Llegamos a ustedes gracias a:



Reportajes y análisis

¿No le gustan los lunes? A los atacantes tampoco

[12/10/2017] Puede que el lunes sea el día de la semana que menos nos agrada, pero el jueves es cuando los profesionales de la seguridad deberían estar alertas debido a los criminales cibernéticos, afirman los investigadores.

El momento oportuno lo es todo. Los atacantes prestan la misma cantidad de atención al momento en el que sus víctimas se encuentran en línea, que al mismo desarrollo de sus campañas. A medida que las cuentas corporativas han pasado a ser el centro de atención de los spammers, éstos se han estado moviendo hacia el horario diario de 9 a 5, característico de la jornada laboral corporativa tradicional. Los investigadores en IBM X-Force Kassel analizaron miles de millones de mensajes de spam recolectados desde diciembre del 2016 hasta junio del 2017, y encontraron que más del 83% del spam fue enviado durante los días de semana; el martes mostró la mayor actividad, seguido por el miércoles y el jueves.

El día de trabajo del spammer parece empezar alrededor de las 5 am UTC, o 1 am EST, para alcanzar a los empleados europeos, y la mayoría de la actividad se detiene alrededor de las 8 pm UTC, o 4 pm EST. Los grupos que trabajaban los fines de semana tendían a trabajar todo el día, alcanzando su máxima actividad a la 1 pm UTC, y disminuyendo su actividad cerca de las 11 pm UTC.

"Eso se debe a que los spammers empiezan con Europa antes de seguir el sol y empezar a enviar spam a receptores en Estados Unidos, escribieron los investigadores, resaltando que parte de la actividad dirigida a víctimas en Estados Unidos continúa por más tiempo.

El momento adecuado importa

Los descubrimientos de IBM X-Force se alinean con el Reporte de Factor Humano de Proofpoint publicado previamente este año, donde se muestra que los volúmenes de correos electrónicos con mensajes maliciosos adjuntos se elevan 38% más los jueves que el volumen promedio de los días de semana. Los miércoles ocuparon el segundo lugar en tener correos electrónicos maliciosos, seguidos de los lunes, martes y viernes. Los fines de semana tienden a ser días de volumen bajo para las amenazas de correo electrónico, pero eso no significa que no existan.

Este cuadro muestra el volumen general de spam por día.
IBM XForce

"Los atacantes se esfuerzan por asegurarse de que sus mensajes lleguen a los usuarios cuando éstos sean más propensos a darles clic: Al inicio de un día de negocios, a tiempo para que ellos los vean y den clic a los mensajes maliciosos durante el horario de trabajo, escribieron los investigadores de Proofpoint en el reporte, que analizó el tráfico de correos electrónicos con mensajes maliciosos adjuntos en el 2016. Los correos electrónicos maliciosos pueden llegar cualquier día de la semana, pero el análisis de Proofpoint encontró que los atacantes prefieren ciertos días de la semana para ciertas categorías de amenaza. Los keyloggers y backdoors tienden a empezar la semana los lunes, y los miércoles son los días de mayor actividad para los troyanos bancarios. Los mensajes de ransomware tienden a ser enviados entre los martes y jueves. Los troyanos en punto de venta llegan más tarde durante la semana, los jueves y viernes, cuando los equipos de seguridad tienen menos tiempo de detectar y mitigar nuevas infecciones antes del fin de semana. Casi el 80% de las campañas de punto de venta en el 2016 ocurrieron en esos dos días.

"Con pocas excepciones, el ransomware fue la única categoría de malware enviada los fines de semana, afirmó Proofpoint en el reporte.

IBM X-Force observó las direcciones IP de origen de los mensajes de spam, y encontró que los spammers en distintas regiones geográficas preferían distintos días para sus ataques. Los spammers rusos fueron los más activos durante los jueves y sábados, mientras que los spammers de Estados Unidos y China permanecieron constantes durante toda la semana. Aunque es posible que los criminales estuvieran contratando spammers en distintos países para enviar los mensajes, los investigadores de IBM X-Force notaron que la mayoría de los spammers tienden a dirigirse a víctimas en el mismo país para aparentar ser legítimos frente a los filtros de spam. Los spammers en Europa, India y América del Sur fueron más propensos a seguir un horario de día de trabajo consistente, donde la actividad fue alta durante el día y más baja en la noche, mientras que los spammers de América del Norte tuvieron una actividad constante durante todo el día.

Los equipos de seguridad necesitan estar particularmente alertas los jueves -los mensajes adjuntos maliciosos, las URL maliciosas, el ransomware y las infecciones de punto de venta favorecen ese día. Las campañas de ladrones de credenciales también prefieren los jueves. Hubo un claro incremento de adjuntos maliciosos enviados los jueves, pero los correos electrónicos con URL maliciosas -el vector más común para los ataques de phishing diseñados para el robo de credenciales- fueron constantes a lo largo de la semana, con un ligero incremento los martes y jueves.

