Informe de Acronis sobre ciberamenazas 2020 - Informe de 2020
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Informe
de 2020
Informe de Acronis
sobre ciberamenazas
2020 Tendencias de ciberseguridad
de 2021, el año de la extorsión
ጷ Informe sobre ciberamenazas 2020 Índice Introducción y resumen................................................................................................................................... 3 Parte 1 Ciberamenazas y tendencias clave de 2020............................................................................. 4 1. Exploits con el tema COVID-19..................................................................................................................... 5 2. Los teletrabajadores en el punto de mira.................................................................................................... 7 3. Los ciberdelincuentes se centran en los MSP.............................................................................................. 9 4. El ransomware sigue siendo la amenaza número uno.............................................................................. 10 5. Ya no bastan la copia de seguridad y la protección................................................................................... 12 Parte 2. Amenaza de malware general................................................................................................. 14 Amenaza de ransomware............................................................................................................................... 18 Parte 3. Vulnerabilidades en el SO y el software Windows................................................................ 23 Las aplicaciones de terceros son vulnerables y los delincuentes también las utilizan................................. 25 Aplicaciones más atacadas en todo el mundo............................................................................................... 25 Parte 4. Qué esperar en 2021................................................................................................................. 26 Recomendaciones de Acronis para permanecer seguro en el entorno de amenazas actual y futuro........ 28 AUTORES Alexander Ivanyuk Candid Wuest Director sénior, Posicionamiento de Vicepresidente de Investigación productos y tecnología, Acronis sobre ciberprotección, Acronis
INFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 3
Introducción y resumen
Acronis fue la primera empresa en implementar LAS CINCO CIFRAS PRINCIPALES DE 2020:
la ciberprotección totalmente integrada para
• El 31 % de las empresas internacionales sufren
proteger todos los datos, aplicaciones y sistemas.
un ataque de ciberdelincuentes al menos una
La ciberprotección exige que se investiguen
vez al día.
y supervisen las amenazas, así como abordar los
cinco vectores de la ciberprotección: salvaguarda, • El ransomware Maze representa casi el 50 %
accesibilidad, privacidad, autenticidad y seguridad de todos los casos de ransomware conocidos.
(SAPAS). Como parte de la estrategia, hemos • Más de 1000 empresas han sufrido fugas
establecido tres centros de operaciones de de datos tras ataques de ransomware.
protección (CPOC) distribuidos en el mundo
• Microsoft ha aplicado parches para casi
para controlar e investigar las ciberamenazas
1000 vulnerabilidades en sus productos
continuamente, 24 horas al día, 7 días a la semana.
en solo nueve meses.
Además, hemos actualizado nuestros productos • La vida media de un malware es de 3,4 días.
insignia: Acronis Cyber Protect Cloud, parte de la
plataforma Acronis Cyber Cloud para proveedores TENDENCIAS DE CIBERSEGURIDAD QUE
de servicios, y Acronis Cyber Protect 15, una IDENTIFICAMOS COMO CLAVE EN 2021:
solución local. Antes de estas versiones, Acronis ya • Los ataques contra teletrabajadores no dejarán
era líder en el mercado de la ciberprotección con de aumentar.
su innovadora tecnología antiransomware Acronis
• La filtración de datos superará al cifrado de datos.
Active Protection que, con su evolución a lo largo
del tiempo, demuestra la experiencia inigualable • Habrá más ataques contra proveedores
de Acronis en materia de detención de amenazas de servicios gestionados (MSP), pequeñas
dirigidas a los datos. Sin embargo, es importante empresas y la nube.
destacar que las tecnologías de detección basadas • El ransomware buscará nuevos objetivos.
en IA y comportamientos que Acronis desarrolló en • Los ciberdelincuentes utilizarán más
2016 se han ampliado para incluir todas las formas automatización y el número de muestras
de malware y otras amenazas potenciales. de malware aumentará.
Este informe cubre el panorama de las amenazas LO QUE ENCONTRARÁ EN ESTE INFORME:
descubiertas por nuestros sensores y analistas
en 2020. • Principales tendencias de seguridad observadas
en 2020
Los datos de malware general que presenta el • Estadísticas generales de malware y familias
informe abarcan de junio a octubre de ese año, principales examinadas
con posterioridad al lanzamiento de Acronis
• Estadísticas de ransomware con un análisis
Cyber Protect en mayo de 2020, y reflejan las
detallado de las amenazas más peligrosas
amenazas dirigidas a endpoints que hemos
detectado durante estos últimos meses. • Por qué normalmente tras un ataque de
ransomware que prospera, llega la exposición
El documento ofrece una visión global y se basa en de los datos confidenciales
más de 100 000 endpoints diferentes, distribuidos • Qué vulnerabilidades contribuyen al éxito de
por todo el mundo. Solo se incluyen las amenazas los ataques
para sistemas operativos Windows, ya que son
• Por qué los MSP cada vez sufren más amenazas
mucho más prevalentes que las dirigidas a macOS.
Seguiremos vigilando cómo evoluciona la situación • Nuestras previsiones y recomendaciones de
y es posible que en el informe del año próximo seguridad para 2021
incluyamos datos sobre las amenazas para macOS.
Copyright © 2002-2020 Acronis International GmbH. www.acronis.com
Parte 1 Ciberamenazas y tendencias clave de 2020 1 Exploits con el tema COVID-19 2 Los teletrabajadores en el punto de mira 3 Los ciberdelincuentes se centran en los MSP 4 El ransomware sigue siendo la amenaza número uno 5 Ya no bastan la copia de seguridad y la protección
INFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 5
La pandemia de COVID-19, que comenzó a finales de 2019, ha tenido un efecto devastador en nuestras
vidas en todo el mundo. Aparte de los riesgos evidentes para la salud y el tremendo impacto económico,
la pandemia ha modificado el mundo digital, nuestra forma de trabajar y cómo empleamos nuestro
tiempo libre online.
Al interrumpirse los viajes, la mayoría de las empresas y servicios han pasado a funcionar online. Los que
ya antes trabajaban online se han visto obligados a ampliar esta modalidad y los demás han tenido que
introducir procesos totalmente nuevos. Los organismos oficiales, instituciones sanitarias y empresas de
servicios han tenido que adoptar nuevos medios para satisfacer las necesidades del día a día.
Las reuniones de trabajo se han trasladado a aplicaciones de telecomunicaciones, como Zoom, Webex
y Microsoft Teams, que se han generalizado. Los empleados han cambiado la oficina por el trabajo desde
casa, en una transición a menudo precipitada y sin contar con la asistencia necesaria, y debiendo recurrir
a su propio equipo para realizar el trabajo.
