Informe d e Advanced
Transcript of Informe d e Advanced
I n f o r m e
d e
A d v a n c e d
T h r e a t
R e s e a r c h
o c t . 2 0 2 1
INFORME
3 Carta de nuestro científico jefe
4 RANSOMWARE
4 Incremento de la prevalencia del ransomware 6 Dos foros clandestinos expulsan al ransomware
más próspero8 Sectores objetivo del ransomware: diferencia de
datos entre la inteligencia de acceso público y la telemetría
9 Principales patrones/técnicas de MITRE ATT&CK empleadas por las familias de ransomware (T2 2021)
10 B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo
11 AMENAZAS en la nube
11 Prevalencia de amenazas en la nube 11 Sectores en la nube a nivel mundial (T2 2021)12 Total de incidentes en la nube por sectores
a nivel mundial y en EE. UU. (T2 2021)13 Incidentes en sectores en la nube por país (T2 2021)
13 Amenazas por países, continentes, sectores y vectores
13 Países y continentes (T2 2021)13 Sectores atacados (T2 2021)13 Vectores atacados (10 principales, T2 2021)
14 Principales técnicas utilizadas según Mitre Att&ck (T2 2021)
17 Cómo defenderse de estas amenazas
18 Recursos
18 Twitter
Informe de Advanced Threat Research (octubre de 2021)
INFORME
2
Índice
Redacción e investigación
Christiaan Beek
Ashley Dolezal
John Fokker
Melissa Gaffney
Tracy Holden
Tim Hux
Phillippe Laulheret
Douglas McKee
Lee Munson
Chris Palm
Tim Polzer
Steve Povolny
Raj Samani
Pankaj Solanki
Leandro Velasco
Hemos colocado el foco en la prevalencia. Ahora el equipo está atento a la frecuencia con la que vemos una amenaza en el mundo. Y lo que es más importante, a quién se dirige.
Carta de nuestro científico jefe
Le damos la bienvenida a un NUEVO informe sobre amenazas y a una NUEVA empresa.
Han cambiado muchas cosas desde nuestro último informe sobre amenazas. Nos enteramos de que, a pesar del cambio de imagen de marca, el grupo de ransomware DarkSide no desapareció, y creyeron que no caeríamos en su supuesta conexión con BlackMatter. Además, nuestros recientes hallazgos relativos a las bombas de infusión que se emplean en el ámbito sanitario demuestran la importancia de la investigación en materia de seguridad (encontrará más información en el informe).
En cuanto al equipo y a mí, nos hemos trasladado a McAfee Enterprise, una nueva empresa dedicada a la ciberseguridad empresarial, por lo que ya no publicaremos nuestro trabajo con McAfee Labs. Pero no se preocupe, seguimos disponibles en nuestra nueva cuenta de Twitter de McAfee Enterprise ATR: @McAfee_ATR.
Por supuesto, los cambios de los que hablamos tienen mucho más calado que un simple feed de Twitter, y algunos de ellos se reflejan en nuestro nuevo informe sobre amenazas. Hemos colocado el foco en la prevalencia. El equipo ahora está atento a la frecuencia con la que vemos una amenaza en el mundo. Y lo que es más importante, a quién se dirige. Estos hallazgos están respaldados por análisis adicionales, que se detallan en el informe para incorporar las investigaciones activas sobre los autores de las amenazas, así como las vulnerabilidades que se explotan en el presente y que podrían aprovecharse más adelante.
Esperamos que disfrute de este nuevo formato, y agradecemos sus comentarios sobre lo que más le ha gustado y lo que no le ha entusiasmado del todo. Y especialmente, nos gustaría saber qué le interesaría leer en los próximos números.
Siga en contacto con nosotros.
—Raj Samani
Científico jefe de McAfee Enterprise y miembro del equipo
Twitter @Raj_Samani
Informe de Advanced Threat Research (octubre de 2021)
INFORME
3
RANSOMWARE
Incremento de la prevalencia del ransomware
A medida que el año 2021 avanzaba por su segundo trimestre y se adentraba en el tercero, los ciberdelincuentes plantearon amenazas y tácticas nuevas y actualizadas en campañas dirigidas a los sectores importantes. Las campañas de ransomware mantuvieron su prevalencia mientras cambiaban sus modelos de negocio para extraer datos valiosos y conseguir rescates millonarios de empresas de todos los tamaños.