El nivel de éxito es mayor en ciertos momentos

Los atacantes entienden los hábitos en el uso del correo electrónico de un empleado y saben que los empleados con un correo bien producido, justo en el momento indicado, les darán niveles más altos de éxito. La mayoría de los correos electrónicos de ataque son enviados de cuatro a cinco horas después del inicio del día de negocio y alcanzan su pico a la hora del almuerzo. El análisis de Proofpoint encontró que casi el 90% de los clics en las URL maliciosos ocurren dentro de las primeras 24 horas de llegada, la mitad ocurren después de una hora. Un cuarto de los clics ocurre en tan solo diez minutos.

El tiempo entre la llegada del correo electrónico a la bandeja de entrada de la víctima y el clic en los enlaces maliciosos es más corto durante las horas laborales -entre las 8 am y las 3 pm en el horario del este- en Estados y Canadá. El Reino Unido y el resto de Europa también mostraron patrones similares, pero hubo algunas diferencias de acuerdo a las regiones. Los clics en enlaces maliciosos por parte de los usuarios franceses llegaron a su máximo a la 1 pm, pero el máximo de los usuarios suizos y alemanes tendió a darse dentro de las primeras horas del día de trabajo. Los empleados del Reino Unido esparcieron sus clics durante todo el día, pero hubo una clara disminución de actividad después de las 2 pm.

Para empezar, aunque es importante bloquear los mensajes maliciosos para que no alcancen las bandejas de entrada, el otro lado de la defensa de los correos electrónicos es ser capaz de alertar sobre los mensajes que ya han llegado y bloquear aquellos enlaces después de reconocer que eran maliciosos. Mientras más tiempo exista una URL en la bandeja de entrada, más probable es que el usuario le dé clic. Ser capaz de bloquear aquellos enlaces o remover proactivamente aquellos correos electrónicos después de su llegada, reduciría la amenaza.

IBM X-Force notó que los spammers están usando, cada vez con mayor frecuencia, los troyanos bancarios como Dridex, TrickBot, QakBot, y ransomware para atacar a las organizaciones, sin limitarse solo a inundar indiscriminadamente las bandejas de entrada de los usuarios.

"Estas pandillas se aseguran de enviar spam a los empleados en ataques muy puntuales de correo malicioso, durante periodos de tiempo en donde las potenciales nuevas víctimas son más propensas a abrir los correos electrónicos que llegan, señala el informe.

El crimen cibernético no descansa

Aunque el análisis de Proofpoint se centró en los ataques basados en el correo electrónico y se extendió hasta fines del 2016, el correo electrónico no fue el único vector de amenaza en donde los atacantes le prestaron atención al día de la semana. Un análisis de todos los ataques investigados por eSentire Security Operations Center, durante el primer trimestre del 2017, encontró que algunos ataques fueron más comunes en determinados días. El volumen de amenazas, señalados por el reporte de eSentire, incluye a los ataques de disponibilidad como la denegación distribuida de servicio (DDoS), fraude, recopilación de información, intentos de intrusión y código malicioso, llegó a su máximo los días viernes, seguido de los jueves. A los ataques de disponibilidad no les importaba el día de la semana, pero el fraude se redujo dramáticamente durante los fines de semana. El código malicioso era más común los jueves, y los intentos de intrusión fueron más altos los viernes.

Este cuadro muestra el volumen de spam por hora de lunes a viernes. Aunque los spammers están activos a todas horas, el spam alcanza su tope cerca de las 9 am y una vez más a las 11 am.
IBM X-Force

Las botnets como Necurs nunca duermen y sus miembros zombis pueden ser programados para emitir spam en cualquier momento del día. Los spammers también se apoyan en los mailers, en los sistemas de distribución de tráfico y en las computadoras secuestradas para llevar a cabo sus campañas. Sin embargo, los spammers no solo se apoyan en herramientas automatizadas debido a que ellos necesitan seguir refinando sus operaciones para pasar los filtros de spam y llegar a las bandejas de entrada de las víctimas. Por ejemplo, los spammers que usan la botnet Necurs recientemente han cambiado de táctica, abandonando el envío de documentos Office incrustados con esfuerzos en favor del envío de archivos DocuSign falsos.

"Aprendiendo sus métodos y rastreando sus actividades, los defensores pueden administrar mejor el riesgo y mantener a sus compañías más seguras frente al spam, escribieron los investigadores de IBM X-Force.

No existen días libres cuando se trata de defensa. Las herramientas de seguridad que analizan los mensajes de correo electrónico a medida que éstos llegan, antes de permitirles alcanzar las bandejas de entrada de los usuarios, tienen que ser capaces de manejar los máximos volúmenes sin sacrificar el desempeño. Pero si los defensores saben que la segunda mitad de la semana tiende a ser peor en términos de malware y robo de credenciales, pueden implementar un monitoreo y escaneo adicional para detectar posibles infecciones nuevas. Asignando mayor tiempo de investigación de alertas a la segunda mitad de la semana, los equipos de seguridad podrían detectar ataques con mayor anticipación y reducir el daño potencial.

Crédito foto: geralt (CCO)