Desafortunadamente, estas difíciles situaciones ofrecen oportunidades a los ciberdelincuentes, que han
incrementado con fuerza sus ataques demostrando una absoluta falta de compasión y empatía.
1. Exploits con el tema COVID-19
Como era de prever, todos hemos acudido en "Activar contenido", lo que permite la ejecución
rápidamente a Internet para buscar cualquier del script VBA incrustado.
información sobre la nueva pandemia: cómo
protegernos, cuáles son las últimas novedades, Asistencia financiera falsa
con qué asistencia contamos y muchos otros En muchos casos, los ciberataques se limitaban
temas. Este interés ha generado un enorme a un país, según cómo se viera este afectado por
número de estafas y otros tipos de ataques. la COVID-19. Por ejemplo, el estado de Renania
del Norte-Westfalia en Alemania fue víctima de
Los ciberdelincuentes siguen utilizando viejos
una campaña de phishing. Los atacantes crearon
trucos para sacar partido del tema de la
copias falsas del sitio web del Ministerio de
COVID-19 en sus ciberataques, como engañar
Asuntos Económicos de la región para solicitar
a las víctimas para que les den sus credenciales
ayuda financiera para la COVID-19. Los timadores
o su información personal en una página web
recopilaron los datos personales que habían
de phishing, o incluir la carga útil maliciosa en
enviado las víctimas y, a continuación, presentaron
documentos que supuestamente contienen
en el sitio web legítimo sus propias solicitudes
información esencial relacionada con la pandemia.
utilizando la información de los afectados,
Hay otros métodos destacados y los ejemplos
pero su propia cuenta bancaria. Los funcionarios
siguientes ilustran algunas de las estafas con
de Renania del Norte-Westfalia informaron de
el tema COVID-19 que hemos descubierto.
que habían satisfecho 4000 solicitudes falsas
Pruebas gratuitas de COVID-19 falsas y el importe enviado a los timadores ascendía
a 109 millones de dólares.
La última versión del malware Trickbot/Qakbot/
Qbot se propagó en numerosos mensajes de
phishing que ofrecían pruebas de COVID-19 gratis.
Las víctimas debían rellenar un formulario adjunto,
que resultó ser un documento falso incrustado
en un script malicioso. Para evitar que se revelara
la carga útil maliciosa en entornos aislados de
verificación de malware, el script esperaba un
tiempo antes de empezar a descargarla.
El documento emplea un truco conocido, para
engañar a los usuarios de manera que hagan clic
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comINFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 6
Timos relacionados con la educación a distancia Un nuevo tipo de extorsión sexual
Los ciberdelincuentes se han centrado también Nos encontramos con una nueva variante de
en aprovechar las posibilidades de la educación extorsión sexual, lo que se conoce como sextortion.
a distancia. Un nuevo mensaje de phishing sobre Los ciberdelincuentes siguen usando una
la pandemia distribuía un troyano Formbook contraseña filtrada anteriormente como elemento
incrustado en una aplicación fraudulenta de de presión, sin embargo, en lugar de amenazar
calificaciones escolares para profesores. Formbook
con hacer público un vídeo grabado, advierten que
es un tipo de malware que roba credenciales de
la vida del usuario está en peligro. Aseguran que
inicio de sesión desde navegadores de Internet.
conocen la ubicación exacta y las rutinas diarias
Se lleva promocionando en foros de hackers
desde febrero de 2016. de la víctima, y declaran que "incluso podrían
infectar a su familia completa con coronavirus".
Los ciberdelincuentes emplearon varias técnicas Para evitar que cumplan sus amenazas, exigen
antianáilsis y antidetección, como la detección de la transferencia de 4000 dólares en bitcoins.
entornos aislados y de máquinas virtuales, para
evadir la protección de Windows Defender. No es la primera vez que los timadores ponen en
riesgo la vida de los usuarios. En el pasado hemos
observado ejemplos en los que amenazaban con
enviar hooligans para que le dieran una paliza a
la víctima, pero la COVID-19 lleva la farsa a una
nueva cota.
Además, se sabe que los delincuentes
responsables de las campañas de Formbook
han atacado a empresas de biomedicina para
robar recursos financieros, datos personales
confidenciales y propiedad intelectual.
Documentos de baja médica falsos
La campaña de Trickbot también aprovechó
el miedo a la pandemia de COVID-19 para
propagar un documento malicioso con el nombre:
"Family and Medical Leave of Act 22.04.doc"
(SHA256: 875d0b66ab7252cf8fe6ab23e31926 La mayoría de estos menajes se envían desde
b43c1af6dfad6d196f311e64ed65e7c0ce). direcciones de correo electrónico que se falsifican
al azar o bien emplean cuentas de correo
La ley auténtica sobre incapacidad temporal familiar electrónico reales. Lógicamente solo el mensaje
(Family Medical Leave Act, FMLA) otorga a los debe ser ya un claro indicio de que se trata de
empleados el derecho a recibir prestaciones por una estafa y simplemente puede borrarlo.
baja médica. Sin embargo, una vez que el usuario
activa la macro en estos documentos fraudulentos,
el script malicioso comienza a descargar otro
malware en el ordenador.
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comINFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 7
Tras los secretos de la COVID-19 de gobiernos La empresa china Huiying Medical, que
y empresas privadas supuestamente ha desarrollado inteligencia
artificial para diagnosticar la COVID-19 mediante
Algunos datos importantes relacionados con
imágenes de tomografías computarizadas con
la pandemia de COVID-19 que los analistas
un 96 % de precisión, ha sido presuntamente
sospechan que el gobierno chino mantuvo en
hackeada. Según la empresa de ciberseguridad
secreto están atrayendo la atención de los hackers
Cyble, un hacker con el apodo "THE0TIME" puso
en todo el mundo. Por ejemplo, parece que el
en venta en la Internet oscura datos de Huiying
grupo financiado por Vietnam, APT32 (también
Medical que pueden contener información
conocido como OceanLotus Group) , ha atacado
de usuarios, código fuente e informes sobre
a organismos estatales chinos con el objetivo de
experimentos, por un precio de cuatro bitcoins
robar medidas de control del virus, investigaciones
(aproximadamente 30 000 dólares en ese
médicas y estadísticas sobre el número de
momento).
infecciones que supuestamente China no ha hecho
públicas. Vietnam es un país vecino de China y su Otros grupos de ATP atacaron empresas
interés puede estar motivado en parte por el deseo farmacéuticas y laboratorios que trabajan en
de controlar la propagación de la pandemia en vacunas, con el fin de robar datos relevantes.
la región.
