En noviembre, el gigante de los juegos Capcom sufrió un ataque de ransomware . En su notificación de prensa, mencionó los diversos tipos de datos potencialmente capturados por sus atacantes. Las cosas tomaron un giro siniestro cuando se negaron a pagar el rescate, y el grupo detrás del ataque dijo que fue un movimiento equivocado. Capcom tuvo la oportunidad de «salvar los datos de fugas»; no lo tomaron. Efectivamente, poco después se filtró una colección completa de archivos.

La amenaza de caída de datos de grupos de ransomware despreciados es ahora una táctica de extorsión común. Lo que no podríamos haber predicho aquí es una de las ramificaciones de dicha caída. Es hora de adelantar las cosas hasta junio de 2021 y una fecha con una demanda. ¿El giro? La demanda no está dirigida a los autores del ransomware, sino a la empresa comprometida.

De caídas de datos y recopilaciones de investigación

Solía ​​trabajar en el desarrollo de juegos / películas y sus alrededores hace mucho tiempo. Teníamos un presupuesto increíblemente bajo e hicimos cosas con un presupuesto muy bajo. Una fuente de ayuda invaluable en ese momento fueron las guías de recursos y las colecciones. Esencialmente: grandes libros llenos de trabajo recopilado por artistas visuales, compositores, diseñadores, quien sea. Si tenía suerte, el libro venía con un CD cargado con material del libro. ¿Aún más afortunado? Puede utilizar los contenidos para su propio trabajo de forma gratuita. Si el proyecto fuera comercial, normalmente pagaría una tarifa de licencia de algún tipo.

También hubo empresas que seleccionaron contenido de varios artistas y se aseguraron de que todas las licencias detrás de escena fueran herméticas. Donde esto a menudo salía mal era si el disco se alejaba del libro.

Las organizaciones terminarían con discos tirados en escritorios, sin nadie seguro de la fuente / quién había pagado por la licencia. Si alguien copiaba el contenido del disco, terminaría con CD autograbados tirados por el lugar que parecían ser creaciones internas. Debe tener mucho cuidado con los materiales de recursos.

Si se pregunta cómo se relaciona esto con el ataque de ransomware, estoy a punto de completar los espacios en blanco.

La consecuencia involuntaria de una fuga de datos

Un artista en este caso busca $ 12 millones en daños de Capcom , alegando que Capcom usó sus imágenes de un libro de recursos / CD en varios de sus títulos de videojuegos. Todo esto se debe a la filtración de datos del ataque de ransomware. Al menos una de las imágenes de los archivos robados y filtrados comparte el mismo nombre de archivo que lo que parece ser una imagen idéntica del CD-ROM del libro.

El documento de Juracek Vs Capcom se puede ver aquí , junto con múltiples ejemplos de imágenes que podrían llegar a los juegos. Lamentablemente, no entra en detalles en la parte más fascinante … si el artista se dio cuenta o no como resultado de la violación de datos y la posterior filtración. La mayoría de los informes simplemente dicen que el artista está utilizando la violación como parte de su evidencia. También está la cuestión de cómo se dieron cuenta de las imágenes en el basurero en primer lugar.

Si tuviera que adivinar, los fanáticos increíblemente informados vieron las imágenes de alta resolución, se preguntaron de dónde venían y quizás se pusieron en contacto con el creador. Esto no es algo inusual que suceda. A mediados de los 90, busqué al compositor de música para una serie de juegos AAA en foros de mensajes en japonés, con el fin de decirles lo genial que es su música. Es mucho más fácil hacer cosas como esta en estos días, que pueden ser una bendición o una maldición, o quizás un poco de ambas.

Independientemente de cómo lo apile, promete ser un día fascinante en la corte. Esta historia también plantea algunos otros problemas.

Convertir lo negativo en positivo

Algunos grupos de ransomware han intentado mezclarlo un poco en el ámbito de las relaciones públicas. Se presentan como renegados al estilo Robin Hood, robando a los ricos para dar a los pobres … o, más específicamente, dando a organizaciones benéficas . Una táctica interesante, excepto que las organizaciones benéficas se enfrentan a todo tipo de problemas si están dotadas de ganancias ilícitas. Como se mencionó en otra parte , existe la posibilidad de que el enfoque de «estamos siendo útiles, honestos» sea simplemente una artimaña para mantener la pretensión de respetabilidad. Aquí, sin embargo, nos encontramos con un pequeño problema.

El artista en cuestión ha presentado lo que considera una denuncia válida y, como resultado, está teniendo su día en la corte. ¿Ser capaz de vincular nombres de archivos específicos de su CD-ROM a archivos con nombre en las carpetas de Capcom de la parte posterior del truco? Eso probablemente refuerza bastante su caso.

En pocas palabras, estos autores de ransomware … y cualquier otra persona, para el caso … ahora pueden señalar esta historia como evidencia de que, de hecho, «ayudaron» a alguien de manera indirecta.

Nuevas fronteras en el mundo del ransomware

Las consecuencias del ataque podrían dar lugar a una nueva táctica de ransomware. No es exagerado pensar que los infractores buscarán violaciones de derechos de autor / relacionadas. Después de todo, algunos grupos de ransomware ya han mostrado interés en cómo pueden convertir en armas los datos que han robado, más allá de simplemente filtrarlos.

Con tantas formas de vincular los materiales encontrados con la fuente original en línea, es posible que vean esto como una ganancia fácil de relaciones públicas. Además de todos los otros problemas con el ransomware, probablemente no necesitemos que sus autores griten “¡Mira! ¡Estamos ayudando! » cada vez que aparece una nueva fuga. Cuando un creador tiene potencialmente $ 12 millones de su bolsillo, se vuelve cada vez más complicado argumentar en su contra.

Claro, esta es todavía potencialmente otra forma para las personas que realmente no se preocupan por ayudar a las personas a actuar como si lo hicieran. Pero si el resultado final es el mismo y alguien se beneficia, realmente no importa mucho. En lo que respecta a los autores de ransomware, tendrán una colección de personas que les dirán a todos lo geniales que son.

Es de esperar que no terminemos librando una guerra de relaciones públicas además de la batalla técnica que ya se está librando en las redes en todas partes. No estoy seguro de estar de acuerdo en que “cualquier publicidad es buena publicidad”, pero la buena publicidad ciertamente lo es. Entonces, en caso de que alguien se sienta tentado a ofrecer a los operadores de ransomware el beneficio de la duda, no olvidemos que son las mismas bandas del crimen organizado que piensan poco en atacar hospitales .

Tras un devastador ciberataque al Colonial Pipeline, la Administración de Seguridad del Transporte, que forma parte del Departamento de Seguridad Nacional del gobierno, emitirá su primera directiva de ciberseguridad para las empresas de oleoductos en los Estados Unidos, según un informe exclusivo de The Washington Post .

