Hewlett-Packard Company anunció que el equipo de investigación de amenazas de HP Wolf Security identificó un aumento de 27 veces en las detecciones del spam malicioso de Emotet durante el primer trimestre de 2022, comparado con el cuarto trimestre de 2021 cuando Emotet hizo su primera reaparición.
El más reciente Informe Global de Inteligencia sobre Amenazas Cibernéticas de HP Wolf Security —el cual ofrece un análisis de los ataques de ciberseguridad en el mundo real— muestra que Emotet se ha catapultado 36 lugares al frente para convertirse en la familia de malware más común detectada en este trimestre (representando el 9% de todo el malware capturado).
Una de estas campañas —dirigida a organizaciones japonesas e que implicaba el secuestro de cadenas de correo electrónico para engañar a los destinatarios e infectar sus PCs— fue en gran parte responsable de un aumento del 879% en las muestras de malware .XLSM (Microsoft Excel) que fueron capturadas, comparado con el trimestre anterior.
Al aislar las amenazas que han evadido las herramientas de detección y han llegado a los puntos finales de los usuarios, HP Wolf Security obtiene conocimientos específicos sobre las últimas técnicas que están siendo utilizadas por los cibercriminales.
Estos son algunos de los ejemplos más relevantes:
- Las alternativas sigilosas en lugar de documentos maliciosos de Microsoft Office, se están volviendo cada vez más populares, ya que las macros comienzan a eliminarse gradualmente: Ahora que Microsoft ha comenzado a deshabilitar macros, HP ha observado un aumento en los formatos no basados en Office, incluidos los archivos maliciosos Java Archive (+476) y JavaScript (+42%), en comparación con el trimestre anterior. Dichos ataques son más difíciles de defender para las organizaciones porque las tasas de detección para este tipo de archivos suelen ser bajas, lo cual aumenta la posibilidad de infección.
- Los signos indican que el contrabando de HTML va en aumento: El tamaño medio de los archivos de las amenazas HTML creció de 3 KB a 12 KB; esto sugiere un aumento en el uso del contrabando de HTML, una técnica donde los cibercriminales insertan malware directamente en los archivos HTML para eludir las puertas de enlace de correo electrónico y evadir la detección, antes de obtener acceso y robar información financiera crítica. Se observaron campañas recientes dirigidas a bancos latinoamericanos y africanos.
- La campaña de malware de “dos por uno” conduce a múltiples infecciones de RAT: Se descubrió el uso de un ataque de Visual Basic Script para iniciar una cadena de destrucción que generaba múltiples infecciones en el mismo dispositivo, proporcionando a los atacantes un acceso persistente a los sistemas de las víctimas con VW0rm, NjRAT y AsyncRAT.
“Nuestros datos del primer trimestre muestran que esta es, por mucho, la mayor actividad que hemos visto de Emotet desde que el grupo se vio afectado a principios de 2021; una clara señal de que sus operadores se están reagrupando, recuperando su fuerza e invirtiendo en el crecimiento de la red de bots. Emotet llegó a ser descrito por CISA como uno de los programas maliciosos más destructivos y costosos para remediar, y sus operadores colaboran frecuentemente con grupos de ransomware. Podemos anticipar que este patrón seguirá presentándose. Su resurgimiento representa malas noticias para las empresas y el sector público,” así lo explicó Alex Holland, analista senior de malware del equipo de investigación de amenazas cibernéticas de HP Wolf Security en HP Inc.
“Emotet también continuó favoreciendo los ataques habilitados por macros, quizás para que se recibieran ataques antes de la fecha límite fijada por Microsoft en el mes de abril, o simplemente porque las personas todavía tienen macros habilitadas y se les puede engañar para que hagan clic en un lugar incorrecto.”
Los resultados se basan en datos de muchos millones de dispositivos de punto final que ejecutan HP Wolf Security, el cual rastrea el malware mediante la apertura de tareas riesgosas en micro máquinas virtuales (micro-VMs) aisladas para proteger al usuario y, de igual manera, comprender y capturar la cadena completa de intentos de infección, mitigando las amenazas que escaparon de otras herramientas de seguridad.
A la fecha, los usuarios de HP han hecho clic en más de 18 mil millones de archivos adjuntos de correo electrónico, páginas web y descargas sin infracciones notificadas. Estos datos ofrecen conocimientos únicos sobre la forma en como los actores de amenazas usan el malware en su día a día.
Otros resultados clave del informe incluyen:
- El 9% de las amenazas no se habían visto antes del momento en que fueron aisladas, con el 14% de malware de correo electrónico aislado después de haber eludido por lo menos un escáner de puerta de enlace de correo electrónico.
- Se tardó más de 3 días (79 horas), en promedio, para ser conocido mediante hash por otras herramientas de seguridad.
- El 45% del malware aislado por HP Wolf Security correspondió a formatos de archivo de Office. · Las amenazas utilizaron 545 familias de malware distintas en sus intentos por infectar a las organizaciones, con Emotet, AgentTesla y Nemucod como las tres principales.
- Una vulnerabilidad del Editor de Ecuaciones de Microsoft (CVE-2017-11882) representó el 18% de todas las muestras maliciosas capturadas.
- El 69% del malware detectado se entregó vía correo electrónico, mientras que las descargas web fueron responsables del 18%. Los archivos adjuntos más comunes utilizados para entregar malware fueron documentos (29%), archivos (28%), ejecutables (21%) y hojas de cálculo (20%).
- Los archivos adjuntos más comunes para entregar malware fueron hojas de cálculo (33%), ejecutables y scripts (29%), archivos (22%) y documentos (11%).
- Los señuelos de phishing más comunes fueron las transacciones comerciales como “Pedido”, “Pago”, “Compra”, “Solicitud” y “Factura”.