El sonadísimo ataque de DarkSide a la distribución de gas de Colonial Pipeline acaparó los titulares de mayo en materia de ciberseguridad. MVISION Insights identificó rápidamente la temprana prevalencia de DarkSide hacia objetivos en Estados Unidos, principalmente en los sectores de los servicios jurídicos, la venta al por mayor y la fabricación, el petróleo, el gas y los productos químicos.
El cierre en Estados Unidos de una de las mayores cadenas de suministro de gas atrajo toda la atención de los funcionarios públicos y de los centros de operaciones de seguridad, pero igualmente preocupantes resultaron ser otros grupos de ransomware que operaban con modelos de afiliados similares. Los ransomware Ryuk, REvil, Babuk y Cuba desplegaron activamente modelos de negocio que apoyaban la intervención de otros para explotar vectores de entrada habituales y herramientas similares. Estos grupos —entre otros y sus afiliados— emplean vectores de entrada habituales y, además, en muchos casos, utilizan las mismas herramientas para desplazarse por un entorno. Poco después del ataque de DarkSide, el grupo REvil se llevó todo el protagonismo tras utilizar una carga útil de Sodinokibi en su ataque de ransomware a Kaseya, un proveedor global de infraestructuras de TI. El ataque de REvil mediante Sodinokibi lideró nuestra lista de detecciones de ransomware en el segundo trimestre de 2021.
Informe de Advanced Threat Research (octubre de 2021)
INFORME
4
Carta de nuestro científico jefe
RANSOMWARE
B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo
AMENAZAS EN LA NUBE
Amenazas por países, continentes, sectores y vectores
Principales técnicas utilizadas según Mitre Att&ck (T2 2021)
Cómo defenderse de estas amenazas
Recursos
Detecciones por familia de ransomware
T1 2021 T2 2021
REvil/Sodinokibi
RansomeXX
Ryuk
Netwalker
Thanos
MountLocker
WastedLocker
Exorcist
Conti
Maze
Figura 1. El ataque de REvil/Sodinokibi lideró nuestra lista de detecciones de ransomware en el segundo trimestre de 2021 y representó el 73 % de nuestras diez detecciones de ransomware más relevantes.
Mientras DarkSide y REvil regresaban a las sombras tras sus sonados ataques, en julio surgió un heredero de DarkSide. El ransomware BlackMatter apareció fundamentalmente en Italia, India, Luxemburgo, Bélgica, Estados Unidos, Brasil, Tailandia, Reino Unido, Finlandia e Irlanda como un programa de afiliados de ransomware como servicio con rasgos de DarkSide, REvil y el ransomware LockBit. Por la similitud del código del archivo binario y el parecido de su página pública con DarkSide, todos coinciden en que es muy probable que el ransomware BlackMatter sea una continuación del ransomware DarkSide, cosa que BlackMatter ha negado.
Informe de Advanced Threat Research (octubre de 2021)
INFORME
5
Carta de nuestro científico jefe
RANSOMWARE
B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo
AMENAZAS EN LA NUBE
Amenazas por países, continentes, sectores y vectores
Principales técnicas utilizadas según Mitre Att&ck (T2 2021)
Cómo defenderse de estas amenazas
Recursos
A mediados de 2021 se descubrió otro "viejo" ransomware, pero con un toque diferente. El ransomware LockBit 2.0 es una versión actualizada del LockBit de 2020 con nuevas funciones que cifran automáticamente los dispositivos de todo un dominio, filtran datos y acceden a los sistemas mediante RDP, y tienen también la capacidad de reclutar a nuevos afiliados desde dentro de la empresa víctima.
Los desarrolladores de ransomware también lanzaron nuevas campañas. En junio de 2021 se descubrió por primera vez la familia de ransomware Hive (principalmente en India, Bélgica, Italia, Estados Unidos, Turquía, Tailandia, México, Alemania, Colombia y Ucrania) con un funcionamiento de ransomware como servicio escrito en el lenguaje Go que amenazó a organizaciones sanitarias y de infraestructuras esenciales.
