HP identifica nuevas formas de estafas y fraudes ideados por los ciberdelincuentes

HP ha publicado su último informe global, HP Wolf Security Threat Insights, que proporciona un análisis de los ataques de ciberseguridad que se llevan a cabo actualmente en el mundo. HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes al aislar las amenazas que han evadido las herramientas de detección y han llegado a los endpoints de los usuarios.

Al aislar las amenazas que han evadido las herramientas de detección y han llegado a los endpoints de los usuarios, HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes.

El equipo de investigación de amenazas de HP Wolf Security identificó una ola de ataques que utilizan la función de complementos de Excel para propagar malware, ayudando a los delincuentes a obtener acceso a los objetivos y exponiendo a las empresas y a los usuarios a robos de datos y a destructivos ataques de ransomware. En comparación con el trimestre anterior, se ha multiplicado por seis (+588%) el número de atacantes que utiliza la función de complementos de Microsoft Excel (.xll) para infectar los sistemas, una técnica especialmente peligrosa, ya que basta un solo clic para ejecutar el malware. El equipo también encontró anuncios de kits de creación de malware basado en complementos de Excel (extensión .xll) y herramientas para su envío (conocidos como droppers) en mercados clandestinos, que facilitan a los hackers sin experiencia el lanzamiento de los ataques.

Además, una reciente campaña de spam de QakBot utilizó archivos de Excel para engañar a los usuarios. La campaña consistía en utilizar cuentas de correo electrónico comprometidas para realizar ataques de tipo hijack (técnica que permite suplantar la identidad creando nuevos correos) utilizando un archivo de Excel (.xlsb) malicioso adjunto. Después de ser enviado por el sistema, QakBot se inyectaba en procesos legítimos de Windows para evitar su detección. Archivos maliciosos de Excel (.xls) también fueron utilizados para propagar el troyano bancario Ursnif en empresas y organizaciones del sector público italiano a través de una campaña de spam malicioso, en la que los atacantes se hicieron pasar por el servicio de mensajería italiano BRT. Las nuevas campañas que propagan el malware Emotet, utilizan ahora también ficheros Excel en lugar de archivos JavaScript o Word.

Otras amenazas destacadas aisladas por el equipo de análisis de amenazas de HP Wolf Security son:

• ¿El regreso de TA505? HP identificó una campaña de phishing por correo electrónico de MirrorBlast que compartía muchas tácticas, técnicas y procedimientos (TTP) con TA505, un grupo de ciberdelincuentes motivados con un claro objetivo financiero y conocido por sus campañas masivas de malware y por monetizar mediante malware el acceso a los sistemas infectados . El ataque se dirigía a las organizaciones con el troyano de acceso remoto (RAT) FlawedGrace.
• Una falsa plataforma de juegos infecta a las víctimas con RedLine: se ha descubierto un sitio servidor falso de la plataforma Discord, que engaña a los usuarios para que descarguen el infostealer (método de intrusión que basa su comportamiento en un caballo de troya que roba información del sistema) RedLine y roba sus credenciales.
• El cambio de tipos de archivos poco comunes sigue eludiendo la detección: el grupo de amenazas Aggah atacó a organizaciones de habla coreana con archivos maliciosos de complementos de PowerPoint (.ppa) encubiertos como órdenes de compra, infectando los sistemas con troyanos que ganaban acceso remoto. El malware de PowerPoint es inusual, ya que representa el 1% del malware.

"Abusar de las funciones legítimas del software para esconderse de las herramientas de detección es una táctica habitual de los ciberdelincuentes, al igual que utilizar tipos de archivos poco comunes que pueden superar las barreras de acceso al correo electrónico. Los equipos de seguridad no deben confiar únicamente en la detección y en la información que manejan para actualizar sus defensas. Por ejemplo, basándonos en el aumento de apariciones de archivos

.xll maliciosos que estamos observando, recomendaría a los administradores de la red que configuren las puertas de enlace del correo electrónico para bloquear los archivos adjuntos .xll entrantes, que sólo

permitan los complementos firmados por socios de confianza o que deshabiliten por completo los complementos de Excel", explica Alex Holland, analista principal de malware del equipo de investigación de amenazas de HP Wolf Security, HP Inc.

"Los atacantes innovan constantemente para encontrar nuevas técnicas que eviten la detección, por lo que es vital que las empresas planifiquen y ajusten sus medidas de defensa en función del panorama cambiante de las amenazas y de las necesidades empresariales de sus usuarios. Los atacantes han invertido en técnicas como el hijacking en correo electrónico, haciendo más difícil que nunca que los usuarios distingan a los amigos de los enemigos", continúa señalando Holland.

Los resultados se basan en los datos de los muchos millones de endpoints que ejecutan HP Wolf Security. HP Wolf Security rastrea el malware abriendo las tareas con más riesgo en micromáquinas virtuales (micro-VM) aisladas para comprender y capturar toda la cadena de infección, lo que ayuda a mitigar las amenazas que se han escapado de otras herramientas de seguridad. Esto ha permitido a los clientes hacer clic en más de 10.000 millones de archivos adjuntos de correo electrónico, páginas web y descargas sin que se haya informado de ninguna infección¹. Al comprender mejor el comportamiento del malware en su propio entorno (dado que no se bloquea, sino que simplemente se aísla), los investigadores e ingenieros de HP Wolf Security pueden reforzar la protección de la seguridad de los dispositivos y la resistencia general del sistema.

Otras conclusiones importantes del informe son:

• El 13% del malware aislado gracias a Wolf Security habría sido capaz de saltar al menos la solución de seguridad de correo electrónico.
• Las amenazas utilizaron 136 extensiones de archivo diferentes en sus intentos de infectar a las organizaciones.
• El 77% de los programas maliciosos detectados se enviaron por correo electrónico, mientras que las descargas web fueron responsables del 13%.
• Los archivos adjuntos más utilizados para enviar programas maliciosos fueron documentos (29%), archivos (28%), ejecutables (21%) y hojas de cálculo (20%).
• Los engaños de phishing más comunes estaban relacionados con el Año Nuevo o las transacciones comerciales, como "Pedido", "2021/2022", "Pago", "Compra", "Solicitud" y "Factura".

"Hoy en día, hackers principiantes o de bajo nivel pueden llevar a cabo ataques sigilosos y vender el acceso a grupos organizados de ransomware, lo que conduce a ataques a gran escala que podrían paralizar los sistemas de TI y las operaciones", comenta Carlos Manero, Responsable de Servicios Digitales y Seguridad de HP España.

"Las organizaciones deben centrarse en reducir la superficie de ataque y permitir una rápida recuperación en caso de compromiso. Esto significa seguir los principios de la confianza cero y aplicar una sólida gestión de la identidad, el mínimo privilegio y el aislamiento desde el nivel hardware. Por ejemplo, al aislar los vectores de ataque más comunes, como el correo electrónico, los navegadores o las descargas, mediante la microvirtualización, se contiene cualquier posible malware o exploit que esté al descubierto, haciéndolo inofensivo", añade Carlos Manero

Sobre los datos

Estos datos se recopilaron de las micro máquinas virtuales de los dispositivos de HP Wolf Security entre octubre y diciembre de 2021.