No es noticia que los ciberdelincuentes aprovechen el pánico y la duda.
Pero, ¿cómo se realizan los ciberataques de COVID-19? ¿Qué tipos de malware se están implementando y con qué objetivo?
FortiGuard Labs, de acuerdo a toda su información e investigación, responde algunas preguntas:
· De los ataques que ha visto recientemente, ¿qué componentes se están aprovechando y por qué?
Desde un punto de ingeniería de vista social, puedo decir que el componente de pánico se está maximizado, sobre todo ahora con todas estas campañas relacionadas con COVID-19 enfocados en hospitales, fabricantes de equipos médicos, proveedores de cadenas de suministro y compañías de seguros de salud.
Aprovechan el hecho de que hay escasez de equipos y suministros médicos y lo utilizan como una ventaja.
Estas campañas están ganando cada vez más fuerza, ya que existe información errónea y temor en todo el mundo sobre la pandemia, y esto está siendo explotado por los cibercriminales.
· ¿Cómo comienzan la mayoría de estos ataques y qué están explotando exactamente?
La mayoría de estos ataques se envían por correo electrónico, por lo que generalmente son campañas masivas de spam.
Sin embargo, también estamos viendo algunos ataques muy específicos, junto con algunos DDoS accidentales y planificados.
DDoS puede ser causado directamente por atacantes, o simplemente por el gran volumen de uso que ha generado este nuevo escenario.
Además de esto, ahora que todos están conectados la mayor parte del tiempo con el trabajo remoto y las videoconferencias, junto con la transmisión de videos, la navegación y las compras en línea, o jugar juegos en línea, muchas infraestructuras no estaban preparadas para recibir esta nueva ola de demanda.
Las amenazas basadas en correo electrónico están explotando el sentido de urgencia y pánico en torno a la pandemia, a menudo disfrazadas de organizaciones gubernamentales de salud, ONG o proveedores de equipos médicos.
· ¿Cuáles son las amenazas más comunes que estamos viendo aprovechando los temas de COVID-19?
El objetivo de estas amenazas de correo electrónico es entregar malware a un sistema, que en el caso de estas campañas que utilizan temas COVID-19 son en su mayoría ladrones de información, ransomware y RAT (un troyano de acceso remoto es un tipo de malware que permite a los piratas informáticos monitorear y controlar una computadora o red.)
Creemos que en momentos como estos, donde hay muchas personas que aprovechan sus ahorros y bitcoins y participan activamente en el comercio electrónico en línea, los ciberdelincuentes quieren aprovechar esta tendencia para aumentar sus posibilidades de robar credenciales.
Las amenazas de ransomware, que en su mayoría están dirigidas a infraestructuras críticas, aprovechan el hecho de que durante los momentos críticos las infraestructuras críticas son aún más importantes.
· ¿Existen nuevas técnicas o trucos que los atacantes están usando para difundir estos ataques y cuán sofisticados son estos ataques?
No es particularmente nuevo, pero aún son sofisticados. Muchos presentan varias técnicas anti-VM, anti-análisis y anti-depuración. Estos ataques de múltiples etapas generalmente son entregados por macros maliciosas cargadas en documentos, pero algunos de ellos son ejecutables directos que, cuando se descompilan o ejecutan, revelarán un script AutoIT (un conocido empaquetador que se usa como un truco anti-AV) .
Aprovechan técnicas de ataque avanzadas muy conocidas y capas de confusion, lo que apunta a actores de amenazas que tienen una capacidad decente para entrar en redes, y deberían ser tratados como tales. En momentos como estos, los actores de amenazas altamente avanzados aprovecharán el hecho de que las personas están aún más temerosas y ansiosas, en combinación con organizaciones que han tenido que reorganizar rápidamente sus redes para apoyar a los trabajadores remotos, lo que saben que a menudo conduce a algunas prácticas relajadas de higiene cibernética.
· ¿Hemos visto nuevas vulnerabilidades en estos ataques?
Hasta ahora, todos los ataques que hemos visto están aprovechando técnicas conocidas y se propagan principalmente por negligencia del usuario, así como por la falta de medidas de seguridad adecuadas, como segmentación interna, EDR , sandboxing , seguridad de correo electrónico y control de acceso adecuado.
· ¿Hay alguna industria o región más fuertemente focalizada y por qué?
Los países que han sido fuertemente afectados por la pandemia parecen ser los objetivos más probables. Como se esperaba, las industrias involucradas en la respuesta inmediata a la pandemia también son objetivos, especialmente si esas compañías operan en un país que ha sido golpeado por la pandemia. Los servicios críticos, como las plantas de gas, petróleo y energía, también han visto una parte de estos ataques.
· ¿Qué pueden hacer las organizaciones y los individuos para protegerse?
Las organizaciones deberían centrar sus esfuerzos en la capacitación de concientización de los usuarios de ciberseguridad, así como en crear y mantener una mentalidad de ciberseguridad en toda la empresa en cada proceso e interacción, ya sea personal o corporativa.
Tener una solución sólida de seguridad de correo electrónico con un entorno limitado también puede detener estas amenazas en el perímetro de la red. Lo ideal es no permitir que estos correos electrónicos de phishing se propaguen y lleguen a las bandejas de entrada de correo electrónico del usuario. Ahora que muchas organizaciones se han instalado en su nuevo entorno de trabajadores remotos, es hora de revisar todos los cambios que se hicieron para cerrar cualquier brecha de seguridad que se haya introducido.
Sobre SCtelecom
SCtelecom es una empresa de tecnologías de información (TI) con más de 17 años de experiencia, abordando proyectos y soluciones específicas para cada uno de sus clientes.
+(33) 35 87 59 13 y 14
Contáctanos para obtener más información sobre la implementación de soluciones #Fortinet
Comments