Emotet salta a la primera posición como la familia de malware más vista en el primer trimestre

HP  anunció que el equipo de investigación de amenazas de HP Wolf Security identificó un aumento de 27 veces en las detecciones que se derivan de las campañas de spam malicioso de Emotet durante el primer trimestre de 2022, comparado con el cuarto trimestre de 2021 cuando Emotet hizo su primera reaparición. El más reciente Informe Global de Inteligencia sobre Amenazas Cibernéticas de HP Wolf Security —el cual ofrece un análisis de los ataques de ciberseguridad en el mundo real— muestra que Emotet se ha catapultado 36 lugares al frente para convertirse en la familia de malware más común detectada en este trimestre (representando el 9% de todo el malware capturado). Una de estas campañas —la cual estuvo dirigida a organizaciones japonesas e implicaba el secuestro de cadenas de correo electrónico para engañar a los destinatarios e infectar sus PCs— fue en gran parte responsable de un aumento del 879% en las muestras de malware .XLSM (Microsoft Excel) que fueron capturadas, comparado con el trimestre anterior.

Al aislar las amenazas que han evadido las herramientas de detección y han llegado a los puntos finales de los usuarios, HP Wolf Security obtiene conocimientos específicos sobre las últimas técnicas que están siendo utilizadas por los cibercriminales. Estos son algunos de los ejemplos más relevantes:

Las alternativas sigilosas en lugar de documentos maliciosos de Microsoft Office, se están volviendo cada vez más populares, ya que las macros comienzan a eliminarse gradualmente: Ahora que Microsoft ha comenzado a deshabilitar macros, HP ha observado un aumento en los formatos no basados en Office, incluidos los archivos maliciosos Java Archive (+476) y JavaScript (+42%), en comparación con el trimestre anterior. Dichos ataques son más difíciles de defender para las organizaciones porque las tasas de detección para este tipo de archivos suelen ser bajas, lo cual aumenta la posibilidad de infección.

Los signos indican que el contrabando de HTML va en aumento: El tamaño medio de los archivos de las amenazas HTML creció de 3 KB a 12 KB; esto sugiere un aumento en el uso del contrabando de HTML, una técnica donde los cibercriminales insertan malware directamente en los archivos HTML para eludir las puertas de enlace de correo electrónico y evadir la detección, antes de obtener acceso y robar información financiera crítica. Se observaron campañas recientes dirigidas a bancos latinoamericanos y africanos.

La campaña de malware de “dos por uno” conduce a múltiples infecciones de RAT: Se descubrió el uso de un ataque de Visual Basic Script para iniciar una cadena de destrucción que generaba múltiples infecciones en el mismo dispositivo, proporcionando a los atacantes un acceso persistente a los sistemas de las víctimas con VW0rm, NjRAT y AsyncRAT.

“Nuestros datos del primer trimestre muestran que esta es, por mucho, la mayor actividad que hemos visto de Emotet desde que el grupo se vio afectado a principios de 2021; una clara señal de que sus operadores se están reagrupando, recuperando su fuerza e invirtiendo en el crecimiento de la red de bots. Emotet llegó a ser descrito por CISA como uno de los programas maliciosos más destructivos y costosos para remediar, y sus operadores colaboran frecuentemente con grupos de ransomware. Podemos anticipar que este patrón seguirá presentándose. Su resurgimiento representa malas noticias para las empresas y el sector público,” así lo explicó Alex Holland, analista senior de malware del equipo de investigación de amenazas cibernéticas de HP Wolf Security en HP Inc. “Emotet también continuó favoreciendo los ataques habilitados por macros, quizás para que se recibieran ataques antes de la fecha límite fijada por Microsoft en el mes de abril, o simplemente porque las personas todavía tienen macros habilitadas y se les puede engañar para que hagan clic en un lugar incorrecto.”

Los resultados se basan en datos de muchos millones de dispositivos de punto final que ejecutan HP Wolf Security, el cual rastrea el malware mediante la apertura de tareas riesgosas en micro máquinas virtuales (micro-VMs) aisladas para proteger al usuario y, de igual manera, comprender y capturar la cadena completa de intentos de infección, mitigando las amenazas que escaparon de otras herramientas de seguridad. A la fecha, los usuarios de HP han hecho clic en más de 18 mil millones de archivos adjuntos de correo electrónico, páginas web y descargas sin infracciones notificadas. Estos datos ofrecen conocimientos únicos sobre la forma en como los actores de amenazas usan el malware en su día a día.

Otros resultados clave del informe incluyen:

El 9% de las amenazas no se habían visto antes del momento en que fueron aisladas, con el 14% de malware de correo electrónico aislado después de haber eludido por lo menos un escáner de puerta de enlace de correo electrónico.

Se tardó más de 3 días (79 horas), en promedio, para ser conocido mediante hash por otras herramientas de seguridad.

El 45% del malware aislado por HP Wolf Security correspondió a formatos de archivo de Office.

Las amenazas utilizaron 545 familias de malware distintas en sus intentos por infectar a las organizaciones, con Emotet, AgentTesla y Nemucod como las tres principales.

Una vulnerabilidad del Editor de Ecuaciones de Microsoft (CVE-2017-11882) representó el 18% de todas las muestras maliciosas capturadas.

El 69% del malware detectado se entregó vía correo electrónico, mientras que las descargas web fueron responsables del 18%. Los archivos adjuntos más comunes utilizados para entregar malware fueron documentos (29%), archivos (28%), ejecutables (21%) y hojas de cálculo (20%).

Los archivos adjuntos más comunes para entregar malware fueron hojas de cálculo (33%), ejecutables y scripts (29%), archivos (22%) y documentos (11%).

Los señuelos de phishing más comunes fueron las transacciones comerciales como “Pedido”, “Pago”, “Compra”, “Solicitud” y “Factura”.

“En este trimestre observamos un aumento del 27% en el volumen de amenazas capturadas por HP Wolf Security. A medida que los cibercriminales ajustan sus estrategias en respuesta a los cambios en el panorama informático, el volumen y la variedad de los ataques siguen aumentando, y se vuelve más difícil para las herramientas convencionales detectar los ataques,” comentó el Dr. Ian Pratt, jefe global de seguridad de sistemas personales de HP Inc. “Con el aumento de los tipos de archivos alternativos y las técnicas utilizadas para eludir la detección, las organizaciones necesitan cambiar el rumbo y adoptar un enfoque por capas para la seguridad de los dispositivos de punto final. Con la aplicación del principio de privilegio mínimo y el aislamiento de los vectores de amenazas más comunes—desde correos electrónicos, navegadores, o descargas—, el malware entregado mediante estos vectores resulta inofensivo. Esto reduce radicalmente la exposición de las organizaciones al riesgo de las ciberamenazas.”

Al aislar las amenazas que han evadido las herramientas de detección y han llegado a los puntos finales de los usuarios, HP Wolf Security obtiene conocimientos específicos sobre las últimas técnicas que están siendo utilizadas por los cibercriminales.

El equipo de HP Wolf Security comentará el Informe de Inteligencia sobre Amenazas Cibernéticas del primer trimestre de 2022 en un webinar el 7 de junio a las 8 a.m. (Hora del Pacífico).