El conocimiento interno ayuda a los hackers a evadir la detección y eludir las políticas de seguridad.
HP publicó su informe Trimestral de Inteligencia sobre Amenazas Cibernéticas de HP Wolf Security, el cual muestra la forma en que los actores de amenazas están encadenando diferentes combinaciones de ataques en conjunto, como bloques constructivos de juego, para evadir las herramientas de detección.
Mediante el aislamiento y la contención de las amenazas que logran eludir las herramientas de seguridad en las PCs, HP Wolf Security cuenta con información específica de las técnicas usadas más recientemente por los ciberdelincuentes en el panorama siempre cambiante de la ciberdelincuencia. A la fecha, los usuarios de HP Wolf Security han hecho clic en más de 30 mil millones de archivos de correo adjuntos, páginas web y archivos descargados, sin incidentes de ciberseguridad.
Con base en los datos de millones de dispositivos de punto final que ejecutan HP Wolf Security, los investigadores descubrieron:
- Es la hora de jugar para los ciberdelincuentes que usan ataques de tipo bloques constructivos (building blocks): Por lo general, las cadenas de ataque son poco originales y recorren caminos algo trillados hacia la carga útil. Sin embargo, en las campañas creativas de Qakbot se vio que los actores de amenazas conectan diferentes bloques entre sí para crear cadenas de infección únicas. Al cambiar diferentes tipos de archivos y técnicas, lograron evadir las herramientas de detección y políticas de seguridad. El 32% de las cadenas de infección de Qakbot analizadas por HP en el segundo trimestre fueron únicas.
- Encuentra la diferencia: blogger o keylogger: Los atacantes detrás de las recientes campañas de Aggah alojaron código malicioso en el interior de la popular plataforma de blog: Blogspot. Al ocultar el código en una fuente legítima, se vuelve más difícil para los defensores distinguir si un usuario está leyendo un blog o lanzando un ataque. Los actores de amenazas usan su conocimiento de los sistemas de Windows para desactivar algunas de las capacidades antimalware en la máquina del usuario, ejecutar los troyanos de acceso remoto XWorm o AgentTesla, y así robar información sensible.
- Ir en contra del protocolo: HP también identificó otros ataques de Aggah que usan una consulta de registro TXT de DNS, la cual sirve por lo general para acceder a información simple sobre nombres de dominio, y así entregar el troyano de acceso remoto AgentTesla. Los actores saben que el protocolo DNS no es monitoreado ni protegido con frecuencia por los equipos de seguridad, lo cual hace que este tipo de ataque sea sumamente difícil de detectar.
- Malware multilingüe: Una reciente campaña utiliza múltiples lenguajes de programación para evitar la detección. En primer lugar, encripta su carga útil usando un encriptador escrito en Go, el cual desactiva las funciones de análisis antimalware que normalmente lo detectarían. Posteriormente, el ataque cambia el lenguaje a C++ para interactuar con el sistema operativo de la víctima y ejecutar el malware .NET en la memoria, dejando rastros mínimos en la PC.
Patrick Schläpfer, analista senior de malware del equipo de investigación de amenazas de HP Wolf Security, explicó:
“Los atacantes de hoy se están volviendo mejor organizados y más informados. Investigan y analizan las partes internas del sistema operativo, lo cual les facilita explotar las brechas. Al saber qué puertas abrir, pueden navegar los sistemas internos con facilidad, usando técnicas relativamente sencillas de maneras muy efectivas y sin hacer sonar la alarma”.
El reporte detalla la forma en que los grupos de ciberdelincuentes están diversificando los métodos de ataque para eludir las políticas de seguridad y las herramientas de detección. Los hallazgos más significativos son:
- Los archivos fueron el tipo de entrega de malware más popular por quinto trimestre consecutivo, y se utilizaron en el 44% de los casos analizados por HP.
- Hubo un aumento de 4 puntos porcentuales en los ejecutables, de 14% a 18% del primer al segundo trimestre, causado principalmente por el uso del archivo PDFpower.exe que incluía software con un malware de secuestro de navegador.
- HP notó una caída de 6 puntos porcentuales en el malware de hoja de cálculo (de 19% a 13%) en el primer trimestre comparado con el cuarto anterior, a medida que los atacantes se alejan de los formatos de Office donde la ejecución macros es más difícil.
- Al menos el 12% de las amenazas de correo identificadas por HP Sure Click evadieron uno o más escáneres de puerta de enlace de correo electrónico en el segundo trimestre.
El Dr. Ian Pratt, jefe global de seguridad de sistemas personales de HP Inc., expresó:
“Si bien las cadenas de infección pueden variar, los métodos de iniciación siguen siendo los mismos. Todo se reduce inevitablemente a que el usuario haga clic en algo. En vez de tratar de adivinar la cadena de infección, las organizaciones deben aislar y contener las actividades riesgosas como abrir archivos adjuntos de correo, dar clic en enlaces y hacer descargas desde el navegador”.
HP Wolf Security ejecuta tareas riesgosas en máquinas virtuales aisladas, reforzadas por hardware, que trabajan en el dispositivo de punto final para proteger a los usuarios sin afectar su productividad. También captura rastros detallados de intentos de infección. La tecnología de aislamiento de aplicaciones de HP mitiga las amenazas que evaden otras herramientas de detección y ofrecen información única sobre las técnicas más recientes de intrusión, así como el comportamiento de los actores de amenazas.
Sobre los datos
Estos datos se recopilaron de manera anónima dentro de las máquinas virtuales de los usuarios de HP Wolf Security, de abril a junio de 2023.