INFORME DE CIBERSEGURIDAD 2021 - Mexico Industry
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
INFORME DE
CIBERSEGURIDAD
2021
CONTENIDOS
04 CAPÍTULO 1: INTRODUCCIÓN AL REPORTE DE SEGURIDAD
CHECK POINT 2021
07 CAPÍTULO 2: CRONOLOGÍA DE LOS PRINCIPALES EVENTOS
CIBERNÉTICOS DE 2020
12 CAPÍTULO 3: TENDENCIAS DE CIBERSEGURIDAD EN 2020
13 De los entornos locales a la nube: descubriendo
el ataque a la cadena de suministro de SolarWinds
15 Vishing: la nueva vieja escuela
17 Aumento de la doble extorsión
2
19 HellCare— ¿Los ataques a la asistencia sanitaria han ido demasiado lejos?
21 Secuestro de mensajes: su correo electrónico podría ser utilizado en su contra
23 Vulnerabilidades del acceso remoto
26 Amenazas para los móviles: del COVID-19 a los ataques de click cero
28 Escalada de privilegios en la nube
30 CAPÍTULO 4: EL LADO POSITIVO DE 2020
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021
34 CAPÍTULO 5: ESTADÍSTICAS GLOBALES DE MALWARE
35 Categorías de ciberataques por región
37 Mapa del índice de amenazas globales
38 Principales tipos de archivos peligrosos: red vs correo electrónico
40 Estadísticas mundiales de malware
40 Principales familias de malware
42 Análisis global de familias de malware
53 CAPÍTULO 6: VULNERABILIDADES GLOBALES DE ALTO PERFIL
54 Inyección remota de Código (CVE-2020-8515) en dispositivos Draytek Vigor
55 Ejecución remota de Código (CVE-2020-5902) en dispositivos BIG-IP de F5 3
56 Bypass de Autorización Citrix ADC (CVE-2020-8193)
57 CAPÍTULO 7: RECOMENDACIONES PARA EVITAR
LA PRÓXIMA CIBERPANDEMIA
58 Prevención en tiempo real
58 Asegura tu equipo
59 Consolidación y visibilidad
59 Seguridad de confianza cero
60 Mantenga actualizada la información sobre amenazas
61 APÉNDICE: ESTADÍSTICAS DE LA FAMILIA DE MALWARE
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021
CAPÍTULO 1
“ES DIFÍCIL HACER PREDICCIONES,
ESPECIALMENTE DEL FUTURO”
—Niels Bohr
4
INTRODUCCIÓN
AL REPORTE DE
SEGURDAD
CHECK POINT
2021
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021
2020 será un año que todos recordaremos durante mucho tiempo. Hace
doce meses, muy pocos de nosotros podíamos prever el trastorno
mundial que causaría el COVID-19, la peor pandemia en más de un siglo.
Los cambios drásticos que afectaron a nuestras vidas casi de la noche a
la mañana siguen sintiéndose, y nos acompañarán hasta 2021 y aún
después.
Dado que el distanciamiento social fue fundamental para frenar la
propagación del coronavirus, tuvimos que transformar todos los aspectos
de nuestra vida, desde el trabajo hasta las compras y la interacción con
nuestras familias y seres queridos. Internet nos permitió mantener
nuestro mundo en marcha. Las empresas de todo el mundo se
sorprendieron a sí mismas con la velocidad y el éxito de sus iniciativas
digitales: se calcula que durante el año 2020 la transformación digital se
aceleró y avanzó hasta siete años. Lo que antes se creía imposible se
logró tan solo en unos meses. 5
Por supuesto que este avance gigantesco en la conectividad y nuestra
creciente dependencia de la tecnología en nuestras vidas cotidianas han
generado nuevos retos y problemas. Al igual que las organizaciones de
todo el mundo han transformado su forma de trabajar, los actores de las
amenazas y los ciberdelincuentes también han cambiado sus tácticas
para poder aprovechar la interrupción de la pandemia.
Hemos visto enormes picos de ataques contra las nuevas capacidades de
trabajo a distancia de las organizaciones. Fuimos testigos de un aumento
de los ataques de phishing dirigidos a los trabajadores a distancia y a los
consumidores, con el objetivo de robar sus datos personales. Hubo un
aumento importante de explotaciones descaradas de ransomware y
sofisticados intentos de piratería informática dirigidos a hospitales,
organizaciones sanitarias y a las empresas que participan en la
fabricación y el envío de las vacunas críticas de COVID-19.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021
En diciembre, vimos los ataques masivos Sunburst, que se dirigieron a miles de
organizaciones tecnológicas del gobierno y del sector privado en todo el mundo
a través de su software de gestión de red SolarWinds. Check Point predijo por
primera vez este tipo de ataques multivectoriales, de rápido movimiento y a gran
escala de tipo Gen V hace dos años, y están golpeando a organizaciones de todo
el mundo con más frecuencia que nunca. Todos estos ataques y amenazas
siguen aumentando en la actualidad. Esta creciente pandemia cibernética tiene
el potencial de desestabilizar la nueva normalidad que hemos forjado en el
último año.
Sin embargo, aunque el COVID-19 ha arrojado una nube oscura sobre el mundo,
hay fuertes indicios de que esta nube se disipará pronto. La mayor campaña de
vacunación del mundo se está llevando a cabo para proteger a la población
contra la infección. Esto, a su vez, permitirá reducir las restricciones y
aprovechar al máximo los fantásticos avances digitales que logramos en 2020.
Pero para ello, debemos actuar ahora para evitar que la ciberpandemia se
extienda sin control. Al igual que el despliegue mundial de vacunas permitirá a
las sociedades salir de forma segura del confinamiento, también necesitamos
vacunar nuestras redes hiperconectadas para prevenir los dañinos ciberataques
y amenazas que causan tantos inconvenientes, y ponen en riesgo la seguridad y 6
la protección de todos nosotros.
En este Informe de Ciberseguridad 2021, repasaremos las principales cibera-
menazas, ataques y eventos de 2020, así como el impacto que han tenido en las
organizaciones de todo el mundo. También veremos lo que esperamos ver en el
panorama cibernético de 2021, para ayudar a las organizaciones a prepararse
para lo que está por venir y mostrar cómo pueden desarrollar la postura de
seguridad más fuerte que sea posible. Al prevenir los ciberataques avanzados,
la seguridad es un elemento que permite desbloquear la innovación y ayuda a
salvaguardar el futuro para todos nosotros.
