Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo los ciberdelincuentes están explotando la crisis del COVID-19

[19/03/2020] Si bien las organizaciones pueden tomar muchas medidas para asegurar que los empleados estén bien equipados para trabajar a distancia de manera segura, los actores de la amenaza de todos los tipos ya están aprovechando la situación de COVID19/coronavirus. Sin dejar pasar ninguna oportunidad, los atacantes están intensificando las operaciones de propagación de malware a través de correos electrónicos, aplicaciones, sitios web y medios sociales con el tema de Covid19. Aquí hay un desglose de los posibles vectores de amenaza y las técnicas que los actores de la amenaza están utilizando para atacar a las organizaciones.

Cómo los atacantes explotan la crisis de COVID-19:

1. Correos electrónicos de phishing

El correo electrónico es y seguirá siendo el mayor vector de amenaza para las personas y las organizaciones. Los ciberdelincuentes han utilizado durante mucho tiempo los acontecimientos mundiales en las campañas de phishing para aumentar su tasa de éxito, y el coronavirus no es una excepción.

Digital Shadows informa que los oscuros mercados de la web están anunciando los kits de phishing COVID19 utilizando un archivo adjunto de correo electrónico envenenado, disfrazado de mapa de distribución del brote del virus por precios que oscilan entre los 200 y los 700 dólares.

Los temas de estos correos electrónicos van desde informes de analistas específicos de ciertas industrias y detalles de consejos oficiales de salud del gobierno, hasta vendedores que ofrecen mascarillas u otra información sobre operaciones y logística durante estos tiempos. Las cargas útiles incluidas en estos correos electrónicos van desde rescates y registradores de teclas hasta troyanos de acceso remoto y ladrones de información.

"Nuestro equipo de investigación de amenazas ha observado numerosas campañas de correo electrónico maliciosas de COVID-19, muchas de las cuales utilizan el miedo para intentar convencer a las víctimas potenciales de que hagan clic", señala Sherrod DeGrippo, director principal de investigación y detección de amenazas de Proofpoint. "Los delincuentes han enviado oleadas de correos electrónicos que han oscilado entre una docena y más de 200 mil a la vez, y el número de campañas está aumentando. Inicialmente veíamos alrededor de una campaña al día en todo el mundo, ahora estamos observando tres o cuatro al día."

DeGrippo dice que alrededor del 70% de los correos electrónicos que el equipo de amenazas de Proofpoint ha descubierto entregan malware, y que la mayoría del resto apunta a robar las credenciales de las víctimas a través de páginas de destino falsas como Gmail u Office 365. Proofpoint señala que el volumen acumulado de señuelos de correo electrónico relacionados con el coronavirus representa ahora la mayor colección de tipos de ataque unidos por un solo tema que la empresa haya visto jamás.

El NCSC y la Organización Mundial de la Salud (OMS), entre otros, han hecho públicas sus advertencias sobre correos electrónicos fraudulentos que pretenden ser de organismos oficiales. Han estado circulando varios correos electrónicos de phishing que dicen ser de los Centros para el Control y la Prevención de Enfermedades (CDC).

BAE Systems informa de que entre los agentes de la amenaza que envían correos electrónicos con el tema de COVID-19 se encuentran los grupos Transparent Tribe (también conocido como APT36), Sandworm/OlympicDestroyer y Gamaredon vinculados a Rusia, y los grupos afiliados a China Operation Lagtime y Mustang Panda APTS.

Igualmente, desde ESET alertaron esta semana sobre un correo de phishing, en un correcto español, que hace alusión a la preparación de una vacuna casera para evitar la enfermedad. El falso correo incluye un adjunto que contiene la supuesta lista de elementos necesarios para preparar la falsa vacuna, que esconde un troyano. Asimismo, ESET también detectó una versión igual en un correo en portugués.

2. Aplicaciones maliciosas

Aunque Apple ha puesto límites a las aplicaciones relacionadas con COVID19 en su App Store y Google ha eliminado algunas aplicaciones de la tienda Play, las aplicaciones maliciosas todavía pueden suponer una amenaza para los usuarios. DomainTools descubrió un sitio que instaba a los usuarios a descargar una aplicación para Android que proporciona información de seguimiento y estadística sobre COVID-19, incluyendo imágenes de mapas de calor. Sin embargo, la aplicación está realmente cargada con un software de rescate para Android, ahora conocido como COVIDLock. El billete de rescate exige 100 dólares en monedas de bits en 48 horas, y amenaza con borrar sus contactos, fotos y videos, así como la memoria de su teléfono. Se informa que se ha descubierto un token de desbloqueo.

DomainTools informó que los dominios asociados con COVIDLock fueron usados anteriormente para distribuir malware relacionado con el porno. "La larga historia de esa campaña, que ahora parece desactivada, sugiere que esta estafa de COVID-19 es una nueva empresa y un experimento para el actor que está detrás de este malware", anota Tarik Saleh, ingeniero superior de seguridad e investigador de malware de DomainTools, en una entrada de blog.

Proofpoint también descubrió una campaña en la que se pedía a los usuarios que donaran su potencia de cálculo a la SETI@Home pero dedicada a la investigación de COVID-19, solo para entregar malware de robo de información entregado a través de BitBucket.