Se espera que las directivas lleguen dentro de la semana y requerirán que las empresas de oleoductos en los EE. UU. Informen sobre cualquier ciberataque que sufran a la TSA y a la Agencia de Seguridad e Infraestructura de Ciberseguridad. Dichos ataques serán informados por «funcionarios cibernéticos» recientemente designados que serán nombrados por cada empresa de oleoductos, quienes deberán tener acceso 24 horas al día, 7 días a la semana a las agencias gubernamentales, informó The Washington Post. Las empresas que se nieguen a cumplir con las directivas se enfrentarán a sanciones.

Las regulaciones representan un cambio radical en la forma en que la TSA ha protegido la seguridad de los oleoductos en el país durante más de una década. Aunque la agencia gubernamental ha tenido durante 20 años la tarea de proteger la seguridad de los vuelos en el país, las nuevas directivas de seguridad cibernética caen dentro del ámbito de la agencia luego de una reestructuración gubernamental después de los ataques del 11 de septiembre de 2001. Más de una década después de los ataques, la agencia se basó en la colaboración voluntaria con empresas privadas de oleoductos para la protección de la ciberseguridad, ofreciendo en ocasiones realizar revisiones externas de las redes y protocolos de una empresa. A veces, informó el Washington Post, esas ofertas fueron rechazadas.

Pero después de que el grupo de ransomware Darkside atacara al proveedor de petróleo y gas de la costa este Colonial Pipeline, lo que provocó un cierre de 11 días y escasez de gas en el este de EE . UU. , Parece que el gobierno federal ya no está satisfecho con la ciberseguridad rezagada de la industria privada. protecciones. El presidente Joe Biden ya ha firmado una Orden Ejecutiva para imponer nuevas restricciones a las empresas de software que venden sus productos al gobierno federal. Según se informa, esas reglas se refinaron después del ataque Colonial Pipeline y se espera que se conviertan en una norma de la industria a medida que más empresas de tecnología compitan por incluir al gobierno como un cliente importante.

Las nuevas reglas de la TSA para las empresas de oleoductos caen en la misma tendencia.

Al hablar con The Washington Post, la portavoz del Departamento de Seguridad Nacional, Sarah Peck, dijo:

“La administración Biden está tomando más medidas para asegurar mejor la infraestructura crítica de nuestra nación. La TSA, en estrecha colaboración con [la Agencia de Seguridad de Infraestructura y Ciberseguridad], se está coordinando con las empresas del sector de tuberías para garantizar que están tomando todas las medidas necesarias para aumentar su resistencia a las amenazas cibernéticas y proteger sus sistemas «.

Aunque se espera la primera directiva de la TSA esta semana, las directivas de seguimiento podrían llegar más tarde. Se informa que esas directivas incluyen reglas más detalladas sobre cómo las empresas de oleoductos protegen sus propias redes y computadoras contra un posible ciberataque, junto con una guía sobre cómo responder a los ciberataques después de que hayan ocurrido. Además, las empresas de oleoductos se verán obligadas a evaluar su propia ciberseguridad frente a un conjunto de estándares de la industria. Estas directivas, como la que se espera esta semana, también serán obligatorias, pero una guía voluntaria esperada de la TSA será si una empresa de oleoductos debe realmente solucionar cualquier problema que encuentre en una evaluación de ciberseguridad requerida.

Las nuevas reglas llevarán a la industria de gasoductos privados a un pequeño grupo de sectores regulados de la infraestructura estadounidense, incluidas las redes de energía eléctrica a granel y las plantas nucleares. Estos sectores son los valores atípicos en la infraestructura de EE. UU., Ya que la mayoría de los componentes, incluidas las presas de agua y las plantas de aguas residuales, no tienen protecciones obligatorias de ciberseguridad.

Quedan varios obstáculos para que las reglas de la TSA sean efectivas, incluida la escasez de personal en la propia agencia. Según The Washington Post, la división de seguridad de oleoductos de la TSA tenía solo un miembro del personal en 2014 y, según el testimonio de 2019, ese número había aumentado a solo cinco. Para aliviar el problema, se espera que el Departamento de Seguridad Nacional contrate 16 empleados más en TSA y 100 empleados más en CISA.

ACTUALIZACIÓN 10:47 a. M. Hora del Pacífico, 10 de mayo: a las 8:55 a. M., Hora del Pacífico, el FBI confirmó que Colonial Pipeline fue atacado por Darkside . Según una declaración publicada en Twitter, el FBI dijo:

“El FBI confirma que el ransomware Darkside es responsable del compromiso de las redes Colonial Pipeline. Seguimos trabajando con la empresa y nuestros socios gubernamentales en la investigación «.

La protección sin firma de Malwarebytes detecta todas las variantes conocidas de DarkSide.

Historia original a continuación:

El ransomware causó grandes problemas la semana pasada, ya que el famoso Colonial Pipeline fue víctima de un ciberataque devastador .

Presentando: el Oleoducto Colonial

El oleoducto existe para suministrar gasolina y otros productos en el sur y este de Estados Unidos. Estamos hablando desde Texas hasta Nueva Jersey. El oleoducto es el más grande de su tipo en los EE. UU. Y, según se informa, transporta casi la mitad del combustible consumido por la costa este.

Este es un volumen increíble de oferta y demanda, y cualquier cosa que salga mal podría ser desastrosa. Hay suficiente de qué preocuparse con accidentes más generales , sin la amenaza de que las personas entren maliciosamente en los sistemas.

Ahí es donde estamos ahora.

¿Qué sucedió?

El ransomware paralizó todo el viernes. Según quienes realizaron el análisis del ataque, es probable que los culpables sean un grupo conocido como DarkSide. Este es un grupo que saltó a la fama en 2020, a través de dudosas donaciones a organizaciones benéficas . Con todo ese ángulo de Robin Hood, robaron a las corporaciones y entregaron el dinero en efectivo a causas que sentían que lo merecían.

Bueno, lo intentaron.

Cuando la ayuda resulta ser un estorbo

Da la casualidad de que las organizaciones benéficas no quieren que un montón de dinero robado circule en sus cuentas bancarias. Los administradores de organizaciones benéficas pueden meterse en todo tipo de problemas. No solo organizaciones benéficas; cualquier organización podría terminar en una secuencia desconcertante de travesuras de lavado de dinero si no se tiene cuidado.

También hubo sospechas de que el acto del “Buen Samaritano” era una forma de encubrir el hecho de que todavía son delincuentes, robando dinero. El grupo detrás de estos ataques parecía haber captado el mensaje. La campaña de caridad de Robin Hood desapareció y nos preguntamos cuál sería el seguimiento del grupo criminal.

Si los investigadores están en lo cierto, esto es varios órdenes de magnitud más serio de lo que la gente podría haber imaginado.

