado). Una de estas campañas —la cual estuvo dirigida a organizaciones japonesas e implicaba el secuestro de cadenas de correo electrónico para engañar a los destinatarios e infectar sus PCs— fue en gran parte responsable de un aumento del 879% en las muestras de malware .XLSM (Microsoft Excel) que fueron capturadas, comparado con el trimestre anterior.
Al aislar las amenazas que han evadido las
herramientas de detección y han llegado a los puntos finales de los usuarios,
HP Wolf Security obtiene conocimientos específicos sobre las últimas técnicas
que están siendo utilizadas por los cibercriminales. Estos son algunos de los
ejemplos más relevantes:
Las alternativas sigilosas en lugar de documentos
maliciosos de Microsoft Office, se están volviendo cada vez más populares, ya
que las macros comienzan a eliminarse gradualmente: Ahora que Microsoft ha
comenzado a deshabilitar macros, HP ha observado un aumento en los formatos no
basados en Office, incluidos los archivos maliciosos Java Archive (+476) y
JavaScript (+42%), en comparación con el trimestre anterior. Dichos ataques son
más difíciles de defender para las organizaciones porque las tasas de detección
para este tipo de archivos suelen ser bajas, lo cual aumenta la posibilidad de
infección.
Los signos indican que el contrabando de HTML
va en aumento: El tamaño medio de los archivos de las amenazas HTML creció de 3
KB a 12 KB; esto sugiere un aumento en el uso del contrabando de HTML, una
técnica donde los cibercriminales insertan malware directamente en los archivos
HTML para eludir las puertas de enlace de correo electrónico y evadir la
detección, antes de obtener acceso y robar información financiera crítica. Se
observaron campañas recientes dirigidas a bancos latinoamericanos
y africanos.
La campaña de malware de “dos por uno” conduce
a múltiples infecciones de RAT: Se descubrió el uso de un ataque de Visual
Basic Script para iniciar una cadena de destrucción que generaba múltiples
infecciones en el mismo dispositivo, proporcionando a los atacantes un acceso
persistente a los sistemas de las víctimas con VW0rm, NjRAT y AsyncRAT.
“Nuestros datos del primer trimestre muestran
que esta es, por mucho, la mayor actividad que hemos visto de Emotet desde que
el grupo se vio afectado a principios de 2021; una clara señal de que sus
operadores se están reagrupando, recuperando su fuerza e invirtiendo en el
crecimiento de la red de bots. Emotet llegó a ser descrito
por CISA como uno de los programas maliciosos más destructivos y costosos
para remediar, y sus operadores colaboran frecuentemente con grupos de
ransomware. Podemos anticipar que este patrón seguirá presentándose. Su
resurgimiento representa malas noticias para las empresas y el sector público,”
así lo explicó Alex Holland, analista senior de malware del equipo de
investigación de amenazas cibernéticas de HP Wolf Security en HP Inc. “Emotet
también continuó favoreciendo los ataques habilitados por macros, quizás para
que se recibieran ataques antes de la fecha límite fijada por Microsoft en el
mes de abril, o simplemente porque las personas todavía tienen macros
habilitadas y se les puede engañar para que hagan clic en un lugar incorrecto.”
Los resultados se basan en datos de muchos
millones de dispositivos de punto final que ejecutan HP Wolf Security, el cual
rastrea el malware mediante la apertura de tareas riesgosas en micro máquinas
virtuales (micro-VMs) aisladas para proteger al usuario y, de igual manera,
comprender y capturar la cadena completa de intentos de infección, mitigando
las amenazas que escaparon de otras herramientas de seguridad. A la fecha, los
usuarios de HP han hecho clic en más de 18 mil millones de archivos adjuntos de
correo electrónico, páginas web y descargas sin infracciones notificadas. Estos
datos ofrecen conocimientos únicos sobre la forma en como los actores de
amenazas usan el malware en su día a día.
Otros resultados clave del informe incluyen:
Se tardó
más de 3 días (79 horas), en promedio, para ser conocido mediante hash por
otras herramientas de seguridad.
El 45%
del malware aislado por HP Wolf Security correspondió a formatos de archivo de
Office.
Las
amenazas utilizaron 545 familias de malware distintas en sus intentos por
infectar a las organizaciones, con Emotet, AgentTesla y Nemucod como las tres
principales.
Una
vulnerabilidad del Editor de Ecuaciones de Microsoft (CVE-2017-11882)
representó el 18% de todas las muestras maliciosas capturadas.
El 69%
del malware detectado se entregó vía correo electrónico, mientras que las
descargas web fueron responsables del 18%. Los archivos adjuntos más comunes
utilizados para entregar malware fueron documentos (29%), archivos (28%),
ejecutables (21%) y hojas de cálculo (20%).
Los
archivos adjuntos más comunes para entregar malware fueron hojas de cálculo
(33%), ejecutables y scripts (29%), archivos (22%) y documentos (11%).
Los
señuelos de phishing más comunes fueron las transacciones comerciales como
“Pedido”, “Pago”, “Compra”, “Solicitud” y “Factura”.
“En este trimestre observamos un aumento del
27% en el volumen de amenazas capturadas por HP Wolf Security. A medida que los
cibercriminales ajustan sus estrategias en respuesta a los cambios en el
panorama informático, el volumen y la variedad de los ataques siguen
aumentando, y se vuelve más difícil para las herramientas convencionales
detectar los ataques,” comentó el Dr. Ian Pratt, jefe global de seguridad de
sistemas personales de HP Inc. “Con el aumento de los tipos de archivos
alternativos y las técnicas utilizadas para eludir la detección, las
organizaciones necesitan cambiar el rumbo y adoptar un enfoque por capas para
la seguridad de los dispositivos de punto final. Con la aplicación del
principio de privilegio mínimo y el aislamiento de los vectores de amenazas más
comunes—desde correos electrónicos, navegadores, o descargas—, el malware
entregado mediante estos vectores resulta inofensivo. Esto reduce radicalmente
la exposición de las organizaciones al riesgo de las ciberamenazas.”
Al aislar las amenazas que han evadido las
herramientas de detección y han llegado a los puntos finales de los usuarios,
HP Wolf Security obtiene conocimientos específicos sobre las últimas técnicas
que están siendo utilizadas por los cibercriminales.