Brasil es uno de los países que sufre más ataques cibernéticos en el mundo - y este escenario se agravó considerablemente después de la pandemia. Estar atentos a las amenazas en aumento en Brasil y en el mundo es cada vez más importante y nos permite estar un paso adelante de los posibles atacantes, así como actuar con mayor rapidez y eficiencia para detectar dichas amenazas y evitar posibles impactos y daños derivados de ellas.
10 PRINCIPALES AMENAZAS
Una ciberamenaza es un acto malicioso cuyo objetivo es dañar o robar datos y/o interrumpir los servicios digitales en general. Los ciberataques incluyen amenazas como virus, violación de datos y ataques de denegación de servicio (DoS).
En el último mes, las amenazas más recurrentes fueron:
| HEUR:Troyano.Script.Genérico | Esta familia incluye programas que tienen características típicas de los scripts troyanos maliciosos, como ejecutar acciones y crear puertas traseras. |
| HEUR:Trojan.MSOffice.Emotet.gen | Esta familia se compone de malware que se utiliza para descargar otro malware ("bankers") en el dispositivo de la víctima. El malware Emotet se distribuye principalmente a través de correos electrónicos de phishing que contienen enlaces a sitios web maliciosos o archivos adjuntos (documentos PDF o Microsoft Word). Los documentos PDF contienen enlaces a sitios web maliciosos y los documentos de Microsoft Word contienen macros maliciosas e instrucciones sobre cómo activar estas macros. |
| HEUR:HackTool.Win32.KMSAuto.gen HackTool.Win64.HackKMS.b | Las aplicaciones de esta familia pueden activar productos de software de Microsoft no registrados. Dichas aplicaciones pueden utilizarse junto con software malintencionado o no deseado. |
| HEUR:Troyano.PDF.Badur.gena | Un documento PDF"trampa"[1] con un enlace a un sitio web de contenido dudoso. |
| Trojan-Dropper.HTML.Agent.aq | Los programas Trojan-Dropper están diseñados para instalar secretamente programas maliciosos incrustados en su código en los ordenadores de las víctimas. Los hackers utilizan estos programas para instalar en secreto troyanos y/o virus que protegen a los programas maliciosos conocidos de ser detectados por las soluciones antivirus. |
| HEUR:Trojan.Script.Miner.gen | Esta familia incluye programas que son scripts maliciosos utilizados para minar criptomonedas sin el conocimiento del usuario. Los resultados de la minería van directamente a las carteras de los delincuentes. |
| HEUR:Hoax.Script.Scaremail.gen | Esta familia incluye mensajes de correo electrónico de chantaje que obligan al usuario a pagar por la no divulgación de datos confidenciales, aunque los atacantes no dispongan de ellos. |
| HEUR:Trojan-Downloader.Win32.Banload.gen HEUR:Trojan-Downloader.Script.Generic | Familia de troyanos que descarga otro malware. Este malware descargado suele ser miembro de la familia Win32/Banker, troyanos que roban credenciales bancarias y otros datos confidenciales y los envían de vuelta a un atacante remoto |
[1] Documento PDF infectado.
VULNERABILIDADES
Cada día, los fabricantes parchean las vulnerabilidades detectadas en sus productos para evitar que posibles atacantes se aprovechen de estos fallos. Normalmente, los piratas informáticos escriben código y programas maliciosos capaces de explotarlas en aplicaciones o sistemas operativos. Explota. Durante un exploit, un atacante puede obtener acceso o uso no autorizado de la aplicación y/o el sistema operativo.
En el gráfico abajo, tenemos el promedio de notificaciones de explotación ocurridas entre 07/03/2022 y 08/04/2022 en Brasil:
Los días punta fueron:
- 14/03/2022 - 6.998 notificaciones
- 17/03/2022 - 6.930 notificaciones
- 04/04/2022 - 7.881 notificaciones
Exploit:W32/CVE-2011-3402.A es una detección genérica que identifica archivos de fuentes maliciosos que pueden utilizarse para explotar una vulnerabilidad conocida en el motor de análisis sintáctico de fuentes TrueType en versiones específicas del sistema operativo Windows. Si se utiliza con éxito, este exploit podría permitir la ejecución de código malicioso contenido en datos de fuentes especialmente diseñados en una página Web o documento de Word. Se sabe que este exploit es utilizado por malware como el Cool exploit kitasociado al ransomware Revetony el Duqu.
RANSOMWARE
El ransomware es un ciberataque que está ganando cada vez más notoriedad: es un asunto de suma importancia en la seguridad de la infraestructura de cualquier empresa. Estos ataques han ido creciendo año tras año y, tras servicios como RaaS (ransomware como servicio)[1], se ha hecho popular y accesible incluso para atacantes con conocimientos aún limitados.