 Poderes de emergencia y bloqueo

El gobierno de EE. UU. Declaró una emergencia y otorgó poderes de emergencia para garantizar que las personas aún reciban combustible. Esos poderes de emergencia permiten más flexibilidad para que los conductores transporten productos derivados del petróleo a varios lugares. Desde el texto:

La FMCSA está emitiendo una exención temporal de horas de servicio que se aplica a quienes transportan gasolina, diesel, combustible para aviones y otros productos refinados del petróleo a Alabama, Arkansas, Distrito de Columbia, Delaware, Florida, Georgia, Kentucky, Luisiana, Maryland, Mississippi, Nueva Jersey. , Nueva York, Carolina del Norte, Pensilvania, Carolina del Sur, Tennessee, Texas y Virginia.

El impacto digital a físico del ataque Colonial Pipeline

Las consecuencias de este ataque en el mundo real son claras y se extienden en varias direcciones. Existen los riesgos inmediatos de transportar combustible a lo largo de 5.500 millas y de que las personas no tengan suministros. También tenemos un peligro potencial en las carreteras, ya que aumenta el uso de las carreteras y los conductores tienen que afrontar horas de conducción potencialmente más largas. Precios del combustible? Aquellos parecen haber aumentado , aunque parece que el suministro debería reducirse durante unos días para que cause un impacto significativo. 

Finalmente, está el problema del cierre en sí. ¿Cuántos sistemas están comprometidos? ¿Cuál es el daño? ¿Pueden garantizar que desaparezcan todos los rastros de infección?

Si resulta ser DarkSide, seguramente destruirá todo su ángulo de Robin Hood. Y, si se debe creer en un mensaje reciente a través de DarkTracer (el mensaje no ha sido verificado por Malwarebytes), entonces el grupo no está fingiendo esta vez: «Nuestro objetivo es ganar dinero».

Si este atacante es DarkSide, claramente no ayuda a quienes lo necesitan a eliminar sus reservas de combustible.

Vienen por sus criptomonedas … tal vez

2021 ya se perfila como un año máximo para el ransomware. Las bandas de ransomware ahora tienen años de experiencia y creación de herramientas para aprovechar, efectivo en el banco y un auge de las criptomonedas del que sacar provecho. Es difícil imaginar que se mantenga el statu quo y parece inevitable que los gobiernos respondan enérgicamente.

Antes del ataque, el Departamento de Justicia de EE. UU. Ya anunció una revisión de 120 días de su enfoque para combatir las ciberamenazas , que incluirá un análisis de cómo las criptomonedas permiten el ciberdelito. Esto se hace eco de las preocupaciones planteadas en un plan estratégico reciente para abordar el ransomware , llevado a cabo por el Grupo de trabajo sobre ransomware. Entre muchas recomendaciones, el grupo de trabajo pidió que el ransomware sea tratado como una amenaza a la seguridad nacional y una mayor regulación del sector de las criptomonedas. Un curso de colisión parece inevitable en algún momento, y ya es un tema de conversación importante para los expertos en este campo.

Sin embargo, eso es para el futuro. Por ahora, nos quedamos con las líneas de suministro tambaleándose. Unos pocos megabytes de código, tal vez un correo electrónico perdido con un archivo adjunto dudoso, o tal vez incluso una vulnerabilidad del servidor que alguien no logró parchear a tiempo.

Pequeños problemas, enormes consecuencias.

Nos dijo recientemente deepfakes “siguen siendo el arma de elección para las campañas de interferencia maligna, granjas trol, la venganza, la pornografía y celebridades a veces humorísticos cara swaps”. El escepticismo de que estas técnicas funcionarían a gran escala, como una elección, permanece. En el ámbito de la interferencia maligna y las payasadas a menor escala , sin embargo, los deepfakes continúan forjando nuevos caminos.

Una cosa es pretender ser agentes de la ley anónimos en el otro extremo de una llamada web, sin una participación falsa. Otra muy distinta es fingir profundamente al ayudante de un líder de la oposición rusa encarcelado.

Zoom en territorio deepfake

Recientemente, varios grupos de parlamentarios fueron engañados para que pensaran que estaban hablando con Leonid Volkov, un político ruso y jefe de gabinete de la campaña electoral presidencial de 2018 de Alexei Navalny. En cambio, a los parlamentarios holandeses y estonios en diferentes reuniones se les presentó una entidad completamente ficticia forjada en los incendios deepfake . Al observar los diversos informes sobre estos incidentes, no estamos del todo seguros de si Leonid falso respondió a las preguntas o se apegó a un guión escrito previamente. Tampoco sabemos si los culpables fingieron su voz o empalmaron fragmentos reales para formar oraciones. Según este informe , parece que la llamada de Zoom fue conversacional, pero los detalles son escasos. Lo más probable es que el objetivo del juego sea que los parlamentarios digan que quieren apoyar a la oposición rusa con mucho dinero. 

¿Cómo pasó esto?

Parece que no se siguieron las prácticas básicas de seguridad. Nadie verificó de antemano que fuera él. No se hizo ping a su correo electrónico, nadie dijo «Hola …» en las redes sociales. Esto es bastante increíble, teniendo en cuenta que las personas que hacen un Pregúntame cualquier cosa en Reddit mostrarán una nota de «Hola Reddit, soy yo» como mínimo. Con un procedimiento de seguridad tan inexistente en su lugar, seguramente se producirá un desastre.

Uno se pregunta, dada la ausencia de contacto con la Leonid real, cuán falsa Leonid había organizado las sesiones de Zoom en primer lugar. ¿ Alguien puede concertar una llamada con una sala de diputados si afirman ser otra persona? ¿Se realizan reuniones en línea con regularidad sin ningún esfuerzo para garantizar que todos los involucrados sean legítimos? Todo esto parece un poco peculiar y un poco preocupante.

Bloqueo de deepfakes: a largo plazo

Fuera del ámbito de las llamadas Zoom sin verificación con parlamentarios, se están llevando a cabo más movimientos para detectar deepfakes. SONY ha entrado en un campo de batalla ya poblado por herramientas de bricolaje e investigadores que intentan luchar contra la falsificación en línea. En otros lugares, tenemos mapas generados por IA . Si bien esto suena aterrador, no es algo por lo que debamos entrar en pánico todavía .

Los deepfakes continúan incrustándose más en la conciencia pública, lo que solo puede ayudar a crear conciencia sobre el tema. ¿Quieres algo de ficción para jóvenes adultos sobre deepfakes? ¡Seguro que sí ! ¿Actores que ayudan a popularizar el concepto de video falso como algo esperado? Absolutamente . Dondequiera que mires… ahí está.

Ruido de bajo nivel y desorientación silenciosa

Por ahora, las campañas de interferencia maligna y las travesuras a pequeña escala están a la orden del día. Nunca ha sido más importante tomar algunas medidas para verificar a sus conversadores basados ​​en la web. Ya sea un deepfake generado por IA o alguien con una peluca realmente convincente y una voz falsa, los políticos deben implementar algunas rutinas de verificación básicas.

La verdadera preocupación aquí es que si cayeron en esto, quién sabe qué más se les escapó por correo electrónico, redes sociales o incluso llamadas telefónicas antiguas. Tenemos que esperar que los sistemas de verificación que existan para los métodos alternativos de comunicación entre los políticos sean significativamente mejores que los anteriores.

