Informe de McAfee Labs sobre amenazas - COVID-19, julio de 2020 · 2020. 7. 31. · 4 Informe de McAfee Labs sobre amenazas CI, ulio de 2020 32 Spam y timos Índice Cronología, distribución

Informe de McAfee Labs sobre amenazas - COVID-19Julio de 2020

INFORME

2 Informe de McAfee Labs sobre amenazas - COVID-19, julio de 2020

Seguir

Compartir

El tema predominante en 2020 es, sin duda, la magnitud y el impacto que los ataques contra la ciberseguridad han tenido en nuestra sociedad en general.

Introducción

Menudo año. Lo que comenzó como un goteo de campañas de phishing y alguna que otra app maliciosa se convirtió rápidamente en una avalancha de miles de URL maliciosas, con la participación de ciberdelincuentes sobradamente preparados que aprovechan nuestra sed de información para lograr el acceso a sistemas en todo el mundo.

En esta "Edición especial" analizamos en profundidad los ataques relacionados con la pandemia de COVID-19. Además, hemos lanzado el panel de amenazas COVID-19 de McAfee para complementar este informe y prolongar sus efectos más allá de la fecha de publicación.

Todo informe sobre amenazas debe contener datos de máxima actualidad y, ahora, gracias al desarrollo de MVISION Insights, nuestros informes sobre amenazas enlazarán con un panel que realiza en directo un seguimiento de las principales amenazas del mundo. También ofreceremos los indicadores de peligro (IoC), reglas Yara y correspondencias con el marco MITRE ATT&CK, como parte de nuestro compromiso de compartir continuamente nuestra inteligencia procesable. Espero que estos recursos de McAfee le sean de utilidad.

En la investigación y redacción de este informe han participado:

• Christiaan Beek

• Taylor Dunton

• Dan Flaherty

• LyndaGrindstaff

• Steve Grobman

• Tracy Holden

• Tim Hux

• Abhishek Karnik

• Sriram P

• Tim Polzer

• Thomas Roccia

• Raj Samani

• Sekhar Sarukkai

• Craig Schmugar

INFORME TEMA PRINCIPAL


Seguir

Compartir

El tema predominante en 2020 es, sin duda, la magnitud y el impacto que los ataques contra la ciberseguridad han tenido en nuestra sociedad en general. Con demasiada frecuencia, nos requieren para participar en investigaciones de incidentes que paralizan empresas o hacen perder a las víctimas considerables sumas de dinero. Mientras que todos sufríamos el confinamiento a causa de la pandemia, los ciberdelincuentes de todo tipo y condición han hecho su agosto.

Esperamos que disfrute los nuevos recursos que incluye el informe sobre amenazas, y además le agradeceríamos que compartiera sus conclusiones para que llegaran así al mayor número de personas. En un momento en el que ya nos enfrentamos a bastantes dificultades, estas herramientas y la información obtenida podrían marcar para una empresa la diferencia entre seguir operativa o tener que cerrar.

Muchas gracias por su tiempo.

—Raj Samani, McAfee Fellow y científico jefe

Twitter @Raj_Samani


Spam y timos32

Índice

Cronología, distribución y detección de ciberamenazas relacionadas con la COVID-19

Amenazas a sectores y vectores

Mercados clandestinos

La nube en el punto de mira de los autores de amenazas

Estadísticas sobre amenazas de malware

Timos de URL

Phishing y troyanos de malware

Recomendaciones

6

7

33

14

10

35

18

39

Ransomware30



Seguir

Compartir

No es de extrañar que los ciberdelincuentes aprovechen la oportunidad que ofrece la pandemia de COVID-19 para atacar a los empleados que se ven obligados a trabajar desde casa. La necesidad de las empresas de poner rápidamente en cuarentena a sus plantillas ha complicado el trabajo de los centros de operaciones de seguridad y los directores de tecnología (CTO), que se han visto obligados a adoptar un modelo de teletrabajo seguro a una escala desconocida hasta ahora por la industria de la seguridad.

Proporcionar los sistemas de colaboración y productividad necesarios para disponer de una plantilla de teletrabajadores operativa exige confiar en el nivel de ciberhigiene personal de los empleados, ya que ahora se ven obligados a compaginar el ancho de banda doméstico habitual con las exigencias técnicas de sus trabajos. Además, la plantilla sufre la ansiedad que genera esta situación de anormalidad y la interrupción de sus hábitos, debiendo atender las necesidades de sus familias en un momento de distanciamiento social, con el empleo de equipos de protección personal, escasez de oferta y demanda, aumento del nivel de desempleo y una parada en seco de la tranquilidad mental que aporta la seguridad de contar con planes y rutinas. Para los ciberdelincuentes esta plantilla de teletrabajadores distraída y vulnerable es una presa fácil.

Utilizan ransomware relacionado con la COVID-19, exploits de escritorio remoto, URL maliciosas y spam diseñado para engañar a los teletrabajadores para que cometan errores en sus interacciones externas, como hacer clic en un enlace no verificado o abrir el archivo adjunto equivocado, así como otras acciones especialmente diseñadas para activar todo un arsenal de malware con tácticas y técnicas creadas expresamente para aprovechar las vulnerabilidades asociadas a la pandemia y obtener acceso a recursos corporativos internos.

Desde que se conocieron las primeras noticias sobre el coronavirus, los investigadores de McAfee han centrado las investigaciones y recursos de seguridad en las tácticas y técnicas que los ciberdelincuentes han puesto en práctica a lo largo del desarrollo de la pandemia. Hemos trabajado para mantener a salvo a nuestros clientes y a la comunidad de seguridad mediante la supervisión y la adaptación de nuestra pila de detección para responder mejor al panorama de amenazas relacionadas con la COVID-19. Consulte en el Centro de amenazas de McAfee lo último sobre la evolución de las amenazas relacionadas con la COVID-19.



