Cuenta
Favor esperar un momento.

¿No tiene cuenta? Haga su registro.

×

Las amenazas cibernéticas más destacada de 2021 según Kaspersky

Las amenazas cibernéticas más destacada de 2021 según Kaspersky

Internacional. El equipo global de investigación y análisis de Kaspersky ha compartido una revisión anual sobre las tendencias y desarrollos más interesantes de los últimos 12 meses.

Los proveedores del sector privado juegan un papel importante en el panorama de amenazas
Posiblemente la historia más importante de 2021, una investigación de The Guardian y otras 16 organizaciones de medios, publicada en julio, sugirió que más de 30.000 activistas de derechos humanos, periodistas y abogados de todo el mundo pueden haber sido atacados con Pegasus.

El informe, llamado Pegasus Project, alegaba que el software utiliza una variedad de exploits, incluidos varios días cero de cero clic de iOS. Basándose en el análisis forense de numerosos dispositivos móviles, el Laboratorio de Seguridad de Amnistía Internacional descubrió que el software se utilizaba repetidamente de manera abusiva para la vigilancia. La lista de personas objetivo incluye 14 líderes mundiales. Más tarde ese mes, representantes del gobierno israelí visitaron las oficinas de NSO como parte de una investigación sobre las denuncias. Y en octubre, la Corte Suprema de India encargó a un comité técnico que investigara si el gobierno había utilizado a Pegasus para espiar a sus ciudadanos. En noviembre, Apple anunció que emprendería acciones legales contra NSO Group por desarrollar software que apunta a sus usuarios con “malware y spyware maliciosos”.

Detectar rastros de infección de Pegasus y otro malware móvil avanzado es muy complicado por las características de seguridad de los sistemas operativos modernos como iOS y Android. Según nuestras observaciones, esto se complica aún más por la implementación de malware no persistente, que casi no deja rastros después del reinicio. Dado que muchos marcos forenses requieren un dispositivo de jailbreak, esto da como resultado que el malware se elimine de la memoria durante el reinicio. Actualmente, se pueden utilizar varios métodos para la detección de Pegasus y otro malware móvil. MVT (Mobile Verification Toolkit) de Amnistía Internacional es gratuito, de código abierto y permite a los tecnólogos e investigadores inspeccionar los teléfonos móviles en busca de signos de infección. MVT se ve reforzado por una lista de IoC (indicadores de compromiso) recopilados de casos de alto perfil y puestos a disposición por Amnistía Internacional.

- Publicidad -

Ataques a la cadena de suministro
Ha habido una serie de ataques de alto perfil a la cadena de suministro en los últimos 12 meses. En diciembre pasado, se informó que SolarWinds, un conocido proveedor de servicios administrados de TI, había sido víctima de un sofisticado ataque a la cadena de suministro. Orion IT de la empresa, una solución para monitorear y administrar la infraestructura de TI de los clientes, se vio comprometida. Esto dio como resultado el despliegue de una puerta trasera personalizada llamada Sunburst en las redes de más de 18.000 clientes de SolarWinds, incluidas muchas grandes corporaciones y organismos gubernamentales, en América del Norte, Europa, Oriente Medio y Asia.

No todos los ataques a la cadena de suministro han sido tan sofisticados. A principios de este año, un grupo de APT que rastreamos como BountyGlad comprometió una autoridad de certificación en Mongolia y reemplazó el software del cliente de administración de certificados digitales con un descargador malicioso. La infraestructura relacionada se identificó y utilizó en muchos otros incidentes: esto incluyó ataques del lado del servidor a los servicios WebSphere y WebLogic en Hong Kong, e instaladores de Flash Player con troyanos en el lado del cliente.

Mientras investigábamos los artefactos de un ataque a la cadena de suministro en el sitio web de una autoridad de certificación del gobierno asiático, descubrimos un paquete troyanizado que data de junio de 2020. Desenredando ese hilo, identificamos una serie de herramientas posteriores al compromiso en forma de complementos que eran implementado utilizando el malware PhantomNet, que a su vez se entregó utilizando los paquetes troyanizados antes mencionados. Nuestro análisis de estos complementos reveló similitudes con el malware CoughingDown analizado anteriormente.

En abril de 2021, Codecov, proveedor de soluciones de cobertura de código, reveló públicamente que su script Bash Uploader se había visto comprometido y se distribuyó a los usuarios entre el 31 de enero y el 1 de abril. Codecov distribuye públicamente el script Bash Uploader y tiene como objetivo recopilar información sobre el entornos de ejecución del usuario, recopile informes de cobertura de código y envíe los resultados a la infraestructura de Codecov. Este compromiso de script constituye efectivamente un ataque a la cadena de suministro.