Muchos de los que leemos las noticias a diario nos encontramos con un ritmo de tambor regular de historias de ransomware que son a la vez preocupantes y desgarradoras. Y lo que muchos de nosotros no nos damos cuenta es que a menudo están interconectados. Algunas de las pandillas detrás de las campañas de ransomware sobre las que leímos han establecido una relación entre ellas que puede describirse como «estar aliadas entre sí», pero carecen de ciertos elementos que puedan cimentar su estatus como un verdadero cartel en lo digital. mundo subterráneo.

Este es el hallazgo general de Jon DiMaggio, conocido luminaria de ciberseguridad y estratega jefe de seguridad de Analyst1, una empresa de inteligencia de amenazas.

En un documento técnico titulado «Ransom Mafia – Análisis del primer cártel de ransomware del mundo» , DiMaggio y su equipo tenían como objetivo proporcionar una evaluación analítica sobre si realmente existe un cártel de ransomware, o si hay indicios de que era algo que las bandas de ransomware fabricaron. distraer a los investigadores y las fuerzas del orden.

Los lazos que unen

Analyst1 ha identificado dos fuertes conexiones entre los grupos afiliados mencionados en su informe que establece cómo trabajan juntos como algo así como un cartel. Ellos son:

Sitios de fuga de datos compartidos

Las pandillas dentro del cartel comparten información sobre las empresas que han atacado, así como todos los datos que han extraído. En un ejemplo, los investigadores vieron a Twisted Spider publicando datos de víctimas recopilados por la pandilla Lockbit y Viking Spider. Esto se suma a que estas bandas publican datos de la empresa en sus respectivos sitios de filtración.

Infraestructura compartida

SunCrypt se encontró utilizando direcciones IP e infraestructura de comando y control vinculada a Twisted Spider para entregar la carga útil de ransomware en sus campañas. Esto se observó 10 meses después de que Twisted Spider los usara en sus operaciones. Este tipo de intercambio de recursos solo puede ocurrir si ya se ha establecido una relación de confianza.

Analyst1 también ha identificado otros vínculos circunstanciales y técnicos entre los grupos que, por sí solos, no son medidas suficientes para una atribución precisa.

Otros hallazgos dignos de mención

La investigación incluye varios otros hallazgos dignos de mención:

• Los datos de las víctimas no son lo único que estas bandas afiliadas se transmiten entre sí. También se les observó compartir tácticas, como la creciente proliferación y persistencia de su malware en la naturaleza al hacer que un paquete de Ransomware-as-a-Service (RaaS) esté disponible para otros delincuentes e infraestructura de comando y control (C&C) .
• Las bandas afiliadas parecen estar en movimiento para automatizar sus ataques, en evidencia de las capacidades automatizadas adicionales que se encuentran en las cargas útiles de ransomware. La infección manual de las empresas comprometidas es un sello conocido de los actores de amenazas de ransomware de caza mayor (BGH).
• Algunos de los grupos involucrados se han abierto a entrevistas con los medios en el pasado. También emiten sus propios comunicados de prensa desde sus propios sitios web y utilizan múltiples medios para acosar a las víctimas para que paguen.
• Las pandillas afiliadas han afirmado ser parte de un cartel en algún momento del pasado. Aunque algunos de ellos ya han negado sus conexiones, la evidencia contradice esto.

¿Quién está en el cartel?

Analyst1 agrupó las bandas de ransomware afiliadas bajo la etiqueta «Ransom Cartel». Sin embargo, tenga en cuenta que este colectivo se había nombrado a sí mismo el «Cartel del Laberinto» el mismo año en que se estableció su relación de cooperación.

El Cartel del rescate surgió en mayo de 2020. Se dice que Twisted Spider, la banda detrás del ransomware Maze y otros, es el grupo que inició su creación. Su principal motivación fue la ganancia económica.

La mayoría de estos grupos tienen su sede en Europa del Este y hablan principalmente ruso, un atributo que no ocultan en absoluto. Algunos de estos grupos han desarrollado malware que no es ransomware; sin embargo, todos los grupos se aseguraron de que ninguno de ellos afectara a los usuarios en Rusia y en la Comunidad de Estados Independientes (CEI) .

A continuación se muestra una breve descripción general de los grupos individuales que se dice que componen el Cartel de rescate (tenga en cuenta que no todos buscan un nombre oficial. Como tal, se nombran según la variante de ransomware que utilizan):

Araña retorcida

Otros alias: Maze Team, FIN6

Malware: ransomware Maze (anteriormente conocido como ChaCha), ransomware Egregor , gusano Qakbot, otros kits de explotación de productos básicos

Detecciones de Malwarebytes: Ransom.Maze , Ransom.Sekhmet , Worm.Qakbot , respectivamente

Pandilla LockBit

Otro (s) alias: ninguno

Software malicioso: ransomware LockBit, registrador de teclas Hakops

Detección de Malwarebytes: Ransom.LockBit , Trojan.Keylogger , respectivamente

Araña mago

Otros alias: Grim Spider (aclamado como un subconjunto de Wizard Spider), UNC1878, TEMP.MixMaster

Software malicioso: troyano TrickBot , ransomware Ryuk , ransomware Conti, ransomware MegaCortex, puerta trasera BazarLoader

Detección de Malwarebytes: Trojan.TrickBot , Ransom.Ryuk , Ransom.Conti , Ransom.MegaCortex , Trojan.Bazar , respectivamente

Araña vikinga

Otro (s) alias: Grupo Ragnar

Software malicioso: ransomware de casilleros Ragnar

Detección de Malwarebytes: Ransom.Ragnar

Pandilla SunCrypt

Otro (s) alias : ninguno

Software malicioso: ransomware SunCrypt

Detección de Malwarebytes: Ransom.SunCrypt

«¿Qué cartel?»

Aunque de hecho existe confianza y se comparten recursos y tácticas, entre estas bandas de ransomware, Analyst1 ha evaluado que el Cartel de ransomware no es un verdadero cartel. Su informe concluye que la cooperación de la que fue testigo carecía de algunos de los elementos necesarios para alcanzar el nivel de un cartel, sobre todo la participación en los beneficios.

El problema de la ciberseguridad del sector de la educación se ha agravado en los últimos meses. Una advertencia reciente del FBI, a mediados de marzo, notificó a las escuelas de los EE. UU. Y el Reino Unido sobre un aumento de los ataques de los actores de amenazas detrás del ransomware PYSA.

Si es la primera vez que oye hablar de esta familia, siga leyendo.

¿Qué es el ransomware PYSA?

El ransomware PYSA es una variante del ransomware Mespinoza.

PYSA, que significa “Protect Your System Amigo”, fue nombrada por primera vez en documentos de código abierto en diciembre de 2019, dos meses después de que Mespinoza fuera descubierto en estado salvaje . Mespinoza usó originalmente la .lockedextensión en archivos cifrados y luego pasó a usar .pysa. Debido a esto, muchos usan los nombres PYSA y Mespinoza indistintamente.