Nuestro equipo analiza el ransomware en más detalle, estudiando tanto la reacción inesperada de los foros clandestinos como los sectores objetivo y la diferencia (delta) entre la inteligencia de acceso público y la telemetría.
Dos foros clandestinos expulsan al ransomware más próspero
El segundo trimestre de 2021 fue trepidante para el ransomware, que se ganó su puesto como tema candente en la agenda de ciberseguridad de la administración estadounidense. No obstante, la situación también cambió en los foros clandestinos en los que se reúnen los ciberdelincuentes, que hasta entonces habían sido seguros para ellos.
El impacto de lo que supone un ataque de ransomware quedó muy patente cuando Colonial Pipeline se vio obligada a cerrar por un ataque del ransomware DarkSide. Este brusco parón de la cadena de suministro afectó a buena parte del este de Estados Unidos, y dio lugar a una frenética carrera ciudadana por conseguir combustible. El ataque y el consiguiente impacto que tuvo en los consumidores y en la economía evidenciaron la verdadera magnitud del ransomware, y captaron toda la atención de las fuerzas de seguridad.
La respuesta política que se dio ante el ataque a Colonial Pipeline ocasionó que el grupo de ransomware DarkSide detuviera repentinamente su actividad. Otros grupos de ciberdelincuentes anunciaron serían más selectivos con sus futuros objetivos y dejarían determinados sectores al margen.
Una semana después, dos de los foros clandestinos más influyentes, XSS y Exploit, anunciaron que prohibirían los anuncios de ransomware. Durante años, estos mismos foros sirvieron de refugio para la ciberdelincuencia y el auge del ransomware, que propiciaron un elevado volumen de violaciones de seguridad de redes, registros de ladrones y servicios de encriptación, entre otra actividad. Teniendo en cuenta que muchos de los ciberdelincuentes que pertenecen a las principales familias de ransomware son delincuentes profesionales y suelen tener una estrecha relación con los administradores y los moderadores de los foros, creemos que este paso se dio precisamente para preservar la existencia de dichos foros.
Informe de Advanced Threat Research (octubre de 2021)
INFORME
6
Carta de nuestro científico jefe
RANSOMWARE
B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo
AMENAZAS EN LA NUBE
Amenazas por países, continentes, sectores y vectores
Principales técnicas utilizadas según Mitre Att&ck (T2 2021)
Cómo defenderse de estas amenazas
Recursos
A pesar de que prohibieron las identidades online asociadas al ransomware, nuestro equipo ha observado que los mismos ciberdelincuentes siguen activos en varios foros con otras identidades.
Figura 2. Mensaje del administrador de XSS pidiendo la prohibición del ransomware
En ese momento, el grupo de ransomware Babuk estaba enfrascado en sus propios asuntos; sobre uno en concreto —un almacén *nix ESXi defectuoso— hemos escrito profusamente en nuestro blog.
Finalmente, las disputas internas del equipo de Babuk desembocaron en una separación y en el inicio de un nuevo foro llamado RAMP dedicado al ransomware, donde muchos de los ciberdelincuentes dedicados a esta práctica se reúnen ahora para tratar sus asuntos y compartir TTP. A pesar de la prohibición por parte de algunos de los principales foros de ciberdelincuentes, el ransomware no ha dado muestras de estar perdiendo fuerza y todavía debe considerarse una de las ciberamenazas más perjudiciales a las que pueden enfrentarse organizaciones de cualquier tamaño.
Informe de Advanced Threat Research (octubre de 2021)
INFORME
7
Carta de nuestro científico jefe
RANSOMWARE
B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo
AMENAZAS EN LA NUBE
Amenazas por países, continentes, sectores y vectores
Principales técnicas utilizadas según Mitre Att&ck (T2 2021)
Cómo defenderse de estas amenazas
Recursos
Sectores objetivo del ransomware: diferencia de datos entre la inteligencia de acceso público y la telemetría
Muchos equipos de ransomware tienen portales en los que revelan quiénes son las víctimas cuya seguridad han vulnerado y exhiben muestras de los datos que han obtenido para obligar a las víctimas a pagar el rescate; de lo contrario, filtrarán sus datos o, en algunos casos, los venderán. Los sitios de filtraciones son escaparates de negociaciones fallidas y no reflejan la magnitud total de los ataques que los equipos de ransomware ejecutan; sin embargo, es interesante observar los datos de los sectores y las zonas geográficas afectados.
