Post on 02-Aug-2022
I n f o r m e
d e M c A f e e
L a b s s o b r e
a m e n a z a s
0 4 / 2 1
INFORME
3 Carta de nuestro científico jefe
4 PANEL DE MCAFEE DE ARCHIVOS MALICIOSOS RELACIONADOS CON LA COVID-19
5 Introducción
6 Amenazas a sectores y vectores
7 Incidentes de seguridad hechos públicos por continente
8 Incidentes de seguridad hechos públicos por país9 Incidentes de seguridad hechos públicos por sector10 Incidentes de seguridad hechos públicos por vector11 INCIDENTES DE LA NUBE POR PAÍS DE ORIGEN
12 Estadísticas sobre amenazas de malware
17 EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
18 PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
21 Principales familias y técnicas de ransomware21 Principales familias, técnicas MITRE ATT&CK
y sectores primarios21 Principales técnicas MITRE ATT&CK
23 Recursos
23 McAfee Labs y sus investigadores en Twitter
24 Acerca de McAfee
24 Acerca de McAfee Labs y Advanced Threat Research
Índice
Informe de McAfee Labs sobre amenazas, ABRIL de 20212
INFORME
Redacción e investigación
Christiaan Beek
Eoin Carroll
Mo Cashman
Sandeep Chandana
John Fokker
Melissa Gaffney
Steve Grobman
Tracy Holden
Tim Hux
Douglas McKee
Lee Munson
Chris Palm
Tim Polzer
Thomas Roccia
Raj Samani
Craig Schmugar
Este último informe no solo incluye el "zoo de malware", sino también un nuevo análisis de lo que se detecta en la web. Contiene además datos estadísticos que detallan las principales técnicas MITRE ATT&CK observadas durante el cuarto trimestre de 2020 en los grupos relacionados con las amenazas persistentes avanzadas (APT) y la delincuencia.
Carta de nuestro científico jefe
Bienvenidos a nuestro último Informe de McAfee Labs® sobre amenazas que incluye nuestros datos del último periodo de un tumultuoso 2020. Además de presentar nuestro estudio de las amenazas más destacadas con un nuevo y mejorado perfil digital, este informe también incluye muchas perspectivas nuevas de McAfee sobre el panorama de amenazas.
Antes, nuestros informes detallaban el volumen de las principales amenazas para describir la actualidad del "zoo de malware". La introducción de MVISION Insights en 2020 permitió monitorear la prevalencia de las campañas (y sus correspondientes indicadores de peligro) y determinar las detecciones sobre el terreno. Este último informe no solo incluye el "zoo de malware", sino también un nuevo análisis de lo que se detecta en la web. Contiene además datos estadísticos que detallan las principales técnicas MITRE ATT&CK observadas durante el cuarto trimestre de 2020 en los grupos relacionados con las amenazas persistentes avanzadas (APT) y la delincuencia.
Con estas nuevas y esclarecedoras observaciones, disfrutará de un informe verdaderamente extraordinario. Sin embargo, el análisis no acaba aquí. A finales del cuarto trimestre de 2020 salieron a la luz la fuga de datos de SolarWinds y las consecuencias que sufrieron las organizaciones afectadas. Este artículo se centra en las conclusiones del estudio sobre SUNBURST, un malware que, por supuesto, continúa dominando los titulares del primer trimestre de 2021.
Además de estas campañas de amenazas puntuales, los efectos de la pandemia siguieron patentes en el panorama de amenazas. La red global de McAfee, con más de mil millones de sensores, registró un incremento del 605 % en el total de detecciones de amenazas con el tema de la COVID-19 en el segundo trimestre. Como podrá ver en el panel de McAfee de amenazas relacionadas con la COVID-19, durante el tercer y el cuarto trimestre de 2020 las campañas vinculadas a la pandemia siguieron aumentando.
Esperamos que disfrute de esta nueva presentación del informe de McAfee Labs sobre amenazas y que encuentre útiles nuestros nuevos datos.
—Raj Samani McAfee Fellow y científico jefe Twitter @Raj_Samani
Informe de McAfee Labs sobre amenazas, ABRIL de 20213
INFORME
PANEL DE MCAFEE DE ARCHIVOS MALICIOSOS RELACIONADOS CON LA COVID-19
Figura 1. A medida que 2020 llegaba a su fin, los ciberdelincuentes siguieron sacando partido de las dificultades para vivir y trabajar en pandemia como táctica de amenaza frecuente. En el segundo trimestre de 2020, la red global de McAfee, con más de mil millones de sensores, registró un total de 445 922 detecciones de amenazas con temática COVID-19 (incremento del 605 %), 1 071 257 en el tercer trimestre (incremento del 240 %) y 1 224 628 en el cuarto (incremento del 114 %).
