Kaspersky Lab hace un balance de los principales incidentes que las ciberamenzas provocaron en los últimos 12 meses, para reflejar el impacto que tuvieron tanto en organizaciones como en usuarios particulares, así como para considerar su posible significado en la evolución de las amenazas en su conjunto.
En retrospectiva, los límites entre los diferentes tipos de amenazas y tipos de actores se volvieron cada vez más difusos. Como ejemplo de esta tendencia es el ataque ExPetr. A primera vista parecía otro ransomware, pero resultó ser un eliminador de datos selectivo y muy destructivo. Otro ejemplo es el volcado de códigos realizado por el grupo Shadow Brokers, que puso exploits avanzados a disposición de grupos criminales.
2017
- Las ciberamenazas que marcaron 2017 fueron los ataques ransomware WannaCry, ExPetr y BadRabbit. Se cree que el Grupo Lazarus estuvo detrás de WannaCry, que se propagó a una velocidad sorprendente y se estima que ha cobrado unas 700,000 víctimas en todo el mundo. ExPetr fue más selectivo con sus víctimas, entre las cuales figuraban compañías de renombre mundial, como Maersk, la principal compañía de transporte marítimo. Por su parte, FedEx/TNT ha anunciado pérdidas por unos 300 millones de dólares.
- Los principales actores del ciberespionaje hacen uso de nuevas herramientas y estrategias más difíciles de detectar. Entre ellas, Moonlight Mazen, WhiteBar, el paquete de herramientas de Lamberts y el grupo SpringDragon. En Octubre, Kaspersky Lab identificó un exploit día cero de Adobe Flash usado en Internet y que llegaba mediante un archivo de MS Office.
- A lo largo de este año, se observó el surgimiento de ataques selectivos diseñados para destruir datos, robarlos o ambas cosas, por ejemplo Shamoon 2.0 y StoneDrill. Incluso con actores de amenazas que tuvieron éxito por años con campañas sencillas y mal ejecutadas. El ataque EyePyramid en Italia es un buen ejemplo de ello, Microcin es otro ejemplo de cómo lograron sus objetivos con herramientas baratas y la selección cuidadosa de sus víctimas.
- También se reveló en qué medida los actores avanzados recurrían a robos comunes para financiar sus costosas operaciones. En el caso de BlueNoroff, un subgrupo del famoso grupo Lazarus, atacó a instituciones financieras, casinos, fabricantes de software para finanzas y otras compañías dedicadas al comercio de monedas criptográficas. Una de las campañas más notables de BlueNoroff fueron los ataques contra instituciones financieras en Polonia.
- Los ataques a cajeros automáticos siguieron aumentando, con ataques contra la infraestructura bancaria y sistemas de pago mediante sofisticados programas maliciosos que no utilizaban archivos, y métodos más rudimentarios, como cubirir cámaras CCTV con cinta adhesiva y perforar agujeros. Hace poco se descubrió un nuevo ataque selectivo que afectó a instituciones financieras, sobre todo bancos en Rusia, pero también algunos bancos en Malasia y Armenia. Los atacantes detrás del troyano Silence utilizaron una estrategia similar a la de Carbanak.
- A un año de la botnet Mirai, Hajime logró infectar a unos 300, 000 dispositivos conectados, y esta fue sólo una de las campañas dirigidas contra dispositivos y sistemas conectados.
- Este año tabién fue testigo de una gran cantidad de fuga de datos, como por ejemplo los casos de AvantiMarkets, Election Systems & Software, Down Jones, America’s Job Link Alliance y Equifax. La fuga de datos en Uber que ocurrió en octubre de 2016 y que expuso los datos de 57 millones de clientes y conductores, no fue dada a conocer sino hasta noviembre de 2017.
- Evolucionó el escenario de programas maliciosos móviles con apps que contenían troyanos y cuyas víctimas se vieron inundadas con publicidad agresiva, o sufrieron ataques de ransomware y robos mediante SMS. Los programas maliciosos móviles utilizaron nuevos trucos para evitar ser detectados y así poder explotar nuevos servicios. Muchas apps maliciosas estaban disponibles en fuentes confiables, como Google Play Store. Entre los troyanos de este año se encuentran Ztorg, Svpeng, Dvmap, Asacub y Faketoken.
Conclusión
2017 fue un año en el que muchas cosas resultaron distintas a lo que inicialmente aparentaban: un ransomware que resultó ser un limpiador, un software corporativo legítimo que resultó ser un arma, actores de amenazas avanzadas que se valieron de herramientas simples, mientras que atacantes mucho menos avanzados utilizaron herramientas altamente sofisticadas. Estas arenas movedizas en el escenario de las ciberamenazas representan un creciente desafío para los defensores de la seguridad.
Fuente https://securelist.lat/ksb-review-of-the-year-2017/85849/