Los cibercriminales obtienen millones con el formjacking, presentando una grave amenaza para empresas y consumidores
El Informe Anual de Amenazas de Symantec revela ataques más ambiciosos, más destructivos y más sigilosos, aumentando el riesgo para las organizaciones
- Casi uno de cada diez grupos de ataque dirigido ya usa el malware para destruir y trastornar operaciones comerciales; un aumento del 25 por ciento, comparándolo con 2017
- Los atacantes optimizan tácticas probadas que incluyen el spear-phishing, secuestrar herramientas legítimas, y archivos adjuntos maliciosos de correo electrónico
- Las infecciones de ransomware en empresas aumentan 12 por ciento
- Los recursos en la nube cada vez son blancos más fáciles para los ladrones digitales con más de 70 millones de registros robados o divulgados desde depósitos S3 de almacenamiento público en la nube pobremente configurados
- Más atacantes muestran interés en comprometer sistemas de control operativos e industriales con potencial para sabotaje
México Cd. de México a. – 25 de febrero de 2019 – Ante ingresos que disminuyen del ransomware y el cryptojacking, los cibercriminales están redoblando esfuerzos con métodos alternativos, como el formjacking, para obtener dinero de acuerdo con el Reporte de las amenazas a la seguridad en Internet (Internet Security Threat Report o ISTR) de Symantec (Nasdaq: SYMC), Volumen 24.
El ISTR de Symantec brinda una visión general del panorama de amenazas, que incluye percepciones hacia el interior de la actividad global de amenazas, las tendencias cibercriminales, y las motivaciones de los atacantes. El informe analiza datos de la Global Intelligence Network de Symantec, la red civil de inteligencia de amenazas más grande del mundo, la cual registra los acontecimientos de 123 millones de sensores de ataque a nivel mundial, bloquea 142 millones de amenazas diarias y monitorea actividades de amenazas en más de 157 países. Los aspectos más destacados del informe de este año incluyen:
Para los cibercriminales, el formjacking es el nuevo ardid para volverse rico rápidamente
Los ataques de formjacking son simples, esencialmente son un skimming de cajero automático (ATM) virtual, en el que los cibercriminales inyectan código maligno a los sitios web de los minoristas para robar los detalles de tarjeta de pago de los compradores. En promedio, más de 4,800 sitios web únicos quedan comprometidos por código de formjacking cada mes. Symantec bloqueó más de 3.7 millones de ataques de formjacking en terminales durante 2018, con casi un tercio de todas las detecciones ocurriendo durante el periodo de compras en línea más ocupado del año: noviembre y diciembre.
Aunque un número de sitios web de pago en línea de minoristas reconocidos, que incluyen a empresas de la industria de entretenimiento así como de la industria aérea, quedaron comprometidos por código de formjacking en los meses recientes, la investigación de Symantec revela que los minoristas medianos y pequeños son, en gran medida, los que quedan más ampliamente comprometidos.
Cálculos conservadores indican que los cibercriminales pueden haber recopilado decenas de millones de dólares el año pasado, robando la información financiera y personal de los consumidores a través del fraude de tarjeta de crédito y ventas en la dark web. Solo 10 tarjetas de crédito robadas de cada sitio web comprometido podrían resultar en una ganancia de hasta $2.2 millones cada mes, con una sola tarjeta de crédito alcanzando hasta $45 en los foros de venta subterráneos. Con más de 380,000 tarjetas de crédito robadas, solo el ataque a British Airways puede haber permitido que los criminales se embolsaran más de $17 millones.
“El formjacking representa una grave amenaza, tanto para los negocios como para los consumidores”, dijo Adriana García, directora general de Symantec México. “Los consumidores no tiene manera de saber si están visitando un minorista infectado en línea sin usar una solución de seguridad integral, dejando su valiosa información personal y financiera a merced de un potencialmente devastador robo de identidad. Para las empresas, el colosal aumento del formjacking refleja el creciente riesgo de los ataques a la cadena de suministro, sin mencionar los riesgos de reputación y responsabilidad que los negocios enfrentan cuando se ven comprometidos”. Agregó.