Informe de McAfee Labs sobre amenazas, ABRIL de 20214
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
Introducción
En este informe, McAfee® Labs examina las amenazas aparecidas en el tercer y el cuarto trimestre de 2020. Nuestro equipo de investigación Advanced Threat Research siguió, identificó e investigó activamente las causas y los efectos de las campañas prevalentes de mayor interés que amenazaron a las empresas durante la segunda mitad de 2020.
El mundo —y con él las empresas— se adaptaron a las restricciones de la pandemia y a las dificultades constantes del teletrabajo, mientras aumentó la complejidad y el volumen de las amenazas para la seguridad. Aunque un elevado porcentaje de trabajadores ganó en eficiencia y productividad trabajando de forma remota, las empresas sufrieron más campañas oportunistas relacionadas con la COVID-19 entre los nuevos métodos de los ciberdelincuentes. Con campañas notorias como SUNBURST y las nuevas tácticas del ransomware, los centros de operaciones de seguridad (SOC) trabajaron sin descanso.
Dados los nuevos retos a los que se enfrentará su empresa en 2021, sigue siendo imperativo que las plantillas —tanto presenciales como remotas— permanezcan alerta a las amenazas que pueden surgir en comunicaciones aparentemente rutinarias. Refuerce y compruebe la resistencia de sus empleados a hacer clic en enlaces no verificados y a abrir archivos adjuntos de correo electrónico externo. Como confirma este informe, durante la segunda mitad de 2020 se registró actividad de ransomware y malware dirigida contra vulnerabilidades de aplicaciones y procesos laborales; ambos tipos de software siguen siendo amenazas peligrosas capaces de hacerse con el control de redes y datos y de cobrarse millones en activos y costos de recuperación.
Los investigadores de McAfee mantienen su vigilancia de tácticas y técnicas tanto nuevas como habituales y siguen concentrados en la carrera para frustrar las amenazas contra nuestros clientes y la comunidad de seguridad. McAfee destaca en el sector de la seguridad porque utiliza mil millones de sensores globales para facilitar puntualmente inteligencia e información práctica que contribuya a defender su negocio, proteger sus activos y ayudar a su plantilla a mantener la productividad, incluso en medio de una pandemia.
Visite el Centro de amenazas de McAfee para consultar estudios líderes del sector y guías de seguridad contra las amenazas en evolución más recientes y de mayor impacto identificadas por nuestro equipo de amenazas.
Informe de McAfee Labs sobre amenazas, ABRIL de 20215
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
Amenazas a sectores y vectores
El volumen de las amenazas de malware observadas por McAfee Labs equivale de media a 588 amenazas por minuto, con un incremento de 169 amenazas por minuto (40 %) en el tercer trimestre de 2020. El volumen del cuarto trimestre alcanzó un promedio de 648 amenazas por minuto, lo que supone un incremento de 60 amenazas por minuto (10 %).
Las subidas y bajadas más notables por sector entre el tercer y el cuarto trimestre de 2020 incluyen:
� Ciencia y tecnología +100 %
� Administración pública +93 %
� Educación –36 %
Subidas y bajadas más notables por sector entre el tercer y el cuarto trimestre
de 2020
Ciencia y tecnología
Administración pública
Educación
+100 % +93 % -36 %
Las subidas más destacables por vector del tercer al cuarto trimestre de 2020 incluyen:
� Vulnerabilidades +100 %
� Malware +43 %
� Ataques selectivos +43 %
� Secuestro de cuentas +30 %
subidas más destacables por vector del tercer al cuarto trimestre de 2020
Vulnerabilidades Ataques selectivos
Malware
+100 % +43 %
Secuestro de cuentas
+43 % +30 %
Informe de McAfee Labs sobre amenazas, ABRIL de 20216
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
Incidentes de seguridad hechos públicos por continente
Incidentes de seguridad hechos públicos por continente (número de ataques comunicados)
Fuente: McAfee Labs, 2020.