2. Los teletrabajadores en el punto de mira
La pandemia de COVID-19 ha cambiado radicalmente el panorama de las amenazas, poniendo de
manifiesto numerosos riesgos para la seguridad y la privacidad asociados al trabajo a distancia, como
el acceso remoto a servidores internos de la empresa, las videoconferencias y la formación en seguridad
para los teletrabajadores.
Para evaluar cómo afrontan los equipos de TI esta experiencia –dónde han demostrado su capacidad
para la transición a los entornos remotos y dónde queda margen de mejora– hemos desarrollado
nuestro primerísimo Informe sobre ciberpreparación de Acronis. Para este informe, hemos encuestado
a 3400 empresas y teletrabajadores de todo el mundo en junio y julio de 2020, con preguntas acerca de
las amenazas, retos y tendencias que han observado desde que cambiaron al teletrabajo. Los resultados
son alarmantes:
• Casi la mitad de todos los administradores de TI tienen problemas para formar y proteger a los
teletrabajadores.
• El 31 % de las empresas internacionales sufren un ataque de ciberdelincuencia al menos una vez
al día. Los tipos de ataques más habituales son intentos de phishing, ataques DDoS y ataques
a sistemas de videoconferencia.
• El 92 % de las empresas internacionales tuvieron que adoptar nuevas tecnologías para
cambiar al teletrabajo. Como resultado, el 72 % de las multinacionales
han observado un incremento de costes de TI durante la pandemia.
• A pesar del aumento del gasto en tecnología, los ataques que
consiguen sus objetivos siguen siendo frecuentes, ya que las
empresas no priorizan de manera adecuada las funciones defensivas.
• El 39 % de todas las empresas denunciaron ataques a sistemas de
videoconferencia durante la pandemia.
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comINFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 8
ጷ
Los administradores de TI tienen muchas dificultades Informe sobre
para ofrecer asistencia a los empleados que teletrabajan ciberpreparación
2020
P1. ¿Cuáles son las principales dificultades técnicas
que ha encontrado para hacer frente al aumento de
empleados que teletrabajan debido a la pandemia?
60 %
54,7 %
50
49,7 %
44,4 %
40 34,1 %
30 25,1 %
18,5 %
20
10
0
Capacitar/ Proteger a los Garantizar la Software que Empleados que Falta de
formar a los teletrabajadores. disponibilidad no funciona instalan software hardware
empleados para de las correctamente. no autorizado. o fallos
el teletrabajo. aplicaciones del hardware.
y redes de
la empresa.
El coronavirus incrementa los ataques a Zoom de phishing, en combinación con los de "relleno de
Con la aparición de la COVID-19, la plataforma de credenciales", en los que el atacante comprueba
conferencia virtual Zoom captó involuntariamente si el usuario ha utilizado la misma contraseña en
la atención de los ciberdelincuentes. Al aumentar varios servicios, han provocado que haya más
la base de clientes, cada vez más personas de 500 000 credenciales de usuarios de Zoom
comenzaron a analizar el código de Zoom circulando por foros clandestinos.
para encontrar vulnerabilidades, y aumentó El hecho de que muchas videoconferencias de
la preocupación por la privacidad. Zoom no utilicen contraseña también ha atraído
Por ejemplo, Vice.com comunicó que había en a los ciberdelincuentes. Los atacantes empiezan
el mercado clandestino de la Internet oscura dos por probar todos los números de ID de reuniones
vulnerabilidades de día cero, es decir, agujeros posibles hasta que dan con una llamada de
en la seguridad que los proveedores no conocen videoconferencia en curso. Entonces, se unen
y, por lo tanto, para los que no hay parches: una a la conferencia y molestan a los participantes
para Windows y otra para macOS. El exploit de reproduciendo vídeos, música a volumen alto u otro
ejecución de código remoto (RCE) de Zoom para material inapropiado. Estos ataques de bombardeo
Windows estaba a la venta por 500 000 dólares. de Zoom han llevado a muchos centros educativos a
interrumpir sus programas de enseñanza a distancia.
Zoom se convirtió también en el objetivo de
una campaña de phishing destinada a robar No solo ocurre en Zoom: los usuarios de
credenciales de servicio. Se entregaron mensajes Microsoft 365 también reciben ataques
de phishing en más de 50 000 buzones de correo, Lógicamente Zoom no es la única herramienta de
dirigidos contra usuarios de Microsoft 365 con colaboración en el punto de mira de los atacantes.
una invitación falsa a una llamada por Zoom Se han producido ataques similares contra
con el departamento de recursos humanos Microsoft Teams y Webex. Por ejemplo, en una
para hablar de una evaluación del rendimiento semana hasta 50 000 usuarios de Microsoft 365
del empleado (un tema concebido para infundir recibieron un ataque con mensajes de phishing
ansiedad a la víctima, lo que puede minar su que contenían avisos falsos de Microsoft Teams
habitual cautela a la hora de hacer clic en un que redirigían a las víctimas a una página falsa de
enlace de correo electrónico). Este tipo de ataques inicio de sesión en Microsoft 365.