PYSA, como muchas familias de ransomware conocidas, se clasifica como una herramienta de ransomware como servicio (RaaS) . Esto significa que sus desarrolladores han alquilado este ransomware listo para usar a organizaciones criminales, que pueden no ser lo suficientemente hábiles técnicamente para producir el suyo propio. Los clientes de PYSA pueden personalizarlo en función de las opciones proporcionadas por los grupos RaaS e implementarlo a su gusto. PYSA es capaz de extraer datos de sus víctimas antes de cifrar los archivos que se van a rescatar.

Según Intel 471, una empresa de inteligencia de amenazas, PYSA / Mespinoza es un operador de RaaS de nivel 2, ya que ha ido ganando reputación en el mundo subterráneo. Los operadores o equipos que hacen esto tienen una página, llamada «lista de filtraciones», donde nombran y avergüenzan a las víctimas que deciden no pagar el rescate. Las víctimas se enumeran con un archivo adjunto que contiene archivos que los actores de la amenaza extrajeron de ellos.

El ransomware PYSA tiene al menos tres vectores de infección conocidos: ataques de fuerza bruta contra consolas de administración y cuentas de Active Directory (AD) , correos electrónicos de phishing y conexiones no autorizadas de Protocolo de escritorio remoto ( RDP ) a controladores de dominio. Una vez dentro de una red, los actores de amenazas se toman su tiempo para escanear archivos usando Advanced Port Scanner y Advanced IP Scanner, ambos son software gratuito y se mueven lateralmente dentro de la red usando PsExec .

Luego, los actores de amenazas ejecutan manualmente el ransomware dentro de la red después de filtrar todos los datos que necesitan para aprovechar. Los archivos se cifran mediante AES implementado con claves cifradas RSA.

¿Quién ha sido atacado por PYSA?

Se sabe que PYSA se dirige a grandes organizaciones privadas y a aquellas que pertenecen a la industria de la salud. También han afectado a grupos gubernamentales en varios continentes. Recientemente, PYSA se ha utilizado cada vez más contra instituciones educativas en los EE. UU. Y el Reino Unido.

A continuación se muestra una lista no exhaustiva de incidentes relacionados con PYSA:

• En marzo de 2020, CERT Francia emitió una advertencia a los gobiernos locales franceses sobre el aumento de los ataques de PYSA.
• En mayo de 2020, MyBudget, la empresa de administración de dinero de Australia, experimentó una “interrupción” que duró 13 días (del 9 al 22 de mayo). Las filtraciones de datos extraídos llegaron al blog de PYSA. Posteriormente, la compañía confirmó a iTWire el 29 de mayo que la larga interrupción fue causada por un ataque de ransomware. Sin embargo, al mes siguiente, las fuentes notaron que el nombre y los archivos de MyBudget fueron eliminados del blog de PYSA, lo que llevó a algunos a especular que pudo haber pagado el rescate, a pesar de las garantías de que «no tenía intención de comprometerse con las demandas de rescate».
• En octubre de 2020, un “ciberataque grave” afectó al Hackney Council de Londres en el Reino Unido, dejándolo incapaz de procesar los pagos de las prestaciones de vivienda y provocando la caída de las compras de viviendas. Aunque al principio no hablaron de todo el incidente, se supo que los actores de la amenaza del ransomware PYSA estaban detrás del ataque después de filtrar los datos que extrajeron de la compañía en enero de 2021.

¿Malwarebytes detecta PYSA ransomware?

Estamos seguros de hacer. Detectamos es como Ransom.Mespinoza .

Indicadores de compromiso (IOC)

Hash SHA256:

• 7fd3000a3afbf077589c300f90b59864ec1fb716feba8e288ed87291c8fdf7c3
• e9662b468135f758a9487a1be50159ef57f3050b753de2915763b4ed78839ead
• a18c85399cd1ec3f1ec85cd66ff2e97a0dcf7ccb17ecf697a5376da8eda4d327
• 327934c4c11ba37f42a91e1b7b956d5a4511f918e63047a8c4aa081fd39de6d9
• e4287e9708a73ce6a9b7a3e7c72462b01f7cc3c595d972cf2984185ac1a3a4a8
• 327934c4c11ba37f42a91e1b7b956d5a4511f918e63047a8c4aa081fd39de6d9
• f0939ebfda6b30a330a00c57497038a54da359e316e0d6e6e71871fd50fec16a
• 48355bd2a57d92e017bdada911a4b31aa7225c0b12231c9cbda6717616abaea3
• 0f0014669bc10a7d87472cafc05301c66516857607b920ddeb3039f4cb8f0a50
• 61bb42fe06b3511d512af33ef59baa295b29bd62eb4d0bf28639c7910a65e4ae
• 425945a93beb160f101d51de36363d1e7ebc45279987c3eaf5e7f183ed0a3776
• a18c85399cd1ec3f1ec85cd66ff2e97a0dcf7ccb17ecf697a5376da8eda4d327
• 5510ae74b7e2a10fdafa577dc278612f7796b0252b7d1438615e26c49e1fc560
• 1a0ff707938a1399e23af000567806a87fff9b8789ae43badb4d28d4bef1fb81
• b1381635c936e8de92cfa26938c80a359904c1d709ef11ee286ba875cfb7b330

Archivo de nota de rescate, Readme.README, que incluye el siguiente contenido:

Hola compañia

Cada byte de cualquier tipo de dispositivo se cifró.
No intente utilizar copias de seguridad porque también están cifradas.

Para recuperar todos sus datos, comuníquese con nosotros:
{2 @ protonmail.com direcciones de correo electrónico}

————–

PREGUNTAS MÁS FRECUENTES:

1.

P: ¿Cómo puedo asegurarme de que no me engañas?

R: Puede enviarnos 2 archivos (máximo 2 MB).

2.

P: ¿Qué hacer para recuperar todos los datos?

R: No reinicie la computadora, no mueva archivos y escríbanos.

3.

P: ¿Qué decirle a mi jefe?

R: Protege tu sistema Amigo.

El 16 de marzo, la Oficina Federal de Investigaciones (FBI) emitió una alerta «Flash» sobre el ransomware PYSA después de un aumento en los ataques de este mes contra instituciones en el sector educativo, particularmente educación superior, K-12 y seminarios. Según la alerta [PDF], el Reino Unido y 12 estados de EE. UU. Ya se han visto afectados por esta familia de ransomware.

PYSA, también conocida como Mespinoza, se vio por primera vez en estado salvaje en octubre de 2019, donde se usó inicialmente contra grandes redes corporativas.

CERT Francia emitió una alerta hace un año sobre PYSA ampliando su alcance para incluir organizaciones gubernamentales francesas y otros gobiernos e instituciones fuera de Francia. PYSA fue categorizado como uno de los cazadores de caza mayor, uniéndose a las filas de Ryuk , Maze y Sodinokibi (REvil) . Los ataques de ransomware de «gran juego» se dirigen a organizaciones enteras, y los actores de amenazas operan su ransomware manualmente, después de pasar tiempo ingresando a las redes de una organización y realizando reconocimientos.

