Llegamos a ustedes gracias a:



Noticias

COVID-19: Las campañas de ataque se dirigen a las regiones más afectadas

Según las investigaciones.

[07/05/2020] Los atacantes siguen explotando los temores de la gente sobre la pandemia del COVID-19 para aumentar la tasa de éxito de sus campañas maliciosas, incluso en el espacio empresarial. Las nuevas investigaciones de las empresas de seguridad muestran que los ciberdelincuentes están centrando sus ataques en los países y regiones más afectados por el coronavirus, y en los sectores verticales de la industria que están sometidos a una gran presión económica.

Dado que muchos empleados trabajan ahora desde casa, a menudo desde dispositivos personales, el riesgo de infecciones de malware y de comprometer las credenciales es significativamente mayor. Las empresas deberían tomar medidas para garantizar que el acceso remoto a sus aplicaciones y datos corporativos se supervise cuidadosamente, siga los principios de mínimos privilegios y se realice desde dispositivos seguros utilizando la autenticación multifactorial (MFA).

Un aumento de los dominios relacionados con COVID-19

Según un nuevo informe de Palo Alto Networks, entre el 9 de marzo y el 26 de abril se han registrado más de 1,2 millones de nombres de dominio que contienen palabras clave relacionadas con la pandemia COVID-19. De ellos, más de 86.600 fueron clasificados como riesgosos o maliciosos con altas concentraciones alojados en los Estados Unidos (29.007), Italia (2.877), Alemania (2.564) y Rusia (2.456). En promedio, 1.767 nuevos dominios temáticos maliciosos COVID-19 se crean cada día.

"Durante nuestra investigación, notamos que algunos dominios maliciosos se resuelven en múltiples direcciones IP, y algunas direcciones IP están asociadas a múltiples dominios", dijeron los investigadores de Palo Alto. "Este mapeo de muchos a muchos a menudo ocurre en entornos de nube debido al uso de redes de entrega de contenido (CDN) y puede hacer que los firewalls basados en IP sean ineficaces".

Las CDNs reducen la latencia y mejoran el rendimiento del sitio web dirigiendo a los visitantes del sitio web a su servidor de borde regional más cercano. Esos servidores de borde entregan versiones en caché de los sitios, lo que quita la carga de sus servidores de origen. Los atacantes pueden aprovechar este comportamiento de mejora del rendimiento para cubrirse, ocultando sus sitios web maliciosos entre los legítimos y haciendo más difícil que los defensores los bloqueen. Esto se debe a que poner en una lista negra la dirección IP de un servidor de borde de CDN en un firewall también bloqueará los nombres de dominio no maliciosos que apunten al mismo servidor.

Otra consecuencia del uso de las CDN y de los servicios de alojamiento basados en la nube es que los nombres de dominio están configurados con múltiples registros DNS A que apuntan a varias direcciones IP. Esto se hace por redundancia, pero también para dirigir las computadoras al servidor más cercano cuando realizan búsquedas de DNS. Esto también dificulta el bloqueo de sitios web maliciosos por dirección IP, ya que pueden apuntar a diferentes según la geolocalización del cliente.

"Una IP en una lista negra en un firewall de capa 3 puede fallar al bloquear el tráfico hacia/desde un dominio malicioso, mientras que sin querer hace que muchos otros dominios benignos sean inalcanzables", dijeron los investigadores de Palo Alto. "Un firewall de capa 7 más inteligente es necesario para inspeccionar los nombres de dominio en la capa de aplicación y pasar o bloquear selectivamente las sesiones".

Los datos de la compañía muestran que 2.829 dominios COVID-19 maliciosos fueron alojados en nubes públicas, o alrededor del 5% del total. Esta cifra es relativamente baja, lo que podría deberse a que los proveedores de nubes tienen un control más riguroso, pero muestra que algunos atacantes están dispuestos a correr ese riesgo para tener más posibilidades de no ser bloqueados por los firewalls corporativos.

Los ataques cibernéticos siguen la tendencia de la infección por coronavirus

La empresa de seguridad Bitdefender analizó la evolución de las amenazas con temática de coronavirus a lo largo de marzo y abril y, basándose en su telemetría, descubrió que los atacantes tienden a centrar sus campañas en los países y regiones más afectados por el virus.

"Los países que tienen el mayor número de informes sobre el tema del coronavirus, parecen haber sido también los más afectados por la pandemia", señaló la empresa en su informe. "Por ejemplo, entre los países que presentaron el mayor número de informes temáticos sobre el malware figuran los Estados Unidos, Italia y el Reino Unido".

En lo que respecta a los verticales de la industria más atacados, los atacantes parecen centrarse en los sectores que se vieron muy afectados por la pandemia o que están tratando de hacer frente a una mayor demanda y a la escasez de trabajadores. Durante el mes de abril, las verticales más atacadas fueron el comercio minorista, el transporte, la fabricación, la educación y la investigación, el gobierno, los servicios financieros, la ingeniería, la tecnología, los productos químicos y los alimentos y bebidas. La razón por la que la asistencia sanitaria no está entre los 10 primeros podría ser porque la industria de la salud no tiene tantos actores, y por lo tanto objetivos, como los otros sectores.

"Dado que esta telemetría se basa estrictamente en los informes con temática de coronavirus, no excluye la posibilidad de que la asistencia sanitaria y otros verticales puedan haber visto un aumento de otros tipos de malware, como el de rescate", indicó Bitdefender.

La telemetría de la compañía muestra que los ciberdelincuentes siguieron las tendencias de infección por coronavirus centrándose en Europa durante gran parte del mes de marzo y luego dirigiendo su atención a los EE.UU. en abril a medida que el número de nuevos casos explotó allí, lo que hizo más probable que la gente hiciera clic en los enlaces y abriera los archivos adjuntos que ofrecían más información sobre la pandemia. Los correos electrónicos de phishing observados por Bitdefender a menudo se hacían pasar por organizaciones mundiales como la OMS, la OTAN y el UNICEF.

"La pandemia mundial del SARS-CoV-2 (COVID-19) no va a desaparecer pronto y es probable que los ciberdelincuentes sigan explotando y aprovechando la crisis en su propio beneficio", señaló la empresa. "Es probable que las amenazas relacionadas con el coronavirus continúen bajo la forma de correos electrónicos de "spear phishing", URLs fraudulentas y aplicaciones maliciosas de eventos, todos explotando el miedo y la desinformación para engañar a las víctimas para que den información personal, sensible o financiera sin querer".