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comINFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 9 Los servicios para compartir archivos de Microsoft, El departamento de TI no se encarga de gestionar como Sway, SharePoint y OneNote, han sido muchos de estos equipos y, por lo tanto, no se les atacados en varias campañas de phishing pequeñas aplican las directivas de la empresa. dirigidas contra empresas de servicios financieros, despachos de abogados y grupos inmobiliarios. Un Solucionar estos problemas de vulnerabilidades ataque, denominado PerSwaysion por aprovechar y gestión de parches en el perímetro es de manera fraudulenta los servicios de Sway, tremendamente difícil para los administradores se ejecutaba en tres pasos. Comienza por enviar y técnicos que proporcionan asistencia técnica mensajes de phishing que contienen un PDF para ayudar a las pequeñas empresas a sobrevivir adjunto malicioso que finge ser una notificación durante este período de emergencia. para compartir archivos de Microsoft 365 con un Además, las redes domésticas están con frecuencia hiperenlace "Leer ahora". Al hacer clic en el enlace, expuestas a otros dispositivos no protegidos, por se abre en los servicios para compartir archivos de ejemplo, los de hijos u otros miembros de la familia. Microsoft (concretamente en Sway) otro documento Asimismo, el enrutador de banda ancha suele estar falso con otro enlace "Leer ahora" que lleva a anticuado, lo que permite a los ciberdelincuentes la víctima a una página de inicio de sesión de secuestrarlo y les ofrece la posibilidad de redirigir Microsoft que roba sus credenciales. tráfico específico. Falta de seguridad para el personal que teletrabaja Ahora que muchos empleados trabajan desde casa con sus propios ordenadores, las amenazas para la seguridad se están disparando. Estos equipos no solo carecen de ciberprotección eficaz, sino que además, muchos usuarios no aplican con regularidad los últimos parches de seguridad para su sistema operativo y el habitual software de terceros, lo que deja a sus máquinas en una situación de vulnerabilidad. 3. Los ciberdelincuentes se centran en los MSP Muchas de las pequeñas y medianas empresas emplean a proveedores de servicios gestionados (MSP), lo que provoca que muchos de estos se conviertan en víctimas de ciberataques. El planteamiento es evidente: en lugar de atacar 100 empresas diferentes, los ciberdelincuentes solo tienen que hackear un MSP para obtener acceso a 100 clientes. Los ataques en 2020 mostraron que los MSP reciben ataques a través de muy distintas técnicas, siendo uno de los principales vectores de ataque el software de acceso remoto. Los ciberdelincuentes aprovecharon vulnerabilidades, la ausencia de autenticación de dos factores y phishing para obtener acceso a las herramientas de administración de los MSP y, a partir de ahí, a las máquinas de sus clientes. Por ejemplo, el proveedor de soluciones y servicios tecnológicos globales DXC Technology anunció un ataque de ransomware en sistemas de su filial Xchanging. Los principales clientes de Xchanging son empresas de servicios del sector de seguros, pero su lista de clientes incluye compañías de otros campos: servicios financieros, industria aeroespacial, defensa, automoción, educación, bienes de consumo rápido, sanidad y fabricación. Otro ejemplo fue Canadian MSP Pivot Technology Solutions, que denunció un ciberataque a su infraestructura de TI. Pivot Technology sufrió una fuga de datos tras un ataque de ransomware y el incidente podría haber afectado a la información personal de los clientes. Es un caso típico en 2020 y prevemos que seguirá ocurriendo. Copyright © 2002-2020 Acronis International GmbH. www.acronis.com
INFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 10
4. El ransomware sigue siendo la amenaza número uno
Claramente, 2020 ha sido un año de ransomware Garmin, una de las mayores empresas de
con un mayor número de ataques, pérdidas dispositivos wearable del mundo, confirmó que
más elevadas y nuevas técnicas de extorsión. la gran interrupción del servicio que comenzó el
Casi cada semana se hacen públicos casos de 24 de julio se debía a un ataque del ransomware
gran trascendencia. Según un informe publicado WastedLocker. Dicho ataque obligó a Garmin
por Coalition, una de las mayores aseguradoras a detener las operaciones en sus centros de
que ofrecen ciberseguros en Norteamérica, en la contacto, el servicio Garmin Connect e incluso las
primera mitad de 2020 los casos de ransomware líneas de producción en Taiwan. Garmin, con unos
representan el 41 % de las reclamaciones de ingresos anuales estimados en 4000 millones de
ciberseguros. "El ransomware no hace distinciones dólares, es sin duda un objetivo muy preciado.
entre sectores. Hemos observado un incremento Se cree que el importe del rescate solicitado
en los ataques de ransomware en casi todos los ascendía a 10 millones de dólares. Otros ataques
sectores con los que trabajamos", informó Coalition. recientes de WastedLocker han solicitado el pago
Nosotros, en Acronis, confirmamos que es así. de rescates que van desde 500 000 hasta millones
de dólares.
Vea las estadísticas detalladas de nuestros
centros de operaciones de ciberprotección La lista de víctimas a las que se les exige un
en las siguientes secciones de este informe. abultado rescate es larga. En febrero, el FBI publicó
Aquí detallamos las sombrías tendencias que un cálculo de los beneficios obtenidos por algunos
observamos a un nivel general. grupos de ransomware. Según la lista, grupos como
Ryuk habían ganado aproximadamente 3 millones
Cuanto más grande es la empresa atacada, de dólares al mes en 2019. Dada esta jugosa
mayor es el rescate remuneración, no se prevé que la amenaza vaya
a desaparecer a corto plazo.
El 18 de julio, el mayor proveedor de
telecomunicaciones de Argentina recibió un Lo que es más, las familias de ransomware
ataque de ransomware, probablemente del grupo actuales no solo exigen un recate para descifrar
Sodinokibi, que exigía un rescate de 7,5 millones de los datos, sino también por no divulgar los datos
dólares. Como suele ocurrir con muchos atacantes confidenciales robados, lo que incrementa sus
que desean forzar una decisión rápida de la posibilidades de conseguir ganancias más aún.
víctima, informaron de que el importe del rescate
se duplicaría si no se hacía efectivo en un plazo
de 48 horas. Se cree que el ransomware infectó
más de 18 000 estaciones de trabajo, incluidos
terminales con datos muy confidenciales.
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comINFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 11
Solicitud del pago de un rescate por no divulgar estrategia de extorsión para obligar a las víctimas
información a pagar el rescate. Si bien Conti ha estado activo
durante varios meses, ha sido hace poco cuando los
El grupo de ransomware REvil/Sodinokibi anunció ciberdelincuentes han lanzado este sitio web en el
el 14 de agosto que habían atacado en Kentucky que amenazan a las víctimas con publicar los datos
a Brown-Forman, la empresa matriz de marcas robados si no satisfacen el pago del rescate exigido.
de whiskey como Jack Daniels, Old Forester "Conti.News" incluye actualmente 112 víctimas,
o The Glendronach, así como otros muchos incluidas empresas grandes y muy conocidas.
vinos y licores. Brown-Forman, cuya declaración
anual en 2020 incluye ganancias brutas de más En total, casi 20 grupos de ransomware diferentes
de 2000 millones de dólares e ingresos netos de han creado páginas dedicadas a datos filtrados,
872 millones de dólares, es incuestionablemente alojadas en la red clandestina Tor. Se han hecho
un objetivo de gran valor para los operadores públicos los datos de más de 700 empresas; el
de ransomware. 37 % de las fugas de datos están relacionadas con
infecciones con el ransomware Maze, seguido por
El grupo REvil manifestó haber robado 1 TB de Conti con un 15 % y Sodinokibi con un 12 %.
datos, incluidos datos financieros, información
confidencial de empleados, comunicaciones Estas violaciones de datos pueden provocar daños
internas y acuerdos comerciales. Según las en la reputación, ataques posteriores y sanciones
imágenes publicadas en su sitio de filtraciones de diversos tipos. Además, filtrar datos de clientes
de datos, poseen datos hasta de 2009. puede ser un acto punible según las normativas
locales, como el RGPD o la CCPA, y pagar el rescate
Canon, la corporación multinacional especializada puede ser un delito según la OFAC (Estados Unidos).
en productos ópticos y de imagen, fue víctima
de un ataque del ransomware Maze que afectó
a su sistema de correo electrónico, Microsoft
Teams, su sitio web para Estados Unidos y otras
aplicaciones internas. Los operadores del
ransomware Maze declararon que habían robado
más de 10 TB de datos de Canon, incluidas bases de
datos privadas. En un mensaje interno enviado a sus
empleados, Canon reconoció el ataque.