Dr. Dorit Dor
Vicepresidente de Productos
Check Point Software Technologies
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021
CAPÍTULO 2
MÁS DE 22.000 MILLONES DE ARCHIVOS FUERON
EXPUESTOS COMO CONSECUENCIA DE FILTRACIONES
DE DATOS EN TODO EL MUNDO EN 2020, A PARTIR
DE 730 FILTRACIONES REVELADAS PÚBLICAMENTE
—Informe retrospectivo sobre el panorama de las amenazas en 2020 de Tenable
7
CRONOLOGÍA DE LOS
PRINCIPALES EVENTOS
CIBERNÉTICOS DE
2020 CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021
EN FEB MAR
01 02 03
Las operaciones de Travelex, Estée Lauder, el gigante El grupo de Hoteles
una empresa de cambio de de cosméticos con sede en Marriott ha revelado una
divisas con sede en Londres, New York, expuso nueva violación de datos
estuvieron paralizadas accidentalmente 440 que ha afectado a 5,2
durante semanas debido a millones de registros millones de huéspedes del
un ataque de la banda de internos en Internet, hotel. La cadena hotelera
ransomware Sodinokibi incluyendo correos descubrió que un hacker
(alias REvil). Travelex electrónicos internos, había utilizado las
había entablado informes y documentos. Sin credenciales de inicio de
negociaciones con el grupo, embargo, no había pruebas sesión de dos empleados de
pero se negó a pagar la de que los registros de los una de sus franquicias para
demanda de rescate de 6 clientes o los detalles de acceder a la información de
millones de dólares a cambio los pagos se encontraran los clientes desde los
de las claves de en peligro. sistemas de la aplicación.
desencriptación. En La empresa informó a los
represalia, los atacantes huéspedes por correo
amenazaron con publicar 5 electrónico y proporcionó
GB de información personal servicios de atención
de los clientes que había a todos aquellos afectados
sido robada y exfiltrada por la violación de datos.
antes de la encriptación.
Este fue uno de los ataques
de ransomware de "doble
extorsión" de mayor
repercusión, en el que los
atacantes penetran en las
redes de las empresas,
roban archivos
confidenciales, encriptan los
datos y exigen un rescate SOLARWINDS AFIRMA QUE MÁS DE 18.000
para desencriptarlos,
además de DE SUS CLIENTES EN TODO EL MUNDO SE
amenazar con publicar los VIERON AFECTADOS POR LA VIOLACIÓN
datos si no se satisface la
demanda de rescate, para
DE SUS SISTEMAS. LAS PRUEBAS SUGIEREN
ejercer una presión adicional QUE LOS ATACANTES PENETRARON EN SUS
sobre las víctimas.
SISTEMAS AL MENOS UN AÑO ANTES DE QUE
SE DESCUBRIERA LA FILTRACIÓN
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021
ABR MAY JUN
04 05 06
Cuando los países de todo el La aerolínea de Low-Cost La Universidad de California
mundo empezaron a aplicar EasyJet fue hackeada, pagó un millón de dólares
confinamiento y restricciones afectando a 9 millones de de rescate para descifrar
para frenar la propagación de clientes y exponiendo los los datos de la investigación
Covid-19, una encuesta de datos de más de 2.000 COVID-19 tras ser atacada
Check Point mostró que el tarjetas de crédito y débito. por un ransomware. El
71% de los profesionales de la EasyJet ha dicho que fue ataque afectó a la Facultad
seguridad informaron de un blanco de un atacante "muy de Medicina de la
aumento de amenazas y sofisticado" que consiguió Universidad,encriptando
ataques a la seguridad desde acceso y robó las datos en un "número
el inicio del brote de direcciones de correo limitado de servidores",
coronavirus. La principal electrónico y los datos de según un comunicado de la
amenaza señalada fueron los vuelos de los clientes. UCSF. La Universidad
intentos de phishing (citados añadió que, aunque cree que
por el 55% de los ningún registro de pacientes
encuestados), seguidos de los fue expuesto por el ataque
sitios web maliciosos que del ransomware Netwalker, 9
pretenden ofrecer "hemos tomado la difícil
información o consejos sobre decisión de pagar
la pandemia (32%), seguidos parte del rescate,
del aumento aproximadamente 1,14
del malware (28%) y del millones de dólares, a los
ransomware (19%). individuos que están detrás
Microsoft advirtió a los del ataque de malware a
usuarios de Kubernetes de cambio de una herramienta
una campaña de hacking a para desbloquear los datos
gran escala que tiene como cifrados y la devolución de
objetivo Kubeflow, un los archivos que
conjunto de herramientas de obtuvieron".
aprendizaje automático. La
campaña tiene como finalidad
infectar las instancias de
Kubernetes orientadas a
Internet y utilizarlas para la
minería de criptomonedas a
costa de las víctimas,
utilizando el malware de
minería de criptomonedas
XMRig.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021
JUL AGO SEP
07 08 09
Microsoft corrigió el exploit Los operadores del Un paciente de un hospital
SIGRed, de 17 años de ransomware Maze en Alemania murió tras
antigüedad, que podía ser publicaron decenas de ser desviado de un
utilizado para secuestrar gigabytes de datos hospital que sufrió un
servidores de Microsoft internos de las redes de ataque de ransomware. El
Windows. La los gigantes empresariales paciente, que necesitaba
vulnerabilidad, descubierta LG y Xerox tras dos atención médica urgente,
por Check Point Research intentos fallidos de murió tras ser redirigido a
(CPR) y corregida en el extorsión. Los hackers un hospital de la ciudad de
ciclo de "Patch Tuesday" de filtraron 50,2 GB de datos Wuppertal, a más de 30 km
Microsoft, obtuvo la que decían haber robado de su destino inicial, el
máxima calificación de de las redes internas de Hospital Universitario de
gravedad, 10,0. Esta LG y 25,8 GB de datos de Dusseldorf, que había
vulnerabilidad es de Xerox. Este ejemplo sufrido el ataque. La
especial importancia para destaca la amenaza tan Agencia Federal para la
las empresas, ya que es real que supone el Seguridad de las
"formable" -es decir, de ransomware de doble Tecnologías de la
propagación automática- extorsión. Información de Alemania
y, como tal, es capaz de dijo que los atacantes
saltar a través de máquinas entraron en el hospital
vulnerables sin ninguna aprovechando un fallo en
interacción del usuario, el software de Citrix que
comprometiendo toda la no había sido corregido, a
red de ordenadores de una pesar de que el fallo
organización , lo que la estaba disponible desde
hace tan grave como el hace varios meses.
exploit EternalBlue de
2017, que provocó los
ciberataques globales
WannaCry y NotPetya.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021OCT NOV DIC
10 11 12
Universal Health Services La Agencia de En la semana del 13 de
(UHS), un proveedor de Ciberseguridad y Seguridad diciembre, las oficinas del
servicios sanitarios con más de las Infraestructuras (CISA Gobierno de EE.UU. revelaron
de 400 centros en Estados ), la Oficina Federal de que habían sido objeto de una
Unidos, Reino Unido y Puerto Investigación (FBI) y el serie de ataques cibernéticos,
Rico, se vio afectado por el Departamento de Salud y supuestamente relacionados
ransomware Ryuk. El ataque Servicios Humanos (HHS) con organizaciones de
paralizó toda su publicaron una advertencia amenazas patrocinadas por el
infraestructura informática y de un aumento de los Estado. Los ataques se
su sistema telefónico en los ataques de Ryuk a los dirigieron a muchas
EE.UU., lo que provocó una hospitales estadounidenses. organizaciones tecnológicas
transición a sistemas La investigación de Check del gobierno y del sector
exclusivamente de papel. Una Point mostró que el sector privado en todo el mundo.