PYSA / Mespinoza puede llegar a las redes de las víctimas a través de campañas de phishing o mediante la fuerza bruta de las credenciales del Protocolo de escritorio remoto (RDP) para obtener acceso.

Antes de descargar y detonar la carga útil del ransomware, también se descubrió que los actores de amenazas detrás de este ransomware realizaban un reconocimiento de red utilizando herramientas de código abierto como Advanced Port Scanner y Advanced IP Scanner. También instalan otras herramientas similares, como Mimikatz, Koadic y PowerShell Empire (por nombrar algunas), para escalar privilegios y moverse lateralmente.

Los actores de la amenaza desactivan la protección de seguridad en la red, filtran archivos y cargan los datos robados en Mega.nz, un servicio de almacenamiento y uso compartido de archivos en la nube. Después de esto, PYSA se implementa y ejecuta. Todos los archivos cifrados en Windows y Linux, las dos plataformas a las que se dirige principalmente este ransomware, tendrán el .pysasufijo.

El informe del FBI también revela una posible táctica de doble extorsión que podría ocurrir contra las víctimas: “En incidentes anteriores, los ciber actores exfiltraron registros de empleo que contenían información de identificación personal (PII), información de impuestos sobre la nómina y otros datos que podrían usarse para extorsionar a las
víctimas para pagar un rescate «.

En los últimos seis meses, el FBI y otras organizaciones encargadas de hacer cumplir la ley han estado advirtiendo al sector educativo sobre una mayor actividad de amenazas contra ellos. Y esto no se limita solo a los ataques de ransomware. También entran en juego las campañas de phishing y la typosquatting de dominios .

La alerta «Flash» del FBI incluye estas mitigaciones recomendadas para objetivos potenciales.

Para prevenir ataques:

• Instale actualizaciones de seguridad para sistemas operativos, software y firmware tan pronto como se publiquen.
• Utilice la autenticación multifactor siempre que sea posible.
• Evite reutilizar contraseñas para diferentes cuentas e implemente el plazo más corto aceptable para los cambios de contraseña.
• Desactive los puertos RDP no utilizados y supervise el acceso remoto / registros RDP.
• Audite las cuentas de usuario con privilegios administrativos y configure los controles de acceso con los privilegios más bajos que pueda.
• Utilice software antivirus y antimalware actualizado en todos los hosts.
• Utilice únicamente redes seguras y evite el uso de redes Wi-Fi públicas. Considere instalar y usar una VPN.
• Considere agregar un banner de correo electrónico a los mensajes que provengan de fuera de su organización.
• Deshabilite los hipervínculos en los correos electrónicos recibidos.
• Brindar a los usuarios capacitación sobre los principios y técnicas de seguridad de la información, así como los riesgos emergentes de seguridad cibernética.

Para mitigar los efectos de un ataque:

• Realice copias de seguridad de los datos y utilice espacios vacíos y contraseñas para que los atacantes no puedan acceder a ellos.
• Utilice la segmentación de la red para dificultar el movimiento lateral.
• Implemente un plan de recuperación y mantenga varias copias de datos confidenciales o de propiedad en ubicaciones seguras, segmentadas y separadas físicamente.

El equipo de investigación de vulnerabilidades del navegador de Microsoft ha encontrado e informado una vulnerabilidad en el componente de audio de Google Chrome. Google ha solucionado esta vulnerabilidad de alta gravedad ( CVE-2021-21166 ) en su navegador Chrome y advierte a los usuarios de Chrome que existe un exploit en la naturaleza para la vulnerabilidad. No es la primera vez que un exploit ataca el componente de audio de Chrome.

No hay detalles disponibles

Los detalles adicionales sobre la vulnerabilidad están restringidos hasta que la mayoría de los usuarios de Chrome se hayan actualizado a la versión parcheada del software. Lo que sí sabemos es que se trata de un problema del ciclo de vida de un objeto en el componente de audio del navegador.

Un ciclo de vida de un objeto se utiliza en la programación orientada a objetos para describir el tiempo entre la creación de un objeto y su destrucción. Fuera del ciclo de vida, el objeto ya no es válido, lo que podría generar una vulnerabilidad.

Por ejemplo, si todo sale según lo planeado con el ciclo de vida, la cantidad correcta de memoria de la computadora se asigna y se recupera en los momentos adecuados. Si no funciona bien y la memoria está mal administrada, eso podría conducir a una falla, o vulnerabilidad, en el programa.

Más vulnerabilidades parcheadas en la actualización

Como es habitual, Google corrigió varias otras vulnerabilidades y errores en la misma actualización. Algunas de las otras vulnerabilidades se enumeraron con alta gravedad:

Google dijo que solucionó tres fallas de desbordamiento del búfer de pila en los componentes TabStrip ( CVE-2021-21159 , CVE-2021-21161 ) y WebAudio ( CVE-2021-21160 ). Se encontró un error de uso después de la liberación de alta gravedad ( CVE-2021-21162 ) en WebRTC. Otras dos fallas de alta gravedad incluyen un problema de validación de datos insuficientes en el modo de lectura ( CVE-2021-21163 ) y un problema de validación de datos insuficientes en Chrome para iOS ( CVE-2021-21164 ).

Los CVE

Las fallas de seguridad informática divulgadas públicamente se enumeran en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE). Su objetivo es facilitar el intercambio de datos a través de capacidades de vulnerabilidad separadas (herramientas, bases de datos y servicios).

• CVE-2021-21159, CVE-2021-21161: Desbordamiento del búfer de pila en TabStrip. Montón es el nombre de una región de la memoria de un proceso que se utiliza para almacenar variables dinámicas. Un desbordamiento de búfer es un tipo de vulnerabilidad de software que existe cuando un área de memoria dentro de una aplicación de software alcanza su límite de dirección y escribe en una región de memoria adyacente. En el código de explotación de software, dos áreas comunes que están destinadas a los desbordamientos son la pila y el montón.
• CVE-2021-21160: Desbordamiento del búfer de pila en WebAudio.
• CVE-2021-21162: Úselo después de forma gratuita en WebRTC. Use after free (UAF) es una vulnerabilidad debido al uso incorrecto de la memoria dinámica durante el funcionamiento de un programa. Si después de liberar una ubicación de memoria, un programa no borra el puntero a esa memoria, un atacante puede usar el error para manipular el programa. WebRTC permite a los programadores agregar capacidades de comunicación en tiempo real a su aplicación.
• CVE-2021-21163: Validación de datos insuficiente en modo Lector. Una validación de datos insuficiente podría permitir a un atacante utilizar entradas especialmente diseñadas para manipular un programa.
• CVE-2021-21164: Validación de datos insuficiente en Chrome para iOS.

Cuando salgan a la luz más detalles sobre las vulnerabilidades, es posible que se encuentren más exploits en la naturaleza. Depende mucho de qué tan fácil sea abusar de ellos y qué tan grande puede ser el posible impacto. Pero con uno que ya se está utilizando en la naturaleza, es aconsejable actualizarlo ahora.

