Los atacantes continúan explotando los temores de la gente sobre la pandemia de COVID-19 para aumentar la tasa de éxito de sus campañas maliciosas, incluso en el espacio empresarial. Una nueva investigación de compañías de seguridad muestra que los ciberdelincuentes están centrando sus ataques en los países y regiones que fueron más afectados por el coronavirus y en las verticales de la industria que están bajo una gran presión económica.
Con muchos empleados trabajando desde casa, a menudo desde dispositivos personales, el riesgo de infecciones de malware y compromisos de credenciales es significativamente mayor. Las empresas deben tomar medidas para garantizar que el acceso remoto a sus aplicaciones y datos corporativos se supervise cuidadosamente, siga los principios de privilegios mínimos y se realice desde dispositivos seguros utilizando autenticación de factores múltiples (MFA).
Un aumento en los dominios relacionados con COVID-19
Según un nuevo informe de Palo Alto Networks , entre el 9 de marzo y el 26 de abril se registraron más de 1.2 millones de nombres de dominio que contienen palabras clave relacionadas con la pandemia COVID-19. De ellos, más de 86,600 fueron clasificados como riesgosos o maliciosos con altas concentraciones alojadas en los Estados Unidos (29,007), Italia (2,877), Alemania (2,564) y Rusia (2,456). En promedio, se crean 1,767 nuevos dominios temáticos COVID-19 maliciosos todos los días.
«Durante nuestra investigación, notamos que algunos dominios maliciosos se resuelven en múltiples direcciones IP, y algunas direcciones IP están asociadas con múltiples dominios», dijeron los investigadores de Palo Alto. «Esta asignación de muchos a muchos a menudo ocurre en entornos de nube debido al uso de redes de entrega de contenido (CDN) y puede hacer que los firewalls basados en IP sean ineficaces».
Las CDN reducen la latencia y mejoran el rendimiento del sitio web al dirigir a los visitantes del sitio web a su servidor de borde regional más cercano. Esos servidores perimetrales entregan versiones en caché de los sitios, lo que quita la carga de sus servidores de origen. Los atacantes pueden aprovechar este comportamiento de mejora del rendimiento para cubrirse, ocultando sus sitios web maliciosos entre los legítimos y haciendo que sea más difícil para los defensores bloquearlos. Esto se debe a que incluir en la lista negra la dirección IP de un servidor perimetral CDN en un firewall también bloqueará los nombres de dominio no maliciosos que apuntan al mismo servidor.
Otra consecuencia del uso de CDN y servicios de alojamiento basados en la nube es que los nombres de dominio están configurados con múltiples registros DNS A que apuntan a varias direcciones IP. Esto se hace por redundancia, pero también para dirigir las computadoras al servidor más cercano cuando realizan búsquedas de DNS. Esto también dificulta el bloqueo de sitios web maliciosos por dirección IP, ya que pueden apuntar a otros diferentes dependiendo de la geolocalización del cliente.
«Una IP en la lista negra en un firewall de capa 3 puede fallar al bloquear el tráfico hacia / desde un dominio malicioso, mientras que involuntariamente hace que muchos otros dominios benignos sean inalcanzables», dijeron los investigadores de Palo Alto. «Es necesario un firewall de capa 7 más inteligente para inspeccionar los nombres de dominio en la capa de aplicación y pasar o bloquear sesiones selectivamente».
Los datos de la compañía muestran que 2.829 dominios COVID-19 maliciosos se alojaron en nubes públicas, o alrededor del 5% del total. Este número es relativamente bajo, lo que podría deberse a que los proveedores de la nube tienen una detección más rigurosa, pero muestra que algunos atacantes están dispuestos a correr ese riesgo para tener una mejor oportunidad de no ser bloqueados por los firewalls corporativos.
La firma de seguridad Bitdefender analizó la evolución de las amenazas temáticas de coronavirus a lo largo de marzo y abril y, basándose en su telemetría, descubrió que los atacantes tienden a centrar sus campañas en los países y regiones más afectados por el virus.
«Los países que tienen el mayor número de informes con temática de coronavirus también parecen haber sido los más afectados por la pandemia», dijo la compañía en su informe . «Por ejemplo, los principales países que informaron el mayor número de informes de malware temático incluyen Estados Unidos, Italia y el Reino Unido».
Cuando se trata de los sectores verticales más específicos de la industria, los atacantes parecen centrarse en sectores que se vieron muy afectados por la pandemia o que están tratando de hacer frente a una mayor demanda y una escasez de trabajadores. Durante abril, las verticales más específicas fueron minorista, transporte, fabricación, educación e investigación, gobierno, servicios financieros, ingeniería, tecnología, productos químicos y alimentos y bebidas. La razón por la cual la atención médica no se encuentra entre los 10 principales podría deberse a que la industria de la atención médica no tiene tantos actores y, por lo tanto, objetivos, como los otros sectores.
«Dado que esta telemetría se basa estrictamente en informes con temática de coronavirus, no excluye la posibilidad de que la atención médica y otras verticales hayan visto un aumento en otros tipos de malware, como el ransomware», dijo Bitdefender.
La telemetría de la compañía muestra que los ciberdelincuentes siguieron las tendencias de infección por coronavirus al enfocarse en Europa durante gran parte de marzo y luego dirigieron su atención a los EE. UU. En abril a medida que la cantidad de nuevos casos explotó allí, lo que hizo que sea más probable que las personas hagan clic en enlaces archivos adjuntos abiertos que ofrecen más información sobre la pandemia. Los correos electrónicos de phishing observados por Bitdefender a menudo se hicieron pasar por organizaciones globales como la OMS, la OTAN y el UNICEF.
«La pandemia global del SARS-CoV-2 (COVID-19) no va a desaparecer en el corto plazo y es probable que los cibercriminales continúen explotando y aprovechando la crisis para su propio beneficio», dijo la compañía. «Las amenazas con temática de coronavirus probablemente continuarán bajo la forma de correos electrónicos de phishing, URL fraudulentos y aplicaciones maliciosas de eventos, todas explotando el miedo y la información errónea para engañar a las víctimas para que involuntariamente den información personal, confidencial o financiera».