Seguir

Compartir

Cronología, distribución y detección de ciberamenazas relacionadas con la COVID-19

Familias de malware prevalentesque aprovechan la COVID-19

Los ciberdelincuentes se han adaptado rápidamente y han vistoen la pandemia una oportunidad de lanzar ataques temáticos

Potencial de daño

Muy alto impacto

Impacto moderado

Impacto bajo

Alto impacto

Fuente: McAfee, LLC

ENERO FEBRERO MARZO ABRIL

Ransomwarerelacionado con la COVID-19

RAT Remcos

RATNanoCore

Casos de IOCde COVID-19

Feb 162020

Semana

Volu

men

Mar 22 Mar 29 Abril 5 Abril 12 Abril 19Mar 15Mar 1Feb 23 Mar 8 Abril 26



Seguir

Compartir

Amenazas a sectores y vectores El volumen de amenazas relacionadas con la COVID-19 ha sido realmente importante y se han empleado señuelos en todo tipo de ataques.

McAfee ha observado detecciones maliciosas en prácticamente todos los países afectados por la pandemia de COVID-19, si bien el volumen varía enormemente.

Mapa de calor de detección mundialEl panel de amenazas relacionadas con COVID-19 de McAfee utiliza inteligencia recopilada y actualizada a diario por el equipo McAfee Advanced Programs Group (APG). McAfee detectó por primera vez indicadores de peligro (IoC) conocidos a mediados de enero. Observamos detecciones en prácticamente todos los países que habían sufrido los efectos de la pandemia de COVID-19¹.

Figura 1. Nuestro panel de amenazas relacionadas con la COVID-19 amplía el impacto de este informe con inteligencia actualizada a diarioporelequipoMcAfeeAdvancedProgramsGroup(APG).



Seguir

Compartir

Incidentes de seguridad hechos públicos por región(número de ataques comunicados)

Norteamérica Varios Europa Asia Australia

50

100

150

200

250

300

350

400

450

04.º trim. 1.er trim.

2019 2020

Fuente:McAfeeLabs,2020.

0

50

100

150

200

250

10 principales países atacados

EE. UU

.

Varios

N/D

Reino Unido

Italia

Francia

India

Australia

Canadá

España

Alemania

4.º trim. 2019 1.er trim. 2020

Figura2.McAfeeLabscontabilizó458incidentesdeseguridadhechospúblicosenelprimertrimestrede2020,incluidoslosquenosedistinguíalaregiónatacada,loquesuponeunaumentodel41 %respectoal4.ºtrim.de2019.Losincidentesqueafectarona Norteaméricaaumentaronun60 %respectoaltrimestreanterior,mientrasqueenEuropadescendieronun7 %.

Figura 3. LosincidentesqueafectaronaEstadosUnidosduranteel 1.ertrimestrede2020aumentaronun61 %,enelReinoUnidodescendieronun55 %yenCanadáaumentaronun50 %respectoal trimestreanterior.




Seguir

Compartir

10 principales vectores de ataque

0

25

50

75

100

125

150

175

200

225

Malw

are

Error de configuración

Secuestro de cuentas

Ataque selectivo

Desconocido

Maliciosa

Vulnerabilidad

DD

oS

Malw

are para TPV

Spam

SQLi

Script malicioso

Correo electrónico empresarial

4.º trim. 2019 1.er trim. 2020McAfeeLabsobtienedevariasfuenteslosdatosdelosincidentesdeseguridad.

10 principales sectores industriales atacados

0

10

20

30

40

50

60

70

80

90

100

Entretenimiento

Particulares

Varios sectores

Sector público

Sector sanitario

Educación

Financiero/Seguros

Fabricación

Tecnología

Minorista/M

ayorista

4.º trim. 2019 1.er trim. 2020

Figura4.Los incidentes comunicados durante el primer trimestre de 2020queafectaronavariossectoresaumentaronun94 %.Elsectorpúblicoexperimentóunaumentodel73 %,elsectordeparticularesy autónomosun59 %,yeldelafabricaciónun44 %,mientrasquelosincidentesenelsectordecienciaytecnologíadescendieronun19 %.

Figura5.Engeneral,elmalwareencabezólosvectoresdeataqueduranteelprimertrimestrede2020,seguidodelsecuestrodecuentasylosataquesselectivos.Losataquesdemalwareaumentaronun33 %respectoaltrimestreanterior,losataquesdesecuestrodecuentasaumentaronun71 %,ylosataquesselectivos,un60 %.

McAfeeLabsobtienedevariasfuenteslosdatosdelosincidentesdeseguridad.



Seguir

Compartir

Estadísticas sobre amenazas de malwareEn el primer trimestre de 2020 se detectaron aumentos importantes en varias categorías de amenazas:

■ McAfee Labs observó 375 amenazas por minuto en el 1.er trimestre de 2020.

■ El nuevo malware PowerShell aumentó un 689 % en el 1.er trimestre de 2020, respecto al trimestre anterior. Este aumento se puede atribuir en gran medida a la familia Donoff de TroyanDownloader. Donoff también jugó un papel importante en el aumento del 412 % del nuevo malware basado en macros durante el mismo trimestre.

■ El malware PowerShell aumentó un 1902 % en los cuatro trimestres anteriores.

■ El nuevo malware para móviles aumentó un 71 % durante el 1.er trimestre de 2020 respecto al trimestre anterior, principalmente debido a los troyanos.

■ El total de malware para móviles creció casi un 12 % en los cuatro trimestres anteriores.

■ El nuevo malware para IoT (58 %) y el nuevo malware para macOS (51 %) aumentaron por encima del 50 %.

■ El nuevo malware de minería de monedas aumentó un 26 %.

■ El nuevo malware para Linux experimento una subida del 8 %

En las siguientes categorías se observaron reducciones durante el 1.er trimestre de 2020 respecto al trimestre anterior:

■ El nuevo malware basado en exploits disminuyó un 56 %. ■ El nuevo malware JavaScript disminuyó un 38 %. ■ El nuevo malware disminuyó un 35 %.

Malware total

150 000 000

300 000 000

450 000 000

600 000 000

750 000 000

900 000 000

1 050 000 000

1 200 000 000

1 350 000 000

0

2019 20204.º trim. 1.er trim.3.er trim.


Nuevo malware PowerShell

200 000

400 000

600 000

800 000

1 000 000

1 200 000

1 400 000

1 600 000

0



■ El nuevo ransomware disminuyó un 12 %. ■ Los nuevos archivos binarios firmados maliciosos

disminuyeron un 11 %.



Seguir

Compartir

Nuevo malware basado en macros

200 000

400 000

600 000

800 000

1 000 000

1 200 000

1 400 000

1 600 000

1 800 000


20193.er trim.

2020


Nuevo malware para móviles

200 000

400 000

600 000

800 000

1 000 000

1 200 000

1 400 000

1 600 000


20193.er trim.

2020


Nuevo malware para IoT

10 000

20 000

30 000

40 000

50 000

60 000

70 000

80 000

0



Nuevo malware basado en iOS

500

1000

1500

2000

2500

3000

0

2019 2020

3500

4.º trim. 1.er trim.3.er trim.




Seguir

Compartir

Nuevo malware de minería de monedas

500 000

1 000 000

1 500 000

2 000 000

2 500 000

3 000 000

3 500 000

4 000 000

4 500 000

5 000 000

0



Nuevo malware para Linux

25 000

50 000

75 000

100 000

125 000

150 000

0



Nuevo malware basado en exploits

100 000

200 000

300 000

400 000

500 000

600 000

0



Nuevo malware JavaScript

1 000 000

2 000 000

3 000 000

4 000 000

5 000 000

6 000 000

7 000 000

0





Seguir

Compartir

Nuevo ransomware

250 000

500 000

750 000

1 000 000

1 250 000

1 500 000

1 750 000

2 000 000

0

2019 2020

2 250 000

2 500 000



Nuevo malware

10 000 000

20 000 000

30 000 000

40 000 000

50 000 000

60 000 000

70 000 000

80 000 000


20193.er trim.

2020


Nuevos archivos binarios firmados maliciosos

100 000

200 000

300 000

400 000

500 000

600 000

0

2019 2020

700 000





Seguir

Compartir

La nube en el punto de mira de los autores de amenazasEl cambio repentino y a gran escala hacia el teletrabajo en todo el mundo ha supuesto un crecimiento de la nube del 775 %², según Microsoft. En la elaboración del Informe Adopción de la nube y riesgos — Edición relativa al teletrabajo, McAfee reunió y anonimizó datos de uso de la nube de más de 30 millones de usuarios de McAfee MVISION en todo el mundo, desde enero a abril de 2020. La cantidad de amenazas de actores externos que atacan servicios en la nube aumentó un 630 %, con una mayor concentración en los servicios de colaboración como Microsoft 365. McAfee dividió las amenazas externas en dos categorías, y en ambos casos se utilizaban credenciales robadas:

■ Uso excesivo desde una ubicación anómala. Empieza por un inicio de sesión desde una ubicación que no se ha detectado anteriormente y que es anormal para la empresa del usuario. El ciberdelincuente se embarca entonces en actividades de acceso a grandes volúmenes de datos y/o de acceso con privilegios.

■ Comportamiento superhumano sospechoso. Se trata de un intento de inicio de sesión desde varias ubicaciones geográficamente distantes a las que es imposible viajar en un período de tiempo determinado. McAfee ha observado este comportamiento en multitud de servicios en la nube; por ejemplo, un usuario intenta iniciar una sesión en Microsoft 365 desde Singapur y después lo hace en Slack desde California cinco minutos más tarde.

2 4 6 8 10 12 140

2

4

6

10

12

14

8

16Núm

ero

de a

men

azas

glo

bale

s (n

orm

aliz

ado)

Número de semana, 2020

Todas las amenazas Externas: uso excesivo desde una ubicación anómala

Externas: comportamiento superhumano sospechoso

Amenazas contra la nube totales y externas: entre enero y abril de 2020

Figura6.Eventosdeamenazascontralanubeentodoslossectores.

Las categorías de amenazas internas han permanecido invariables, lo que indica que los empleados aprovechan el hecho de trabajar desde casa para intentar robar más datos. La mayoría de los ataques observados por McAfee fueron amenazas externas nativas de la nube dirigidas directamente a cuentas en la nube.



Seguir

Compartir

McAfee realizó un análisis de las direcciones IP de origen utilizadas en ataques externos para conocer las ubicaciones de las que procedían.

Si bien la dirección IP de origen no puede utilizarse para atribuir la autoría de un ataque, sí ofrece datos que pueden ayudar en la implementación de controles de seguridad. Las direcciones IP supervisadas no se utilizaron solamente para atacar cuentas en la nube, sino también para otras actividades maliciosas, lo que apunta a la reutilización de la infraestructura delictiva para múltiples ataques.

Los datos del siguiente gráfico de direcciones IP indican el número de direcciones IP utilizadas para lanzar ataques (por tamaño del círculo) y el número máximo de amenazas contra empresas individuales desde esas direcciones IP (por intensidad de color).

Mercado vertical: amenazas contra la nubeEl mayor incremento en incidentes de amenazas internas y externas en cuentas en la nube se produjo en los sectores de transporte y logística, educación y el sector público. Cuanto mayor es la dependencia que tienen estos sectores de los servicios en la nube para aumentar la productividad, más se esfuerzan los agresores en acceder a sus cuentas y filtrar datos.

Energía y servicios públicos

Servicios financieros

Fabricación

Sector público

Educación

Transporte y Logística

+773 %+679 %

+571 %

+472 %

+1114 %+1350 %

Aumento en porcentaje de amenazascontra la nube por sector vertical:

entre enero y abril de 2020

Figura7.Aumento de los eventos de amenazas contra la nube por sector.



Seguir

Compartir

Las 10 principales geolocalizaciones de direcciones IP de origen para ataques externos contra cuentas en la nube desde enero a abril de 2020 (ordenadas por número de direcciones IP utilizadas) son:

Nota: ninguno de los países de nuestro "top 10" se encuentra en Europa, región en la que se aplican algunas de las normativas más estrictas en materia de protección de datos del mundo. La mayoría de los ataques tienen origen en países históricamente activos en ciberdelincuencia y en otros que carecen de los recursos necesarios para aplicar normativas contra la ciberdelincuencia³.

Geolocalización de direcciones IP de origen para amenazas contra la nube externas: entre enero y abril de 2020

Tamaño: número de direcciones IPMáximo de amenazas por empresa

1. Tailandia

2. Estados Unidos de América

3. China

4. India

5. Brasil

6. Federación Rusa

7. Laos

8. México

9. Nueva Caledonia

10. Vietnam

Figura8.Visiónglobaldelosorígenesdeataquesexternoscontracuentasenlanube,porgeolocalizacióndedirecciónIP.



Seguir

Compartir

Muchos de estos ataques son probablemente oportunistas, y básicamente "bombardean" las cuentas en la nube con intentos de acceso mediante credenciales robadas. Sin embargo, algunos sectores importantes reciben con frecuencia ataques de ciberdelincuentes externos, en particular el de los servicios financieros. El origen último de estos ataques suele ser China, Irán o Rusia⁴.

Podemos utilizar la geolocalización de direcciones IP de estos tres países para disponer de una visión más profunda de los sectores víctimas de ataques externos

contra la nube. En el siguiente gráfico, el eje vertical muestra el número de direcciones IP utilizadas contra cada sector, donde un mayor número de direcciones IP indica una mayor infraestructura y financiación detrás de los ataques. El eje horizontal muestra el número de empresas de un determinado sector que están siendo atacadas, lo que nos da un sentido de la infraestructura de asignación de ataques entre sectores verticales. El tamaño de la burbuja nos muestra el volumen de los incidentes de amenazas contra un sector específico, y los colores representan a Rusia, China o Irán.

Comparativa sectorial del volumen de amenazas contra la nube desde fuentes de ataques dirigidos comunes: entre enero y abril de 2020

Núm

ero

de d

irecc

ione

s IP

mal

icio

sas

utili

zada

s

Número de empresas atacadas

Geolocalización de dirección IP de origen

China

República Islámica de Irán

Federación Rusa


837 MEventos de amenazas

Serviciosprofesionales

Fabricación108 M

108 M

89 M

68 M

Sector sanitario

111 M

45 M

ApuestasTransportey Logística

Bienes de consumo

Agriculturay Minería

ONG

Bienes inmuebles y Construcción


105 M

FabricaciónSector sanitario

14 MApuestas

Agriculturay Minería

Transportey Logística

ONG

Bienes de consumo

Bienesinmuebles

y Construcción

Serviciosprofesionales

Servicios financieros290 MEventos

de amenazasServicios profesionales

Fabricación

Sector sanitario73 M

58 M

56 M 37 M

Apuestas

Transporte y Logística

Agricultura y Minería

Bienes inmuebles y ConstrucciónONG

Bienes de consumo



Seguir

Compartir

Mientras que los servicios financieros experimentaron el quinto mayor incremento en el volumen de ataques, ese sector experimentó el mayor volumen de ataques si observamos las ubicaciones de origen más comunes de los ataques dirigidos.

El sector de la atención sanitaria es el segundo más atacado, seguido del sector de la fabricación. Todas las empresas, pero en particular las que pertenecen a sectores muy atacados, necesitan supervisar continuamente su actividad en la nube para detectar y bloquear el acceso malicioso a sus datos confidenciales.

Phishing y troyanos de malwareMientras en medio de la cuarentena por la COVID-19 las plantillas de todo el mundo se adaptaban al teletrabajo, los ciberdelincuentes hacían lo propio para aprovechar las oportunidades surgidas como resultado de los problemas de seguridad y el estrés sistémico reinante durante la pandemia.

Los ciberdelincuentes han utilizado temas y mensajes sobre la pandemia en sus mensajes de correo electrónico de phishing para inducir a los empleados y sus familiares a interactuar y conseguir así acceso a sus sistemas.

También se han detectado campañas de phishing basadas en mensajes de correo electrónico sobre préstamos de la Oficina para la pequeña empresa del Gobierno de EE. UU. (SBA por sus siglas en inglés) y timos relacionados con pruebas de COVID-19 y tratamientos con anticuerpos.

UrsnifEn enero, McAfee observó la aparición de una campaña de phishing que utilizaba una cepa de Ursnif, un troyano bancario que roba credenciales bancarias mediante la recopilación de actividades de las víctimas, registra las pulsaciones del teclado y supervisa el tráfico de red y la actividad del navegador.

Al ejecutar el archivo VBS, copia una dll en C:\Programdata\FxrPLxT.dll y ejecuta el archivo .dll con rundll32.exe. La dll se inyecta en iexplorer.exe y se comunica con el servidor de mando y control mediante solicitudes HTTP Get.

Indicadores de peligro

Tipo Indicador de peligro Comentario

Sha256 e82d49c11057f5c222a440f05daf9a53e 860455dc01b141e072de525c2c74fb3

Nombre de archivo: Coronavirus_disease_COVID-19__194778526200471.vbs

Sha256 8bcdf1fbc8cee1058ccb5510df49b268d bfce541cfc4c83e135b41e7dd150e8d

Ursnifdll



Seguir

Compartir

MARCO MITRE ATT&CK™

IDdetécnica Táctica Detallesdelatécnica

T1059 Ejecución Interfaz de línea de comandos

T1129 Ejecución Ejecuciónatravésdecargademódulo

T1085 Evasióndedefensas,Ejecución Rundll32

T1060 Persistencia ClavesdeejecucióndelRegistro/carpetade inicio

T1055 Evasióndedefensas,Escalación de privilegios

Inyecciónenprocesos

Troyano FareitA principios de febrero, McAfee observó otra campaña que utilizaba mensajes de correo electrónico de phishing con referencias a "COVID-19" y "Coronavirus" para

inducir a los usuarios a hacer clic en enlaces o adjuntos que después descargaban en sus ordenadores el troyano de robo de información Fareit.



Seguir

Compartir



Sha256 2faf0ef9901b80a05ed77fc20b55e89dc0e1a23ae86dc19966881a00704e5846 Datos adjuntos

Sha256 38a511b9224705bfea131c1f77b3bb233478e2a1d9bd3bf99a7933dbe11dbe3c Correoelectrónico


IDdetécnica Técnica Detallesdelatécnica

T1193 Acceso inicial Adjunto de phishing dirigido

T1106 Ejecución EjecuciónatravésdeAPI

T1130 Evasióndedefensas Instalacióndecertificadoraíz

T1081 Acceso a credenciales Credenciales en archivos

T1012 Descubrimiento Registro de consultas

T1071 Mandoycontrol Protocolodecapadeaplicacionesestándar



Seguir

Compartir

Mensaje se spam de Fareit 4



Sha256 f8e041bed93783bbd5966bfba6273fe7183464035ea54fe1d59ff85a679b3e3e Archivo binario cargado

Sha256 9e17f5e70c30ead347b68841fa137015d713269add98f0257fb30cc6afdea4fe Datos adjuntos

Sha256 ada05f3f0a00dd2acac91e24eb46a1e719fb08838145d9ae7209b5b7bba52c67 Correoelectrónico



T1193 Acceso inicial Adjunto de phishing dirigido

T1204 Ejecución Ejecucióndeusuario




Seguir

Compartir

Troyano EmotetPara finales de marzo, McAfee había detectado campañas con temas relacionados con la COVID-19 que utilizan una cepa del Troyano Emotet para infectar los sistemas de los usuarios. Una versión de este mensaje promete información sobre un estudio de anticuerpos del coronavirus y nuevos tratamientos contra la enfermedad. Una vez instalado, Emotet puede llevar a cabo una serie de acciones en el sistema de la víctima, aunque prácticamente siempre está programado para propagarse mediante el envío de grandes cantidades de mensajes de spam a sistemas de otros usuarios.

Hemos observado la distribución del siguiente mensaje de correo electrónico, que traducido al español sería:

Asunto:

¡¡¡Oportunidad!!! La OMS anuncia finalmente una solución para la COVID-19 Cómo se ha descubierto un método de control total

Cuerpo del mensaje:

Tal y como publicó en un boletín informativo la Organización Mundial de la Salud el 17/3/2020 a las 7:40:21 a.m. Un estudio conjunto ha identificado y estudiado anticuerpos del virus COVID-19, que podrían utilizarse para diseñar terapias universales eficaces contra muchas especies diferentes de virus COVID-19. Los resultados han sido publicados recientemente en la revista científica Nature Microbiology.

Se basan en actividades naturales y cómo el calor ha ayudado a inhibir el crecimiento del virus.

El virus COVID-19 provoca una grave enfermedad con una alta tasa de mortalidad en humanos. Se han desarrollado varias estrategias para el tratamiento de la infección del virus COVID-19, incluido ZMapp, que se ha mostrado eficaz en primates no humanos y se ha utilizado en protocolos de tratamientos paliativos en humanos ...

Descargue el texto completo del documento adjunto ...

Asimismo, le rogamos comparta la información con todos sus contactos para garantizar el control rápido de la epidemia.



Seguir

Compartir



Seguir

Compartir

El mensaje de correo electrónico contiene un ejecutable de Emotet en un archivo zip que, una vez ejecutado, utilizará la técnica de vaciado del proceso para inyectarse en regasm.exe. Acto seguido se pondrá en contacto con el servidor de mando y control para empezar a enviar mensajes de spam.



Sha256 ca70837758e2d70a91fae20396dfd80f93597d4e606758a02642ac784324eee6 Datos adjuntos

Sha256 702feb680c17b00111c037191f51b9dad1b55db006d9337e883ca48a839e8775 Correoelectrónico



T1121 Evasióndedefensas,Ejecución Regsvcs/Regasm

T1093 Evasióndedefensas Vaciado del proceso



Seguir

Compartir

AzorultAzorult es un tipo de malware que se utiliza principalmente para obtener nombres de usuario, contraseñas, criptomonedas, historiales de navegación y cookies. Estas listas se venden en el mercado clandestino y las adquieren grupos vinculados al ransomware para irrumpir en las empresas. McAfee ATR ha observado casos en los que infecciones de Azorult han pasado a convertirse en un brote de ransomware en cuestión de horas o de pocos días. Lo que distingue a Azorult de otros tipos de malware que se describen en este informe es que sus autores crearon un sitio web con un mapa de coronavirus falso (corona-virus-map[.]com).



Sha256 c40a712cf1eec59efac42daada5d79c7c3a1e8ed5fbb9315bfb26b58c79bb7a2 Archivo .jar del dominio

URL H**p://corona-virus-map.net/map.jar

Sha256 63fcf6b19ac3a6a232075f65b4b58d69cfd4e7f396f573d4da46aaf210f82564 Archivo binario cargado



T1059 Ejecución Interfaz de línea de comandos




Seguir

Compartir

RAT NanoCoreNanoCore es un troyano de acceso remoto (RAT) y sus complementos extremadamente personalizables permiten a los agresores ajustar su funcionalidad a sus necesidades. Se ha descubierto que este troyano también utiliza la COVID-19 para distribuirse con asuntos de mensajes de correo electrónico como "Medidas de precaución urgentes para la COVID-19".



Seguir

Compartir



Sha256 ca93f60e6d39a91381b26c1dd4d81b7e352aa3712a965a15f0d5eddb565a4730 Archivo binario cargado

Sha256 89b2324756b04df27036c59d7aaaeef384c5bfc98ec7141ce01a1309129cdf9f Adjunto ISO

Sha256 4b523168b86eafe41acf65834c1287677e15fd04f77fea3d0b662183ecee8fd0 Correoelectrónico



T1193 Acceso inicial Adjunto de phishing selectivo

T1053 Ejecución Tarea programada

T1060 Persistencia ClavesdeejecucióndelRegistro/carpetadeinicio

T1143 Evasióndedefensas Ventana oculta

T1036 Evasióndedefensas Enmascaramiento

T1497 Evasióndedefensas Evasióndevitualización/entornoaislado


T1124 Descubrimiento Descubrimiento de la hora del sistema

T1065 Mandoycontrol Puerto no utilizado habitualmente



Seguir

Compartir

Troyano HancitorEl troyano Hancitor también ha utilizado la temática de la COVID-19 para propagarse haciéndose pasar por un mensaje de correo electrónico de una compañía de seguros. El mensaje contiene un enlace a la descarga de una factura falsa, que descarga un archivo VBS.

Al ejecutar el archivo VBS, se crea la dll de Hancitor temp_adobe_123452643.txt en la carpeta %AppData/Local/Temp. La DLL se ejecuta mediante Regsvr32.exe y a partir de ahí empieza a comunicarse con su centro de mando y control.



Seguir

Compartir



Sha256 2f87dd075fc12c2b6b15a1eb5ca209ba056bb6aa2feaf3518163192a17a7a3 Archivo binario descargado

Sha256 0caef2718bc7130314b7f08559beba53ccf00e5ee5aba49523fb83e1d6a2a347 Archivo binario descargado

Sha256 375d196227d62a95f82cf9c20657449ebea1b512d4cb19cdfe9eb8f102dd9fa Archivo binario descargado

Sha256 0b8800734669aa7dbc6e67f93e268d827b5e67d4f30e33734169ddc93a026 Archivo binario descargado

Sha256 9c40426f157a4b684047a428428f882618d07dc5154cf1bf89da5875a00d69c Correoelectrónico



T1192 Acceso inicial Enlaceaphishingdirigido

T1064 Ejecución Scripts

T1117 Ejecución Regsvr32




Seguir

Compartir

RansomwareLas campañas de ransomware fueron noticia en una amplia variedad de sectores en 2019. Los ciberdelincuentes responsables del ransomware como servicio centraron su atención en objetivos en sectores municipales, financieros, de asistencia sanitaria y del mundo empresarial. Los investigadores de McAfee ATR observaron y analizaron importantes campañas de ransomware, como la de Sodinokibi (también conocido como REvil), que se extendió por todo el planeta antes que la COVID-19.

Antes incluso de que la necesidad de adoptar el teletrabajo complicara aún más la situación, los ingenieros de seguridad, informáticos y analistas ya luchaban por proteger y responder ante las amenazas de ransomware. ¿Cómo se garantiza un nivel equivalente de protección contra el malware adaptable dentro y fuera de la red corporativa?

El incremento del uso del protocolo de escritorio remoto (RDP) para acceder a recursos internos por parte de teletrabajadores e ingenieros de TI ofrece a los ciberdelincuentes más puntos débiles que aprovechar para sus ataques. Estas vulnerabilidades incluyen la explotación de controles de seguridad o autenticación, llegando incluso a la compra de contraseñas de RDP en los mercados clandestinos. Aprovechar estas vulnerabilidades puede proporcionar a un agresor acceso de administrador y una vía sencilla para instalar ransomware u otros tipos de malware, y a partir de ahí conseguir acceder a la red corporativa.

Ransomware-GVZRansomware-GVZ fue una campaña de ransomware que aprovechaba el tema del coronavirus y que apareció en marzo. Ransomware-GVZ muestra un mensaje con una "nota de rescate" en la que exige el pago de una cantidad de dinero para descodificar los sistemas y los valiosos datos personales y corporativos que contienen. Una vez que se ejecuta, Ransomware-GVZ elimina las copias de seguridad con vssadmin y procede a cifrar todos los tipos de archivos no PE. Tras cifrar completamente una carpeta, se crea el siguiente archivo con la nota de rescate:

Ransomware-GVZ también crea un componente de pantalla de bloqueo que muestra el siguiente mensaje cuando se intenta reiniciar el sistema:



Seguir

Compartir



Sha256 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3 Archivo binario



T1486 Impacto Datos cifrados por impacto

T1083 Descubrimiento Descubrimiento de archivos y directorios

T1490 Impacto Inhibicióndelarecuperacióndelsistema



Seguir

Compartir

El spam y los timosAmenazas contra dispositivos móvilesSolo en el mes de marzo de 2020, McAfee Labs identificó varias aplicaciones Android maliciosas que empleaban palabras clave relacionadas con la pandemia. Las apps incluyen desde ransomware hasta agentes espía que vigilan el dispositivo de la víctima. Por ejemplo, mientras analizábamos estáticamente una app llamada "Corona Safety Mask", observamos que la cantidad de permisos era sospechosa:

■ Acceso total a Internet que permite a la app crear sockets de red.

■ Posibilidad de leer los datos de contacto del dispositivo de la víctima.

■ Envío de mensajes SMS.

Cuando el usuario descarga la app, puede pedir una mascarilla en el siguiente sitio web: "coronasafetymask.tk". El permiso de envío de SMS se utiliza para enviar el timo a la lista de contactos de la víctima.

Aunque la autoría sería lógicamente de gran interés, no constituye el principal objetivo de nuestra investigación.

Sin embargo, parece que hay grupos relacionados con las amenazas persistentes avanzadas (ATP) que están incorporando la temática de la COVID-19 en sus campañas. Por ejemplo, se difunden documentos sobre la pandemia que incorporan código de macro malicioso para descargar malware en el sistema de la víctima.

Mensajes sobre préstamos de la SBA falsosA finales de marzo, dio comienzo una campaña de phishing que utilizaba mensajes de correo electrónico que afirmaban proceder de la Oficina para la pequeña empresa del Gobierno de EE. UU. (SBA). Estos mensajes parecían ofrecer información y orientación a pequeñas empresas sobre cómo solicitar los préstamos de la SBA. La realidad es que se trataba de un mecanismo para infectar a los desprevenidos propietarios de las pequeñas empresas con la herramienta de acceso remoto Remcos, diseñada para robar información.

Pruebas de COVID-19 falsasEn marzo, los ciberdelincuentes distribuyeron mensajes de correo electrónico que supuestamente procedían de empresas que ofrecían pruebas de la COVID-19. Se pedía a los usuarios que abrieran un documento adjunto. Este documento descargaba el malware Trickbot de robo de información.

Medidas de prevención de la COVID-19 falsasEn abril aparecieron campañas de correo electrónico de phishing que utilizaban líneas de asunto como "Medidas de precaución urgentes para COVID-19", que distribuían la herramienta de acceso remoto NanoCore con el fin de filtrar información valiosa.



Seguir

Compartir

Mercados clandestinosYa hemos observado muchos ejemplos de personas que sacan partido de eventos importantes con un interés exclusivamente financiero, y los acontecimientos actuales a nivel mundial no son una excepción. Hemos realizado una breve investigación de algunos mercados clandestinos y canales de Telegram que ofrecen, entre otras cosas, mascarillas de protección. A continuación se muestran dos ejemplos:

Figura 9. SitiowebdeOnionqueofrecemascarillas

Figura10.Canal de Telegram con varios vendedores de mascarillas



Seguir

Compartir

Mapa de infección de la Johns Hopkins falsoEn abril, un grupo de ciberdelincuentes utilizó mensajes de correo electrónico de phishing para promocionar un sitio web falso que incluía un mapa de las infecciones por coronavirus en todo el mundo, proporcionado por la universidad Johns Hopkins. Desafortunadamente, esos mensajes permitieron infectar a los usuarios más curiosos con una cepa del malware de robo de información Azorult.

Facturas de seguros falsasA mediados de abril, un grupo de ciberdelincuentes empleó mensajes de correo electrónico con temática sobre la COVID-19 procedentes de una compañía de seguros falsa para infectar los sistemas de los usuarios con archivos adjuntos de facturas falsas infectadas con el malware Hancitor.

Figura 11. MapadeinfeccionesdelaJohnsHopkinsfalso

Figura12.Factura de seguro falsa



Seguir

Compartir

Timos de URLMcAfee ha detectado miles de mensajes de spam sobre temas relacionados con la COVID-19 y sitios web para estafar a las víctimas que deseaban comprar material médico, como kits de tests, mascarillas y otro tipo de material de protección. Durante las 13 primeras semanas de la pandemia, McAfee observó cómo el número de sitios web falsos pasaba de 1600 a más de 39 000 en tan solo unas semanas.

Hemos observado que el número de URL maliciosas con referencias a la COVID-19 y al coronavirus aumentó en las últimas semanas. Las cifras aumentaron de 1600 hace tan solo unas semanas a más de 39 000 en la semana 13. Esto pone de manifiesto la importancia de permanecer vigilantes a la hora de hacer clic en enlaces y acceder a sitios web, ya que el número de sitios maliciosos está aumentando exponencialmente.

URL sobre COVID-10 maliciosas por semana en 2020

Semana de 2020

Volu

men



Seguir

Compartir

A continuación incluimos ejemplos de sitios web maliciosos. La publicidad falsa es una práctica común durante las pandemias. En el momento de la redacción del presente documento, no hay disponibles kits de pruebas rápidas. Además, las pruebas se realizan si las solicitan los profesionales de la salud y, por lo tanto, es importante estar informado e informar a las personas de su entorno para evitar creerse ese tipo de timos.

A continuación incluimos un ejemplo de un sitio web falso que ofrece servicios de pruebas de coronavirus:

La demanda de mascarillas ha sido enorme y en muchos lugares se han agotado. Además, la escasez de mascarillas ha sido una realidad incluso entre la comunidad de profesionales de la salud. En momentos de pánico y escasez, es habitual que los remitentes de spam envíen enlaces a sitios web falsos que afirman disponer de equipos de material médico. A continuación incluimos una captura de pantalla de una tienda online falsa que anuncia la venta de mascarillas:



Seguir

Compartir

Lea sobre cómo un investigador de McAfee está contribuyendo imprimiendo en 3D mascarillas y pantallas.



Seguir

Compartir

Indicadores de peligroA continuación se incluye una lista parcial de indicadores de peligro que hemos observado, y que han aprovechado el brote de COVID-19. Los indicadores de peligro de esta sección son una parte de los detectados

Tipo Valor

SHA256 2ec4d4c384fe93bbe24f9a6e2451ba7f9c179ff8d18494c35ed1e92fe129e7fa

SHA256 7e52f7a7645ea5495196d482f7630e5b3cd277576d0faf1447d130224f937b05

SHA256 69724a9bd8033bd16647bc9aea41d5fe9fb7f7a83c5d6fbfb439d21b7b9f53f6

SHA256 f92fecc6e4656652d66d1e63f29de8bfc09ea6537cf2c4dd01579dc909ba0113

SHA256 a5ab358d5ab14b81df2d37aedf52716b5020ab45da472dedc8b8330d129d70bf

SHA256 8028f988c145b98ddd4663d3b5ec00435327026a8533924f7b8320c32737acf4

SHA256 aab93bf5bb0e89a96f93a5340808a7fa2cebf4756bd45d4ff5d1e6c8bdccf75d

SHA256 2e93fe77fafd705e6ca2f61f24e24a224af2490e0a3640ed53a17ea4bf993ec8

SHA256 f850f746f1a5f52d3de1cbbc510b578899fc8f9db17df7b30e1f9967beb0cf71

SHA256 dd78b0ecc659c4a8baf4ea81e676b1175f609f8a7bba7b2d09b69d1843c182cb

SHA256 e352c07b12ef694b97a4a8dbef754fc38e9a528d581b9c37eabe43f384a8a519

SHA256 e82d49c11057f5c222a440f05daf9a53e860455dc01b141e072de525c2c74fb3

SHA256 8bcdf1fbc8cee1058ccb5510df49b268dbfce541cfc4c83e135b41e7dd150e8d

Consulte la lista completa en el blog.

por las soluciones de McAfee. Tenemos una cobertura más amplia que ofrece nuestra nube GTI, el gateway, el módulo ATP y otros productos de nuestra cartera.



