Luego de haber transcurrido medio año que incluyó el brote del COVID-19, varios países del mundo ahora están en un proceso de adaptación hacia la nueva normalidad. Y si bien el pánico ya no es el inicial y muchos países han flexibilizado sus restricciones, los ciberataques que explotan la pandemia no mostraron signos de desaceleración en el segundo trimestre de 2020.
Nuestros especialistas vieron una afluencia continua de campañas que utilizan como señuelo el tema del COVID-19 en ataques a sitios web y a través del correo electrónico, con estafadores tratando de sacar el máximo provecho a esta crisis sanitaria. A nivel global, la telemetría de ESET también mostró un aumento en los correos de phishing que se hacen pasar por DHL, uno de los servicios de entrega de paquetes líderes en el mundo, (un aumento de diez veces en comparación con el primer trimestre) dirigidos a compradores en línea. El aumento de los ataques contra el protocolo de escritorio remoto (RDP, por sus siglas en inglés) – cuya seguridad sigue siendo a menudo descuidada- continuó en el segundo trimestre de este año, con persistentes intentos para establecer conexiones RDP que se duplicaron desde el comienzo del año.
La escena del ransomware fue una de las áreas de más rápido desarrollo en el segundo trimestre, con algunos operadores abandonando la tendencia, todavía bastante nueva, de doxing y filtración de datos aleatorios, y pasando a subastar los datos robados en la dark web e incluso formando "cárteles" para atraer a más compradores.
El ransomware también hizo su aparición en la plataforma para Android bajo el disfraz de una aplicación de rastreo de contactos de COVID-19 dirigida a usuarios de Canadá. Los investigadores de ESET detuvieron rápidamente esta campaña y proporcionaron un descifrador para las víctimas. Entre muchos otros hallazgos, nuestros investigadores descubrieron Operation Inter(ter)ception, que estaba dirigida a compañías aeroespaciales y militares de alto perfil; revelaron el modus operandi del elusivo grupo InvisiMole; y analizaron Ramsay, un framework de ciberespionaje diseñado para comprometer redes aisladas. En América Latina, los investigadores de ESET también descubrieron la botnet VictoryGate utilizada principalmente para minar criptomonedas y colaboraron para su posterior disrupción.
Además de incluir resúmenes de estos hallazgos, este informe cuenta con actualizaciones exclusivas de varias investigaciones de ESET que no fueron publicadas previamente, con un enfoque especial en las investigaciones relacionadas a las operaciones de grupos de APT -ver las secciones “Noticias del laboratorio” y Actividades de grupos de APT”.
Por otra parte, además de los datos globales, en su versión en español el reporte también incluye datos específicos de América Latina, como son las 10 principales detecciones de malware para la región, el comportamiento que ha tenido el ransomware donde cuatro familias concentran más del 70% de las detecciones para este tipo de código malicioso, así como los exploits más detectados en este segundo trimestre de 2020.
Durante la primera mitad de 2020, ESET también contribuyó activamente a la base de conocimientos de MITRE ATT&CK en su versión renovada y recientemente lanzada con subtécnicas. La última actualización de ATT&CK incluye cuatro nuevas contribuciones de ESET.
Y finalmente, después de un descanso, este trimestre ha visto tomar forma nuevos planes de conferencias, aunque con lugares llenos reemplazados por transmisiones virtuales en las que ya hemos participado a través de charlas y talleres, como es el caso de BlackHat USA, e invitarlos a otras que tendrán lugar durante los próximos meses, como BlackHat Asia o VB2020, entre otras.