Formjacking, una seria amenaza para empresas y consumidores

El informe anual sobre amenazas de Symantec revela ataques más ambiciosos, destructivos y sigilosos que ponen en peligro a las compañías.

En España, el pequeño comercio recibe una gran parte de los ataques de phishing y malware.  Casi uno de cada diez grupos de ataques dirigidos utiliza actualmente malware para destruir e interrumpir las operaciones de negocio, un 25 % más que en 2017 Los atacantes mejoran las tácticas de eficacia probada, incluyendo el spear-phishing, las herramientas legítimas para hijacking y los anexos maliciosos en el correo electrónico.

Ante la disminución de los ingresos procedentes del ransomware y el cryptojacking, los ciberdelincuentes están apostando por métodos alternativos, como el formjacking, para conseguir dinero, de acuerdo con el último Informe sobre las amenazas para la seguridad de Internet (ISTR), volumen 24, de Symantec.

En España, la principal fuente de amenaza sigue siendo el criptominado malicioso -que supone un 2,3 % del total mundial de este tipo de ataques-, seguido de lejos por los bots (1,2 %) y las técnicas de phishing (1 %).
El informe ISTR de Symantec proporciona una visión completa del panorama de amenazas, incluyendo perspectivas sobre la actividad de amenazas global, las tendencias de ciberdelincuencia y las motivaciones de los atacantes. El informe analiza los datos procedentes de Symantec Global Intelligence NetworkTM, la mayor red civil de recolección de amenazas del mundo, que registra eventos de 123 millones de sensores de ataque en todo el mundo, bloquea 142 millones de amenazas diarias y monitoriza las actividades de amenazas en 157 países.

En este último informe, España ocupa el octavo puesto en el ranking europeo de amenazas detectadas, con un porcentaje mundial del 0,95 %. Rusia lidera un año más el ranking regional con un 3,41 %.

Entre las principales conclusiones del informe de este año, destacan las siguientes:

El formjacking es el nuevo mecanismo de los ciberdelincuentes para enriquecerse rápidamente

El formjacking son ataques simples -esencialmente consiste en copiar los datos de la tarjeta, como se ha hecho tradicionalmente en los cajeros, pero trasladado al mundo virtual- con los que los ciberdelincuentes inyectan código malicioso en los sitios web de las tiendas para robar los detalles de las tarjetas de pago de los compradores. De media, más de 4.800 sitios web únicos se ven comprometidos por código de formjacking cada mes. Symantec bloqueó más de 3,7 millones de ataques de formjacking sobre puntos finales en 2018, con casi una tercera parte del total de detecciones concentrada durante la época del año en la que más compras se realizan: noviembre y diciembre.

Aunque numerosos sitios web de pago online muy conocidos, incluyendo Ticketmaster y British Airways, fueron comprometidos con código de formjacking en los últimos meses, la investigación de Symantec revela que las tiendas de pequeño y mediano tamaño son, de largo, las más comprometidas.

Según estimaciones conservadoras, los ciberdelincuentes podrían haber recolectado millones de dólares en el último año, robando información financiera y personal de los consumidores a través del fraude con las tarjetas de crédito y las ventas en la dark web. Solo 10 tarjetas de crédito robadas de cada sitio web comprometido podrían generar 2,2 millones de dólares cada mes, y una sola tarjeta de crédito alcanza un precio de 45 dólares en el mercado negro. Con más de 380.000 tarjetas de crédito robadas, solo el ataque a British Airways podría haber permitido ganar a los delincuentes 17 millones de dólares.

“El formjacking representa una seria amenaza tanto para las empresas como para los consumidores”, señala Ramsés Gallego, Director, Security Strategies en Symantec. “Los consumidores no tienen forma de saber si están visitando una tienda online infectada sin utilizar una solución de seguridad completa, lo que deja su valiosa información personal y financiera vulnerable a un robo de identidad potencialmente devastador. Para las empresas, el súbito incremento en el formjacking refleja el riesgo creciente de los ataques en la cadena de suministro, por no mencionar los riesgos para la reputación y las responsabilidades legales a las que se enfrentan las compañías”.