0 50 100 150 200 250 300
4º trim. 20203er trim. 20202º trim. 20201er trim. 20204.º trim. 2019
Australia
Asia
Europa
Varios
Norteamérica
Figura 2. Los incidentes hechos públicos en Europa entre el tercer y el cuarto trimestre de 2020 crecieron un 100 %. Los incidentes en Asia aumentaron un 84 %. Los incidentes en Norteamérica se incrementaron en un 36 %.
Informe de McAfee Labs sobre amenazas, ABRIL de 20217
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
Incidentes de seguridad hechos públicos por país
10 principales países atacados
Fuente: McAfee Labs, 2020.
0 50 100 150 200 250
4º trim. 20203er trim. 20202º trim. 20201er trim. 20204º trim. 2019
Israel
Japón
Portugal
Australia
Alemania
España
Canadá
India
Francia
Italia
Reino Unido
N/D
Varios
EE. UU.
Figura 3. La subida más destacable entre el tercer y el cuarto trimestre de 2020 es la de Canadá (142 %). Los incidentes en Estados Unidos crecieron un 27 %. Los incidentes en Estados Unidos constituyen el 47 % de los incidentes observados en los 10 principales países.
Informe de McAfee Labs sobre amenazas, ABRIL de 20218
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
Incidentes de seguridad hechos públicos por sector
10 principales sectores industriales atacados
Fuente: McAfee Labs, 2020.
0 30 60 90 120 150
4º trim. 20203er trim. 20202º trim. 20201er trim. 20204º trim. 2019
Otras actividadesde servicios
Información/comunicación
Entretenimiento
Minorista/Mayorista
Tecnología
Fabricación
Financiero/Seguros
Educación
Sector sanitario
Sector público
Varios sectores
Individual
Figura 4. Los incidentes hechos públicos dirigidos contra el sector tecnológico aumentaron un 100 % entre el tercer y el cuarto trimestre de 2020. Los incidentes dirigidos contra el sector público aumentaron un 93 %.
Informe de McAfee Labs sobre amenazas, ABRIL de 20219
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
Incidentes de seguridad hechos públicos por vector
10 principales vectores de ataque
Fuente: McAfee Labs, 2020.
0 50 100 150 200 250 300
4º trim. 20203er trim. 20202º trim. 20201er trim. 20204º trim. 2019
Relleno decredenciales
Zoom Bombing
Cuentas falsasen redes sociales
Error deconfiguración
Correo electrónicoempresarial
Script malicioso
SQLi
Spam
Malware para TPV
DDoS
Vulnerabilidad
Malicioso
Desconocido
Ataque selectivo
Secuestrode cuentas
Malware
Figura 5. Los nuevos vectores de vulnerabilidad crecieron un 100 % entre el tercer y el cuarto trimestre de 2020. Los nuevos ataques de malware y ataques selectivos aumentaron cada uno un 43 %. El secuestro de cuentas creció un 30 %.
Informe de McAfee Labs sobre amenazas, ABRIL de 202110
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
INCIDENTES EN LA NUBE POR PAÍS DE ORIGEN
10 principales incidentes en la nube por país
Fuente: McAfee Labs, 2020.
0 200 000 400 000 600 000 800 000
4º trim. 20203er trim. 20202º trim. 2020
Hong Kong
Ucrania
Reino Unido
Brasil
Países Bajos
Federación Rusa
Nueva Caledonia
India
Tailandia
EE. UU.
Figura 6. Durante el cuarto trimestre de 2020, McAfee observó aproximadamente 3,1 millones de ataques externos en cuentas en la nube, agregando y anonimizando datos de uso de la nube procedentes de más de 30 millones de usuarios de McAFEE MVISION CLOUD en todo el mundo. Este conjunto de datos representa a empresas de los sectores de servicios financieros, atención sanitaria, sector público, educación, minoristas, tecnología, fabricación, energía, servicios, legal, inmobiliario, transporte y servicios empresariales.