Como actualizar

La forma más fácil de hacerlo es permitir que Chrome se actualice automáticamente, que básicamente utiliza el mismo método que describí a continuación, pero no requiere su atención. Pero puede terminar rezagado si nunca cierra el navegador o si algo sale mal, como una extensión que le impide actualizar el navegador.

Por lo tanto, no está de más comprobarlo de vez en cuando. Y ahora sería un buen momento.

Mi método preferido es que Chrome abra la página chrome: // settings / help, que también puede encontrar haciendo clic en Configuración> Acerca de Chrome .

Si hay una actualización disponible, Chrome se lo notificará y comenzará a descargarla. Luego le dirá que todo lo que tiene que hacer para completar la actualización es reiniciar el navegador.

Los vendedores ambulantes de ransomware han dado otro giro tortuoso a la reciente tendencia a la exfiltración de datos. Después de entrevistar a varias víctimas del ransomware Clop, ZDNet descubrió que sus operadores parecen apuntar sistemáticamente a las estaciones de trabajo de los ejecutivos . Después de todo, es más probable que los altos directivos tengan información confidencial en sus máquinas.

Si esta táctica funciona, y podría funcionar, es probable que otras familias de ransomware sigan su ejemplo, tal como han copiado otras tácticas exitosas en el pasado.

¿Qué es el ransomware Clop?

Clop se vio por primera vez en febrero de 2019 como una nueva variante en la familia Cryptomix , pero ha seguido su propio camino de desarrollo desde entonces. En octubre de 2020 se convirtió en el primer ransomware en exigir un rescate de más de 20 millones de dólares. La víctima, la empresa de tecnología alemana Software AG , se negó a pagar. En respuesta, los operadores de Clop publicaron información confidencial que habían recopilado durante el ataque, en un sitio web de la web oscura.

Tácticas de imitador

Cuando nos encontramos por primera vez con ransomware de cifrado de archivos, nos quedamos asombrados y horrorizados al mismo tiempo. La simplicidad de la idea, a pesar de que se requirió un poco de habilidad para perfeccionar una rutina de cifrado sólida, fue de un tipo que se reconoce de inmediato como algo duradero.

Desde entonces, el ransomware se ha desarrollado de formas que hemos visto antes en otros tipos de malware, pero también ha introducido algunas técnicas completamente nuevas. La orientación de Clop a los ejecutivos es solo la última en la lista de innovaciones que hemos presenciado en los últimos años.

Echemos un vistazo rápido a algunas de estas innovaciones que van desde trucos técnicos hasta ingeniería social avanzada.

Ataques dirigidos

La mayoría de las familias exitosas de ransomware se han alejado de las tácticas de rociar y orar a ataques más dirigidos. En lugar de intentar cifrar muchos equipos individuales mediante campañas de correo electrónico maliciosas, los atacantes ingresan manualmente a las redes corporativas e intentan paralizar organizaciones enteras.

Un atacante generalmente accede a la red de una víctima utilizando vulnerabilidades conocidas o intentando forzar una contraseña en un puerto RDP abierto . Una vez que hayan ingresado, probablemente intentarán escalar sus privilegios, mapear la red, eliminar copias de seguridad y difundir su ransomware a tantas máquinas como sea posible.

Exfiltración de datos

Una de las adiciones más recientes al arsenal de ransomware es la exfiltración de datos. Durante el proceso de infiltrarse en la red de una víctima y cifrar sus computadoras, algunas bandas de ransomware también exfiltran datos de las máquinas que infectan. Luego amenazan con publicar los datos en un sitio web o subastarlos. Esto les da a los delincuentes una ventaja adicional contra las víctimas que no pagarán, o no necesitarán, para descifrar sus datos.

Este giro adicional fue introducido por Ransom.Maze, pero también lo utilizan Egregor y Ransom.Clop, como mencionamos anteriormente.

Esconderse dentro de máquinas virtuales

Te advertí sobre las innovaciones técnicas. Este se destaca entre ellos. Como se menciona en nuestro Informe sobre el estado del malware de 2021 , la banda de ransomware RagnarLocker encontró una nueva forma de cifrar archivos en un punto final mientras evitaba la protección anti-ransomware.

Los operadores del ransomware descargan una imagen de máquina virtual (VM), la cargan silenciosamente y luego lanzan el ransomware dentro, donde el software de protección de endpoints no puede verlo. El ransomware accede a los archivos del sistema host a través de las «carpetas compartidas» de la máquina invitada.

Cifrado de discos duros virtuales

También se menciona en el informe State of Malware 2021 el ransomware RegretLocker que encontró una forma de encriptar discos duros virtuales (VHD). Estos archivos son archivos enormes que contienen el disco duro de una máquina virtual. Si un atacante quisiera encriptar el VHD, soportaría un proceso dolorosamente lento (y cada segundo cuenta cuando intentas que no te atrapen) debido al tamaño de estos archivos.

RegretLocker utiliza un truco para «montar» los discos duros virtuales, de modo que sean tan fácilmente accesibles como un disco duro físico. Una vez hecho esto, el ransomware puede acceder a los archivos dentro del VHD y cifrarlos individualmente, robarlos o eliminarlos. Este es un método de cifrado más rápido que intentar apuntar a todo el archivo VHD.

Frustrar la seguridad y la detección

El ransomware también está mejorando para evitar la detección y deshabilitar el software de seguridad existente. Por ejemplo, el ransomware Clop detiene 663 procesos de Windows (que es una cantidad asombrosa) e intenta deshabilitar o desinstalar varios programas de seguridad, antes de iniciar su rutina de cifrado.

Detener estos procesos libera algunos archivos que de otro modo no podría cifrar, porque estarían bloqueados. También reduce la probabilidad de activar una alerta y puede dificultar la producción de nuevas copias de seguridad.

¿Qué sigue?

Queda por ver si la nueva táctica de Clop será copiada por otras familias de ransomware o cómo podría evolucionar.

Se ha especulado que la táctica de amenazar con filtrar datos extraídos ha reducido las expectativas de algunas víctimas de que pagar el rescate será el fin de sus problemas. Dirigirse específicamente a los datos de los ejecutivos puede ser una forma de corregir esto, aumentando la presión sobre las víctimas.

Clop, o un imitador, también puede intentar usar la información que se encuentra en las máquinas de los gerentes para difundirla a otras organizaciones. Considere, por ejemplo, el método conocido como secuestro de hilos de conversaciones de correo electrónico, que utiliza las conversaciones de correo electrónico existentes (y, por lo tanto, las relaciones de confianza) para propagarse a nuevas víctimas. O la información podría venderse a los actores de amenazas que se especializan en el compromiso del correo electrónico empresarial (BEC) .

Para aquellos interesados, los IOC y otros detalles técnicos sobre Clop se pueden encontrar en el perfil de detección de Ransom.Clop .