Los rendimientos por cryptojacking y ransomware disminuyen
En años recientes, el ransomware y el cryptojacking, con los que los cibercriminales aprovechan poder de procesamiento y uso de CPU en línea robados de los consumidores y empresas para extraer criptomonedas, fueron los métodos preferidos de los cibercriminales que buscan hacer dinero fácilmente. Sin embargo, 2018 trajo caídas en la actividad y menores rendimientos, principalmente debido a los valores de las criptomonedas que disminuyen y el aumento en la adopción de cómputo en la nube y en dispositivos móviles, haciendo que los ataques sean menos efectivos. Por primera vez desde 2013, las infecciones de ransomware disminuyeron, cayendo un 20 por ciento. No obstante, las empresas no deberían de bajar la guardia: las infecciones de ransomware en empresas aumentaron 12 por ciento en 2018, oponiéndose a la tendencia general a la baja y demostrando la continua amenaza del ransomware para las organizaciones.
De hecho, más de ocho de cada diez infecciones con ransomware afectan a las organizaciones.
Aunque la actividad de cryptojacking tuvo un pico máximo a principios del año pasado, la actividad de cryptojacking disminuyó un 52 por ciento durante el transcurso de 2018. Incluso con los valores de las criptomonedas cayendo un 90 por ciento y reduciendo en forma significativa la rentabilidad, el cryptojacking sigue siendo atractivo para los atacantes debido a la baja barrera de entrada, un gasto general mínimo y a la anonimidad que ofrece. Symantec bloqueó 3.5 millones de acontecimientos de cryptojacking en terminales solamente en diciembre de 2018.
Cuando se trata de seguridad, la nube es la nueva PC
Los mismos errores de seguridad que se cometieron en las PC durante su adopción inicial por las empresas, ahora están ocurriendo en la nube. Una sola carga de trabajo o un almacenamiento mal configurados en la nube podría costar millones a una compañía o causarle una pesadilla de cumplimiento normativo. Solo en el último año, más de 70 millones de registros fueron robados o divulgados desde depósitos S3 pobremente configurados. También existen numerosas herramientas de fácil acceso que permiten a los atacantes identificar recursos en la nube mal configurados en Internet.
Los recientes descubrimientos de vulnerabilidades en chips de hardware, que incluyen Meltdown, Spectre, y Foreshadow, también ponen en riesgo de ser explotados a los servicios en la nube para obtener acceso a los espacios de memoria protegida de los recursos de otras compañías alojados en el mismo servidor físico.
Herramientas «Living off the Land» y debilidades de la cadena de suministro impulsan ataques más furtivos y ambiciosos
Los ataques a la cadena de suministro y de «living off the land» (LotL) ya son algo cotidiano en el panorama de amenazas moderno, ampliamente adoptados tato por los cibercriminales como por grupos de ataques dirigidos. De hecho, los ataques a la cadena de suministro se incrementaron en un 78 por ciento en 2018.
Las técnicas LotL permiten que los atacantes mantengan un perfil bajo y oculten su actividad en una masa de procesos legítimos. Por ejemplo, el uso de scripts de PowerShell maliciosos aumentó un 1,000 por ciento el año pasado. Aunque Symantec bloquea 115,000 scripts de PowerShell maliciosos cada mes, de hecho, solo se trata de menos del 1 por ciento del uso general de PowerShell. Un enfoque de «mazazo» para bloquear toda la actividad de PowerShell sería perturbador para las organizaciones, ilustrando aún más por qué las técnicas LotL se han convertido en la táctica preferida de muchos grupos de ataques dirigidos.
Identificar y bloquear estos ataques requiere del uso de métodos de detección avanzados como análisis y aprendizaje automático, como el servicio Managed Endpoint Detection and Response (MEDR) de Symantec, su tecnología EDR 4.0optimizada, así como su avanzada solución de IA, Targeted Attack Analytics (TAA). TAA ha permitido que Symantec descubra docenas de sigilosos ataques dirigidos, que incluyen aquellos del grupo Gallmaker, los cuales llevaron a cabo sus campañas de espionaje completamente sin usar malware.