base de datos de votantes en sanitario fue el más afectado Esta serie de ataques,
Hall Country, Georgia, en EE.UU., con un aumento apodada "Sunburst", fue
utilizada para verificar las del 71% de los ataques en posible cuando
firmas de los votantes, fue noviembre en comparación los hackers fueron capaces de 11
violada por el ransomware, con el mes anterior. Los incrustar una puerta trasera
junto con otros sistemas ataques volvieron a en el software de gestión de
gubernamentales, lo que la aumentar durante diciembre redes SolarWinds. Más de
convirtió en el primer sistema de 2020. 18.000 empresas y oficinas
electoral oficial afectado por gubernamentales
el ransomware. El sitio web descargaron lo que parecía
DoppelPaymer" se atribuyó la ser una actualización de
responsabilidad del ataque. software en sus ordenadores,
pero que en realidad era un
Troyano. Aprovechando la
práctica común de TI de las
actualizaciones de software
para insertar el malware en
las redes de las
organizaciones, los atacantes
utilizaron la puerta trasera
para comprometer los activos
de las víctimas, tanto en la
nube como en las
instalaciones, permitiéndoles
espiar el tráfico de la red y
acceder a sus datos.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021CAPÍTULO 3
CADA DÍA, EL MUNDO SE ENFRENTA A MÁS DE
100.000 SITIOS WEB MALICIOSOS Y 10.000 ARCHIVOS
MALICIOSOS, TODOS ELLOS CON EL OBJETIVO DE ROBAR,
CAUSAR DAÑOS Y PERJUICIOS
12
TENDENCIAS DE
CIBERSEGURIDAD EN
2020 CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021EL 87% DE LAS ORGANIZACIONES HAN EXPERIMENTADO
EL INTENTO DE UN EXPLOIT A UNA
VULNERABILIDAD EXISTENTE
DE LOS ENTORNOS LOCALES A LA NUBE:
EL ATAQUE A LA CADENA DE SUMINISTRO
DE SOLARWINDS
En diciembre de 2020, justo cuando pensábamos que el año no podría traernos más
malas noticias, se descubrió el ataque de SolarWinds, que rápidamente se llevó el
título al ciberataque más importante del año. El primer indicio del ataque fue la
revelación el 8 de diciembre por parte de la empresa de ciberseguridad FireEye, que
hizo público que habían sido vulnerados por un grupo APT altamente capacitado,
durante el cual se robaron las herramientas de ciberevaluación de FireEye Red
Team.
13
El alcance del ataque se aclaró varios días más tarde, cuando Microsoft, FireEye,
SolarWinds y el gobierno de los Estados Unidos admitieron que habían sufrido un
ataque gracias a un hackeo del software de gestión de TI principal de SolarWinds. La
investigación posterior reveló que los atacantes añadieron una puerta trasera,
llamada "Sunburst", a un componente del sistema SolarWinds Orion, que luego se
distribuyó a los clientes de SolarWinds a través de una actualización automática del
software. Esto permitió el acceso remoto a múltiples organizaciones de alto perfil, lo
que lo convierte en uno de los ataques a la cadena de suministro más exitosos jamás
observados.
EL 46% DE LAS ORGANIZACIONES HAN TENIDO
AL MENOS UN EMPLEADO QUE HA DESCARGADO
UNA APLICACIÓN MÓVIL MALICIOSA
QUE AMENAZA SUS REDES Y DATOS
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021"Los ataques a la cadena de suministro, como el que afectó a
SolarWinds, muestran el impacto potencial de vectores de amenaza
previamente desconocidos. Las principales prácticas de seguridad,
como el mínimo privilegio y la segmentación, siguen siendo
relevantes para ayudar a limitar la probabilidad de una filtración
inicial, así como el potencial de expansión lateral.
La singularidad del reciente incidente también nos informa de la
necesidad de considerar nuevos enfoques de ciberseguridad. Los
desarrolladores de aplicaciones deben considerar formas de
AVI REMBAUM
adoptar las metodologías DevSecOps e integrar los controles de
Vice Presidente,
seguridad en el código, así como en el ciclo de vida de desarrollo del
Soluciones de
Seguridad software. Los profesionales de la seguridad deben explorar las
oportunidades para implementar protecciones automatizadas en
tiempo real para los exploits identificados, así como ampliar las
capacidades de prevención y caza de amenazas en todos los
entornos: red, punto final, nube y móvil."
La escala del ataque es considerable: los Los actores de la amenaza detrás del ataque, que
documentos presentados por SolarWinds a la SEC se cree son de origen ruso y tienen vínculos con los 14
de Estados Unidos revelan que aproximadamente servicios de inteligencia de Rusia, demostraron
18.000 clientes descargaron la actualización capacidades de primer nivel. Aunque no se sabe
comprometida del software Orion, entre ellos 425 con certeza cómo se infectó SolarWinds , se
empresas de la lista Fortune 500. Sin embargo, es sospecha que la empresa fue vulnerada a través de
evidente que no todos los clientes que recibieron la sus cuentas de Office 365. Los autores de la
actualización comprometida se convirtieron en amenaza fueron capaces de falsificar un código
objetivos activos: los atacantes sólo eligieron las para una cuenta altamente privilegiada en Azure
entidades de alto valor cuya red y datos fueron Active Directory y obtener privilegios de
realmente violados. Parece que los actores de la administrador utilizando credenciales
amenaza se centraron principalmente en comprometidas. Esencialmente, el actor obtuvo un
empresas tecnológicas, agencias gubernamentales acceso significativo a la red local de los clientes de
y consultoras de Estados Unidos, Europa, Asia y SolarWinds a través de la actualización
Oriente Medio. La lista de víctimas incluye los comprometida, y luego se trasladó lateralmente al
departamentos estadounidenses de Estado, entorno de la nube para facilitar el acceso a largo
Energía (DOE) y Seguridad Nacional (DHS), los plazo a la víctima y obtener información, como los
Institutos Nacionales de la Salud (NIH) y el archivos de correo electrónico robados a través de
Ministerio de Asuntos Exteriores, los Institutos Microsoft Office 365.
Nacionales de Salud (NIH), Cisco y Microsoft,
entre muchos otros.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021"Los ataques de vishing son una ciberamenaza creciente.