Informe de McAfee Labs sobre amenazas, ABRIL de 202111
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
Estadísticas sobre amenazas de malware
Durante el tercer y el cuarto trimestre de 2020 se registró un aumento importante de varias categorías de amenazas:
� Entre el tercer y el cuarto trimestre, las amenazas basadas en PowerShell crecieron un 208 %, también por el empuje de Donoff
� En el tercer trimestre, el malware para MacOS se disparó un 420 % (?) debido al ransomware EvilQuest, pero recuperó los niveles normales durante el cuarto trimestre
� El malware de Office aumentó un 199 % del tercer al cuarto trimestre
� El malware para dispositivos móviles se incrementó un 118 % entre el tercer y el cuarto trimestre impulsado por SMS Reg
� Con el auge de CryptoDefense, el volumen de ransomware nuevo creció un 69 % entre el tercer y el cuarto trimestre
� El nuevo malware para Linux se incrementó un 6 % entre ambos trimestres
� El malware de minería de monedas descendió un 35 % el cuarto trimestre
� Se observaron ligeros descensos en iOS, IoT y JavaScript
Nuevos archivos binarios firmados maliciosos
Fuente: McAfee Labs, 2020.
0
300 000
600 000
900 000
1 200 000
1 500 000
4º trim.3er trim.2º trim.1er trim. 4º trim. 3er trim.
20202019
Informe de McAfee Labs sobre amenazas, ABRIL de 202112
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
Nuevo ransomware
Fuente: McAfee Labs, 2020.
0
1 000 000
2 000 000
3 000 000
4 000 000
5 000 000
6 000 000
4º trim. 3er trim. 2º trim. 1er trim. 4º trim. 3er trim.
2019 2020
Nuevo malware para MacOS
Fuente: McAfee Labs, 2020.
0
200 000
400 000
600 000
800 000
1 000 000
1 200 000
4º trim. 3er trim. 2º trim.
2020
1er trim. 4º trim. 3er trim.
2019
Nuevo malware para Linux
Fuente: McAfee Labs, 2020.
0
30 000
60 000
90 000
120 000
150 000
4º trim. 3er trim. 2º trim. 1er trim. 4º trim. 3er trim.
20202019
Informe de McAfee Labs sobre amenazas, ABRIL de 202113
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
Nuevo malware basado en iOS
Fuente: McAfee Labs, 2020.
0
500
1 000
1 500
2 000
2 500
3 000
3 500
4º trim.3er trim.2º trim.1er trim.4º trim.
20202019
3er trim.
Nuevo malware para celulares
Fuente: McAfee Labs, 2020.
0
500 000
1 000 000
1 500 000
2 000 000
2 500 000
3 000 000
3 500 000
4º trim.3er trim.2º trim.1er trim.4º trim.3er trim.
20202019
Nuevo malware basado en exploits
Fuente: McAfee Labs, 2020.
0
100 000
200 000
300 000
400 000
500 000
600 000
4º trim.3er trim.2º trim.1er trim.4º trim.3er trim.
20202019
Informe de McAfee Labs sobre amenazas, ABRIL de 202114
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
Nuevo malware de minería de monedas
Fuente: McAfee Labs, 2020.
0
1 000 000
2 000 000
3 000 000
4 000 000
5 000 000
4º trim.3er trim.2º trim.1er trim.4º trim.3er trim.
20202019
Nuevo malware para IoT
Fuente: McAfee Labs, 2020.
0
10 000
20 000
30 000
40 000
50 000
60 000
70 000
80 000
4º trim.3er trim.2º trim.1er trim.4º trim.3er trim.
20202019
Nuevo malware para Office
Fuente: McAfee Labs, 2020.
0
3 000 000
6 000 000
9 000 000
12 000 000
15 000 000
4º trim.3er trim.2º trim.1er trim.4º trim.3er trim.
20202019
Informe de McAfee Labs sobre amenazas, ABRIL de 202115
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
Nuevo malware JavaScript
Fuente: McAfee Labs, 2020.
0
1 000 000
2 000 000
3 000 000
4 000 000
5 000 000
6 000 000
7 000 000
8 000 000
4º trim.3er trim.2º trim.1er trim.4º trim.3er trim.
20202019
Nuevo malware PowerShell
Fuente: McAfee Labs, 2020.
0
3 000 000
6 000 000
9 000 000
12 000 000
15 000 000
4º trim.3er trim.2º trim.1er trim.4º trim.3er trim.
20202019
Nuevo malware
Fuente: McAfee Labs, 2020.
0
20 000 000
40 000 000
60 000 000
80 000 000
100 000 000
4º trim.3e trim.2º trim.1er trim.4º trim.
20202019
3e trim.
Informe de McAfee Labs sobre amenazas, ABRIL de 202116
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
Malware total
Fuente: McAfee Labs, 2020.
0
300 000 000
600 000 000
900 000 000
1 200 000 000
1 500 000 000
4º trim.3er trim.2º trim.1er trim.4º trim.3er trim.