Nuestro equipo monitoriza muchas de esas páginas, recopila los nombres de las familias de ransomware y relaciona las víctimas con un sector y un país. Tras reunir estos datos y compilarlos, observamos que las familias de ransomware dirigen sus ataques a los siguientes diez principales sectores en Estados Unidos:
T1 2021 T2 2021
Administración pública
Telecomunicaciones
Energía
Comunicaciones y medios de comunicación
Industria
Educación
Contabilidad y servicios jurídicos
Tecnología
Finanzas
Transporte y envío
Figura 3. La administración pública fue el sector más atacado por el ransomware en el segundo trimestre de 2021, seguido de las telecomunicaciones, la energía y los medios de comunicación.
Informe de Advanced Threat Research (octubre de 2021)
INFORME
8
Carta de nuestro científico jefe
RANSOMWARE
B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo
AMENAZAS EN LA NUBE
Amenazas por países, continentes, sectores y vectores
Principales técnicas utilizadas según Mitre Att&ck (T2 2021)
Cómo defenderse de estas amenazas
Recursos
Gracias al punto de vista que nos ofrece la telemetría, obtenido mediante sensores en Estados Unidos, hemos podido comparar la actividad de ransomware detectada con respecto a los sectores que la inteligencia de acceso público (OSINT) ha identificado:
Sectores detectados mediante telemetría
Sectores identificados mediante OSINT
Administración pública Fabricación
Finanzas Comercio minorista
Educación Atención sanitaria
Telecomunicaciones Construcción
Energía Transporte
Medios de comunicación Educación
Industria Empresas
Bienes inmuebles Servicios jurídicos
Servicios jurídicos Finanzas
Tecnología TI
Tabla 1. Cuanto mayor sea la distancia de un mismo sector entre las dos listas, mejor protegido estará; a menor distancia, mayor riesgo de sufrir un ataque de ransomware.
¿Qué significa esa diferencia? ¿Cuál es el delta? Desde la perspectiva de nuestra telemetría, observamos la actividad de ransomware que se ha detectado y bloqueado en el sector en el que tenemos clientes. Que la administración pública sea el primer sector objetivo en nuestra telemetría revela los numerosos intentos dirigidos a este sector que NO han tenido éxito. En los sectores señalados por la OSINT, observamos que los que demandan grandes prestaciones de servicios de TI para respaldar servicios empresariales esenciales ocupan un lugar destacado en la lista de objetivos de los grupos de ransomware.
Principales patrones/técnicas de MITRE ATT&CK empleadas por las familias de ransomware (T2 2021)
Patrón de ataque/técnica1. Datos cifrados para generar un impacto
2. Descubrimiento de archivos y directorios
3. Archivos o información ocultos
4. Inyección de procesos
5. Desofuscación/descodificación de archivos o información
6. Descubrimiento de procesos
7. Inhibición de la recuperación del sistema
8. PowerShell
9. Descubrimiento de información del sistema
10. Modificación del registro
Tabla 2. Los datos cifrados para generar un impacto fueron el patrón de ataque que más se detectó en el segundo trimestre de 2021.
Informe de Advanced Threat Research (octubre de 2021)
INFORME
9
Carta de nuestro científico jefe
RANSOMWARE
B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo
AMENAZAS EN LA NUBE
Amenazas por países, continentes, sectores y vectores
Principales técnicas utilizadas según Mitre Att&ck (T2 2021)
Cómo defenderse de estas amenazas
Recursos
B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo
El sector sanitario se enfrenta a retos de seguridad inéditos. Un posible ataque a un centro médico podría representar una amenaza aún mayor que un ataque de ransomware a todo un sistema. Nuestro equipo, en colaboración con Culinda, descubrió una serie de vulnerabilidades en las bombas B. Braun Infusomat Space Large Pump y B. Braun SpaceStation.
