Aplicaciones de almacenamiento, colaboración y compartición de archivos en la nube son de las principalmente afectadas por los ataques a servicios cloud. El conflicto entre Rusia y Ucrania sigue generando ciberataques con riesgos para las empresas en todo el mundo.
Por Ray Canzanese, Director del Netksope Threat Labs (laboratorio de amenazas)
La actividad maliciosa ha despuntado de manera importante en los últimos meses, dirigiendo mucha de sus fuerzas hacia la nube. Cabe recordar que, como resultado de la pandemia, los ciberataques repuntaron y se prevé que esa inercia no se detenga en el resto de 2022. En la región de América, de acuerdo con un reporte de KPMG, un 77% de las empresas considera que los riesgos de ciberseguridad aumentarán durante el año, mientras que sólo el 7% prevé una disminución.
El más reciente reporte de Netksope Threat Labs da cuenta de importantes amenazas dirigidas particularmente a las aplicaciones en la nube, así como del malware y phishing más peligrosos y las familias de ramsomware detectadas con mayor frecuencia a lo largo del pasado agosto.
Dicho reporte se basa en información recopilada por la plataforma Netskope Security e investigadores con el objetivo de descubrir, analizar y diseñar mecanismos de defensa contra las amenazas en la nube más recientes que afecta a las empresas.
En esta ocasión, el informe destaca las amenazas dirigidas a las aplicaciones que residen en la nube: se detectaron descargas de malware que se originaron de 83 de ese tipo de aplicaciones. Y fue OneDrive la plataforma que encabezó la lista; según el reporte, se utilizó para entregar diferentes tipos de malware y representó un 29% del total en el octavo mes del año.
Le siguieron Weebly (9%), desde donde se distribuyeron archivos PDF maliciosos que redirigían a las víctimas a sitios que contenían phishing, spam, scam y malware. La tercera posición la ocupó Azure Blob Storage (8%), que distribuyó diferentes tipos de troyanos desde la nube.
Se suman a este grupo Github (6%), Sharepoint (5%), Google Gmail (4%), Google Drive (3%), DocPlayer (2%), Outlook.com (2%), SourceForge (2%) y otras (29%).
Software malicioso bloqueado
Netksope Threat Labs Report también informa de los dominios, descargas y familias de malware más peligrosos, los cuales sido bloqueados con éxito por soluciones de ciberseguridad claves.
En lo que se refiere a los dominios más peligrosos, el reporte hace una clasificación de los top cinco, entre los que se incluyen:
En tanto, los cinco dominios de phishing más riesgosos fueron:
Finalmente, entre los dominios que distribuyeron malware con mayor volumen y frecuencia destacaron:
También llaman la atención las familias de malware que Netskope logró bloquear a lo largo del periodo mencionado. Una de ellas fue PhishingX, que está contenida en archivos PDF que normalmente se utilizan como parte de una campaña cuyo objetivo es llevar a las víctimas a una página que contiene phishing.
Destaca también Razy, que es un troyano que se distribuye mediante anuncios maliciosos y se hace pasar por software legítimo; y Tiggre, un coin miner que es capaz de inhabilitar el software de seguridad.
Identificado hace casi una década, Upatre resurgió con nuevas variantes, las cuales distribuyen una variedad amplia de cargas maliciosas, y PDFka, que es un archivo PDF que aprovecha las vulnerabilidades para ejecutar código de forma arbitraria, son los que complementan las principales cinco familias de malware detectadas y bloqueadas.
Respecto a las familias de ransomware, Netskope ayudó a bloquear en agosto a RedAlert, que ataca a servidores Windows y Linux ESXi; SiennaBlue, asociado con H0lyGh0st; lockBit, un grupo de ransomware que opera en el modelo de RaaS (ransomware como servicio); Redeemer, herramienta gratuita para desarrollar ransomware y que se publicita en foros de hackers; y Black Basta, con variantes para Linux y Windows.
Guerra cibernética latente
La invasión a Ucrania por parte de Rusia continúa detonando importantes eventos de seguridad prácticamente en todo el mundo. Durante agosto, distintos acontecimientos captaron la atención de los medios mundiales debido a su impacto y alcance.
Por ejemplo, las autoridades ucranianas informaron sobre el desmantelamiento de una enorme granja de bots que los servicios especiales rusos utilizaban para divulgar información falsa y propaganda. El Servicio Secreto de Ucrania declaró que dicha granja se utilizaba para “difundir contenido desestabilizante” sobre el liderazgo militar y político a una amplia audiencia.
Por su parte, Gamaredon APT, un grupo vinculado con Rusia, lanzó ataques contra entidades ucranianas con el malware PowerShell, diseñado para robar información, denominado Gamma Load. En este caso, el Equipo de Respuesta a Emergencias Informáticas de Ucrania confirmó una constante campaña de ciberespionaje.
Entre otros muchos ataques, destaca también el hecho de que autoridades ucranianas aseguraron haber descubierto una red de call centers en el país que participaban en fraudes financieros cuyo objetivo eran ciudadanos ucranianos y del resto de Europa.
Los ‘empleados’ del grupo criminal supuestamente utilizaban software para suplantar números telefónicos de modo que pareciera que las llamadas provenían de instituciones bancarias legítimas. El objetivo era lograr que las personas revelaran información de sus tarjetas.
Para conocer más sobre estas amenazas y software malicioso, así como las principales vulnerabilidades en las plataformas de nube que utilizan las empresas de todo el mundo, puede consultar aquí el reporte de Netksope Threat Labs.