Proporcionan al atacante el control del canal de información y
ejercen presión psicológica adicional sobre el blanco. Por ello,
estamos viendo que cada vez más ciberataques de varias fases
incorporan llamadas de vishing como parte de sus cadenas de
ataque. Las organizaciones deben educar a sus empleados para
que no compartan detalles confidenciales, como credenciales de LOTEM
FINKELSTEEN
usuario o datos bancarios, y para que verifiquen la autenticidad de
Gerente Inteligencia
cualquier persona con la que se comuniquen por teléfono." de Amenazase
Una innovación clave en este ataque reside VISHING—
en la forma en que los atacantes obtuvieron
el acceso a los servicios de la nube. Al
LA NUEVA VIEJA ESCUELA 15
En 2020, asistimos al inoportuno regreso de
parecer, los servicios alojados en la nube
un viejo método de ingeniería social con un
eran un objetivo clave en el ataque a la
nuevo aspecto, uno muy adecuado para la
cadena de suministro, y el acceso a los
actual dinámica de trabajo El vishing, o
mismos se obtuvo a través de sistemas de
phishing de voz, es un intento de obtener
autenticación en las redes comprometidas, lo
acceso a información o sistemas privados o
que les permitió penetrar en estos servicios
corporativos a través de llamadas de voz
sin levantar sospechas. Este vector de
fraudulentas. Durante la llamada telefónica,
ataque está totalmente adaptado a los
el atacante aprovecha las técnicas de
entornos híbridos alojados en la nube, tan
ingeniería social para conseguir que la
comunes en la actualidad.
víctima abra un documento malicioso,
comparta información sensible o le dé
Las organizaciones que deseen responder al
acceso a dispositivos privados.
ataque deben revisar tanto su red local como
sus servicios situados en la nube y tomar las
medidas necesarias para proteger su
infraestructura de autenticación y establecer
procedimientos de supervisión con el fin de
detectar tales ataques.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021"Los ataques de ransomware se han disparado de nuevo en 2020 con
la técnica de la doble extorsión, ejerciendo más presión sobre las
organizaciones para que cedan a las demandas de los hackers. Se
estima que el ransomware ha costado a nivel mundial 20.000 millones
de dólares a las empresas en 2020, frente a los 11.500 millones de
dólares de 2019. Para evitar ser una víctima del ransomware, las
organizaciones deben adoptar una estrategia de prevención de
MAYA
amenazas y no confiar solo en la detección o la reparación. Deben
HOROWITZ
Director, desplegar soluciones dedicadas contra el ransomware, corregir
Inteligencia e virtualmente las vulnerabilidades relevantes, como el RDP, y educar a
Investigación los empleados sobre los riesgos de los correos electrónicos
de Amenazas maliciosos que pueden llevar la carga dañina."
A lo largo de 2020, un aumento de los ataques En agosto de 2020, la Agencia de
que incorporan el phishing de voz reveló que los Ciberseguridad e Infraestructura (CISA) y 16
ataques de vishing ya no se limitan a simples el FBI emitieron un aviso conjunto en el
estafas de soporte técnico que son fácilmente que advertían de una ola de ataques de
detectadas por las personas con conocimiento vishing dirigidos a empresas del sector
de las ciberamenazas. El vishing puede ser un privado de EE.UU., que engañaban a los
ataque sofisticado, adaptado a los antecedentes empleados para que facilitaran sus
y la ocupación de la víctima. Con la investigación credenciales corporativas.
y una persona que llame con buenas habilidades
lingüísticas, se puede utilizar para obtener Aunque atacantes independientes o
acceso a una red corporativa. pequeños ciberdelincuentes pueden estar
detrás de estos ataques, recientemente
Un artículo reciente reveló que un grupo hemos sido testigos de cómo grupos APT
profesional de ciberdelincuentes ofrecía ataques han integrado el vishing en su arsenal.
de vishing en calidad de alquiler, para clientes Grupos como el iraní Charming Kitten y el
que querían acceder a empresas específicas. Lazarus, de Corea del Norte, han utilizado
Estos ataques se dirigen a empleados que el vishing como parte de complejos
trabajan desde casa, e intentan obtener sus esquemas de phishing.
credenciales de VPN y de este modo obtener
acceso a la red de la empresa. Llamadas
telefónicas individuales, en las que la persona
que llama se hace pasar por un empleado del
servicio de asistencia y demuestra el
conocimiento de la empresa y el puesto del
empleado, da credibilidad al atacante.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021Los grupos de ciberdelincuentes avanzados, Estos ataques dan una idea de la naturaleza de
como Evilnum, que tiene motivaciones la actual ola de ataques de phishing:
financieras, también adoptaron el vishing sofisticados y bien planificados, dirigidos a
como una táctica más eficaz y calculada para usuarios específicos de organizaciones de alto
asegurar el éxito de la modalidad de phishing. nivel. Es probable que antes de la llamada se
realice un extenso trabajo de reconocimiento
El vishing también puede ser utilizado para para elegir a los empleados más propensos a
omitir la autencitación por factores (2FA). cooperar, reunir información personal sobre
En algunos casos, los atacantes utilizaban el ellos y obtener sus números de teléfono. Pronto
teléfono de la víctima para identificarse podemos esperar que los ataques de vishing
mientras intentaban acceder a una cuenta incorporen técnicas de "phishing profundo",
privada. A continuación, solicitaban el código como una grabación de sonido deepfake, que
2FA del usuario a través de una llamada permite al atacante elegir la voz utilizada en la
telefónica, haciéndose pasar por un llamada e imitar a cualquier persona de
representante de soporte técnico. El código interés, o incluso el rostro utilizado en una
concedía al atacante acceso completo a la videoconferencia. Imagina que recibes una
cuenta. Esta técnica fue utilizada llamada que parece ser del director general de
recientemente en una campaña para tu centro de trabajo, y que hace un seguimiento
apoderarse de cuentas de WhatsApp y de un acuerdo comercial, incluyendo el pedido
aprovechar la cuenta de la víctima para de una transacción.
dirigirse a todos sus contactos.