3. Dominios malos

Se están creando rápidamente nuevos sitios web para difundir información relativa a la pandemia. Sin embargo, muchos de ellos también serán trampas para víctimas desprevenidas. Recorded Future informa que cientos de dominios relacionados con COVID-19 han sido registrados cada día durante las últimas semanas. Checkpoint sugiere que los dominios relacionados con COVID-19 tienen un 50% más de probabilidades de ser maliciosos que otros dominios registrados en el mismo período.

El NCSC ha informado de que los sitios falsos se hacen pasar por los Centros de Control de Enfermedades de los Estados Unidos (CDC), y crean nombres de dominio similares a la dirección web de los CDC para solicitar "contraseñas y donaciones de bitcoin para financiar una vacuna falsa".

Reason Security y Malwarebytes han informado sobre un sitio de mapa de calor de infección COVID-19 que está siendo usado para propagar malware. El sitio está cargado con malware de AZORult que robará credenciales, números de tarjetas de pago, cookies y otros datos sensibles basados en el navegador y lo exfiltrará a un servidor de comando y control. También busca carteras de criptografía, puede hacer capturas de pantalla no autorizadas y recopilar información de los dispositivos de las máquinas infectadas.

4. Puntos finales y usuarios finales inseguros

Con un gran número de empleados o incluso la totalidad de las empresas trabajando a distancia durante un tiempo prolongado, los riesgos en torno a los puntos finales y las personas que los utilizan aumentan. Los dispositivos que el personal utiliza en casa podrían ser más vulnerables si los empleados no actualizan sus sistemas regularmente.

Trabajar desde casa durante largos períodos de tiempo también puede alentar a los usuarios a descargar aplicaciones en la sombra en los dispositivos, o a incumplir las políticas que normalmente seguirían en la oficina. La reducción de los viajes de negocios podría disminuir la posibilidad de que los empleados tengan problemas de seguridad en las fronteras, pero solo reduce la amenaza de conectarse a redes Wi-Fi inseguras, o de perder dispositivos si realmente se quedan en casa.

La Asociación Internacional de Administradores de Activos de Tecnología de la Información recomienda que todos los activos de tecnología de la información que se lleven a casa sean firmados y rastreados, que las empresas proporcionen políticas y asesoramiento sobre la forma de utilizar los activos en el hogar (especialmente si las personas están acostumbradas a compartir dispositivos con la familia), que recuerden a los usuarios las políticas relativas a la conexión a la Wi-Fi pública, y que se aseguren de seguir actualizando sus programas informáticos cuando sea necesario.

5. Vulnerabilidades de los proveedores y de terceros

Cada socio, cliente y proveedor de servicios de su ecosistema probablemente esté pasando por los mismos problemas que su organización. Establezca un enlace con las partes críticas de su ecosistema de terceros para asegurarse de que están tomando medidas para asegurar su fuerza de trabajo remota.

6. Dirigirse a las organizaciones de atención sanitaria

En los últimos días, el sitio web de Salud Pública de Illinois fue atacado con un rasomware, mientras que el Departamento de Salud y Servicios Humanos (HHS) sufrió un intento de ataque DDoS. Es probable que las organizaciones de salud de todas las formas y tamaños estén más estresadas que de costumbre, lo que puede hacer que el personal sea más laxo con lo que hace clic.

Eset señala que en estos últimos días también se han registrado ciberataques a organismos o instituciones de salud que tienen un rol significativo en la lucha para evitar el avance de la pandemia, como el ciberataque al Hospital Universitario de Brno, en República Checa, en el cual funciona uno de los 18 centros de pruebas sobre el coronavirus en ese país, o el ataque de DDoS al Departamento de Salud Estados Unidos.

Los delincuentes oportunistas o los que desean interrumpir las operaciones podrían tener más probabilidades de atacar el sector. Los CSI del sector de la atención de la salud o que lo abastecen, deben recordar al personal que se mantenga vigilante en torno a los enlaces y documentos sospechosos, y que se asegure de que sus operaciones sean resistentes a los ataques DDoS.

Prioridades de seguridad para el trabajo a distancia a escala

Liviu Arsene, investigador de seguridad cibernética mundial de Bitdefender, recomienda que las organizaciones tomen las siguientes medidas para garantizar un trabajo remoto seguro y estable:

  • Aumentar el número de conexiones VPN simultáneas para acomodar a todos los empleados remotos.
  • Configurar y dar soporte a un software de conferencias que asegure tanto una conexión estable de voz como de video.
  • Asegúrese de que todos los empleados tengan credenciales válidas que no caduquen en menos de 30 días, ya que cambiar las credenciales caducadas de Active Directory puede ser difícil cuando se trabaja de forma remota.
  • Envíe reglas y directrices sobre las aplicaciones y plataformas de colaboración aceptadas, para que los empleados sepan lo que se autoriza y apoya y lo que no.
  • Tener procedimientos de despliegue gradual para desplegar las actualizaciones, ya que entregarlas todas a la vez a los empleados conectados a la VPN podría crear congestiones de ancho de banda y afectar el tráfico entrante y saliente.
  • Habilitar la encriptación del disco para todos los puntos finales para reducir el riesgo de pérdida de datos en los dispositivos comprometidos.