Nuestra investigación nos llevó a descubrir cinco vulnerabilidades en el sistema médico de las que no había constancia:
1. CVE-2021-33886: uso de una cadena de formato controlada desde el exterior (CVSS 7.7)
2. CVE-2021-33885: verificación insuficiente de la autenticidad de los datos (CVSS 9.7)
3. CVE-2021-33882: falta de autentificación para una función crítica (CVSS 8.2)
4. CVE-2021-33883: transmisión de información confidencial mediante texto no cifrado (CVSS 7.1)
5. CVE-2021-33884: carga sin restricciones de archivos de tipo peligroso (CVSS 5.8)
Alguna persona malintencionada podría aprovechar todas estas vulnerabilidades en conjunto para modificar la configuración de una bomba mientras se encuentre en reposo. Ello conllevaría que a un paciente se le administrase una dosis incorrecta de medicación en su próximo uso, y sin necesidad de que el atacante se autenticase.
Poco después de que nuestro equipo comunicase a B. Braun los primeros hallazgos, la empresa respondió y colaboró con nuestro equipo para adoptar las medidas de mitigación que indicamos en nuestro informe de divulgación.
Los resultados de nuestra investigación ofrecen una perspectiva general y algunos datos técnicos de la cadena de ataque de mayor relevancia, junto con información sobre cómo abordar los desafíos especiales a los que se enfrenta el sector sanitario. Si desea consultar un breve resumen, lea nuestra publicación de blog.
Informe de Advanced Threat Research (octubre de 2021)
INFORME
10
Carta de nuestro científico jefe
RANSOMWARE
B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo
AMENAZAS EN LA NUBE
Amenazas por países, continentes, sectores y vectores
Principales técnicas utilizadas según Mitre Att&ck (T2 2021)
Cómo defenderse de estas amenazas
Recursos
Amenazas en la nube
Prevalencia de amenazas en la nube
El reto que les supuso a las organizaciones adaptar la seguridad a través de la nube para dar cabida a una plantilla de trabajadores más flexible durante la pandemia y, al mismo tiempo, mantener e incluso aumentar las cargas de trabajo les ha ofrecido a los ciberdelincuentes incluso más vulnerabilidades y objetivos potenciales en el segundo trimestre de 2021.
La investigación de nuestro equipo sobre amenazas en la nube descubrió que el sector de servicios financieros fue el que más ataques sufrió en las campañas de amenazas en la nube en ese mismo trimestre.
Amenazas en la nube más habituales (T2 2021)1. Uso excesivo desde una ubicación anómala
2. Filtración de datos interna
3. Uso indebido de privilegios de acceso
4. Alto riesgo de filtración de datos
5. Filtración de privilegios de acceso
6. Acceso, propagación y filtración
7. Comportamiento superhumano sospechoso
8. Filtración de datos por parte de un usuario con privilegios
Tabla 3. Definición de Uso excesivo desde una ubicación anómala: El usuario ha accedido a un gran volumen de datos (o lo ha descargado) en un corto espacio de tiempo. Supone un hecho grave cuando 1) los usuarios de la empresa nunca han accedido a un volumen tan grande, y 2) el volumen de datos es elevado incluso si corresponde a un grupo numeroso de usuarios. Las amenazas de Uso excesivo desde una ubicación anómala ocuparon el primer puesto del ranking de amenazas mundiales en la nube, seguidas de Filtraciones de datos interna y Uso indebido de privilegios de acceso. Las amenazas de Uso excesivo desde una ubicación anómala representaron el 62 % de las amenazas registradas.
Sectores en la nube a nivel mundial (T2 2021)
Empresas1. Servicios financieros
2. Atención sanitaria
3. Fabricación
4. Comercio minorista
5. Servicios profesionales
6. Viajes y hostelería
7. Software e internet
8. Tecnología
9. Informática y electrónica
10. ONG
Tabla 4. Los servicios financieros fueron el sector más atacado según los incidentes en la nube que se registraron, seguido por sanidad, fabricación, comercio minorista y servicios profesionales. Los incidentes en la nube que afectaron a los servicios financieros representaron el 33 % de los diez principales sectores atacados, seguidos por el de sanidad y fabricación (8 %).
