Descripción general
Después de un segundo trimestre marcado por una considerable perturbación del botnet Necurs y la subsiguiente inactividad en las campañas con documentos malintencionados, el tercer trimestre cambió el libreto con volúmenes de mensajes nunca antes vistos. Aunque la gran mayoría de esos mensajes distribuían el ransomware Locky, el tercer trimestre también se caracterizó por una considerable variedad y evolución en otros tipos de ransomware y de troyanos bancarios.
Por un lado, observamos una cada vez mayor complejidad en las macros malintencionadas con nuevas técnicas de evasión de espacios aislados y más ataques dirigidos, al igual que cambios en las técnicas de vulneración del correo electrónico de empresas o business email compromise (BEC). Por otro lado, el volumen de mensajes que distribuían el ransomware Locky por medio de documentos adjuntos malintencionados y con JavaScript alcanzó cantidades de cienes de millones en solo días, y los actores optaron por cubrir regiones enteras con sus ataques.
La actividad de los kits de explotación (EK) se estabilizó en niveles drásticamente menores en comparación con el máximo alcanzado en enero, sin embargo, descubrimos operaciones de publicidad malintencionada que hacían uso de EK con complejidad y escala sin precedentes. Al mismo tiempo, hemos observado que los kits de explotación móviles y los ataques de día cero móviles empiezan a llenar el espacio que han dejado los EK de escritorio menguantes. Las amenazas móviles y sociales relacionadas con fenómenos populares, tales como Pokémon GO y las Olimpiadas de Río, también han hecho noticia.
Los siguientes han sido los aspectos clave del tercer trimestre de 2016.
Aspectos clave
- El volumen de correo electrónico malintencionado que hacía uso de archivos adjuntos con JavaScript subió en un 69 % en comparación con el segundo trimestre, para alcanzar niveles máximos históricos. Nuevas campañas con distintos tipos de archivos adjuntos rompieron las marcas de volumen establecidas en el segundo trimestre, para llegar a cantidades máximas de cientos de millones de mensajes cada día. Los archivos adjuntos con JavaScript continuaron liderando esas enormes campañas de correo electrónico y además, los actores del ransomware Locky también introdujeron nuevos tipos de archivos adjuntos.
- La mayoría de los documentos malintencionados adjuntos incluía la popular variedad de ransomware Locky. Entre los miles de millones de mensajes que utilizaban documentos adjuntos malintencionados, el 97 % incluía el ransomware Locky, con un aumento del 28 % respecto al segundo trimestre y del 64 % en comparación con el primer trimestre, que fue cuando se descubrió Locky.
- Las nuevas variedades de ransomware aumentaron diez veces por encima del cuarto trimestre 2015. La variedad del ransomware continuó creciendo, particularmente en el caso de las opciones entregadas mediante kits de explotación. Entre esas variantes distribuidas con EK y con campañas de correo electrónico de menor magnitud, CryptXXX siguió siendo la carga dañina de ransomware dominante y hasta apareció en una campaña de spam.
- Los cibercriminales continúan perfeccionando las técnicas que emplean con los ataques de BEC. En los ataques de BEC, los impostores pretenden ser ejecutivos de alto rango para convencer a colegas de que transfieran dinero. La suplantación de remitente ha disminuido en cerca del 30 % desde principios de 2016, mientras que la suplantación de nombre en pantalla se incrementó, de manera que constituye una tercera parte de todos los ataques de BEC. Ese cambio demuestra que los atacantes continúan evolucionando y ajustando sus técnicas. Nada de esto ha desplazado el phishing de credenciales ordinario, el cual continúa haciéndose más sofisticado.
- Los troyanos bancarios se diversificaron y los atacantes personalizaron los ataques. Después de un período de relativa inactividad, el popular troyano bancario Dridex volvió a surgir en campañas dirigidas que tuvieron una magnitud mayor que la del segundo trimestre, pero todavía menor que la de las campañas masivas (hasta entonces) de 2015. Otros troyanos bancarios como Ursnif también aparecieron en campañas altamente personalizadas que sumaron decenas de cienes de miles de mensajes, lo cual presenta una tendencia que comenzó en el segundo trimestre y continuó en el tercero. Al mismo tiempo, también se observó una amplia gama de troyanos bancarios en las campañas de publicidad malintencionada.
- La actividad de los kits de explotación se mantuvo estable, pero está muy por debajo de las cifras máximas de 2015. La actividad total de EK observada bajó en un 65 % en el tercer trimestre en comparación con el segundo trimestre y en un 93 % respecto al máximo alcanzado en enero de 2016, aunque la reducción parece haberse nivelado. Con la desaparición del otrora popular Angler, Neutrino dio lugar a RIG como el EK dominante durante el tercer trimestre.
- El malware relacionado con Pokémon GO generó falsificaciones malévolas. El malware en forma de aplicaciones clonadas malintencionadas de carga lateral, de complementos peligrosos y de otras aplicaciones riesgosas, aumentó debido a la popularidad del juego. Los usuarios pueden descargar aplicaciones desde cualquier parte y hasta las principales tiendas de aplicaciones ofrecieron solamente un limitado examen de las aplicaciones y actualizaciones.
- Los kits de explotación móviles y los ataques de día cero se dirigieron hacia iOS y Android. La mayoría de los dispositivos móviles de hoy tienen de 10 a 20 vulnerabilidades de día cero explotables. Cerca del 30 % de ellas son serias y pueden llegar a permitir que los atacantes ejecuten código malintencionado en los dispositivos infectados.
- El contenido negativo de las redes sociales está en aumento. El contenido negativo o potencialmente dañino, tales como spam, contenido para adultos y pornografía, aumentó en un 50 % por encima del segundo trimestre.
- El phishing social se ha duplicado desde el segundo trimestre. Las redes sociales son un terreno fecundo para el phishing de credenciales y con fines financieros, en el que los atacantes engañan a los usuarios de redes sociales para que les revelen las credenciales de sus cuentas. Las cuentas fraudulentas, utilizadas en un tipo de ataque que llamamos phishing de arpón, estuvieron a la cabeza.
- La polinización cruzada entre los dispositivos móviles y las redes sociales ha tomado vuelo. Los fenómenos de gran popularidad como las Olimpiadas de Río y Pokémon GO abrieron oportunidades para propagar el malware móvil, incluyendo explotaciones de día cero, por medio de las redes sociales.
Haga clic aquí para leer el resumen completo de Proofpoint en cuanto a las amenazas del tercer trimestre.