A principios de este año, descubrimos las campañas grupales de Lazarus utilizando un clúster de DeathNote actualizado. Nuestra investigación reveló indicios que apuntan a que Lazarus está desarrollando capacidades de ataque a la cadena de suministro. En un caso, descubrimos que la cadena de infección provenía de un software de seguridad legítimo de Corea del Sur que ejecutaba una carga útil maliciosa; y en el segundo caso, el objetivo era una empresa que desarrollaba soluciones de monitoreo de activos, una víctima atípica para Lazarus. Como parte de la cadena de infección, Lazarus usó un descargador llamado Racket, que firmaron con un certificado robado. El actor comprometió los servidores web vulnerables y cargó varios scripts para filtrar y controlar los implantes maliciosos en las máquinas víctimas con éxito.

Explotación de vulnerabilidades
El 2 de marzo, Microsoft informó sobre un nuevo actor de APT llamado HAFNIUM, que explota cuatro días cero en Exchange Server en lo que llamaron "ataques limitados y dirigidos". En ese momento, Microsoft afirmó que, además de HAFNIUM, varios otros actores también los estaban explotando. Paralelamente, Volexity también informó que los mismos días cero de Exchange estaban en uso a principios de 2021. Según la telemetría de Volexity, algunos de los exploits en uso se comparten entre varios actores, además del que Microsoft designa como HAFNIUM. La telemetría de Kaspersky reveló un aumento en los intentos de explotación de estas vulnerabilidades luego de la divulgación pública y el parche de Microsoft. Durante la primera semana de marzo, identificamos aproximadamente 1,400 servidores únicos que habían sido atacados, en los cuales una o más de estas vulnerabilidades se utilizaron para obtener acceso inicial. Según nuestra telemetría, la mayoría de los intentos de explotación se observaron para servidores en Europa y Estados Unidos.

También descubrimos una campaña activa desde mediados de marzo dirigida a entidades gubernamentales en Europa y Asia que utilizan los mismos exploits de día cero de Exchange. Esta campaña utilizó una familia de malware previamente desconocida que denominamos FourteenHi. Una investigación adicional reveló rastros de actividad relacionados con variantes de este malware que se remonta a un año. También encontramos algunas superposiciones en estos conjuntos de actividades con HAFNIUM en términos de infraestructura y TTP, así como el uso de malware ShadowPad durante el mismo período de tiempo.

- Publicidad -

El 25 de enero, el Grupo de Análisis de Amenazas de Google (TAG) anunció que un actor de amenazas patrocinado por el estado se había dirigido a los investigadores de seguridad. Según el blog de Google TAG, este actor utilizó ingeniería social altamente sofisticada, se acercó a los investigadores de seguridad a través de las redes sociales y entregó un archivo de proyecto de Visual Studio comprometido o los atrajo a su blog donde un exploit de Chrome los estaba esperando. El 31 de marzo, Google TAG publicó una actualización sobre esta actividad que muestra otra ola de perfiles falsos de redes sociales y una empresa que el actor creó a mediados de marzo.

Del 14 al 15 de abril, las tecnologías de Kaspersky detectaron una ola de ataques altamente dirigidos contra varias empresas. Un análisis más detallado reveló que todos estos ataques explotaban una cadena de exploits de día cero de Google Chrome y Microsoft Windows. Si bien no pudimos recuperar el exploit utilizado para la ejecución remota de código (RCE) en el navegador web Chrome, pudimos encontrar y analizar un exploit EoP utilizado para escapar del sandbox y obtener privilegios del sistema. El exploit EoP se ajustó para funcionar contra las últimas y más destacadas compilaciones de Windows 10 (17763 - RS5, 18362 - 19H1, 18363 - 19H2, 19041 - 20H1, 19042 - 20H2) y explotó dos vulnerabilidades distintas en el núcleo del sistema operativo Microsoft Windows.

Informamos estas vulnerabilidades a Microsoft y ellos asignaron CVE-2021-31955 a la vulnerabilidad de divulgación de información y CVE-2021-31956 a la vulnerabilidad EoP. Ambas vulnerabilidades fueron parcheadas el 8 de junio como parte del martes de parches de junio. La cadena de exploits intenta instalar malware en el sistema a través de un cuentagotas.

Finalmente, a fines de este año, detectamos una ola de ataques que utilizaban un exploit de elevación de privilegios que afectaba a las variantes de servidor del sistema operativo Windows. Tras un análisis más detallado, resultó ser una vulnerabilidad de uso libre después de cero en Win32k.sys que informamos a Microsoft y, en consecuencia, se corrigió como CVE-2021-40449. Analizamos el malware asociado, apodamos el clúster asociado MysterySnail y encontramos superposiciones de infraestructura que lo vinculan con IronHusky APT.

Vulnerabilidades de firmware
En septiembre, proporcionamos una descripción general del implante de PC FinSpy, que cubre no solo la versión de Windows, sino también las versiones de Linux y macOS. FinSpy es un infame conjunto de herramientas de vigilancia comercial que se utiliza con fines de "vigilancia legal". Históricamente, varias ONG han informado en repetidas ocasiones de que se utiliza contra periodistas, disidentes políticos y activistas de derechos humanos. Históricamente, su implante de Windows estuvo representado por un instalador de software espía de una sola etapa; y esta versión se detectó e investigó varias veces hasta 2018. Desde entonces, hemos observado una tasa de detección decreciente para FinSpy para Windows. Si bien la naturaleza de esta anomalía permaneció desconocida, comenzamos a detectar algunos paquetes de instaladores sospechosos con puertas traseras con stagers de Metasploit. No pudimos atribuir estos paquetes a ningún actor de amenazas hasta mediados de 2019 cuando encontramos un host que sirvió a estos instaladores entre los implantes de FinSpy Mobile para Android.