Además de LotL y de las debilidades en la cadena de suministro de software, los atacantes también están aumentando su uso de métodos de ataque convencionales, como spear-phishing, para infiltrase en las organizaciones. Aunque juntar inteligencia sigue siendo el principal motivo de los ataques dirigidos, el número de grupos de ataques que usan malware diseñado para destruir y perturbar las operaciones comerciales aumentó un 25 por ciento en 2018.
El Internet de las Cosas en la mira de los cibercriminales y grupos de ataque
Mientras el volumen de ataques al Internet de las Cosas (Internet of Things o IoT) sigue siendo alto y consistente con niveles de 2017, el perfil de los ataques al IoT está cambiando dramáticamente. Aunque los ruteadores y cámaras conectadas constituyen el mayor porcentaje de dispositivos infectados (90 por ciento), casi todo dispositivo del IoT se ha comprobado que es vulnerable, desde focos inteligentes hasta asistentes de voz, creando puntos de entrada adicionales para los atacantes.
Los grupos de ataques dirigidos se enfocan cada vez más en el IoT como punto de entrada clave. La aparición del malware de ruteadores VPNFilter representa una evolución en las amenazas tradicionales al IoT. Creado por un hábil actor de amenazas con buenos recursos, permite que sus creadores destruyan o borren un dispositivo, roben credenciales y datos, e intercepten comunicaciones de SCADA (Supervisión, Control y Adquisición de Datos).
“Con una tendencia creciente hacia la convergencia de TI e IoT industrial, el próximo campo de batalla cibernético es la tecnología operativa”, dijo Adriana García, Directora General de Symantec en México. “Un número creciente de grupos, como Thrip y Triton, muestran interés en comprometer los sistemas operativos y sistemas de control industriales para posiblemente prepararse para la guerra cibernética”. Agregó.
El gran despertar de la privacidad
Con el reciente escándalo de datos de Cambridge Analytica y las audiencias sobre la privacidad de Facebook, la implementación del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) y revelaciones sobre el rastreo de ubicación de las aplicaciones y los errores en aplicaciones ampliamente utilizadas como la característica de FaceTime de Apple, la privacidad del consumidor se encontró bajo los reflectores el año pasado.
Los smartphones probablemente podrían ser el más grande dispositivo de espionaje jamás creado: una cámara, un dispositivo para escuchar y un rastreador de ubicación, todos en un solo aparato que es llevado en forma voluntaria y usado en cualquier lugar donde su usuario vaya. Aunque ya es usado por los estados-nación para el espionaje tradicional, los smartphones también se han convertido en un medio lucrativo con el cual recolectan la información personal de los consumidores, siendo los desarrolladores de aplicaciones para dispositivos móviles los peores infractores.
De acuerdo con investigaciones de Symantec, el 45 por ciento de las aplicaciones más populares para Android y 25 por ciento de las aplicaciones para iOS más populares solicitan rastrear su ubicación, 46 por ciento de las aplicaciones más populares para Android y 24 por ciento de las aplicaciones más populares para iOS solicitan permiso para tener acceso a la cámara de su dispositivo, y las direcciones de correo electrónico son compartidas con 44 por ciento de las principales aplicaciones para Android y 48 por ciento de las aplicaciones más populares para iOS.
Las herramientas digitales que recopilan datos de teléfono celular para rastrear niños, amigos o teléfonos perdidos también están al alza y preparando el camino para cometer abusos al rastrear a otros sin su consentimiento. Más de 200 aplicaciones y servicios ofrecen a los acosadores una variedad de capacidades, que incluyen rastreo básico de ubicación, recolección de texto, y hasta grabación secreta de video.
Mexico Istr 24_country Datasheet_es by SANDRA on Scribd
Big Numbers Infographic Fin… by on Scribd
2019 Internet Security Thre… by on Scribd