En el último mes, la amenaza más destacada ha sido Troyano-Ransom.WIN32.Phny.aque sigue en primer lugar con un 43,38% de uso en ataques ocurridos en Brasil. Este troyano forma parte de la familia WannaCry, un ransomware de cifrado activo desde 2017.
[1] Funciona como un programa de afiliados, en el que los desarrolladores del ransomware proporcionan el programa malicioso a sus afiliados (atacantes), normalmente con cuotas mensuales o acuerdos en los que se establece el porcentaje de beneficio para ambas partes.
IOCS
Como forma de ayudar a la rápida detección de amenazas, hemos seleccionado los indicadores más recurrentes en los ataques en Brasil durante el último mes. Estos incluyen hashes MD5, URLs y Comando y Control (C&C).
Estos indicadores ayudan a detectar violaciones de datos, infecciones de malware u otras actividades maliciosas. El control de los indicadores de peligro permite detectar los ataques y actuar con rapidez para evitar que se produzcan o limitar los daños deteniendo los ataques en sus primeras fases.
TOP 10 MD5
El hash más observado era de la categoría de malware, HEUR:Trojan.Script.Generic.
- MD5: B031E991F354D7FA51E7682452B3D5C1
- Visto por primera vez el: 21 de marzo de 2022
- Tasa de detección de VirusTotal el 07/04/2022: 7/57
- Clase: Malware
HEUR:Troyano.Script.Genérico es una detección heurística[1 ] diseñada para detectar genéricamente un troyano, un programa que, además de realizar las funciones para las que aparentemente fue diseñado, realiza otras, normalmente maliciosas, y sin conocimiento del usuario.
[1 ] La heurística es una tecnología diseñada para detectar proactivamente código malicioso, es decir, sin necesidad de basarse en una firma específica. En esta línea, la solución de seguridad analiza un fichero y compara su comportamiento con determinados patrones que pueden indicar la presencia de una amenaza. A cada acción realizada por el fichero se le asigna una puntuación. Por lo tanto, si este número es superior a un determinado valor, se clasificará como un probable nuevo malware. Fuente: welivesecurity.
A escala mundial, este tipo de hachís tiene una incidencia mucho mayor en Brasil, con más de 157.000 detecciones, seguido de Estados Unidos, con unas 2.200 detecciones en el último mes.
Se observa que hubo un pico de detección del mencionado hash entre el 21/03/2022 y el 23/03/2022, con más de 70.000 detecciones.
| Los 10 mejores MD5 | Descripción | Nombre |
| B031E991F354D7FA51E7682452B3D5C1 | HEUR:Troyano.Script.Genérico | b28c12f432f7faab266a67f8116f1b341fa5aa4dce0a965fca8adca2a0fc3945 anexo_2020098492784.html |
| C3D11B1DEADC4C0736C520CDE8143BE5 | - | - |
| 024603BC678EC0B0C5C85F76B01DBF56 | - | anexo_2020098492784.html |
| 754F13D7FDD0DDF9AACA24AC8526E0C0 | - | anexo_2020098492784.html |
| 3B760FA0DC2F3719311336A60FF409F9 | - | 7ebe91aa8f20b8d4393d73e9484441bed6b28f1d5121db3b7f6ff4b076a4694f_1647522059789_anexo_2020098492784 |
| 9B0951269B64ADD3658B908FD2C02E07 | - | 34a1d8c1898c71f91d43e05788adb9ac1827d38ad7f9b3fb219e67be27ed0797 anexo_2020098492784.html |
| FC5A81A9B840740B02BBBBE8F2BB6920 | - | anexo_2020098492784.html |
| 335EB95FA1FADBE89A54A32110F70186 | - | anexo_2020098492784.html |
| DA3EF275E8A08E20A6A006A945C61193 | - | anexo_2020098492784.html |
| 20ED258BB98E83EC5DB43DAEE1FD609E | - | anexo_2020098492784.html |
Es importante señalar que la mayoría de los hashes mencionados anteriormente están relacionados con el mismo nombre de archivo anexo_2020098492784.html, por lo que se puede deducir que se estaba o se sigue realizando alguna campaña de phishing/malware.
Observando el hash 9B0951269B64ADD3658B908FD2C02E07, se identifica que está vinculado a correos supuestamente enviados por Fazenda.Gov. Durante el periodo de declaración de la renta, es normal y esperable que los delincuentes utilicen esta temática para realizar ataques de phishing ataques de phishing.
El hash 20ED258BB98E83EC5DB43DAEE1FD609E, por otro lado, muestra relación con las siguientes tácticas y técnicas ATT&CK de MITRE:
TOP 10 URLS
En cuanto a la URL, el dominio tinyurl2. ru fue el más frecuentemente encontrado, llegando principalmente a países como Brasil, India, Estados Unidos y Colombia. En Brasil, el número de detecciones alcanzó las 48.008.