En el transcurso de nuestra investigación, descubrimos que los instaladores con puerta trasera no son más que implantes de primera etapa que se utilizan para descargar e implementar cargas útiles adicionales antes del troyano FinSpy real. Además de los instaladores troyanizados, también observamos infecciones relacionadas con el uso de un kit de arranque UEFI o MBR. Si bien la infección de MBR se conoce desde al menos 2014, los detalles sobre el kit de arranque UEFI se revelaron públicamente por primera vez en nuestro informe.

- Publicidad -

Hacia el final del tercer trimestre, identificamos una carga útil previamente desconocida con capacidades avanzadas, entregada mediante dos cadenas de infección a varias organizaciones gubernamentales y empresas de telecomunicaciones en el Medio Oriente. La carga útil hace uso de un rootkit en modo kernel de Windows para facilitar algunas de sus actividades y es capaz de implementarse de forma persistente a través de un MBR o un bootkit UEFI. Curiosamente, algunos de los componentes observados en este ataque han sido previamente almacenados en la memoria por el agente Slingshot en múltiples ocasiones, por lo que Slingshot es un marco de post-explotación que cubrimos en varios casos en el pasado (que no debe confundirse con Slingshot APT ).

Es principalmente conocido por ser un kit de herramientas de prueba de penetración comercial patentado diseñado oficialmente para compromisos del equipo rojo. Sin embargo, no es la primera vez que los atacantes parecen haberse aprovechado de él. Uno de nuestros informes anteriores de 2019 que cubría la actividad de FruityArmor mostró que el grupo de amenazas usó el marco para apuntar a organizaciones en múltiples industrias en el Medio Oriente, posiblemente aprovechando un exploit desconocido en una aplicación de mensajería como vector de infección.

En un informe de inteligencia privada reciente, proporcionamos un análisis detallado del conjunto de herramientas maliciosas recién descubierto que observamos junto con Slingshot y cómo se aprovechó en grupos de actividad en la naturaleza. En particular, describimos algunas de las características avanzadas que son evidentes en el malware, así como su utilización en una actividad particular de larga data contra un objetivo diplomático de alto perfil en el Medio Oriente.

Fuente: https://securelist.com/apt-annual-review-2021/105127/

Duván Chaverra Agudelo
Author: Duván Chaverra Agudelo
Jefe Editorial en Latin Press, Inc,.
Comunicador Social y Periodista con experiencia de más de 16 años en medios de comunicación. Apasionado por la tecnología y por esta industria. [email protected]

No hay ideas en “Las amenazas cibernéticas más destacada de 2021 según Kaspersky”

• Si ya estás registrado, favor ingresar primero al sistema.

Deje su comentario

En respuesta a Some User
Suscribase Gratis
SUSCRÍBASE AL INFO-BOLETIN
¿REQUIERE UNA COTIZACIÓN?
ENTREVISTAS DESTACADAS

Webinar: NxWitness el VMS rápido fácil y ultra ligero

Webinar: Por qué elegir productos con certificaciones de calidad

Por: Eduardo Cortés Coronado, Representante Comercial - SECO-LARM USA INC La importancia de utilizar productos certificados por varias normas internacionales como UL , Ul294, CE , Rosh , Noms, hacen a tus instalciones mas seguras y confiables además de ser un herramienta más de venta que garantice nuestro trabajo, conociendo qué es lo que certifica cada norma para así dormir tranquilos sabiendo que van a durar muchos años con muy bajo mantenimiento. https://www.ventasdeseguridad.com/2...

Webinar: Anviz ONE - Solución integral para pymes

Por: Rogelio Stelzer, Gerente comercial LATAM - Anviz Presentación de la nueva plataforma Anviz ONE, en donde se integran todas nuestras soluciones de control de acceso y asistencia, video seguridad, cerraduras inteligentes y otros sensores. En Anviz ONE el usuario podrá personalizar las opciones según su necesidad, de forma sencilla y desde cualquier sitio que tenga internet. https://www.ventasdeseguridad.com/2...

Webinar: Aplicaciones del IoT y digitalización en la industria logística

Se presentarán los siguientes temas: • Aplicaciones del IoT y digitalización en la industria logística. • Claves para decidir el socio en telecomunicaciones. • La última milla. • Nuevas estrategias de logística y seguimiento de activos sostenibles https://www.ventasdeseguridad.com/2...

Sesión 5: Milestone, Plataforma Abierta que Potencializa sus Instalaciones Manteniéndolas Protegidas

Genaro Sanchez, Channel Business Manager - MILESTONE https://www.ventasdeseguridad.com/2...
Load more...
PATROCINADORES










ULTIMO BOLETIN
Ultimo Info-Boletin