Ciberamenazas durante la COVID-19, una investigación de la Telco Security Alliance

La Telco Security Alliance (TSA) está formada por AT&T (AT&T Cybersecurity), Etisalat (HelpAG), Singtel (Trustwave), SoftBank y Telefónica (ElevenPaths). Esta alianza tiene como objetivo ofrecer a las empresas información integral sobre ciberseguridad para ayudarlas a abordar la creciente amenaza de los ciberataques y el panorama de amenazas en evolución.

Tres de los miembros, a través de sus unidades de ciberseguridad (AT&T Cybersecurity (Alien Labs), Singtel (Trustwave) y Telefónica (ElevenPaths), han elaborado un informe con los descubrimientos más relevantes relacionados con la COVID-19 en los últimos meses.

Por parte de ElevenPaths han participado Miguel Ángel de Castro, José Ramón Palanco, Helene Aguirre Mindeguia y Sebastián García de Saint-Léger.

Evolución de las ciberamenazas durante la pandemia

El panorama de amenazas cibernéticas ha evolucionado rápidamente desde el comienzo de la pandemia de la COVID-19. Los miembros de la TSA han observado un fuerte aumento de la actividad maliciosa aprovechando la situación de vulnerabilidad de naciones y organizaciones.

Los ciberdelicuentes tratan cada vez más de beneficiarse financieramente con métodos oportunistas, obtienen acceso no autorizado a las redes para obtener beneficios estratégicos inmediatos y a largo plazo, y difunden información falsa con un objetivo político determinado. La TSA ha investigado a múltiples actores que actúan de forma continua en la esfera del cibercrimen y han atacado durante la pandemia a organizaciones privadas y agencias gubernamentales.

En última instancia, la pandemia de COVID-19 ha proporcionado nuevas oportunidades que los atacantes comenzaron a aprovechar rápidamente y seguirán haciéndolo durante el mayor tiempo posible. Tanto las organizaciones de protección contra el crimen como los estados nacionales han respondido históricamente a los eventos de gran escala de manera similar, sin embargo, el impacto en todo el mundo de COVID-19 ha elevado aparentemente el listón del valor operacional de los ataques.

Para dar una idea de este aumento, el crecimiento en el número de indicadores de compromiso (IoCs) relacionados con la COVID-19 compartidos por la TSA aumentó un 2000% solo entre febrero y marzo de este año.

A continuación, se puede ver la distribución por tipo de IoCs recogidos desde el comienzo de la pandemia:

Esta gráfica nos muestra el porcentaje del reparto de indicadores de compromiso y nos da una idea del tipo de actividad maliciosa que se ha generado a lo largo de la pandemia. Destaca notablemente el fragmento de los dominios maliciosos, que abarcan el 44% del total de indicadores y que denota la cantidad ingente de dominios que se han creado con fines fraudulentos.

Las ciberamenazas investigadas tienen múltiples intereses (económicos, conseguir acceso a sitios restringidos para tener ventajas estratégicas, desinformación, etc.)  y provienen de diferentes tipos de actores, como organizaciones criminales u organizaciones vinculadas con estados.

Aportes a la investigación de ElevenPaths

Vendetta ataca de nuevo: ataques de phishing alrededor del mundo

Un ejemplo del trabajo realizado por parte de los analistas de ElevenPaths fue el descubrimiento del grupo cibercriminal conocido como Vendetta centrado en campañas de phishing utilizando correo electrónico, principalmente utilizando la COVID-19, y activo en multitud de países como Taiwan, China, Australia, Egipto o México.

En concreto, se detectó un ataque de phishing a través de correos electrónicos haciéndose pasar por el director del Centro de Control y Prevención de enfermedades de Taiwán. En estos correos se informaba al receptor de ser sospechoso de estar infectado de COVID-19 tras haberse detectado casos positivos en su cercanía y le obligaba a someterse al test. Además, adjuntaban un archivo con las instrucciones sobre cómo hacerlo. Este archivo contenía malware con el que los atacantes infectaban a las víctimas.

Hustleking, escondiendo RATs en ZIPs

En este caso, HustlKing lanzó una campaña de email donde adjuntaban un ZIP ejecutable que en realidad contiene RATS (Remote Access Troyans) comprimidos. Para engañar a las víctimas, cambiaban el icono del zip por uno de PDF:

Estos RATs, son programas ejecutables que contienen Keyloggers, roban contraseñas, sirven para descargar otros payloads, y para descargar ramsonware. Una vez que la víctima hace click sobre el ZIP, este se ejecuta automáticamente y se hace persistente; esto es que, aunque se reinie, vuelve a arrancar con el equipo. Una vez que los programas se ejecutan en segundo plano y comienzan a robar la información, directamente se la comunicaban via Pastebin a un C&C (Comand and Control o Mando y control), que es una infraestructura mando y control que consta de servidores y otros elementos que son usados para controlar los malware.

Conclusiones de la investigación

En general, y como conclusión, cabe destacar el buen trabajo realizado por la industria de la ciberseguridad, que está tomando las acciones adecuadas para hacer frente al gran aumento de los ciberataques durante esta crisis sanitaria de escala global.

Como se ve en este informe, la pandemia de COVID-19 ha sido objeto de diversos abusos malintencionados por parte de grupos adversarios patrocinados tanto por estados como otros grupos oportunistas. A nivel mundial, los atacantes han desplazado los ataques a temas y objetivos centrados en COVID-19, y se espera que estos ataques sigan evolucionando hacia nuevas áreas que presenten la mayor probabilidad de éxito para completar la misión del adversario. Los atacantes oportunistas, que a menudo buscan beneficios económicos, vieron la pandemia convertirse en un tema ideal en los objetivos masivos, ya que COVID-19 ha sido universalmente el tema más importante.

---

Informe completo disponible aquí: