La minería de criptomonedas y el Cryptojacking ofrecen a los ciberdelincuentes menor riesgo, mayor eficacia y mayor facilidad de monetización; Sin olvidar, la explotación pasiva al portfolio de extorsión de ransomware, robo de información y fraude.
McAfee, la compañía de ciberseguridad del dispositivo a la nube, ha dado a conocer hoy su último informe de amenazas, McAfee Labs Threats Report: June 2018, que analiza el crecimiento y las nuevas tendencias en malware, ransomware y otras amenazas del Q1 de 2018. McAfee Labs ha detectado una media de cinco nuevas amenazas por segundo, un crecimiento del cryptojacking y otros malware de minería de criptomonedas que demuestran una clara mejora técnica de los ataques más sofisticados de 2017.
«Durante este trimestre ha habido nuevos hallazgos relacionados con complejas campañas de ciberataques nación-estado dirigidas a usuarios y a empresas a nivel mundial”, señala Raj Samani, chief scientist en McAfee. “Los atacantes han demostrado un notable nivel de agilidad técnica e innovación en herramientas y tácticas. Además, los criminales han adoptado la minería de criptomonedas para monetizar su actividad criminal”.
Los ciberdelincuentes han ampliado sus operaciones relacionadas con el cryptojacking y la minería de criptomonedas, secuestrando los navegadores de las víctimas o infectando sus sistemas para extraer cripromonedas como Bitcoin. Esta categoría de malware para minería de monedas ha crecido un espectacular 629% en el primer trimestre de 2018: de 400.000 muestras conocidas del Q4 de 2017 a más de 2,9 millones de muestras en el Q1 de 2018. Estos datos sugieren que los ciberdelincuentes continuarán infectando los sistemas de los usuarios y recaudando pagos sin tener que depender de terceros para monetizar sus crímenes.
«Los cibercriminales se moverán hacia actividades delictivas que maximicen sus ganancias”, señala Steve Grobman, chief technology officer at McAfee. “Precisamente, en los últimos meses, hemos visto cómo los ciberdelincuentes han pasado del robo de datos al ransomware, ya que éste es un delito más eficiente. El cibercrimen es un negocio, y las fuerzas del mercado continuarán determinando dónde los atacantes van a centrar sus esfuerzos.”
Campañas de robo de Bitcoin
El grupo de ciberdelincuentes Lazarus lanzó una campaña de phishing centrada en el robo de Bitcoin (conocida como HaoBao), que tenía como objetivo organizaciones financieras globales y usuarios de Bitcoin. De esta forma, cuando los usuarios abrían archivos maliciosos adjuntos en el email, un implante analizaba la actividad de Bitcoin y establecía otro para la recopilación de datos y la minería encriptada.
Gold Dragon: ataques a Corea del Sur
En enero, McAfee Advanced Threat Research informó sobre un ataque dirigido a organizaciones involucradas en los Juegos Olímpicos de Invierno de Pyeongchang en Corea del Sur. El ataque se ejecutó a través de un archivo adjunto malicioso de Microsoft Word que contenía un script de PowerShell oculto. La secuencia de comandos se incrustó en un archivo de imagen y se ejecutó desde un servidor remoto. Conocido como Gold Dragon, el implante fileless cifraba los datos robados, enviaba estos datos a los servidores de los atacantes, realizaba funciones de reconocimiento y supervisaba las soluciones antimalware con el fin de evadirlas.
Hidden Cobra: GhostSecret y Bankshot
Operation GhostSecret se centró en los sectores salud, finanzas, entretenimiento y telecomunicaciones. Algunos expertos señalan que GhostSecret está vinculada al grupo internacional de ciberdelincuentes Hidden Cobra. La campaña, la cual emplea una serie de implantes para obtener datos de los sistemas infectados, se caracteriza por su capacidad para evadir la detección y hacer que los investigadores pierdan cualquier pista. La última variante de Bankshot de GhostSecret utiliza un exploit embebido de Adobe Flash para permitir la ejecución de implantes. Además, incorpora elementos del malware Destover, el cual fue usado en el ataque a Sony Pictures en 2014, y el implante Proxysvc, que ha operado sin ser detectado desde mediados del 2017.
Incidentes de seguridad por industria
McAfee Labs ha registrado 313 incidentes de seguridad que han sido difundidos públicamente en el primer trimestre de 2018, un aumento del 41% respecto al cuarto trimestre. Los ataques relacionados con diferentes sectores (37) y aquellos dirigidos a diferentes regiones (120) han sido los incidentes predominantes durante el Q1.
- Salud. Los incidentes relacionados con la industria sanitaria han experimentado un crecimiento del 47%. Los cibercriminales han continuado atacando este sector con el ransomware SAMSA. De esta forma, se han detectado numerosos casos en los que los hospitales se han visto obligados a pagar a los delincuentes.
- Educación. Los incidentes asociados al sector educación han aumentado un 40%. El ransomare ha sido el principal culpable en los ataques contra escuelas e instituciones educativas.
- Finanzas. Los incidentes han aumentado un 39%, incluyendo ataques contra el sistema bancario SWIFT. A diferencia de años anteriores, estos ataques no han estado específicamente centrados en una región. No obstante, McAfee ha identificado actividad en Rusia y esfuerzos en Turquía y Sudamérica.
Primer trimestre 2018, actividad de las amenazas
En el Q1 de 2018, McAfee Labs ha registrado una media de cinco nuevas muestras de malware por segundo, incluyendo amenazas que denotan un notable desarrollo técnico y que mejoran las últimas tecnologías y tácticas para superar las defensas de sus objetivos.
- De PowerShell a LNK. Mientras que los ataques de PowerShell han disminuido desde su oleada en 2017, los ciberdelincuentes han visto un incremento en exploits de otras tecnologías. El malware LNK ha aumentado un 59% respecto al último trimestre.
- De Locky a Gandcrab. Aunque el crecimiento del nuevo ransomware se ha reducido en un 32% en el primer trimestre de 2017, el malware Grandcrab infectó alrededor de 50.000 sistemas en las primeras tres semanas del trimestre, desbancando a las variantes del ransomware Locky como líder del trimestre. Gandcrab utiliza nuevos métodos criminales como pagos de rescate a través de la criptomoneda Dash en lugar de Bitcoin.
- Malware. El número total de muestras de malware ha crecido un 37% en los últimos cuatro trimestres, superando las 734 millones de muestras.
- Malware móvil. El total de muestras de malware ha crecido un 42% en los últimos cuatro trimestres. Las infecciones de dispositivos móviles a nivel mundial han caído un 2%; África ha reportado la tasa más alta con un 15%.