20202019
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
En el cuarto trimestre de 2020, FireEye reveló que un ataque había comprometido el software de monitoreo y administración de TI Orion de SolarWinds con una versión troyanizada de SolarWinds.Orion.Core.BusinessLayer.dll. El archivo troyanizado distribuye el malware SUNBURST a través de una puerta trasera como parte de una revisión de Windows Installer firmada digitalmente. El uso de una cadena de suministro de software comprometida (T1195.002) como técnica de acceso inicial es especialmente grave, ya que puede pasar desapercibida durante un largo periodo de tiempo. FireEye publicó contramedidas capaces de identificar el malware SUNBURST.
McAfee informó de SUNBURST en este blog y este análisis adicional sobre la puerta trasera y, desde MVISION Insights, sigue vigilando la campaña de ataque a múltiples víctimas a través de la cadena de SolarWinds por la puerta trasera de SUNBURST (SolarWinds Chain Attack Multiple Global Victims with SUNBURST Backdoor). Steve Grobman, vicepresidente primero y director general de tecnología (CTO) de McAfee, describió el impacto decisivo de SolarWinds-SUNBURST. Los clientes pueden ver la versión pública de MVISION Insights sobre los datos, la prevalencia, las técnicas utilizadas y los indicadores de peligro del último ataque.
Informe de McAfee Labs sobre amenazas, ABRIL de 202117
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
Figura 7. MVISION Insights proporciona los indicadores utilizados por SUNBURST. Los indicadores continuarán actualizándose en función de la recopilación automatizada y el análisis humano. Puede utilizar los indicadores para la caza en su red.
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
TácticasTécnicas (principales 5 por táctica) Observaciones
Acceso inicial
Exploit de aplicaciones públicas
Repunte en el uso de esta técnica durante el cuarto trimestre. Múltiples informes de la CISA y la NSA advierten al sector de la presencia de ciberdelincuentes patrocinados por Estados que aprovechan activamente varias divulgaciones externas (CVE) relativas a aplicaciones públicas, como software VPN y de administración remota de uso generalizado.
McAfee observó que, además de los grupos patrocinados por Estados, esta táctica de acceso inicial se utiliza también en grupos de ransomware.
Replicación a través de soportes extraíbles
Cuentas válidas
Compromiso por descarga desapercibida
Phishing
Ejecución Ejecución de usuario
Interfaz de línea de comandos
Scripts
Instrumental de administración de Windows
Tarea programada
Persistencia Tarea programada
Claves de ejecución del Registro/carpeta de inicio
Carga en DLL
Cuentas válidas
Elementos de inicio
Informe de McAfee Labs sobre amenazas, ABRIL de 202118
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
TácticasTécnicas (principales 5 por táctica) Observaciones
Elevación de privilegios
Inyección de procesos La inyección de procesos sigue siendo una de las principales técnicas de elevación de privilegios. Observamos el uso de esta técnica en varias familias de malware y grupos de amenazas, desde herramientas de acceso remoto como Remcos, grupos de ransomware como REvil y múltiples grupos de APT patrocinados por Estados. También observamos varios ataques que utilizan PowerShell para inyectar código en otro proceso en ejecución.
Tarea programada
Claves de ejecución del Registro/carpeta de inicio
Carga en DLL
Exploit por elevación de privilegios
Evasión de defensas
Archivos o información ocultos
"Esta fue la segunda técnica más observada en el cuarto trimestre de 2020. Equivale al juego del gato y el ratón, pero entre el malware y el software de seguridad.
Los agresores idean constantemente nuevas formas de eludir la detección. Uno de los llamativos métodos que observamos durante el cuarto trimestre fue el del grupo de ciberdelincuentes APT28, que utilizó archivos VHD (discos duros virtuales, por sus siglas en inglés) para empaquetar y ocultar la carga útil maliciosa".
Anulación de ocultación/descodificación de archivos o información
Enmascaramiento
Modificación del Registro
Inyección de procesos
Acceso a credenciales
Captación de datos introducidos
Captura de credenciales
Registro de pulsaciones
Fuerza bruta
Robo de cookies de sesiones web
Descubrimiento
Descubrimiento de información del sistema
La técnica MITRE más utilizada en las campañas observadas en el cuarto trimestre de 2020 fue el descubrimiento de información del sistema. En estas campañas, el malware contenía funciones que recopilaban la versión del SO, la configuración del hardware y el nombre de host de la máquina de las víctimas para comunicárselos al agresor.