DOBLE EXTORSIÓN 17
Un ejemplo clave fue el ataque de julio de
2020 a Twitter en el que los hackers
EL RANSOMWARE
accedieron a docenas de cuentas de alto SE INTENSIFICA
perfil de Twitter, incluidas las de Joe Biden y Mientras que el ransomware convencional sigue
Jeff Bezo, y tuitearon peticiones de rescate causando interrupciones en las organizaciones
en Bitcoin que generaron más de 100.000 de todo el mundo, los actores de amenazas
dólares en varias horas. Más tarde se introdujeron una nueva táctica a finales de
descubrió que el ataque se inició mediante un 2019: la doble extorsión. Se trata de un ataque
ataque de vishing que convenció a los de ransomware de varias etapas, que combina
empleados de Twitter para que dieran acceso el cifrado tradicional de los archivos de la
a herramientas internas. En noviembre, un víctima con la exfiltración de datos. A
ataque similar afectó a GoDaddy, el mayor continuación, el atacante amenaza con liberar
registro de dominios del mundo. los datos vulnerados públicamente a menos que
se pague el rescate en el plazo designado. Esto
ejerce una presión adicional sobre las víctimas
para que satisfagan las demandas de los
atacantes, además de exponer a la víctima a
sanciones por parte de los organismos de
control de datos y a la necesidad de alertar a
los clientes, socios y consumidores afectados
cuyo datos fueron vulnerados.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021ESTUDIOS MUESTRAN QUE EN EL TERCER TRIMESTRE DE 2020, CASI LA
MITAD DE TODOS LOS CASOS DE RANSOMWARE INCLUÍAN LA AMENAZA
DE LIBERAR DATOS ROBADOS, Y EL PAGO MEDIO DEL RESCATE FUE DE
233.817 DÓLARES, UN 30% MÁS QUE EN EL SEGUNDO TRIMESTRE DE 2020.
Durante 2020, los ataques de doble extorsión Y eso es tan solo la media de los rescates
han aumentado. El gigante de los centros de pagados. En un reciente ataque con el
datos Equinix fue atacado por el ransomware prominente ransomware Ryuk la víctima pagó
Netwalker. El actor de la amenaza detrás de el notable rescate de 34 millones de dólares, o
ese ataque también fue responsable del ataque 2200 Bitcoin (BTC). Y, por supuesto, incluso
contra K-Electric, el mayor proveedor de cuando se cumplen las demandas de rescate,
energía en Pakistán, exigiendo 4,5 millones de aún no hay garantía de que los atacantes
dólares en Bitcoin para obtener las claves de cumplan su promesa de liberar los archivos.
descodificación e impedir la publicación de los
datos robados. El modelo de negocio de los Los atacantes también están perfeccionando
ataques de doble extorsión ha demostrado ser las técnicas de doble extorsión para presionar
18
tan eficiente que no se compara con las más a las empresas que no están dispuestas a
técnicas tradicionales de ransomware. pagar. El grupo de ransomware Ragnar
Locker, por ejemplo, utiliza las cuentas
hackeadas para realizar campañas
Otras empresas conocidas por haber sufrido publicitarias en Facebook, afirmando que se
este tipo de ataques son la consultora francesa recogieron grandes cantidades de datos
de sistemas y de software Sopra Steria, con sensibles de los clientes, lo que contradice las
importantes clientes del sector financiero y declaraciones que suelen hacer las empresas
sanitario; el desarrollador de juegos japonés afectadas.
Capcom; la empresa italiana de licores
Campari Group; el contratista de misiles
militares estadounidense Westech; el grupo
mundial de ingeniería aeroespacial y
electrónica ST ENngineering; el gigante de la
gestión de viajes CWT, que pagó 4,5 millones
de dólares en Bitcoin a los operadores del
ransomware Ragnar Locker; y el gigante de los
servicios empresariales Conduent, que se vio
afectado por el ransomware Maze,
posiblemente a través de un servidor Citrix
vulnerable.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021De cara al futuro, algunos atacantes ya se
‘HELLCARE’—
han dado cuenta de que la amenaza de la
fuga de datos podría ser incluso mayor que
¿LOS ATAQUES A LA SANIDAD
la etapa del ransomware, y se han saltado HAN IDO DEMASIADO LEJOS?
por completo el ransomware, como fue el En marzo de 2020, cuando se hizo evidente el
caso de Vastaamo, una clínica de alcance y la gravedad de la pandemia mundial
psicoterapia finlandesa con más de 40.000 de COVID-19, varios grupos de amenaza,
pacientes. Durante más de un año, los entre ellos Maze y DoppelPaymer, se
hackers consiguieron recopilar información comprometieron a abstenerse de atacar a las
de decenas de miles de pacientes. En un giro instituciones sanitarias, que se esforzaban
único, los hackers enviaron un correo por seguir el ritmo de la creciente carga de
electrónico directo tanto a la clínica como a trabajo, investigando el virus y atendiendo a
los pacientes, amenazando con liberar los un número abrumador de pacientes. Algunos
datos. Exigieron al proveedor de servicios de los grupos llegaron incluso a prometer
sanitarios unos 530.000 dólares en BTC, que proporcionarían servicios de descifrado
mientras que a los pacientes les pidieron una gratuitos a las instituciones que fueran
suma de entre 200 y 500 dólares en BTC para atacadas por error. Entre estos grupos
evitar la divulgación de las notas de sus estaba el destacado grupo de ransomware
sesiones terapéuticas. Los historiales Maze, que se comprometió con la siguiente
médicos de 300 pacientes fueron liberados declaración: "También detenemos toda
para agilizar el pago. Involucrar a los actividad frente a todo tipo de organizaciones
clientes en los procesos de extorsión médicas hasta que se estabilice la situación 19
garantiza que el incidente se haga público en con el virus".
una fase muy temprana, ejerciendo una
presión pública adicional sobre la A medida que avanzaba el año 2020, resultaba
organización afectada, obligándola a seguir cada vez más evidente que tales promesas no
la normativa y a alertar a las fuerzas de tenían ningún fundamento. De hecho, en
seguridad, así como al personal afectado.. 2020, los ataques dirigidos a instalaciones
sanitarias, instituciones médicas y centros de
investigación farmacéutica, se ejecutaron
a un ritmo sin precedentes. A principios de
abril, Hammersmith Medicines Research Ltd.
(HMR), una empresa de investigación
que en ese momento estaba a la espera de
realizar ensayos de vacunas COVID-19 en
humanos, sufrió una violación de datos
causada por el ransomware Maze. La
investigación reveló que la brecha se produjo
el 14 de marzo, casi en paralelo a la promesa
del grupo Maze. Como HMR decidió no pagar
el rescate, los datos se publicaron en la
página web habilitada por Maze.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021CIBERATAQUES MENSUALES POR ORGANIZACIÓN SANITARIA
ENERO 2020 - ENERO 2021
2800
2400
2000
1600
1200
20
0
20
0
0
0
0
20
20
0
20
/2
0
1
/2
/2
/2
/2
/2
/2
/2
/
/
r/
t/
l/
ay
ar
ov
o
p
b
n
c
En
En
Ab
Ag
Oc
Se
Fe
Ju
Ju
Di
M
M
N
Figura 1: Marzo 2020 Los grupos de ransomware se comprometieron a no atacar a las instituciones sanitarias.
En realidad, los ataques a la sanidad aumentaron considerablemente hacia finales de año.