TOP 10 C&C - MANDO Y CONTROL
Un servidor de Mando y Control - C&C es un ordenador controlado por un atacante o ciberdelincuente que se utiliza para enviar órdenes a sistemas comprometidos por malware y recibir datos robados de una red objetivo.
En el TOP 10 C&C del último mes, el dominio iustinus-agi.com fue observado numerosas veces y categorizado como Malware y C&C de Botnet (Backdoor.Win32.Shiz).
Según la imagen, los países más afectados son: Estados Unidos, Brasil, Alemania, España y Reino Unido.
A continuación se detalla cierta información sobre este dominio, como las direcciones IP y los archivos alojados en el servidor.
URL alojadas en el servidor:
- iustinus-agi.com/zcredirect
- iustinus-agi.com/zcvisitor
Direcciones IP que resuelven a este servidor:
- 146.112.49.133
- 52.73.147.241
- 34.195.129.193
- 213.162.88.110
- 146.112.49.177
- 146.112.49.131
- 146.112.49.14
- 146.112.49.228
- 146.112.49.145
| Archivos relacionados con esta IP | ||
| Estado | MD5 | Nombre |
| Malware | 45DE073220D50C54B2720A748E83E265 | VHO:Trojan-Proxy.Win32.Windigo.aq |
| Malware | C660ECE3DB968142A90A3B2641DA4490 | HEUR:Backdoor.Win32.Generic |
| Malware | C1DCBF6290D85ED01AA92A6A7803CAFB | PDM:Troyano.Win32.Genérico |
| Malware | ABDE47D530FF41C46046EEEF811B506D | BSS:Troyano.Win32.Genérico |
| Adware | 2716794273A6C673AD02C1FE5C896450 | BSS:Troyano.Win32.Genérico |
| Adware | 6B22DF52CA4368CA364B45045AECAE55 | BSS:Troyano.Win32.Genérico |
| Adware | 6786269D385D61CBAA5121117B5B497A | BSS:Troyano.Win32.Genérico |
| Adware | 68763433E6C2E98AA44F1ADF075A7664 | BSS:Troyano.Win32.Genérico |
| Adware | 45DFE2096EDDEE0AE988C1103137229F | BSS:Troyano.Win32.Genérico |
| Adware | D967AEB7E2D98F068DD37C4D29E16D8A | BSS:Troyano.Win32.Genérico |
Además, otros C&C también tuvieron una ocurrencia relevante en Brasil y se pueden ver a continuación:
AMENAZAS EN TODO EL MUNDO
Algunas amenazas que están presentes en todo el mundo también afectan significativamente a Brasil. Algunos grupos de ransomware, por ejemplo, no tienen fronteras geográficas que les impidan actuar.
LA GUERRA CONTINÚA
La guerra entre Rusia y Ucrania sigue siendo relevante en el panorama de la ciberseguridad. Hasta que se resuelva el conflicto, muchos grupos hacktivistas tomarán parte en esta lucha de la forma que crean conveniente, apuntando a empresas con negocios en Rusia como represalia.
SRING4SHELL
Considerado como el nuevo Log4j, Spring4Shell, que permite la ejecución remota de código- Remote Code Execution (RCE), es una importante vulnerabilidad que afecta a spring-core, un framework ampliamente utilizado en aplicaciones Java que permite a los desarrolladores de software desarrollar aplicaciones.
Es aconsejable aplicar las recomendaciones de seguridad proporcionadas por el propio desarrollador:
VIH
También con víctimas aquí en Brasil, el ransomware Hive se observó por primera vez en junio de 2021 y probablemente opera como un ransomware basado en afiliación, utilizando una amplia variedad de Tácticas, Técnicas y Procedimientos (TTP), y es difícil de defender y mitigar.
Hive se ha observado en todo el mundo y las detecciones muestran que los intentos de ataque del ransomware Hive contra organizaciones se han observado sobre todo en Sudamérica, con Argentina recibiendo el mayor número, seguida de Brasil.
CONCLUSIÓN
Teniendo en cuenta el escenario anterior, está claro que Brasil todavía necesita mejorar su postura digital. Cada día surgen varias amenazas nuevas, cada vez más resistentes y complejas, que exigen que las organizaciones presten más atención y cuidado a sus activos, inviertan en la capacitación de sus usuarios y en la actualización constante.
Los datos recogidos en este boletín ayudan a mitigar y prevenir las amenazas destacadas en la actualidad y las siguientes recomendaciones son un complemento importante para combatir posibles ataques.