Descubrimiento de archivos y directorios
Descubrimiento de procesos
Registro de consultas
Descubrimiento del propietario/usuario del sistema
Informe de McAfee Labs sobre amenazas, ABRIL de 202119
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
TácticasTécnicas (principales 5 por táctica) Observaciones
Desplazamiento lateral
Copia remota de archivos
Aprovechamiento de servicios remotos
Replicación a través de soportes extraíbles
Scripts de inicio de sesión
Servicios remotos
Recopilación Datos del sistema local
Captura de pantalla
Recopilación automatizada
Captación de datos introducidos
Datos de copia intermedia
Mando y control
Protocolo de capa de aplicaciones estándar
Copia remota de archivos
Puerto utilizado habitualmente
Servicio web
Proxy de conexión
Filtración Filtración a través de canal de mando y control
Filtración automatizada
Filtración a través de protocolo alternativo
Filtración a almacenamiento en la nube
Transferencia programada
Impacto Secuestro de recursos Esta técnica la utiliza a menudo el malware de minería de criptomonedas, que aprovecha los recursos de los sistemas para generar criptomoneda.
Datos para causar impacto La técnica de cifrar los datos para causar impacto puede atribuirse casi exclusivamente al ransomware, una de las principales ciberamenazas también en el cuarto trimestre de 2020.
Apagado/reinicio del sistema
Daños en el firmware
Inhibición de la recuperación del sistema
Tabla 1. Exploit de aplicaciones públicas; McAfee Labs observó un repunte en el exploit de aplicaciones públicas. Múltiples informes de la CISA y la NSA advirtieron al sector de la presencia de ciberdelincuentes patrocinados por Estados que aprovechaban activamente varias divulgaciones externas (CVE) relativas a aplicaciones públicas, como software VPN y de administración remota de uso generalizado. McAfee observó grupos de ransomware —además de los grupos patrocinados por Estados— que utilizaban esta táctica de acceso inicial. Inyección de procesos: McAfee Labs también constató que está técnica la emplean varias familias de malware y grupos de amenazas, entre ellos herramientas de acceso remoto como Remcos, grupos de ransomware como REvil y múltiples grupos de APT financiados por países. McAfee Labs observó además varios ataques que involucraban a PowerShell.
Informe de McAfee Labs sobre amenazas, ABRIL de 202120
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
Principales familias y técnicas de ransomware
Entre el tercer y el cuarto trimestre de 2020, McAfee advirtió un incremento del 69 % en el ransomware nuevo, incremento en el que CryptoDefense desempeñó un papel importante. Los datos recopilados por el equipo de investigación McAfee Advanced Threat Research incluyen:
Principales familias, técnicas MITRE ATT&CK y sectores primarios
Ransom:W32/REvil
Ransom:W32/Thanos
Ransom:W32/Ryuk
Ransom:W32/RansomeXX
Ransom:W32/Maze
Ransom:W32/MountLocker
Ransom:W32/Suncrypt
Ransom:W32/NetWalker
Ransom:W32/WastedLocker
Ransom:W32_Clop
Ransom:W32/Conti
Ransom:W32/Conti
Ransom/W32_Clop
Ransom:W32/WastedLocker
Ransom:W32/NetWalker
Ransom:W32/Suncrypt
Ransom:W32/MountLocker
Ransom:W32/Maze
Ransom:W32/RansomeXX
Ransom:W32/Ryuk
Ransom:W32/Thanos
Ransom:W32/REvil
Figura 8. Encabezan la lista de familias de ransomware REvil, Thanos, Ryuk, RansomeXX y Maze
Principales técnicas MITRE ATT&CK
Principales técnicas MITRE
Fuente: McAfee Labs, 2020.