Poco después, observamos una escalada Este gráfico demuestra el aumento de la tasa
en los ataques relacionados con la sanidad, ya de ataques por organización sanitaria a lo largo 20
que los actores de las amenazas comenzaron a de 2020 y principios de 2021.
centrarse en las instalaciones médicas que
trabajaban para mitigar el contagio del Hacia finales de octubre, el CISA, el FBI y el
coronavirus, así como en las instituciones HHS de Estados Unidos publicaron una
farmacéuticas que trabajaban para desarrollar advertencia sobre el aumento de los ataques de
una vacuna. Esta actividad continuó hasta 2020. ransomware Ryuk en los hospitales
estadounidenses. En ella se mencionaba el
Un reciente estudio de Check Point de octubre destacado malware multipropósito Trickbot,
muestra que la sanidad es actualmente el que se utiliza para desplegar Ryuk en la red de
sector industrial más atacado en los Estados la víctima.
Unidos, con un aumento del 71% de los ataques
en comparación con septiembre. El gráfico También vimos grupos APT patrocinados por
anterior muestra un fuerte incremento de los naciones, como el grupo norcoreano Lazarus
ataques en el sector sanitario en comparación y el ruso Fancy Bear, que se dirigen a
con el aumento global. En noviembre y instituciones implicadas en el tratamiento de la
diciembre de 2020 se produjo un crecimiento de COVID-19 y el desarrollo de vacunas. El
más del 45% en la cantidad de ataques dirigidos spear-phishing basado en temas relacionados
a organizaciones sanitarias en todo el mundo, el con la pandemia es la táctica más utilizada.
doble del aumento global de ataques observado Parece que tanto los hackers como los grupos
en el mismo período en todos los sectores de la relacionados con el Estado, que buscan
industria (22%). promover sus intereses nacionales y hacer un
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021"Los ciberataques en el sector sanitario mundial se están
descontrolando, ya que los delincuentes consideran que los hospitales
están más dispuestos a satisfacer sus demandas y a pagar realmente
los rescates, y así lo demostraron los acontecimientos de 2020. El uso
del ransomware Ryuk enfatiza la tendencia de tener ataques de
ransomware más específicos y adaptados en lugar de utilizar una
campaña masiva de spam, lo que permite a los atacantes asegurarse OMER
de que golpean las partes más críticas de la organización y tienen una DEMBINSKY
mayor probabilidad de obtener el pago de su rescate." Director de
Investigación
de Datos
impacto global, decidieron centrarse en las Emotet, originalmente un malware bancario y
instituciones que promueven la lucha global en ahora una de las mayores redes de bots en el 21
la pandemia, poniendo así a los ciudadanos de panorama cibernético, ha encabezado
los países en la primera línea de sus ataques. constantemente la lista de malware de Check
Point Research durante varios meses, atacando a
casi el 20% de las organizaciones mundiales en el
SECUESTRO DE MENSAJES
último año.
SU CORREO ELECTRÓNICO PODRÍA
SER UTILIZADO EN SU CONTRA Una de las claves del asombroso éxito
de las campañas de spam de Emotet, es una
Una de las piedras angulares de una buena
sencilla pero sofisticada técnica de phishing
seguridad hoy en día es la capacitación en
llamada “secuestro de mensaje” (thread
ciberseguridad para los empleados de la
hijacking). Una vez que la víctima está infectada,
empresa. Esto supone una amplia lista de lo que
los atacantes aprovechan las antiguas
se debe y no se debe hacer en un entorno
conversaciones de correo electrónico de esa
corporativo. Una regla de oro es sospechar de
persona para distribuir el malware, reenviando el
cualquier archivo adjunto al correo electrónico
último correo del hilo y añadiendo archivos
que no haya sido enviado por colegas o socios de
maliciosos como adjuntos. Esto facilita el engaño
confianza. Pero, ¿qué ocurre cuando se recibe
a nuevas víctimas que están dentro del dominio
una respuesta a un antiguo hilo corporativo con
social y profesional de la víctima, ya que desde su
una actualización adjunta? ¿Lo abres como algo
perspectiva están recibiendo un correo
natural o debes sospechar?
electrónico de un colega de confianza sobre un
tema conocido.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021EMOTET, ORIGINALMENTE UN MALWARE BANCARIO Y AHORA UNA DE LAS
MAYORES REDES DE BOTS EN EL PANORAMA CIBERNÉTICO, HA ENCABEZADO
CONSTANTEMENTE LAS CLASIFICACIONES DE MALWARE EN CHECK POINT
RESEARCH DURANTE VARIOS MESES, ATACANDO CASI AL 20% DE LAS
ORGANIZACIONES MUNDIALES EN EL ÚLTIMO AÑO
En el caso de Emotet, los hilos de correo Recientemente, otra destacada variante de
electrónico, a menudo elegidos por su malware ha añadido el secuestro de hilos a su
compromiso con las transferencias bancarias o arsenal: el malware bancario Qbot, también
la información confidencial de propiedad, son llamado Qakbot. La nueva versión del malware,
secuestrados por los atacantes y enviados a sus lanzada a finales de julio y analizada por Check
servidores de C&C. Los atacantes falsifican una Point Research, cuenta con un módulo llamado
de las direcciones de correo electrónico "recolector de correo electrónico" que es capaz
utilizadas en el hilo y se hacen pasar por una de secuestrar hilos de correo electrónico de
respuesta al correo electrónico secuestrado. Los Microsoft Outlook. El módulo extrae todas las
usuarios a los que se dirigen pueden ser parte de conversaciones. El módulo extrae correos
la conversación original, o nuevos usuarios electrónicos de la víctima, los sube a un servidor
22
dentro de la organización. A veces, se adjuntan al remoto y los utiliza en campañas de spam
correo electrónico de phishing archivos legítimos malicioso. Los correos electrónicos robados que
robados de la red, además del archivo malicioso. se han observado incluyen asuntos relacionados
La técnica de secuestro de hilos se ha utilizado con la COVID-19, recordatorios de pago de
incluso en un ataque de Emotet dirigido al impuestos y contrataciones de empleo. La
Departamento de Justicia de Quebec que infectó campaña de Qbot se distribuyó por todo el
con éxito a docenas de usuarios. Esta técnica, mundo, pero se centró en los usuarios
junto con la gran distribución de Emotet resultó estadounidenses y en los sectores
ser tan eficaz que el Ministerio del Interior gubernamental y militar.
francés reaccionó bloqueando todos los
documentos de Office (.doc) por correo Este año también se ha observado una práctica
electrónico. más creativa de la técnica de secuestro de
mensajes. Check Point Research descubrió
recientemente un incidente en el que los hackers
consiguieron acceder a la cuenta de WhatsApp
de un usuario y distribuir malware al contacto de
la víctima respondiendo a las correspondencias
de WhatsApp existentes. Los atacantes utilizaron
el vishing para obtener la contraseña 2FA
proporcionada a la víctima a través de un SMS.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021"Incluso las formas más antiguas de malware pueden actualizarse
con nuevas funciones para convertirlas en una amenaza peligrosa y
persistente. Los actores de la amenaza detrás de Qbot y Emotet
invierten mucho en el desarrollo para permitir el robo de datos a
gran escala de organizaciones y personas. Recomendamos
encarecidamente a las organizaciones que eduquen a sus empleados
YANIV para que vigilen atentamente sus correos electrónicos en busca de
BALMAS señales que indiquen un intento de phishing, incluso cuando el
Head of correo electrónico parezca proceder de una fuente de confianza.