Informe de Advanced Threat Research (octubre de 2021)
INFORME
11
Carta de nuestro científico jefe
RANSOMWARE
B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo
AMENAZAS EN LA NUBE
Amenazas por países, continentes, sectores y vectores
Principales técnicas utilizadas según Mitre Att&ck (T2 2021)
Cómo defenderse de estas amenazas
Recursos
Total de incidentes en la nube por sectores a nivel mundial y en EE. UU. (T2 2021)
Sector en la nube País 1. Servicios financieros EE. UU.
2. Servicios financieros Singapur
3. Sector sanitario EE. UU.
4. Comercio minorista EE. UU.
5. Servicios profesionales EE. UU.
6. Servicios financieros China
7. Fabricación EE. UU.
8. Servicios financieros Francia
9. Comercio minorista Canadá
10. Servicios financieros Australia
Tabla 5. A nivel mundial, los servicios financieros fueron el objetivo del 50 % de los diez principales incidentes ocurridos en la nube en el segundo trimestre de 2021, incluidos los incidentes en Australia, Canadá, China, Estados Unidos, Francia y Singapur. Los incidentes en la nube dirigidos a sectores en Estados Unidos representaron el 34 % de los incidentes registrados en los diez primeros países.
Sector en la nube en EE. UU.1. Servicios financieros
2. Atención sanitaria
3. Comercio minorista
4. Servicios profesionales
5. Fabricación
6. Medios de comunicación y entretenimiento
7. Viajes y hostelería
8. Administración pública
9. Software e internet
10. Servicios educativos
Tabla 6. Los servicios financieros fueron el principal objetivo de las amenazas en la nube en Estados Unidos en el segundo trimestre de 2021. Los incidentes dirigidos a los servicios financieros representaron el 29 % del total de incidentes en la nube entre los diez principales sectores.
Informe de Advanced Threat Research (octubre de 2021)
INFORME
12
Carta de nuestro científico jefe
RANSOMWARE
B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo
AMENAZAS EN LA NUBE
Amenazas por países, continentes, sectores y vectores
Principales técnicas utilizadas según Mitre Att&ck (T2 2021)
Cómo defenderse de estas amenazas
Recursos
Incidentes en la nube por país (T2 2021)
País1. Estados Unidos
2. India
3. Australia
4. Canadá
5. Brasil
6. Japón
7. México
8. Reino Unido
9. Singapur
10. Alemania
Tabla 7. El mayor número de incidentes en la nube dirigidos a un país concreto se registró en Estados Unidos, seguido de India, Australia, Canadá y Brasil. Los incidentes en la nube dirigidos a Estados Unidos representaron el 52 % de los registrados en los diez primeros países.
Amenazas por países, continentes, sectores y vectores
Países y continentes (T2 2021)
Incrementos destacables de incidentes denunciados públicamente por países y continentes, durante el segundo trimestre de 2021:
� Estados Unidos fue el país donde más incidentes se registraron.
� En Europa se produjo el mayor aumento de incidentes registrados en este periodo: un 52 %.
Sectores atacados (T2 2021)
Incrementos destacables de incidentes denunciados públicamente contra sectores, durante el segundo trimestre de 2021:
� Los ataques se solían dirigir a varios sectores.
� Entre los sectores que más incremento han observado se encuentran el público (64 %) y el del entretenimiento (60 %).
Vectores atacados (T2 2021)
Incrementos destacables de incidentes denunciados públicamente contra vectores, durante el segundo trimestre de 2021:
� El malware fue la técnica más utilizada en los incidentes comunicados.
� El spam mostró el mayor aumento de incidentes comunicados con respecto al primer trimestre de 2021 (250 %), seguido de los scripts maliciosos (125 %) y el malware (47 %).
Informe de Advanced Threat Research (octubre de 2021)
INFORME
13
Carta de nuestro científico jefe
RANSOMWARE
B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo
AMENAZAS EN LA NUBE
Amenazas por países, continentes, sectores y vectores
Principales técnicas utilizadas según Mitre Att&ck (T2 2021)
Cómo defenderse de estas amenazas
Recursos
PRINCIPALES TÉCNICAS UTILIZADAS SEGÚN MITRE ATT&CK (T2 2021)
TácticasTécnicas (5 principales por táctica) Observaciones
Acceso inicial Adjunto de phishing dirigido
El phishing dirigido (mediante enlaces y archivos adjuntos) y el exploit de aplicaciones públicas ocupan las primeras posiciones de las principales técnicas de acceso inicial.