0 1 2 3 4 5 6 7 8
Técnica deenmascaramiento
(T1036)
Descubrimientoen procesos (T1057)
Inyección deprocesos (T1055)
Descubrimientode información
del sistema (T1082)
Archivos o informaciónocultos (T1027)
Parada de servicios (T1489)
Datos encriptadospara causar
impacto (T1486)
Descubrimientode archivos
y directorios (T1083)
Figura 9. Las principales técnicas MITRE ATT&CK observadas incluyen las de descubrimiento de archivos y directorios (T1083), datos ENCRIPTADOS PARA CAUSAR IMPACTO (T1486), parada de servicios (T1489), archivos o información ocultos (T1027) y descubrimiento de información del sistema (T1082)
Informe de McAfee Labs sobre amenazas, ABRIL de 202121
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
Friday at 13:35
$$$
Premium
NO AVATAR
24
Figura 10. Este es un ejemplo de cómo los grupos de ransomware reclutan a otros equipos o personas que realizan pruebas de penetración para obtener acceso a redes corporativas. Los grupos de ransomware ya no utilizan envíos masivos para que alguien acabe mordiendo el anzuelo, sino que prefieren acceder a objetivos valiosos para robar información antes de infectarlos con el ransomware. Otros grupos de ransomware buscan ciberdelincuentes con experiencia en servidores ESX/copias de seguridad.
Durante el último trimestre de 2020, McAfee se unió a Microsoft y otras 17 empresas de seguridad, tecnológicas y organizaciones sin ánimo de lucro para formar una nueva Ransomware Task Force (RTF) con el fin de detener la creciente amenaza del ransomware.
Informe de McAfee Labs sobre amenazas, ABRIL de 202122
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
Recursos
Para llevar un control de las últimas amenazas e investigaciones, consulte estos recursos de McAfee:
Panel de COVID-19 de McAfee: información actualizada de detecciones de archivos maliciosos relacionados con la COVID-19, con datos de países, sectores y tipos de amenazas.
Panel de vista preliminar de MVISION Insights: descubra la única solución proactiva que le permite anticiparse a las amenazas nuevas.
Centro de amenazas de McAfee: nuestro equipo de investigación de amenazas ha identificado las amenazas con más impacto en la actualidad.
McAfee Labs y sus investigadores en Twitter
McAfee Labs
Raj Samani
Christiaan Beek
John Fokker
Steve Povolny
Eoin Carroll
Thomas Roccia
Douglas McKee
Informe de McAfee Labs sobre amenazas, ABRIL de 202123
INFORME
Carta de nuestro científico jefe
Introducción
Amenazas a sectores y vectores
Estadísticas sobre amenazas de malware
EL MALWARE SUNBURST Y EL ATAQUE A LA CADENA DE SUMINISTRO DE SOLARWINDS
PRINCIPALES TÉCNICAS MITRE ATT&CK UTILIZADAS EN APT/DELINCUENCIA
Recursos
Acerca de McAfee
Acerca de McAfee Labs y Advanced Threat Research
Acerca de McAfee
McAfee es la empresa de ciberseguridad que ofrece protección total, desde los dispositivos a la nube. Inspirándose en el poder de la colaboración, McAfee crea soluciones para empresas y particulares que hacen del mundo un lugar más seguro. Al diseñar soluciones compatibles con los productos de otras firmas, McAfee ayuda a las empresas a implementar entornos cibernéticos verdaderamente integrados en los que la protección, la detección y la corrección de amenazas tienen lugar de forma simultánea y en colaboración. Al proteger a los consumidores en todos sus dispositivos, McAfee protege su estilo de vida digital en casa y fuera de ella. Al trabajar con otras empresas de seguridad, McAfee lidera una iniciativa de unión frente a los ciberdelincuentes en beneficio de todos.
www.mcafee.com/mx
Acerca de McAfee Labs y Advanced Threat Research
McAfee Labs, dirigido por el equipo de McAfee Advanced Threat Research, es una de las referencias mundiales en investigación e inteligencia sobre amenazas, y líder en innovación en ciberseguridad. Gracias a la información que reciben de millones de sensores situados en los principales vectores de amenazas —archivos, la Web, la mensajería y las redes—, McAfee Labs y McAfee Advanced Threat Research proporcionan inteligencia sobre amenazas en tiempo real, análisis críticos y opiniones de expertos que permiten mejorar la protección y reducir los riesgos.
www.mcafee.com/enterprise/es-mx/threat-center/mcafee-labs.html
Suscríbase para recibir nuestra información sobre amenazas.
Informe de McAfee Labs sobre amenazas, ABRIL de 202124
INFORME
McAfee y el logotipo de McAfee son marcas comerciales o marcas comerciales registradas de McAfee, LLC o de sus empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Copyright © 2021 McAfee, LLC. 4728_0421ABRIL 2021
Av. Paseo de la Reforma No.342 Piso 25Colonia Juárez, México DFC.P. 06600www.mcafee.com/mx