CWT, una de las mayores empresas de viajes
y gestión de eventos del mundo, fue atacada por el
ransomware Ragnar Locker. Los ciberdelincuentes
se apoderaron de 2 TB de datos corporativos
confidenciales y manifestaron haber afectado
a más de 30 000 sistemas. Si bien en principio
exigieron 10 millones de dólares para devolver
intactos los datos robados, tras negociaciones
con CWT, acordaron un rescate de 414 bitcoins,
equivalente a más de 4 millones de dólares en el
momento de redacción de este documento.
Conti, un nuevo ransomware como servicio (RaaS)
y sucesor de la conocida variante Ryuk, lanzó un
sitio web de datos filtrados como parte de su
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comINFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 12
5. Ya no bastan la copia de
seguridad y la protección
Llevamos desde 2016 prediciendo que el ransomware atacaría las soluciones de copia de seguridad.
Esa previsión se basa en iniciativas como la asociación No More Ransom, de la que Acronis es miembro
desde 2017, que animan a personas y empresas a negarse a pagar el rescate y optar por proteger
convenientemente las máquinas frente al ransomware. Si tiene una copia de seguridad, no necesita
pagar un rescate, ya que puede restaurar los datos. Esta era básicamente la idea fundamental, pero
los ciberdelincuentes también la captaron al instante. Desde 2017, lo primero que hacen prácticamente
todas las variantes de ransomware es eliminar o desactivar las instantáneas de volúmenes Windows
e intentar desactivar las soluciones de copia de seguridad tradicionales. Muchas de estas soluciones
de copia de seguridad cuentan con funciones de autoprotección muy básicas, si acaso, por lo que los
ciberdelincuentes lo tienen bastante fácil. La prueba realizada por el laboratorio NioGuard, miembro de
la organización AMTSO, es un buen reflejo de esta desafortunada situación.
Veamos algunos ejemplos recientes de ransomware.
RANSOMWARE CONTI:
• El rescate medio exigido por este ransomware es inferior a 100 000 dólares.
• Utiliza el Administrador de reinicio de Windows para cerrar los archivos abiertos o no guardados
antes de realizar el cifrado.
• Contiene más de 250 rutinas de descifrado de cadenas y aproximadamente 150 servicios que
pueden cerrarse.
• Realiza un cifrado rápido de archivos en 32 subprocesos simultáneos a través de puertos de
finalización de E/S de Windows.
• Sigue la tendencia y ha lanzado hace poco el sitio de datos filtrados "Conti.News".
Además, el ransomware elimina las instantáneas de los archivos y redimensiona el almacenamiento de
instantáneas para discos de C: a H: lo que también puede provocar que desaparezcan las instantáneas,
o copias shadow. Asimismo, detiene servicios que pertenecen a SQL, antivirus, ciberseguridad y soluciones
de copia de seguridad, como BackupExec y Veeam. También intenta cerrar la solución Acronis Cyber
Protect, pero no lo consigue debido a nuestra función de autoprotección. La lista contiene alrededor de
150 servicios, incluidos:
Acronis VSS Provider BackupExecRPCService VeeamDeploySvc
Veeam Backup Catalog Data Service BackupExecVSSProvider VeeamEnterpriseManagerSvc
AcronisAgent EPSecurityService VeeamMountSvc
AcrSch2Svc EPUpdateService VeeamNFSSvc
Antivirus mozyprobackup VeeamRESTSvc
BackupExecAgentAccelerator VeeamBackupSvc VeeamTransportSvc
BackupExecAgentBrowser VeeamBrokerSvc VeeamHvIntegrationSvc
BackupExecDeviceMediaService VeeamCatalogSvc Zoolz 2 Service
BackupExecJobEngine VeeamCloudSvc AVP
BackupExecManagementService VeeamDeploymentService
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comINFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 13
RANSOMWARE NETWALKER:
Otro ejemplo es el ransomware Netwalker, que se descubrió en circulación en agosto de 2019.
Este malware implementa el modelo RaaS y ataca tanto a empresas como a usuarios. Desde marzo de
2020, ha conseguido a través de sus extorsiones aproximadamente 25 millones de dólares. El rasgo más
característico de la última versión de Netwalker es el empleo del cargador PowerShell muy oculto, para
iniciar el ransomware en el sistema infectado. El uso del script PowerShell o, en general, cualquier otra
herramienta preinstalada que haya disponible, sigue siendo muy popular entre los ciberdelincuentes.
Igual que muchas otras variantes de ransomware, Netwalker elimina las instantáneas de los archivos
de Windows.
Netwalker también intenta detener los servicios de copia de seguridad que comienzan por las siguientes
cadenas, con el fin de impedir la restauración:
veeam* ShadowProtectSvc StorageCraft ImageManager
backup* AcronisAgent acrsch2svc*
*backup* AcrSch2Svc
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comParte 2 Amenaza de malware general
INFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 15
En el 3.er trimestre de 2020, una media del 11 % de nuestros clientes consiguieron bloquear al menos
un ataque de malware. Las cifras han descendido ligeramente hasta niveles casi normales desde que
comenzó la pandemia. En julio, era un 14,7 %, seguido por un 10,1 % en agosto, un 8,9 % en septiembre
y un 6,7 % en octubre.
El país en el que hay más clientes que han detectado malware en el 3.er trimestre de 2020 ha sido
Estados Unidos con un 27,9 %, seguido por Alemania con un 16,7 % y Reino Unido con un 6,1 %.
El laboratorio de pruebas de malware independiente AV-Test registró 400 000 nuevas muestras de
malware al día en el tercer trimestre de 2020, lo que indica claramente que los ciberdelincuentes están
automatizando sus procesos y generando una oleada de nuevas amenazas de malware. Sin embargo,
la mayoría de estas amenazas solo se utilizan para unos cuantos ataques durante un breve período de
tiempo. De las muestras que encontramos, el 19 % se observaron una vez. La vida media de una muestra
de malware era de 3,4 días, después desaparecía y no se volvía a ver nunca más.