Cyber Research También deberían utilizar una solución de seguridad para el correo
electrónico".
Tanto Emotet como Qbot son algo más que un distancia e implementar plataformas de acceso
malware conocido en el panorama cibernético: su remoto en sus organizaciones. 23
éxito continuo los ha convertido en creadores de Desgraciadamente, éstas a menudo dieron lugar
tendencias. Por lo tanto, estimamos que la a configuraciones erróneas y conexiones
técnica de secuestro de cadenas será vulnerables, lo que permitió a los atacantes
rápidamente adoptada por otros actores de aprovechar estos fallos para acceder a la
amenazas de todo el espectro, desde grupos de información corporativa.
espionaje respaldados por el Estado hasta
hackers con motivaciones financieras. Como resultado, en la primera mitad de 2020 se
produjo un aumento de los ataques contra las
tecnologías de acceso remoto, como Remote
Desktop (RDP) y VPN, así como un fuerte
VULNERABILIDADES aumento de los aumento de los ataques de
fuerza bruta a los servidores RDP. De hecho,
DE ACCESO REMOTO varios investigadores descubrieron que en la
A medida que el coronavirus se extendía por todo primera mitad del año, RDP fue el vector de
el mundo, las políticas de distanciamiento social intrusión más popular, así como la mayor
promulgadas debido a la pandemia desplazaron a plataforma de entrega de ransomware,
un número considerable de empleados de las superando a los correos electrónicos de
oficinas corporativas al trabajo en casa. Los phishing. Otro informe concluyó que, durante los
administradores de redes tuvieron que adaptarse primeros meses de la pandemia, se observaron
rápidamente a los requisitos del trabajo a casi un millón de intentos de ataque contra
conexiones RDP cada día.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021"Los atacantes siempre buscarán organizaciones que tengan
sistemas vulnerables y sin parches para poder acceder fácilmente,
como un ladrón de coches que busca un coche sin cerrar. Para
evitar que los hackers tengan un acceso fácil, recomendamos
encarecidamente a los usuarios que corrijan sus servidores con
regularidad para evitar la explotación de dichas vulnerabilidades.
Los IPS impiden los intentos de vulnerabilidad en los sistemas o
ADI
aplicaciones vulnerables, protegiéndolos en la carrera por explotar
IKAN
la última amenaza de entrada, y la protección integral de los puntos
Network Research &
finales es crucial para evitar las brechas de seguridad". Protection Group
En la segunda mitad del año, los atacantes Esta cantidad de nuevas vulnerabilidades es el
adoptaron un enfoque más calculado con el resultado directo de la creciente adopción de 24
objetivo de asegurarse de que, incluso después estos dispositivos en medio de la "nueva
de que las organizaciones implementaran normalidad" de la pandemia de COVID-19 y del
correctamente sus plataformas de acceso mayor interés de los investigadores de seguridad
remoto y minimizaran sus incidentes de en las plataformas de acceso remoto. Los grupos
desconfiguración, los servicios de conexión de amenazas respaldados por naciones que
remota siguieran permitiendo los ataques llevan a cabo operaciones de espionaje a largo
corporativos. En lugar de buscar servidores mal plazo también han aprovechado las
configurados, empezaron a explotar las vulnerabilidades de acceso remoto, tanto las
vulnerabilidades de los servicios de acceso antiguas como las recién descubiertas, para
remoto, impulsados por un gran número de obtener puntos de apoyo iniciales en sus redes
vulnerabilidades recientemente reveladas en los objetivo.
dispositivos de acceso perimetral y remoto. Esta
lista incluye IBM WebSphere Application Server, El grupo iraní Fox Kitten, que fue observado
Oracle WebLogic, Microsoft Remote Desktop atacando organizaciones de los sectores del
Gateway, Citrix NetScaler Gateway, Citrix ADC, petróleo y el gas, la aviación, la informática
Cisco ASA & Firepower, Oracle iPlanet Web gubernamental y la seguridad a lo largo de los
Server, y otros. últimos tres años, explota vulnerabilidades
conocidas en sistemas con servicios VPN y RDP
sin parches como su vector de infección primario.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021AUMENTO DE LOS ATAQUES QUE EXPLOTAN LAS VULNERABILIDADES
DE LOS PRODUCTOS DE CONEXIÓN REMOTA EN 2019-2020
14000
+41%
+85%
12000
+2,066%
10000 2020
8000 2019
6000
+610%
4000
2000
0
Citrix Cisco VPN RDP
Figura 2: Grupos APT integran vulnerabilidades de acceso remoto nuevas y antigüas
para obener un punto de apoyo incial.
El grupo afiliado a China APT 41 explotó Las 20 vulnerabilidades más explotadas de
vulnerabilidades en aplicaciones de Cisco y Check Point Research, recogidas por nuestra 25
Citrix en una campaña centrada en los sectores red de sensores del Sistema de Prevención de
industrial, de telecomunicaciones, financiero y Intrusiones (IPS), incluyen 8 vulnerabilidades
sanitario. para dispositivos de acceso remoto. Entre estas
vulnerabilidades se encuentran Cisco Unified
El 20 de octubre, la NSA publicó un informe IP Conference Station 7937G (CVE-2020-16139),
detallado en el que se enumeraban las 25 Citrix XenMobile Server Directory Traversal
principales vulnerabilidades que actualmente (CVE-2020-8209) y Citrix ADC Reflected Cross
aprovechan y explotan los actores de amenazas Site Scripting (CVE-2020-8191).
chinos. Las fallas que se incluyeron en la lista
fueron atacadas 7 veces más que otras Mientras los investigadores continuaban su
vulnerabilidades en 2020. El gráfico anterior labor de investigación e identificación de
muestra el aumento de los ataques que vulnerabilidades en las plataformas de acceso
explotan las vulnerabilidades de los productos remoto, los atacantes hábiles y no tan hábiles
de conexión remota. aprovecharon el lapso de tiempo entre la
divulgación de la vulnerabilidad y la aplicación
de parches en los sistemas para desatar los
ataques y reforzar su dominio sobre objetivos
corporativos en todo el mundo.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021"A medida que dependemos más de nuestros dispositivos móviles
para estar conectados y gestionar nuestras vidas, los atacantes se
dirigen cada vez más a ellos a través de sofisticado malware,
aplicaciones maliciosas y tratando de aprovechar las
vulnerabilidades. Las empresas necesitan adoptar una seguridad
móvil que pueda proteger sin problemas los dispositivos no
ISAAC
supervisados de estas ciberamenazas avanzadas, y los usuarios
DVIR
Director, deben tener cuidado de utilizar sólo las apps de las tiendas
Soluciones Móviles oficiales para minimizar su riesgo."