Los menguantes ingresos del cryptojacking y el ransomware

En los últimos años, el ransomware y el cryptojacking, con los que los ciberdelincuentes tratan de robar potencia de procesamiento y uso de CPU en la nube a consumidores y empresas para minar criptomonedas, fueron los métodos más atractivos para los atacantes que querían hacer dinero rápido. Sin embargo, 2018 trajo un descenso en la actividad y los ingresos disminuyeron, sobre todo por el valor a la baja de las criptomonedas y la creciente adopción de la computación cloud y móvil, que hace los ataques menos eficaces. Por primera vez desde 2013, las infecciones de ransomware se redujeron, con una caída del 20 %. Aún así, las empresas no deberían bajar la guardia, ya que las infecciones de ransomware en empresas crecieron un 12 % en 2018, rompiendo la tendencia descendente general y demostrando que el ransomware es una amenaza vigente para las organizaciones. De hecho, más de ocho de cada diez infecciones de ransomware impactan en empresas.

Aunque la actividad de cryptojacking alcanzó su máximo a principios de año, se redujo en un 52 % a lo largo de 2018. Incluso con los valores de las criptomonedas cayendo en un 90 % y una significativa reducción de la rentabilidad, el cryptojacking continúa, no obstante, manteniendo su atractivo para los atacantes debido a su baja barrera de entrada, la carga mínima y el anonimato que ofrece. Solo en el mes de diciembre de 2018, Symantec bloqueó 3,5 millones de eventos de cryptojacking en los endpoints.

Cuando se trata de seguridad, la nube es el nuevo PC

Los mismos errores de seguridad que se cometieron con los PCs durante su adopción inicial por parte de las empresas están repitiéndose ahora en la nube. Una sola carga de trabajo en la nube o una instancia de almacenamiento mal configuradas podría costar a una compañía millones de dólares o arrastrarla a una pesadilla de incumplimiento normativo. Solo en el último año, más de 70 millones de registros fueron robados o filtrados de directorios S3 pobremente configurados. Existen también numerosas herramientas fácilmente accesibles que permiten a los atacantes identificar recursos cloud mal configurados en internet.

Los recientes descubrimientos de vulnerabilidades en chips de hardware, incluyendo Meltdown, Spectre y Foreshadow, también ponen en riesgo los servicios cloud, permitiendo a los atacantes acceder a los espacios de memoria protegidos u otros recursos de las compañías albergados en el mismo servidor físico.

Las herramientas living off the land  las debilidades de la cadena de suministro propician ataques más sigilosos y ambiciosos

Los ataques a la cadena de suministro y los living off the land (LotL), son un pilar del actual escenario de amenazas, ampliamente adoptados tanto por los ciberdelincuentes como por los grupos de ataques dirigidos. De hecho, los ataques a la cadena de suministro aumentaron un 78 % en 2018.

Las técnicas LotL permiten a los atacantes mantener un perfil bajo y ocultar su actividad tras diversos procesos legítimos. Por ejemplo, el uso de scripts PowerShell maliciosos se incrementó un 1.000 % el año pasado. Aunque Symantec bloqueó 115.000 scripts PowerShell maliciosos cada mes, esto supone menos de un 1 % del uso total de PowerShell. Enfocar el problema por la fuerza, bloqueando toda la actividad de PowerShell, podría tener un fuerte y grave impacto en las organizaciones, lo que explica por qué las técnicas LotL se han convertido en las favoritas de muchos grupos de ataques dirigidos.

Identificar y bloquear estos ataques requiere el uso de métodos de detección avanzados como las analíticas y el machine learning, tales como el servicio de detección y respuesta en el punto final (MEDR) de Symantec, su mejorada tecnología EDR 4.0, así como su avanzada solución de IA, Analíticas de Ataques Dirigidos (TAA, por sus siglas en inglés). TAA ha permitido a Symantec descubrir decenas de ataques dirigidos sigilosos, incluyendo aquellos del grupo Gallamaker, que cometió sus campañas de ciberespionaje completamente sin malware.

Además de explotar las técnicas LotL y las debilidades en el software de la cadena de suministro, los atacantes están también incrementando el uso de métodos de ataque convencionales, como el spear-phishing, para infiltrarse en las organizaciones. Aunque reunir inteligencia sigue siendo el principal motivo de los ataques dirigidos, el número de grupos de ataque que utiliza malware diseñado para destruir e interrumpir las operaciones de negocio se incrementó en un 25 % en 2018.