El año pasado, los actores de amenazas se aprovecharon de la crisis de salud pública de COVID-19 de una manera que antes se consideraba inimaginable, no solo aprovechando la incertidumbre y el miedo durante los meses iniciales de la pandemia global, sino también modificando los métodos de ataque, incumpliendo las promesas, fortaleciendo el malware, y extorsionar a las víctimas por una suma de $ 100 millones, y eso sin la amenaza del cifrado de ransomware.

En resumen, en 2020 evolucionaron las ciberamenazas.

Hoy, mostramos a los lectores cómo era esa evolución, en nuestro informe State of Malware 2021 . Este informe proporciona nuestro análisis más completo de las tendencias de malware del año pasado, con desgloses por categoría de malware, tipo de malware, sistema operativo, región, industria y más.

Estas son las conclusiones clave de lo que aprendimos en 2020:

• Las detecciones de malware en las computadoras comerciales con Windows disminuyeron en un 24% en general, pero las detecciones de HackTools y Spyware en Windows aumentaron drásticamente, en un 147% y un 24%, respectivamente.
• Entre las cinco principales amenazas para las empresas y los consumidores se encuentran el cracker de software de Microsoft Office KMS, el malware bancario Dridex y BitCoinMiners; las detecciones de negocios para KMS y Dridex aumentaron en un 2,251% y un 973%, respectivamente
• Las detecciones de las amenazas comerciales más notorias, Emotet y Trickbot, cayeron este año en un 89% y 68% respectivamente, aunque los operadores detrás de estas amenazas aún realizaron varios grandes ataques en 2020.
• Un nuevo ransomware llamado Egregor entró en escena a finales de 2020, desplegado en ataques contra Ubisoft, K-Mart, Crytek y Barnes & Noble.
• En general, las detecciones de Mac disminuyeron un 38%, aunque las detecciones de Mac para empresas aumentaron un 31%
• El malware representó solo el 1,5% de todas las detecciones de Mac en 2020; el resto se puede atribuir a programas potencialmente no deseados (PUP) y adware
• ThiefQuest engañó a muchos investigadores haciéndoles creer que era el primer ejemplo de ransomware en macOS desde 2017, pero el malware ocultaba su actividad real de exfiltración masiva de datos. Representó más de 20.000 detecciones en 2020
• En Android, HiddenAds, que envía anuncios a los usuarios de forma agresiva, acumuló 704.418 detecciones, un aumento de casi el 149%.
• Descubrimos dos veces malware preinstalado en teléfonos proporcionados por Assurance Wireless a través del programa Lifeline Assistance, financiado por el gobierno de EE. UU.
• Las detecciones de aplicaciones de tipo Stalkerware, que incluyen detecciones de aplicaciones Monitor y aplicaciones Spyware en Android, aumentaron junto con las órdenes de refugio en el lugar que los gobiernos comenzaron a implementar en febrero y marzo: las detecciones de aplicaciones Monitor aumentaron de enero a diciembre en un 565%; Las detecciones de aplicaciones de software espía aumentaron durante el mismo período de tiempo en un 1.055%
• La industria agrícola sufrió un aumento del 607% en las detecciones de malware, mientras que las detecciones en la industria de alimentos y bebidas aumentaron en un 67%.
• Los objetivos más tradicionales, como manufactura, atención médica y médica, y automotriz, experimentaron caídas en las detecciones en diversos grados: la educación cayó un 17%, la atención médica cayó un 22% y la industria automotriz disminuyó un 18%

Como puede ver en estos hallazgos, 2020 resultó ser un año tumultuoso.

Cuando los casos de COVID-19 comenzaron a aumentar en varios países, los ciberdelincuentes se aprovecharon de los temores de las personas sin piedad, con una avalancha de correos electrónicos de phishing y estafas de coronavirus.

En todo el mundo, los gobiernos intentaron evitar que sus hospitales se vean abrumados ordenando cierres, órdenes de permanencia en el lugar y cierres de escuelas. Para abril de 2020, se había pedido u ordenado a la mitad de la población mundial que se quedara en casa. A medida que empresas enteras cambiaron al trabajo remoto, los equipos de TI se encontraron tratando de convertir proyectos de meses de duración en días, con la seguridad como una víctima desafortunada pero comprensible.

Ante un nuevo panorama, los ciberdelincuentes abandonaron algunas tácticas antiguas y pusieron un nuevo énfasis en la recopilación de inteligencia. Y a medida que la gente se adaptaba a su «nueva normalidad», los estafadores explotaron su aislamiento con un resurgimiento de las estafas de soporte técnico. También surgieron nuevos adversarios de la madera. El cierre global de abril estuvo acompañado por un aumento asombroso en el uso de stalkerware, un término abreviado para el tipo de aplicaciones de monitoreo móvil y software espía que a veces implementan socios abusivos.

La pandemia también creó nuevos desafíos para la privacidad en línea. A medida que los países recurrieron al rastreo de contactos digital para contener los brotes, surgió una dura dicotomía: es posible que las personas tengan privacidad personal o rastreo de contactos efectivo, pero probablemente no ambos. En todo el mundo, el avance de la legislación que preserva la privacidad se ralentizó.

Y lo que comenzó como una crisis de salud mundial pronto se convirtió también en una crisis económica mundial, y casi ningún negocio salió ileso. El destino de diferentes sectores industriales se reflejó en la cantidad de ciberataques que sufrieron. A medida que los sectores manufacturero y automotriz se contrajeron, los atacantes simplemente volvieron sus rostros hacia la agricultura y otras industrias esenciales. Las bandas de ransomware incumplieron sus promesas iniciales de mantenerse alejadas de los hospitales y, en cambio, alcanzaron nuevos mínimos, atacando hospitales e instalaciones médicas en campañas organizadas.

A pesar de todo, hay una forma de negocio que parece haber prosperado en 2020: la creación y operación de software malicioso. El ritmo de la innovación se aceleró en 2020 a medida que surgieron muchas familias de malware completamente nuevas. Las bandas de ransomware también continuaron aprendiendo unas de otras, y las tácticas exitosas se extendieron rápidamente entre ellas. Quizás la nueva táctica más importante que surgió fue la “doble extorsión”, en la que los grupos de ciberdelincuentes extorsionaban más dinero con amenazas de filtrar datos confidenciales que descifrando computadoras comprometidas.

Si 2020 nos enseñó algo, es que el ciberdelito se detiene para nada. No hay objetivos ni oportunidades de explotación que estén más allá de los límites.

Afortunadamente, el año también tuvo otra lección para nosotros: que hay héroes en todas partes. Los profesionales de la salud, los maestros y otros trabajadores esenciales merecen con razón el mayor reconocimiento, pero surgieron héroes en todas las áreas de la vida. Por lo tanto, queremos agradecer enormemente al ejército anónimo de administradores de sistemas y profesionales de la seguridad que trasladaron montañas en 2020 para mantener a millones de personas seguras en línea mientras el mundo que los rodeaba se volvía de cabeza.