2020 fue un año bastante alejado de lo que denominamos típico, y se siente bien escribir sobre él en tiempo pasado.

Como si realmente intentara demostrar algo, la pandemia cobró nuevo impulso en el último trimestre, provocando las mayores olas de contagios y más cuarentenas en todo el mundo. En medio del caos, los lanzamientos de vacunas tan esperados trajeron una sensación de alivio colectivo, o al menos una luz de esperanza en algún lugar de un futuro no muy lejano.

En el ciberespacio, los eventos también dieron un giro dramático hacia el final del año, cuando las noticias del ataque de cadena de suministro a SolarWinds se extendieron a lo largo de toda la industria. Con muchas víctimas de alto perfil, el incidente es un claro recordatorio del potencial alcance e impacto que tienen los ataques de cadena de suministro, los cuales son extremadamente difíciles de detectar y prevenir.

Si bien no todos son tan impactantes como el de SolarWinds, los ataques que apuntan a la cadena de suministro se están convirtiendo en una tendencia importante: solo en el cuarto trimestre, ESET descubrió la misma cantidad de ataques de cadena de suministro que los que toda la industria registró anualmente hace unos pocos años atrás. Y se espera que su número continúe creciendo en el futuro, sobre todo al ver cuánto pueden ganar los ciberdelincuentes con este tipo de ataques.

Sin embargo, afortunadamente, los actores de amenazas no son los únicos que se mueven a la ofensiva. En octubre de 2020, ESET participó en una campaña de disrupción global dirigida a TrickBot, una de las botnets más grandes y duraderas. Gracias al esfuerzo conjunto de todos los que participaron en esta operación, TrickBot recibió un duro golpe y sufrió la interrupción del 94% de sus servidores en una sola semana.

Ataques al RDP

Dado que el teletrabajo es la nueva normalidad en muchos sectores (uno de los cambios más grandes provocados por la pandemia), el enorme crecimiento del 768% de los ataques al RDP entre el primer y el último trimestre de 2020 no es una sorpresa. A medida que mejore la seguridad en el contexto del teletrabajo, se espera que el crecimiento de este tipo de ataques disminuya. De hecho, algunas señales de esto las hemos visto en el último trimestre del 2020. Una de las razones más apremiantes para prestar atención a la seguridad del RDP es el ransomware (una amenaza comúnmente implantada a través de exploits de RDP), que representa un gran riesgo tanto para el sector público como el privado.

Ransomware

En el último cuarto de 2020, los ultimátum hechos por las bandas de ransomware fueron más agresivos que nunca, y los actores de amenazas exigieron probablemente los montos más altos hasta la fecha para el pago de los rescates. Y mientras que el ransomware Maze, un pionero en combinar ataques de ransomware con la estrategia del doxing, dejó de operar en el último trimestre, otros actores de amenazas agregaron técnicas cada vez más agresivas para aumentar la presión sobre sus víctimas. Al ver los turbulentos desarrollos en la escena del ransomware a lo largo de 2020, no hay nada que sugiera que estos ataques desenfrenados no continuarán en 2021.

Malware bancario

El crecimiento del ransomware podría haber sido un factor importante en la disminución del malware bancario; un descenso que solo se intensificó durante el último cuarto del año. El ransomware y otras actividades maliciosas son simplemente más rentables que el malware bancario, y en el caso de esta última los operadores de este tipo de amenazas tienen que lidiar con el aumento de la seguridad en el sector bancario. Sin embargo, hubo una excepción a esta tendencia: el malware bancario para Android registró los niveles de detección más altos de 2020 en el trimestre final, impulsado por la filtración del código fuente del troyano Cerberus.

En el caso de los troyanos bancarios de América Latina, familias de troyanos que hemos estado analizando en una serie de artículos y que hemos demostrado la cooperación que existe entre los operadores de los distintos malware bancarios, las mismas han expandido su territorio y han comenzado a apuntar en 2020 a Estados Unidos y a varios países de Europa, además de América Latina.

El COVID-19 como señuelo en ataques de phishing

Con la pandemia creando un terreno fértil para todo tipo de actividades maliciosas, era casi obvio que los estafadores que utilizan el correo electrónico no iban a querer quedarse fuera. Nuestra telemetría mostró que el COVID-19 se utilizó como señuelos en correos electrónicos maliciosos durante todo el 2020. En este sentido, durante el último cuarto del año también se vio un aumento en las estafas que utilizaron el tema de las vacunas como señuelo, una tendencia que se espera que continúe en 2021.

En el caso de las amenazas web, sección del Informe que comprende categoría de amenazas como Phishing o sitios web fraudulentos, Perú y México, junto a Rusia, Japón y Estados Unidos fueron los países en los que se registró la mayor cantidad de bloqueos de sitios web maliciosos durante 2020.

En el caso de los correos maliciosos, durante el último cuarto del año las temáticas que más observamos en los asuntos de estos correos maliciosos estuvieron relacionados a: reclamos de pagos, facturas o confirmaciones de compra, envío de paquetería, transferencias de dinero y el COVID-19. Por otra parte, vale la pena destacar que durante el 2020, después de China y Vietnam, que fueron los países desde los cuales se registró el envío de más de la mitad de todos los correos maliciosos, le siguieron Argentina y Lituania con el 40%, mientras que Brasil registró un tercio de los correos enviados.

Mineros de criptomonedas

El valor de bitcoin se disparó a fines de 2020 de forma similar a lo que fue el boom de las criptomonedas en 2017. Este crecimiento fue acompañado por un ligero aumento en las detecciones de mineros de criptomonedas, el primero crecimiento desde octubre de 2018.

En 2020, después de Tailandia, dos países de América Latina estuvieron entre los tres de países entre los que se registró la mayor actividad de mineros de criptomonedas a nivel global. Estos fueron Perú (10%) y Ecuador (5%).

Si las criptomonedas continúan creciendo, podemos esperar que el malware dirigido a criptomonedas, el phishing y las estafas se vuelvan más frecuentes.

Investigaciones durante el último trimestre de 2020

El último trimestre de 2020 también se conocieron varios hallazgos producto de la investigación, con los investigadores de ESET descubriendo una serie de ataques de cadena de suministro: un ataque del grupo Lazarus en Corea del Sur, un ataque de cadena de suministro en Mongolia llamado Operación StealthyTrident y el ataque de cadena de suministro Operación SignSight contra una autoridad de certificación en Vietnam. Nuestros investigadores también descubrieron Crutch (un backdoor de Turla previamente indocumentado) y XDSpy, un grupo de APT que opera de manera encubierta al menos desde 2011.

ESET continúa contribuyendo activamente a la base de conocimientos de MITRE ATT&CK, en la que se agregaron cinco entradas de ESET en la actualización de octubre. Y, como siempre, los investigadores de ESET aprovecharon múltiples oportunidades para compartir su experiencia en varias conferencias virtuales durante el último trimestre del 2020, hablando en Black Hat Asia, AVAR, CODE BLUE y muchas otras.

El Informe de amenazas del cuarto trimestre de 2020 ofrece no solo una descripción general del panorama de amenazas del último cuarto de 2020, sino también comentarios sobre las tendencias más ampliamente observadas a lo largo del 2020, así como las predicciones para 2021 de los especialistas en investigación y detección de malware de ESET. Para aquellos especialmente interesados ​​en las actualizaciones de investigación de ESET, el informe también proporciona información no publicada anteriormente sobre las operaciones de grupos de APT, como Operación In(ter)ception, InvisiMole, PipeMon y más.

Siga ESET research en Twitter  para obtener actualizaciones periódicas sobre las principales tendencias y amenazas.