El recién descubierto EventBot se centra en
COVID-19 DESDE EL MÓVIL HASTA
objetivos en Estados Unidos y Europa, mientras 26
LOS ATAQUES DE CERO CLICK
que ThiefBot apunta a los usuarios turcos. La
El COVID-19 dominó el panorama de las lista continúa con BlackRock, Wroba, TrickMo y
ciberamenazas para móviles, al igual que lo hizo otros, todos los cuales muestran el aumento de
con todos los demás aspectos de la vida en 2020. la actividad de los troyanos de cocción.
Además de la introducción de varias aplicaciones
maliciosas que se hacían pasar por legítimas La Actividad de las Amenazas Persistentes
relacionadas con el coronavirus, aumentó la Avanzadas (APT) a través de dispositivos móviles,
preocupación por los problemas de privacidad de extendiendo las MRAT (herramientas de acceso
los datos en las aplicaciones oficiales de remoto móvil) y perfeccionando continuamente
seguimiento desarrolladas por los gobiernos sus capacidades. En algunos casos, como el de la
nacionales. APT iraní Rampant Kitten, el actor de la amenaza
utilizó una combinación de aplicaciones móviles
El aumento del uso de dispositivos móviles falsas, infostealers de Windows y páginas de
durante el confinamiento y el distanciamiento phishing de Telegram para utilizar códigos
social también pueden ser responsables del robados de autenticación de dos factores (2FA)
importante crecimiento de las familias de troyanos para espiar a ciudadanos iraníes expatriados.
bancarios. El actor de la amenaza Guildma Tanto los grupos de espionaje como los de
presentó Ghimob, que es capaz de realizar motivación financiera tenían como objetivo
transacciones en cuentas de instituciones principal los mecanismos de AMF en su actividad
financieras en Brasil, Paraguay, Perú, Portugal, de vigilancia.
Alemania, Angola y Mozambique.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021"CloudGuard de Check Point ha sido clave para permitirnos añadir
nuevas descargas y servicios en la nube sin necesidad de revisar o
desplegar constantemente una nueva infraestructura de seguridad.
Esto significa que podemos centrarnos en las tareas críticas de
cara al público en las que podemos añadir valor real. En este
momento estamos construyendo nuestros sistemas de gestión de
la vacunación, y nuestro enfoque de "cloud-first" nos da la agilidad DERYCK
y la escalabilidad que necesitamos para desplegarlo a nivel MITCHELSON
nacional mientras estamos seguros de que los datos y los servicios Jefe de Seguridad
están protegidos." de la Información,
NHS Escocia
Las principales vulnerabilidades notificadas La familia de vulnerabilidades Achilles reveló
este año en el hardware móvil y las más de 400 puntos débiles en un chip de 27
aplicaciones populares pueden representar un Qualcomm que afecta a una gran parte de
cambio en las estrategias de ataque, que mercado de los móviles. Zimperium señaló
actualmente se basan en aplicaciones otros puntos débiles en el hardware de los
maliciosas disfrazadas o en vulnerabilidades teléfonos Android que pueden ser explotados
del sistema operativo. Anteriormente, en la para dar lugar a una toma de control total. Se
mayoría de los casos los atacantes conseguían descubrió que las aplicaciones más populares
un punto de apoyo inicial a través de exponen a sus usuarios a una posible violación.
aplicaciones maliciosas o defectos del sistema Se informó que Instagram tiene una
operativo, pero en 2020 vimos un aumento de vulnerabilidad RCE de clic cero en su
los informes de vulnerabilidades en el decodificador JPEG. La vulnerabilidad del
hardware móvil y las aplicaciones populares. sistema de "inicio de sesión" de Apple puede
permitir a los atacantes remotos saltarse la
autenticación y apoderarse de las cuentas
seleccionadas. Se han detectado otras
vulnerabilidades en WhatsApp y Facebook,
entre otras.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021"El ritmo de las transferencias e implantaciones en la nube ha
superado la capacidad de los equipos de seguridad para defenderla
de los ataques y las filtraciones. Más del 80% de las organizaciones
afirman que sus soluciones de seguridad tradicionales no funcionan
en absoluto o sólo ofrecen funciones limitadas en los entornos de la
nube, lo que supone una gran oportunidad para los autores de
ataques en la nube. Para eliminar estas deficiencias de seguridad,
TSION (TJ) las empresas necesitan disponer de una visibilidad integral en todos
GONEN sus entornos de nube pública e implantar protecciones
Jefe de la Línea automatizadas y estandarizadas en la nube. De esta manera, pueden
de Producción adaptarse al ritmo de las demandas del negocio al tiempo que
de la nube garantizan la seguridad y el cumplimiento de forma continua."
ESCALADA DE PRIVILEGIOS Los delincuentes han tomado nota de esta
importante migración a las tecnologías de la
EN LA NUBE nube híbrida. Dark Halo, el actor de la amenaza
28
La pandemia de COVID-19 ha impulsado un que está detrás del famoso ataque a la cadena
cambio sistemático en la arquitectura de las de suministro de SolarWinds que vulneró más
redes corporativas. La necesidad urgente de de 18.000 organizaciones, se ha valido en gran
contar con redes administradas a distancia, medida del modelo de nube híbrida para
ágiles y escalables ha acelerado el paso a una acceder a información sensible para establecer
infraestructura en la nube, que permita la continuidad de las organizaciones atacadas.
flexibilidad en la gestión de la escala y los Una vez que una organización se ve
recursos, y sea accesible desde cualquier comprometida, el atacante se mueve
lugar. Un estudio reciente muestra que el lateralmente desde el servidor de SolarWinds
mercado de la nube aumentó casi un 40% solo de la organización al servidor local de los
en el primer trimestre de 2020, y revela la Servicios de Federación de Directorio Activo
creciente popularidad de las redes de nube (ADFS) -un servicio responsable del inicio de
híbrida. Para 2025, se prevé que el mercado sesión único de la organización para acceder a
superará más del doble de su valor actual. servicios en la nube, como Office 365. En esa
fase, el atacante utiliza una técnica
previamente anunciada para crear un llamado
"Golden SAML", que le da al atacante un
acceso completo permanente y difícil de
detectar a los servicios en la nube de la
víctima.
CHECK P OIN T S OF T WA RE
SECURIT Y REP ORT 2021También puede leer