Ataques por email en España

El 52,9 % del total de emails en circulación en España contiene spam. Por su parte, las amenazas de malware están presentes en 1 de cada 510 correos electrónicos y el phishing, en 1 de cada 3.680 emails (más del doble que el año anterior, cuando la proporción era de 1 de cada 6.929 emails).

Por sectores, los más afectados por el spam son la construcción (66,4 %), la fabricación (59,6 %), el retail (59 %), las administraciones públicas (58,8 %) y las entidades financieras y aseguradoras (54,2 %). El porcentaje más alto se da en las compañías con entre 501 y 1000 empleados, en las que el 58,5 % del correo es spam.

Respecto a los ataques de phishing, son dirigidos en su mayoría al pequeño comercio (1 de cada 488), fabricantes (1 de cada 2.048) y sector financiero y asegurador (1 de cada 2.742). Las empresas con entre 1501 y 2500 empleados son las más afectadas, ya que 1 de cada 2.153 correos contiene ataques de phishing.

Por último, los sectores que más ataques de malware son el pequeño comercio (1 de cada 78 emails), los fabricantes (1 de cada 179 emails) y las entidades financieras y aseguradoras (1 de cada 421 emails). Como en el caso del spam, las empresas con entre 501 y 1000 empleados son las principales víctimas de los ataques de malware, con 1 de cada 188 correos infectados.

El Internet de las Cosas está en el punto de mira de los ciberdelincuentes y grupos de ataque

Aunque el volumen de ataques al Internet de las Cosas (IoT) se mantiene alto y consistente con los niveles de 2017, el perfil de los ataques IoT está cambiando radicalmente. Pese a que los routers y cámaras conectadas conforman el mayor porcentaje de dispositivos infectados (90 %), casi todos los dispositivos IoT han demostrado ser vulnerables, por lo que desde las bombillas inteligentes a los asistentes de voz crean puntos de entrada adicionales para los atacantes.

Los grupos de ataques dirigidos se están centrando cada vez más en el IoT como punto de entrada clave. La emergencia del malware de router VPNFilter representa una evolución de las amenazas IoT tradicionales. Concebido por un atacante experto y con grandes recursos, permite a sus creadores destruir o borrar un dispositivo, robar credenciales y datos e interceptar las comunicaciones SCADA.

“Con una tendencia creciente a la convergencia de TI y el IoT industrial, la próxima ciberbatalla se librará en la tecnología operacional”, explica Kevin Haley, director de Symantec Security Response. “Un creciente número de grupos, como Thrip y Triton, muestran interés en comprometer sistemas de operaciones y de control industrial para prepararse potencialmente ante la ciberguerra”.

El gran despertar de la privacidad

Con el reciente escándalo de datos de Cambridge Analytica y las investigaciones a Facebook por la privacidad de los datos, la implementación del Reglamento General de Privacidad de Datos (GDPR) o las revelaciones sobre la monitorización de la ubicación de aplicaciones y los bugs de privacidad en apps tan utilizadas como FaceTime de Apple, la privacidad de los consumidores ha acaparado la atención el año pasado.

Los smartphones podrían considerarse el mayor dispositivo de espionaje creado hasta la fecha: una cámara, un micrófono y un localizador de ubicación, todo en uno, que es voluntariamente transportado y utilizado en todas partes por su propietario. Aunque ya han sido objetivos gubernamentales para el espionaje tradicional, los smartphones se han convertido además en un medio lucrativo con el que reunir información personal de los consumidores, con los desarrolladores de apps móviles como los peores delincuentes.

De acuerdo con la investigación de Symantec, el 45 % de las apps de Android más populares y el 25 % de las apps de iOS más descargadas solicitan la información de ubicación; el 46 % de las apps más populares de Android y el 24 % de las de iOS solicitan permiso para acceder a la cámara del dispositivo, y las direcciones de correo electrónico se comparten con el 44 % de las principales apps de Android y el 48 % de las apps más populares de iOS.

Las herramientas digitales que recogen datos del teléfono para localizar a los niños, amigos o los móviles perdidos también están creciendo y allanando el camino para abusar del seguimiento a otros sin su consentimiento. Más de 200 apps y servicios ofrecen a los acosadores una gran variedad de capacidades de este tipo, incluyendo el seguimiento básico de la ubicación, la recopilación de mensajes e incluso la grabación secreta de vídeo.

Más información en https://www.symantec.com/security-center/threat-report