Estas son las 10 principales familias de malware que hemos observado y rastreado en 2020:
10%
8
6
4
2
0
Emotet Agent Tesla XMRig Formbook Trickbot LokiBot Remcos Qbot Nanocore Azorult
Porcentaje mensual de detecciones globales por país
PAÍS OCT 2020 SEPT 2020 AGOS 2020 JULIO 2020
Estados Unidos 27,5 % 27,9 % 29,3 % 16,4 %
Alemania 18,4 % 16,7 % 16,8 % 4,3 %
Suiza 7,2 % 5,4 % 3,6 % 3,2 %
Reino Unido 5,9 % 6,1 % 6,4 % 4,5 %
Canadá 3% 3,6 % 3,6 % 1,5 %
Francia 3% 2,9 % 3,3 % 2,3 %
Italia 3% 3,2 % 3,3 % 1,7 %
Australia 3% 3,3 % 3,1 % 2%
España 2,6 % 3% 2,8 % 4,2 %
Japón 2% 2,3 % 3,2 % 15,7 %
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comINFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 16
Detecciones
de malware
Octubre de 2020
Porcentaje
0% 0,27 %
Si normalizamos el número de detecciones por cliente activo por país, obtenemos una distribución
ligeramente diferente. La tabla siguiente muestra el número de detecciones encontradas por
1000 clientes por país. Muestra claramente que las ciberamenazas son un fenómeno mundial.
DETECCIÓN DE MALWARE
CLASIFICACIÓN PAÍS
por 1000 clientes observada en agosto
1 Estados Unidos 2059
2 Japón 1571
3 India 1168
4 Colombia 1123
5 Brasil 994
6 Tailandia 856
7 Irlanda 729
8 España 634
9 República Checa 611
10 Alemania 601
11 Italia 589
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comINFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 17
DETECCIÓN DE MALWARE
CLASIFICACIÓN PAÍS
por 1000 clientes observada en agosto
12 Hong Kong 518
13 Taiwán 480
14 Nueva Zelanda 462
15 Polonia 453
16 Francia 444
17 Grecia 437
18 Dinamarca 375
19 Australia 361
20 Bélgica 358
21 Sudáfrica 351
22 Bulgaria 351
23 Canadá 347
24 Reino Unido 329
25 Suiza 311
Número de
detecciones
normalizadas
en agosto de 2020
Número de detecciones por 1000 clientes
131 2059
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comINFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 18
Amenaza de ransomware
Como ya hemos mencionado en la sección de principales tendencias, el ransomware sigue siendo la
principal ciberamenaza para las empresas. Aunque llevamos observando ransomware desde 2017,
cuando Acronis Active Protection se desarrolló por primera vez, en esta sección nos centramos en
los datos desde el 1 de enero hasta el 31 de octubre de 2020.
Estas son las 10 principales familias de ransomware que hemos descubierto y rastreado en 2020.
Tenga en cuenta que algunos grupos intentan infectar a tantos usuarios como sea posible con un
enfoque amplio, mientras que otros se centran en objetivos de gran valor y solo intentan unas cuantas
infecciones que esperan que les reporten una cuantiosa recompensa. De ahí que solo el volumen de
detecciones de amenazas no sea indicativo del peligro que entrañan.
1. Maze 6. Ragnar Locker
2. REvil/Sodinokibi 7. MegaCortex
3. SNAKE (EKANS) 8. CLOP
4. Nemty 9. DoppelPaymer
5. NetWalker (aka Mailto) 10. Thanos
En los nueve últimos meses hemos observado alrededor de 50 nuevas familias de ransomware.
Algunas son pequeños grupos centrados en usuarios particulares, pero la tendencia entre los nuevos
grupos, como Avaddon, Mount Locker y Suncrypt, es perseguir a grandes empresas que ofrecen más
rentabilidad. Cada vez más de estos grupos actúan como ransomware como servicio, o redistribuidores
de amenazas ya establecidas. Esto provoca un incremento del índice de distribución de las amenazas
de ransomware populares.
Detecciones de ransomware diarias
Este año hemos observado un claro repunte global al inicio del confinamiento por la COVID-19 en marzo.
Desde entonces, la actividad del ransomware ha seguido a un nivel más elevado de lo normal. En lo
relativo a los sectores y zonas geográficas atacadas, no hay excepciones: los ciberdelincuentes atacan
todos los sectores. En septiembre, comenzamos a ver otra ola de ataques de ransomware, en especial
contra empresas de los sectores de educación y fabricación en América del Norte.
Internacional EMEA Asia América
1,2 %
1
0,8
0,6
0,4
0,2
0%
1 ene
8 ene
15 ene
22 ene
29 ene
5 feb
12 feb
19 feb
26 feb
4 mar
11 mar
18 mar
25 mar
1 abr
8 abr
15 abr
22 abr
29 abr
6 mayo
13 mayo
20 mayo
27 mayo
3 jun
10 jun
17 jun
24 jun
1 jul
8 jul
15 jul
22 jul
29 jul
5 ago
12 ago
19 ago
26 ago
2 sep
9 sep
16 sep
23 sep
30 sep
7 oct
14 oct
21 oct
28 oct
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comINFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 19
10 principales países: detecciones Grupos de ransomware en primer plano
de ransomware por región
Asia: El elusivo ransomware Maze cifra y roba terabytes
de datos privados en ataques selectivos
Porcentaje de detección
PAÍS de ransomware regional
en el 3. er trimestre de 2020 El ransomware Maze lleva detectándose en
Japón 17,7 % ataques selectivos desde al menos mayo de
Filipinas 13,3 %
2019 y es presuntamente responsable del último
ataque contra Canon, llevado a cabo el 30 de
Taiwán 9,6 %
julio de 2020, que provocó la interrupción del
China 8,6 %
servicio de almacenamiento en la nube image.
India 7,8 % canon. Además, como parte del ataque a Canon,
Turquía 5,4 % el operador de Maze reivindicó el robo de 10 TB de
Irán 5,3 % datos privados. Los operadores de Maze llegaron
Corea del Sur 3,9 % a publicar los datos de Xerox y LG robados durante
Indonesia 3,7 % un ataque que tuvo lugar en junio de 2020, ya que
las empresas se negaron a pagar el rescate.
