Una nueva edición del informe de ciberamenazas de los expertos en informática de Hornetsecurity que examina qué nuevos peligros han surgido en 2021 y para qué tendrán que prepararse las empresas en el futuro.
En el informe de Hornetsecurity, proveedores de copias de seguridad en la nube para correos electrónicos, comienzan destacando los datos del informe “Hidden Costs of Cybercrime” del fabricante estadounidense de seguridad informática McAfee.
En ellos se señala que las pérdidas económicas causadas por la ciberdelincuencia ascendieron en 2020 a 945.000 millones de dólares estadounidenses en todo el mundo y cómo, en solo dos años, se han incrementado dramáticamente. En relación al tipo de daños económicos se mencionan los costes de oportunidad, pérdidas de sistemas y de productividad, así como daños a la marca, entre otros.
La seguridad y el perfecto funcionamiento de procesos informáticos se han convertido en algo tan importante en la vida social y económica que el Foro Económico Mundial en su Informe de Riesgo Global de 2021 sitúa el fallo de las infraestructuras y medidas de ciberseguridad en empresas, gobiernos y hogares privados en la lista de amenazas actuales y a medio plazo más críticas para el mundo. Y es que el fallo de la seguridad informática podría provocar enormes limitaciones en la actividad económica, pérdidas financieras y tensiones geopolíticas y, por lo tanto, representa un riesgo importante para la estabilidad de la vida social.
En general, cada vez más empresas reconocen la escala potencial de un ciberataque y el riesgo creciente de ser víctima de un ciberataque. Esto queda demostrado por las inversiones cada vez mayores que la empresas realizan en su seguridad informática: en 2020, el gasto mundial en ciberseguridad ascendió a unos 133.800 millones de dólares estadounidenses. Para el año 2021, se estima un gasto de unos 150.000 millones de dólares estadounidenses.
Además, según Hornetsecurity, el correo electrónico sigue siendo una de las puertas de entrada principales de ataques cibernéticos en empresas, organizaciones e instituciones gubernamentales. El Business Email Compromise, así como el ransomware, representan los tipos de ataques más peligrosos, en los que los hackers utilizan procedimientos más complicados año tras año para lograr sus objetivos. Sin embargo, el robo y el espionaje de datos, así como la instalación de backdoors, son también una amenaza cada vez más seria para autoridades y empresas.
Los highlights de las amenazas que vivimos en 2021
Según recogen los expertos informáticos de Horneysecurity, el año pasado vivimos la caída de Emotet, detenciones en torno a Clop, The Trick y Gozi o El ataque de Microsoft Exchange.
La caída de Emotet: los vaivenes más peligrosos del mundo
El “malware más peligroso del mundo” pudo detenerse al fin: a principios del 2021, las unidades policiales involucradas notificaron el desmantelamiento de la botnet Emotet.
Emotet se descubrió por primera vez en el año 2014: en ese momento, se trataba de un troyano bancario que robaba información bancaria y datos de acceso. Sin embargo, con el tiempo Emotet evolucionó hacia un malware como servicio (MaaS) que ofrecía la distribución de malware para otros ciberdelincuentes.
Solo en Alemania, Emotet ha infectado un gran número de sistemas informáticos de empresas, además de decenas de miles de ordenadores privados. El hospital de Fürth y el Tribunal Superior de Justicia de Berlín fueron dos de las muchas víctimas de Emotet. Solo en Alemania, la Oficina Federal de Investigación (BKA, por sus siglas en alemán), calcula que los daños causados por Emotet ascienden a 14,5 millones de euros.
Después de infectar un sistema, Emotet podía leer las relaciones de los contactos y los contenidos de los correos electrónicos en las bandejas de entrada. Para distribuir el malware, Emotet respondía a estos correos electrónicos de manera muy auténtica en base a la información recopilada. Las falsificaciones eran muy difíciles de identificar. Este modus operandi se conoce también como secuestros de hilos de correo electrónico. Hornetsecurity ya ha publicado numerosas entradas en el blog acerca de ataques de Emotet como este.
El 27 de enero de 2021, Euoropol informaba de que una operación internacional de autoridades policiales y judiciales de todo el mundo, incluidas las de Alemania, Países Bajos, Lituania, Ucrania, Francia, Inglaterra, así como las de Canadá y Estados Unidos, pudo hacerse con la infraestructura de Emotet y desmantelarla.
Los investigadores obtuvieron el control de la infraestructura al identificar varios servidores a través de los cuales se distribuía el malware. Paso a paso fueron descubriéndose otras partes de la infraestructura. De este modo, las autoridades encargadas de la investigación pudieron impedir el acceso de los autores, e incluso tomar el control de uno de los operadores sospechosos en Ucrania.
La comunicación C2 de Emotet se interrumpió y la información de las víctimas asociadas a la misma se redirigió a los CERT correspondientes del país, quienes informaron a las víctimas para que pudieran eliminar el malware.