Exploit de aplicaciones públicas
Enlace de phishing dirigido
Cuentas válidas
Servicios remotos externos
Ejecución Shell de comandos de Windows
En este periodo hemos observado varios ataques que utilizan PowerShell o el shell de comandos de Windows para ejecutar malware en la memoria o para emplear herramientas de doble uso o no maliciosas en sus intentos de explotación de red. A menudo se suelen incorporar scripts de línea de comandos a marcos de pruebas de penetración como Cobalt Strike para facilitar la ejecución.
PowerShell
Archivos maliciosos
Instrumental de administración de Windows:
Módulos compartidos
Persistencia Claves de ejecución del registro/carpeta de inicio
Tarea planificada
Servicio de Windows
Cuentas válidas
Carga en DLL
Elevación de privilegios
Claves de ejecución del registro/carpeta de inicio
Inyección de procesos La inyección de procesos sigue siendo una de las principales técnicas de elevación de privilegios.
Tarea planificada
Servicio de Windows
Inyección de un Portable Executable
Evasión de defensas
Desofuscación/descodificación de archivos o información
Archivos o información ocultos
Modificación del registro
Comprobaciones del sistema
Eliminación de archivos
Informe de Advanced Threat Research (octubre de 2021)
INFORME
14
Carta de nuestro científico jefe
RANSOMWARE
B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo
AMENAZAS EN LA NUBE
Amenazas por países, continentes, sectores y vectores
Principales técnicas utilizadas según Mitre Att&ck (T2 2021)
Cómo defenderse de estas amenazas
Recursos
TácticasTécnicas (5 principales por táctica) Observaciones
Acceso a credenciales
Registro de pulsaciones El registro de pulsaciones y la recopilación de credenciales en navegadores web son funcionalidades habituales en la mayoría de los troyanos de acceso remoto (RAT).
Credenciales en navegadores web
Volcado de credenciales de SO
Esta técnica es la principal funcionalidad de la herramienta de recopilación de credenciales Mimikatz, que el equipo de ATR ha observado en muchas de las campañas analizadas en el segundo trimestre.
Captación de datos introducidos
Memoria de LSASS
Descubrimiento Descubrimiento de información del sistema
Descubrimiento de archivos y directorios
Descubrimiento de procesos
Comprobaciones del sistema
Registro de consultas
Desplazamiento lateral
Protocolo de escritorio remoto
Aprovechamiento de servicios remotos
Copia remota de archivos
SMB/Recursos compartidos de administración de Windows
SSH
Recopilación Captura de pantalla En el segundo trimestre se llevaron a cabo varias campañas en las que se emplearon RAT. La captura de pantalla fue una técnica a la que recurrieron muchas de las variantes del malware RAT.
Registro de pulsaciones
Datos del sistema local
Datos del portapapeles
Datos recopilados de archivo
Informe de Advanced Threat Research (octubre de 2021)
INFORME
15
Carta de nuestro científico jefe
RANSOMWARE
B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo
AMENAZAS EN LA NUBE
Amenazas por países, continentes, sectores y vectores
Principales técnicas utilizadas según Mitre Att&ck (T2 2021)
Cómo defenderse de estas amenazas
Recursos
TácticasTécnicas (5 principales por táctica) Observaciones
Mando y control Protocolos web
Transferencia de herramientas de entrada
Puerto no estándar
Servicio web
Protocolos de capa que no son de aplicaciones
Filtración Filtración a través de canal de mando y control
Filtración a través de protocolo alternativo
Filtración a almacenamiento en la nube
Los autores de amenazas de ransomware siguieron filtrando datos de las víctimas a diferentes proveedores de almacenamiento en la nube. La mayoría de las veces se hace mediante herramientas comerciales como RClone y MegaSync.
Filtración automatizada
Filtración mediante un protocolo distinto de C2 sin cifrado/ofuscación
Impacto Datos cifrados para generar un impacto
El cifrado de datos para generar un impacto es, de nuevo, la técnica más utilizada en las campañas y amenazas que el equipo de ATR analizó. Este trimestre, varias familias de ransomware han lanzado un bloqueador basado en Linux contra servidores ESXi, lo que supone un incremento aún mayor del uso de esta técnica.