Tailandia 3,6 %
• Maze no solo cifra, sino que también roba
EMEA: datos para publicarlos más adelante si no
Porcentaje de detección se paga el rescate
PAÍS de ransomware regional
• Canon, Xerox y LG figuran entre las mayores
en el 3. er trimestre de 2020
víctimas de Maze
Alemania 17,7 %
• Emplea técnicas antidesensamblaje
Francia 13,3 %
y antidepuración
Italia 9,6 %
• No cifra los sistemas cuya configuración
Reino Unido 8,6 %
regional predeterminada sea el ruso
Suiza 7,8 %
• Ofusca la llamada a wmic.exe para eliminar
España 5,4 %
las instantáneas del sistema
Austria 5,3 %
• Envía una solicitud HTTP de punto de control
Países Bajos 3,9 %
al servidor de mando y control situado
Bélgica 3,7 %
en el segmento de red "91.218.114.0"
República Checa 3,6 % en Moscú, Rusia
América: • Utiliza las herramientas de pirateo Mimikatz,
Procdump y Cobalt Strike para propagarse
Porcentaje de detección
PAÍS de ransomware regional
Normalmente, el ransomware Maze se distribuye
en el 3. er trimestre de 2020
tras un ataque dirigido contra una organización
Estados Unidos 67,3 %
que empieza por un mensaje de correo electrónico
Canadá 15,9 % de phishing selectivo, obtiene acceso a través de
Chile 4,7 % una RDP o VDI comprometida (las credenciales
Brasil 3% suelen comprarse en la web oscura) y aprovecha
México 2,7 % las vulnerabilidades de las VPN.
Colombia 1,7 %
Una vez que el operador de Maze obtiene acceso
Perú 1% a la red interna de la empresa, ejecuta Mimikatz
Argentina 0,8 % y Procdump para obtener las contraseñas
Bolivia 0,4 % almacenadas en la memoria y pasa a modo de
Ecuador 0,3 % reconocimiento utilizando la herramienta de
simulación de ataque Cobalt Strike.
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comINFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 20
Maze emplea técnicas antidesensamblaje a través del cliente WinSCP. En algunos incidentes,
para dificultar el análisis de código de los parece que los datos filtrados también estaban
desensambladores. codificados en Base64.
Las técnicas de ofuscación incluyen: En definitiva, todo ello convierte la familia de
ransomware Maze en una de las más peligrosas
1. Saltos condicionales que redirigen al mismo de las que hemos visto en 2020.
lugar y reemplazan los saltos absolutos
El ransomware DarkSide no ataca hospitales,
2. Tras una llamada, se inserta una dirección
centros educativos ni gobiernos
de retorno en la pila y al acabar la función
se salta a esa dirección
DarkSide es una nueva variante de ransomware.
Además, Maze puede detectar si su código Los ataques se iniciaron a principios de agosto de
se está depurando. Comprueba el indicador 2020, supuestamente a manos de los antiguos
"BeingDebugged" en la estructura PEB si el socios de otras campañas de ransomware que se
proceso se ejecuta con un depurador. En tal caso, lucraron con el negocio de la extorsión y decidieron
el código entra en un bucle infinito y no cifra desarrollar su propio código. Según los incidentes
datos. Además, Maze termina los procesos de las conocidos, los rescates oscilan entre 200 000
herramientas de análisis de malware y de oficina y 2 000 000 de dólares. Al igual que otras familias
utilizando los hashes de los nombres de proceso. de ransomware utilizadas en ataques selectivos,
DarkSide no solo cifra datos de usuario, sino
también de los servidores comprometidos.
A diferencia del ransomware Maze, que atacó con
éxito el distrito escolar de Newhall y los colegios
del condado de Fairfax, DarkSide tiene un código
de conducta que prohíbe atacar hospitales,
centros educativos y organismos oficiales.
• Se descubrió en agosto de 2020
• Solo ataca países de habla inglesa y evita
los países soviéticos
El ransomware Maze se parece a variantes
recientes de ransomware, como WastedLocker, • No ataca hospitales, hospicios, centros
Netwalker y REvil, no solo en que cifra datos, sino educativos, universidades, organizaciones
también en que los roba. Emplea la utilidad 7zip sin ánimo de lucro ni el sector público
para comprimir los datos recopilados y filtrar los
archivos comprimidos al servidor FTP del agresor, • Utiliza algoritmos de cifrado Salsa20 con
la matriz personalizada y RSA-1024
• Los rescates oscilan entre 200 000
y 2 000 000 USD
Para ser más furtivo, el ransomware vacía la
papelera de reciclaje sin utilizar la función
SHEmptyRecycleBinA(). En lugar de ello, elimina
uno a uno los archivos y carpetas que hay en la
papelera de reciclaje.
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comINFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 21
DarkSide desinstala los servicios siguientes relacionados con soluciones de seguridad y copia de seguridad:
1. vss 5. mepocs
2. sql 6. sophos
3. svc 7. veeam backup
4. memtas
Tras desinstalar el Servicio de instantáneas de volumen (VSS), el ransomware elimina las instantáneas
iniciando un script de PowerShell ofuscado. DarkSide también especifica una clave que es preciso
introducir en el primer sitio indicado en la nota de rescate. La clave no es única por usuario, sino que
parece serlo por muestra, ya que su valor está codificado y cifrado en el ejecutable.
En este caso, la conclusión es la misma: las nuevas familias de ransomware, incluso las que no son
excesivamente complejas, atacan por defecto las copias de seguridad. Por desgracia, es la nueva norma.
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comINFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 22
Sitios web maliciosos
Durante la pandemia, hemos observado un 20 países con el mayor número de URL
aumento de los ataques de phishing, en especial bloqueadas en el 3.er trimestre
contra las herramientas de colaboración y los
PORCENTAJE
servicios de uso compartido de archivos que han DE URL
ganado popularidad con el teletrabajo. Tras el CLASIFICACIÓN PAÍS BLOQUEADAS EN
pico inicial de marzo, los ataques de phishing EL 3. ER TRIMESTRE
se han normalizado. Algunos de los grupos de DE 2020
ciberdelincuentes parecen haber vuelto a utilizar Estados
1 16,4 %
Unidos
adjuntos maliciosos. En julio, tras una ausencia de
cinco meses, vimos incluso el regreso del célebre 2 Alemania 14,1 %
grupo Emotet, que repitió el envío de documentos República
maliciosos de Office. 3 10,4 %
Checa
PORCENTAJE DE USUARIOS 4 España 8,3 %
MES que hicieron clic en URL
maliciosas 5 Reino Unido 6,7 %
Junio 5,5 %
6 China 5,8 %
Julio 5,1 %
Agosto 2,3 % 7 Sudáfrica 5,2 %
Septiembre 2,7 %
Octubre 3,4 %
8 Hong Kong 3,6 %
9 Italia 3,4 %
El mayor porcentaje de URL maliciosas bloqueadas
en el tercer trimestre de 2020 se registró en 10 Australia 2,4 %
Estados Unidos, que alcanzó un 16,4 %, seguido
de Alemania con un 14,1 % y de la República Checa 11 Francia 2,1 %
con un 10,4 %. Sin embargo, el 51 % de las URL
12 Canadá 2%
bloqueadas eran HTTPS cifradas, lo que dificultó
su filtrado en la red. También hemos observado 13 Perú 1,9 %
más grupos que captan tokens 2FA con phishing
y los utilizan de inmediato con un script para 14 Noruega 1,9 %
iniciar sesión. Para que estas páginas de phishing
sean más difíciles de detectar, normalmente se 15 Países Bajos 1,8 %
alojan en dominios de proveedores de servicios
16 Japón 1,6 %
en la nube de confianza, como Azure o Google.
