Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Jonathan Rodriguez Paipa

2020: el año del malware

Por Jon Munshaw.



Crédito: Pexels

Nada era normal en 2020. Nuestras ideas de trabajar desde oficinas, reuniones en persona, aprendizaje práctico y básicamente todo lo demás se desordenaron a principios de año. Desde entonces, los defensores hemos tenido que adaptarnos. Pero también lo han hecho los trabajadores de todo el mundo y los profesionales de TI y seguridad a cargo de mantener segura la información de esos trabajadores.


Los adversarios vieron todos estos cambios como una oportunidad para capitalizar los sistemas de atención médica tensos, las escuelas luchando por adaptarse al aprendizaje en línea y las empresas que ahora tenían empleados que llevaban a casa información y datos confidenciales mientras trabajaban en sus redes personales. Esto provocó un gran aumento en los ataques de ransomware y en los titulares de las empresas que gastan millones de dólares para recuperar sus datos y volver al trabajo rápidamente.


Ah, y también hubo elecciones presidenciales este año, que vinieron con sus propios desafíos.


Para recapitular este año loco, hemos compilado una lista del malware más importante, noticias de seguridad y más que Talos cubrió este año. Mire la línea de tiempo a continuación y haga clic en algunas de nuestras otras publicaciones de blog para ponerse al día con el año que estuvo en malware.


Enero

Los atacantes utilizaron varios servicios de alojamiento de archivos populares y conocidos para evitar las listas de bloqueo y entregar una amenaza que llamamos "JhoneRAT", principalmente a objetivos de habla árabe


Febrero

Otra RAT, "ObliqueRAT", utilizó documentos maliciosos de Microsoft Office para infectar agencias / organizaciones diplomáticas y gubernamentales en el sudeste asiático. Cisco Talos también descubrió un vínculo entre ObliqueRAT y otra campaña de diciembre de 2019 distribuyendo CrimsonRAT.


Marzo

  • Cuando la pandemia de COVID-19 golpeó a los Estados Unidos, los trabajadores de todo el país y el mundo tuvieron que comenzar a trabajar desde casa a tiempo completo. Como la pandemia fue la noticia más importante del año, y alcanzó su punto máximo a mediados de marzo, los atacantes comenzaron a usar noticias sobre COVID-19 para difundir malware.

  • La pandemia también presentó una plataforma para que los adversarios difundieran desinformación sobre el virus y los paquetes de ayuda gubernamentales asociados.

Abril

  • Los investigadores de Cisco Talos destacaron algunos de los problemas con el uso de escaneos de huellas digitales para proteger sus dispositivos. Clonamos huellas dactilares utilizando algunos métodos diferentes y probamos su capacidad para desbloquear ciertos dispositivos, lo que demuestra que no debe usar escáneres biométricos como última línea de defensa para datos o dispositivos vitales.

  • PoetRAT, con sede en Python, utilizó señuelos con temática de COVID-19 para apuntar a agencias gubernamentales y usuarios cotidianos en Azerbaiyán, aprovechando también los conflictos civiles y militares en curso del país.

  • El software para reuniones en línea se hizo muy popular, lo que creó un nuevo objetivo para los atacantes que buscaban difundir malware o, en general, ser interrumpidos. Un ejemplo de ello fue esta vulnerabilidad en el software de reuniones Zoom que Talos descubrió, aunque existen muchas más vulnerabilidades para todo tipo de software de reuniones.

  • La campaña de malspam de Aggah amplió su alcance , ahora entregando Agent Tesla, njRAT y Nanocore RAT.


Mayo

  • Los dispositivos y usuarios tailandeses de Android son el objetivo de una versión modificada de DenDroid que llamamos "WolfRAT", que ahora apunta a aplicaciones de mensajería como WhatsApp, Facebook Messenger y Line.

  • Los usuarios brasileños son el objetivo de la familia de malware Astaroth , que utilizó YouTube como un comando y control único (C2) para ayudar a evadir la detección.


Junio

  • IndigoDrop utiliza maldocs maliciosos de temática militar para difundir balizas Cobalt Strike que contienen capacidades RAT completas. Estos maldocs usan macros maliciosas para generar una infección de múltiples etapas y altamente modular.

  • El actor de PROMETHIUM amplía su alcance e intenta infectar nuevos objetivos en Colombia, India, Canadá y Vietnam al asociarse con StrongPity3.


Julio

  • La ola de ataques de ransomware alcanza su punto máximo. Específicamente, WastedLocker se centró en algunas empresas y organizaciones de renombre que buscaban aparecer en los titulares y obtener grandes ganancias.

  • Publicamos nuestro primer artículo de investigación de una serie que cubre la seguridad electoral y la desinformación antes de las elecciones presidenciales de noviembre.

  • La botnet Prometei agrega múltiples formas de propagación, implementando un minero de criptomonedas enfocado en Monero.


Septiembre

  • Una nueva campaña que denominamos “Salfram” difunde varias cargas útiles de malware, entre las que se incluyen Gozi ISFB, ZLoader, SmokeLoader y AveMaria, entre otras.

  • Dado que muchos estudiantes regresan a la escuela totalmente en línea, detectamos un aumento en las estafas de tareas en línea , con sitios que prometen escribir artículos y completar tareas por una tarifa, aunque muchos de ellos resultaron ser falsos o incluso entregar malware.

  • LodaRAT muestra que está agregando nuevas características y técnicas de ofuscación.


Octubre

  • La botnet de minería de criptomonedas Lemon Duck utiliza varias técnicas nuevas que probablemente serán detectadas por los defensores, pero que en gran medida pasarían desapercibidas para los usuarios finales mientras el adversario les robaba su poder de cómputo.

  • El grupo DoNot APT experimenta con nuevos métodos de entrega para sus cargas útiles. Utilizaron un servicio legítimo dentro de la infraestructura de Google, lo que dificulta la detección en la red de un usuario.

  • El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. Emitieron una alerta advirtiendo a los sistemas de atención médica que estén atentos a una ola de ataques de ransomware, lo que corresponde a un aumento en los casos de COVID-19.


Noviembre

  • Una nueva versión del malware CRAT aparece en la naturaleza con técnicas de evasión de caja de arena y un nuevo marco de complemento modular.

  • Emotet completa su regreso en 2020 con un gran noviembre y octubre, aumentando su actividad en todo el mundo después de que se mantuvo en silencio durante el verano.


Diciembre

  • Descubrimos el minero de criptomonedas Xanthe después de que intentó comprometer uno de los honeypots de seguridad de Cisco para rastrear las amenazas relacionadas con Docker.


Fuente: Blog Cisco Talos

6 vistas0 comentarios
D&S colores.png

Un Servidor en Quien Confiar

CONTACTO

contactodirecto@datayservice.com

PBX + 57 6 8812277

Calle 54 # 26-60

ZIP 170004

Manizales, Colombia

REDES

logo-facebook.png
linkedin_circle-512.webp
logo-instagram-1.png

 © Data&Service, todos los derechos reservados.