Inhibición de la recuperación del sistema
Esta es una técnica que los grupos de ransomware suelen utilizar antes de entregar la carga útil final. Al eliminar las instantáneas de volumen, dificultan a sus víctimas recuperarse del ataque.
Secuestro de recursos
Parada del servicio
Apagado/reinicio del sistema
Tabla 8. Notas de las principales técnicas de MITRE ATT&CK utilizadas en APT/delincuencia (T2 2021).
Informe de Advanced Threat Research (octubre de 2021)
INFORME
16
Carta de nuestro científico jefe
RANSOMWARE
B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo
AMENAZAS EN LA NUBE
Amenazas por países, continentes, sectores y vectores
Principales técnicas utilizadas según Mitre Att&ck (T2 2021)
Cómo defenderse de estas amenazas
Recursos
Cómo defenderse de estas amenazas
En el segundo trimestre de 2021 vimos y comentamos varios tipos de amenazas diferentes. Por suerte, también le ofrecemos consejos y productos para que usted y su organización sigan a salvo.
Descubra cómo la configuración de ENS 10.7, la protección contra la manipulación y la reversión pueden protegerle del ransomware Cuba, o consulte nuestro exhaustivo blog redactado especialmente para los defensores.
Recuerde cómo puede bloquear todas esas molestas ventanas emergentes de su navegador y cómo quedan nuestros clientes protegidos de los sitios maliciosos gracias a McAfee WebAdvisor y McAfee Web Control.
Descubra la manera en que los estafadores se hacen pasar por Windows Defender para introducir aplicaciones de Windows maliciosas, y lea nuestros consejos de seguridad para hacer frente a esta situación. A los clientes les encantará saber que Real Protect en la nube les protege de forma proactiva mediante el aprendizaje automático, y que los clientes de McAfee WebAdvisor y McAfee Web Control están protegidos de los sitios maliciosos de los que ya hay constancia.
Aprenda las mejores prácticas para vigilar su red y protegerla de uno de los ransomware de los que más se ha hablado este trimestre: DarkSide. Este blog también ofrece abundante información sobre cobertura y protección, con temas como las EPP, ENS, y MVISION Insights y MVISION EDR.
Por último, descubra por qué las máquinas virtuales son tan valiosas para los ciberdelincuentes y por qué los usuarios de VMware afectados deben aplicar inmediatamente un parche en su sistema. Para quienes no puedan instalar parches de inmediato, ofrecemos consejos prácticos y les recordamos que Network Security Platform ofrece firmas para las CVE en cuestión.
Informe de Advanced Threat Research (octubre de 2021)
INFORME
17
Carta de nuestro científico jefe
RANSOMWARE
B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo
AMENAZAS EN LA NUBE
Amenazas por países, continentes, sectores y vectores
Principales técnicas utilizadas según Mitre Att&ck (T2 2021)
Cómo defenderse de estas amenazas
Recursos
Recursos
Consulte los recursos de nuestro equipo para estar al día de las últimas amenazas e investigaciones:
Panel de vista preliminar de MVISION Insights: descubra la única solución proactiva que le permite anticiparse a las amenazas nuevas.
Centro de amenazas de McAfee: nuestro equipo de investigación de amenazas ha identificado las amenazas que hoy causan más impacto.
Raj Samani
Christiaan Beek
John Fokker
Steve Povolny
Douglas McKee
Informe de Advanced Threat Research (octubre de 2021)
INFORME
18
Av. Paseo de la Reforma No.342 Piso 25Colonia Juárez, México DFC.P. 06600+52-55-50890250www.mcafee.com/mx
McAfee y el logotipo de McAfee son marcas comerciales o marcas comerciales registradas de McAfee, LLC o de sus empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Copyright © 2021 McAfee, LLC. 4788_1021OCTUBRE DE 2021
Carta de nuestro científico jefe
RANSOMWARE
B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo
AMENAZAS EN LA NUBE
Amenazas por países, continentes, sectores y vectores
Principales técnicas utilizadas según Mitre Att&ck (T2 2021)
Cómo defenderse de estas amenazas
Recursos