Seguir

Compartir

RecomendacionesLos ciberdelincuentes trabajan sin descanso en el diseño de ataques cada vez más sofisticados y oportunistas. Los paradigmas de teletrabajo crean nuevas oportunidades y requieren nuevos mecanismos y prácticas de defensa. El informe de esta semana pone de manifiesto la importancia de mantener unas defensas de ciberseguridad robustas con independencia de si los empleados están en oficinas tradicionales o en entornos de oficina doméstica. Debemos preparar la combinación adecuada de tecnología y educación para hacerlo posible.

Las empresas necesitan defenderse contra las ciberamenazas en casa, con soluciones de protección de datos capaces de impedir el robo de propiedad intelectual y otros tipos de datos confidenciales. McAfee centra sus esfuerzos en ayudar a superar estos desafíos con sus soluciones Unified Cloud Edge y CASB, cuyo objetivo intrínseco es proteger tanto los dispositivos móviles como los tradicionales frente a las amenazas y el robo de datos. Además, las funciones EDR y para endpoints modernas son capaces de detectar una amplia variedad de amenazas que ponen en riesgo a los usuarios y sus empresas.

El futuro es incierto, los cambios y las interrupciones son inevitables, y nuestros adversarios están decididos a atacarnos mientras trabajamos, sea en casa o en la oficina. Debemos estar a la altura e impulsar la tecnología, adaptarnos y desarrollar ciberdefensas más robustas para garantizar un "futuro del trabajo" seguro.

Para obtener más información sobre las amenazas relacionadas con la COVID-19, consulte los siguientes informes y blogs de McAfee.

Informe Adopción de la nube y riesgos — Edición relativa al teletrabajo

El reciente cambio al teletrabajo ha modificado de manera radical nuestra manera de vivir y trabajar. Los ciberdelincuentes siguen esta tendencia y atacan los servicios en la nube.

ENS 10.7 rolls back the curtain on ransomware (ENS 10.7 le corta el paso al ransomware)

Los agresores aprovechan la dificultad de proteger a una plantilla de teletrabajadores, usando los puntos débiles del protocolo de escritorio remoto (RDP) para instalar ransomware y otros tipos de malware.

Cybercriminals actively exploiting RDP to target remote orgs (Los ciberdelincuentes aprovechan de forma activa el protocolo RDP para atacar a empresas remotas)

Permitir a los empleados trabajar desde casa a escala mundial ha aumentado los riesgos de exposición del protocolo RDP y los errores de configuración asociados al malware y otras actividades delictivas

COVID-19 threats now include Blood for Sale (Las amenazas asociadas a la COVID-19 incluyen ahora la venta de sangre)

La COVID-19 ha revelado una gran cantidad de vectores para vender en los foros de la Web profunda.

Mientras tanto, seguiremos divulgando información sobre amenazas relevante. Para mantenerse al día sobre las nuevas publicaciones, siga la cuenta de Twitter de McAfee Labs.


Acerca de McAfee Labs y Advanced Threat Research

McAfee Labs, dirigido por el equipo de McAfee Advanced Threat Research, es una de las referencias mundiales en investigación e inteligencia sobre amenazas, y líder en innovación en ciberseguridad. Gracias a la información que reciben de millones de sensores situados en los principales vectores de amenazas —archivos, la Web, la mensajería y las redes—, McAfee Labs y McAfee Advanced Threat Research proporcionan inteligencia sobre amenazas en tiempo real, análisis críticos y opiniones de expertos que permiten mejorar la protección y reducir los riesgos.

https://www.mcafee.com/enterprise/en-us/threat-center/mcafee-labs.html

Acerca de McAfee

McAfee es la empresa de ciberseguridad que ofrece protección total, desde los dispositivos a la nube. Inspirándose en el poder de la colaboración, McAfee crea soluciones para empresas y particulares que hacen del mundo un lugar más seguro. Al diseñar soluciones compatibles con los productos de otras firmas, McAfee ayuda a las empresas a implementar entornos cibernéticos verdaderamente integrados en los que la protección, la detección y la corrección de amenazas tienen lugar de forma simultánea y en colaboración. Al proteger a los consumidores en todos sus dispositivos, McAfee protege su estilo de vida digital en casa y fuera de ella. Al trabajar con otras empresas de seguridad, McAfee lidera una iniciativa de unión frente a los ciberdelincuentes en beneficio de todos.

www.mcafee.com/es

1. https://www.mcafee.com/blogs/other-blogs/mcafee-labs/covid-19-malware-makes-hay-during-a-pandemic/2. https://azure.microsoft.com/en-us/blog/update-2-on-microsoft-cloud-services-continuity/3. https://www.researchgate.net/publication/308775653_The_Current_State_of_Cybercrime_in_Thailand_Legal_Technological_and_Economic_Barriers_to_Effective_Law_Enforcement4. https://www.researchgate.net/publication/308775653_The_Current_State_of_Cybercrime_in_Thailand_Legal_Technological_and_Economic_Barriers_to_Effective_Law_Enforcement

McAfeeyellogotipodeMcAfeesonmarcascomercialesomarcascomercialesregistradasdeMcAfee,LLCodesusempresasfilialesenEE.UU.y enotrospaíses.Losdemásnombresymarcaspuedenserreclamadoscomopropiedaddeotros.Copyright©2020McAfee, LLC.4517_0720JULIODE2020

AvenidadeBruselasnº22EdificioSauce28108Alcobendas,Madrid,España+34913478500www.mcafee.com/es

Documents

Informe de McAfee Labs sobre amenazas - COVID-19, julio de 2020 · 2020. 7. 31. · 4 Informe de McAfee Labs sobre amenazas CI, ulio de 2020 32 Spam y timos Índice Cronología, distribución