Hasta su desmantelamiento, Emotet representaba el 20 % de los correos electrónicos maliciosos analizados por Hornetsecurity. Sin embargo, el 15 de noviembre, los investigadores de amenazas de Hornetsecurity volvieron a registrar las primeras actividades del malware. En ellas, se distribuía el malware TrickBot a través de spam malicioso, se descargaba y, finalmente, se instalaba el malware de Emotet. A continuación, la botnet de Emotet volvía a crearse y comenzaba a enviar spam maliciosos desde su botnet.
Con la caída de Emotet, son muchos los que buscan ocupar el puesto de la botnet: Quakbot dispone de la sofisticación necesaria. Sin embargo, su botnet no es aún tan grande como la de Emotet. Esto complica una distribución a gran escala del malware.
Otros como la botnet Cutwail, con su spam malicioso Dridex, o los actores detrás de las campañas de spam maliciosos Hancitor, pueden distribuir spam malicioso a gran escala, aunque aún no cuentan con la astucia de Emotet.
Es probable que haya más actores que planeen hacerse con el título de “malware más peligroso del mundo”, ya que la base de clientes del malware como servicio (MaaS) de Emotet sigue existiendo y otro malware podría utilizar este método.
Detenciones en torno a Clop, The Trick y Gozi
Además del desmantelamiento de la botnet Emotet, 2021 ha sido testigo de otras buenas noticias: una de ellas es que la policía nacional de Ucrania detuvo a varias personas sospechosas de infectar a empresas con el ransomware Clop. Sin embargo, la operación de ransomware Clop no se vio interrumpida, lo que da a los investigadores de amenazas de Security Lab razones para creer que los individuos detenidos no eran los cerebros detrás del ransomware.
Otra persona sospechosa y en busca desde 2013 por su posible relación con el malware Gozi fue también detenida. El sospechoso operaba un servidor antibalas que ayudaba a los ciberdelincuentes a distribuir el malware Gozi, el troyano Zeus y el troyano SpyEye. Además, el sospechoso está también acusado de iniciar ataques DDoS y transmisiones de spam. También se detuvo en EE.UU. a un codiseñador del malware The Trick, acusado de 19 de los 47 cargos.
El ataque de Microsoft Exchange
En marzo, Microsoft acabó con cuatro vulnerabilidades en diferentes versiones de Microsoft Exchange Server con una actualización de seguridad no programada. Sin embargo, poco después de su publicación comenzaron las infecciones masivas de los servidores de Exchange no parcheados a través de Internet.
Se estima que los ataques afectaron a 250.000 servidores. Incluso la Casa Blanca ha pedido a los afectados que instalen parches de seguridad en sus respectivos sistemas Exchange, y la Oficina Federal Alemana de Seguridad de la Información (BSI, por sus siglas en alemán) ha declarado la alerta roja, ya que la agencia evaluó la situación de la amenaza como extremadamente crítica en ese momento. Se sospecha que el grupo de hackers chino Hafnium, patrocinado por el estado y conocido por sus ataques altamente cualificados y sofisticados, es quien está detrás.
En abril de 2021 se implicó incluso el FBI. Una orden judicial autorizó al FBI a penetrar en las redes corporativas para eliminar las webshells dejadas atrás por las infecciones que los ciberdelincuentes podrían utilizar para lanzar nuevos ataques.
Previsiones y posible evolución de la ciberdelincuencia
La digitalización y la interconexión cada vez mayor entre dispositivos y cuentas no solo ofrece a los ciberdelincuentes más espacio para sus actividades, sino que la ciberdelincuencia atraviesa sin esfuerzos fronteras y continentes, lo cual dificulta su seguimiento.
También según la Oficina de la Policía Criminal Federal Alemana, la delincuencia se desplaza cada vez más hacia el espacio digital. En comparación con el año anterior, los delitos a través de Internet han aumentado un 8,7%, especialmente la ciberdelincuencia aumentó en 2020 un 7,9% en comparación con el año 2019.
En un estudio representativo de la asociación digital Bitkom quedaba claro que el 75% de las empresas encuestadas en 2018/2019 se vieron afectadas por ataques. En los años 2020/2021, esta cifra aumentó hasta un 88%. En el año 2018/2019, los daños económicos causados por robo, espionaje y sabotaje ascendieron a 103.000 millones de euros. A día de hoy, esa cifra se ha duplicado. Actualmente, los daños anuales ascienden a 223.000 millones de euros.
Según Bitkom, el principal causante de este enorme aumento es el ransomware. El malware de extorsión cifra los archivos de los ordenadores y otros sistemas y los inutiliza para, a continuación, chantajear a los operadores.
Los daños generados por ransomware se han más que cuadruplicado (+358%) en comparación con los años previos 2018/2019. Actualmente, una de cada diez empresas (9 %) ve amenazada su existencia por culpa de los ciberataques.
Una encuesta de Hornetsecurity entre más de 820 empresas demostró, además, que el 21 % de los encuestados ya había sido víctima de un ataque por ransomware.
Por lo tanto, a pesar del desmantelamiento de Emotet, las empresas no pueden respirar aliviadas. La ciberdelincuencia sigue siendo un negocio lucrativo, especialmente gracias a una interconexión cada vez mayor.