Algunos agresores añaden incluso una página 17 Suiza 1,6 %
de CAPTCHA que el usuario debe resolver antes
de llegar a la página de phishing final, una táctica 18 Bulgaria 0,9 %
que puede impedir que las soluciones de análisis
automatizado examinen y bloqueen los sitios web 19 Singapur 0,8 %
de phishing.
20 Austria 0,7 %
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comParte 3 Vulnerabilidades en el SO y el software Windows 1 Las aplicaciones de terceros son vulnerables y también las utilizan los delincuentes 2 Aplicaciones más atacadas en todo el mundo
INFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 24
En 2020 se disparó el número de vulnerabilidades Algunas de estas vulnerabilidades se aprovechan
descubiertas y de parches publicados. activamente, como vemos en nuestros datos:
El equipo VulnDB de Risk Based Security sumó CVE-2020-1020 y CVE-2020-0938. Como ya
11 121 vulnerabilidades divulgadas durante la informamos el 23 de marzo, Microsoft confirmó
primera mitad de 2020. que estas vulnerabilidades sin corrección de
Windows estaban siendo aprovechadas por los
En septiembre, Microsoft informó de que su último ciberdelincuentes. Los usuarios de Windows 10
parche de ese mes cerraba 129 vulnerabilidades que no instalan el parche cuando Microsoft publica
de seguridad, 23 de las cuales podía aprovechar la corrección corren el riesgo de que los agresores
un autor de malware para hacerse con el control instalen programas, vean o modifiquen datos
total de un ordenador Windows con poca o y creen cuentas nuevas.
ninguna ayuda del usuario. Este es el séptimo mes
consecutivo que Microsoft distribuye correcciones La vulnerabilidad de suplantación de Windows
para más de 100 fallos en sus productos y el CVE-2020-1464 también es objeto generalizado de
cuarto mes que corrige más de 120. ataques. Cuando Windows valida firmas de archivo
de forma incorrecta, significa que hay un fallo.
El problema no es nuevo: aun cuando un Un agresor podría sacar partido utilizando una firma
proveedor publique un parche con rapidez, falsa vinculada a un ejecutable malicioso para cargar
no significa que se instale en todas partes. un archivo y hacer creer al SO que es legítimo.
Por ejemplo, al principio se pensó que CVE-2020- Esta vulnerabilidad afecta a todas las versiones
0796, hoy más conocida como SMBGhost, podía admitidas de Windows y presenta un problema
llegar a ser muy peligrosa si se utilizaba como importante mientras no se ha aplicado el parche.
arma, por lo que obtuvo la clasificación más
inusual del Common Vulnerability Scoring System
(CVSS): un 10 "perfecto". Microsoft publicó una
corrección de emergencia fuera de banda a los
pocos días, pero hay firmas de ciberseguridad
en todo el mundo, Acronis incluida, que siguen
teniendo constancia del uso de esta vulnerabilidad.
Igualmente, las vulnerabilidades indexadas como
CVE-2020-1425 y CVE-2020-1457, los dos fallos
de ejecución remota de código (RCE), están
clasificadas, respectivamente, como de gravedad
"crítica" e "importante". Ambas están relacionadas
con la biblioteca de códecs de Microsoft Windows,
que gestiona los objetos en la memoria.
Según Microsoft, un agresor capaz de explotar
CVE‑2020-1425 "podría obtener información para
comprometer aún más el sistema del usuario".
Por su parte, los ataques dirigidos al segundo fallo
podrían permitir a los agresores ejecutar código
arbitrario en la máquina afectada. Ambos fallos
han recibido la clasificación "aprovechamiento
menos probable" en el índice de explotabilidad
de Microsoft.
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comINFORME DE ACRONIS SOBRE CIBERAMENAZAS 2020 25
Las aplicaciones de terceros son vulnerables En agosto, Adobe publicó parches para resolver
y también las utilizan los delincuentes 26 vulnerabilidades de Adobe Acrobat y Adobe
Reader, incluidos 11 fallos calificados como
Por supuesto, Microsoft no es la única empresa críticos. Los fallos críticos podrían permitir eludir
con vulnerabilidades en su software. En 2020 controles de seguridad y nueve de ellos posibilitan
también observamos ataques a las siguientes la ejecución remota de código arbitrario.
vulnerabilidades.
El software para Windows no es el único software
Adobe ha publicado parches de seguridad
vulnerable. Los ciberdelincuentes cada vez atacan
periódicos para sus productos, además de una
más las vulnerabilidades sin parche de las redes
actualización de seguridad de emergencia fuera
privadas virtuales (VPN). En algunos ataques a
de banda para Photoshop, Prelude y Bridge
anunciada en julio. Una semana después de emitir dispositivos VPN de Citrix se ha detectado una
la actualización de seguridad mensual estándar vulnerabilidad de ejecución de código arbitrario
de la firma, Adobe difundió avisos de seguridad conocida como CVE-2019-19781. Para los agentes
que revelaban un total de 13 vulnerabilidades, maliciosos, la vulnerabilidad de lectura de archivos
12 de las cuales se consideraban críticas. Si se arbitrarios en servidores VPN de Pulse Secure,
aprovechan, pueden permitir la ejecución de conocida como CVE-2019-11510, sigue siendo
código arbitrario. un objetivo atractivo.
Aplicaciones más atacadas en todo el mundo
Adobe Flash
1,54 %
PDF
Java 0,74 %
3,12 %
Android
8,7 %
Navegador
11,06 %
Office
74,83 %
Copyright © 2002-2020 Acronis International GmbH. www.acronis.comTambién puede leer