RECOMENDACIONES
Mantenga copias de seguridad de los datos encriptadas y sin conexión, y pruébelas con frecuencia. Los procedimientos de copia de seguridad deben realizarse con regularidad. Es importante que las copias de seguridad se mantengan sin conexión, ya que muchas variantes de ransomware intentan localizar y eliminar o cifrar las copias de seguridad accesibles.
Teniendo en cuenta el escenario anterior, está claro que Brasil todavía necesita mejorar su postura digital. Cada día surgen varias amenazas nuevas, cada vez más resistentes y complejas, que exigen que las organizaciones presten más atención y cuidado a sus activos, inviertan en la capacitación de sus usuarios y en la actualización constante.
Los datos recogidos en este boletín ayudan a mitigar y prevenir las amenazas destacadas en la actualidad y las siguientes recomendaciones son un complemento importante para combatir posibles ataques.
2. Crear, mantener y ejecutar un plan básico de respuesta a incidentes cibernéticos, un plan de recuperación y un plan de comunicaciones asociado.
- El plan de respuesta a incidentes cibernéticos debe incluir procedimientos de respuesta y notificación para incidentes de ransomware. Recomendamos la Guía conjunta sobre ransomware de CISA y el Centro Interestatal de Información e Intercambio (MS-ISAC) para obtener más detalles sobre la creación de un plan de respuesta a incidentes cibernéticos.
- El plan de recuperación debe abordar cómo operar si se pierde el acceso o el control de las funciones críticas. CISA ofrece evaluaciones de ciberresiliencia gratuitas y no técnicas para ayudar a las organizaciones a evaluar su resiliencia operativa y sus prácticas de ciberseguridad.
3. 3. Mitigar las vulnerabilidades y los errores de configuración de Internet para reducir el riesgo de que los actores exploten esta superficie de ataque:
a. Emplear las mejores prácticas para utilizar el Protocolo de Escritorio Remoto (RDP) y otros servicios de escritorio remoto. Los actores de amenazas a menudo obtienen acceso inicial a una red a través de servicios remotos expuestos y mal protegidos y posteriormente propagan el ransomware.
Audite la red en busca de sistemas que utilicen RDP, cierre los puertos RDP no utilizados, aplique bloqueos de cuenta tras un número determinado de intentos, aplique autenticación multifactor (MFA) y registre los intentos de inicio de sesión RDP.
b. Realizar escaneos regulares de vulnerabilidades para identificar y abordar las vulnerabilidades, especialmente las de los dispositivos orientados a Internet. CISA ofrece una variedad de servicios gratuitos de ciberhigiene, incluido el escaneado de vulnerabilidades, para ayudar a las organizaciones de infraestructuras críticas a evaluar, identificar y reducir su exposición a ciberamenazas como el ransomware. Al aprovechar estos servicios, las organizaciones de cualquier tamaño recibirán recomendaciones sobre las formas de reducir su riesgo y mitigar los vectores de ataque.
c. Actualizar oportunamente el software, incluidos los sistemas operativos, las aplicaciones y el firmware. Dé prioridad a la corrección oportuna de las vulnerabilidades y puntos vulnerables críticos de los servidores orientados a Internet, así como del software de procesamiento de datos de Internet, como navegadores web, complementos de navegadores y lectores de documentos. Si no es posible una reparación rápida, aplique las medidas de mitigación proporcionadas por el proveedor.
d. Asegúrese de que los dispositivos están configurados correctamente y de que las funciones de seguridad están activadas; por ejemplo, desactive los puertos y protocolos que no se estén utilizando con fines empresariales.
e. Desactivar o bloquear el protocoloServer Message Block (SMB) entrante y saliente y eliminar o desactivar las versiones obsoletas de SMB.
4. Reducir el riesgo de que los correos electrónicos de phishing lleguen a los usuarios finales:
a. Activación de los filtros de spam.
b. Implantar un programa de concienciación y formación sobre ciberseguridad para los usuarios que incluya orientaciones sobre cómo identificar e informar de actividades sospechosas (por ejemplo, phishing) o incidentes.
5. Utilizar las mejores prácticas de ciberseguridad disponibles:
a. Asegúrese de que todo el software antivirus, antimalware y de firmas esté actualizado.
b. Implementarlistas de aplicaciones permitidas.
c. Garantizar que las cuentas de usuario y los privilegios estén limitados mediante políticas de uso de cuentas, control de cuentas de usuario y gestión de cuentas con privilegios.
d. Emplear la AMF para el mayor número posible de servicios, especialmente para el correo web, las redes privadas virtuales (VPN) y las cuentas que acceden a sistemas críticos.
REFERENCIAS
- Kaspersky
- welivesecurity.com
- F-Secure
- TrendMicro
- cisco.com
- nist.gov