La Pandemia del COVID-19 ha despertado un enorme interés entre los usuarios, trabajadores y empresas por la propia enfermedad y por otras muchas cuestiones más allá de la salud pública, desde la situación de confinamiento y cese de actividades que se produce en muchos países, hasta sus consecuencias económicas. Por eso, los datos de Google Trends muestran que las búsquedas en todo el mundo se multiplicaron hasta alcanzar su máximo valor (100) el pasado 15 de marzo.

grafico-covid

Este enorme interés ha sido aprovechado por los ciberatacantes como gancho de campañas maliciosas, que en muchos casos recurren a técnicas de ingeniería social para engañar a los empleados de las organizaciones. Así lo refleja el informe de Cytomic Ciberataques instrumentalizando el COVID-19 , basado en el análisis de cientos de detecciones de malware llevadas a cabo por nuestro laboratorio entre el 12 y el 25 de marzo. El estudio ha desglosado varios tipos de campañas.

 

Últimos ataques detectados_

Los ataques de phishing temáticos sobre COVID-19 continúan aumentando. Los ciberdelincuentes desarrollan de manera sofisticada webs creadas para la ocasión o campañas de sms que utilizan ganchos informativos sobre ayudas que se están poniendo en marcha desde las diferentes administraciones, sobre aspectos sanitarios suplantando entidades como la Organización Mundial de la Salud (OMS), o directamente proponiendo al receptor del mensaje su participación y colaboración en campañas de recaudación de fondos para luchar contra el COVID19.

Hemos detectado mensajes SMS que suplantan al Servicio Público de Empleo (SEPE), te avisan de que se ha aprobado un ERTE en tu empresa y te solicitan tus datos bancarios. También la identidad de la Seguridad Social se ha visto suplantada, aprovechando el momento de gran inestabilidad laboral que sufre un gran número de trabajadores. Con la excusa de recibir un supuesto reembolso, redirigen a la víctima a una página falsa simulando ser la legítima de la Seguridad Social, donde hacerse con los datos de su tarjeta de crédito.

Si has recibido un sms o correo electrónico de estas características, has accedido al enlace y facilitado tus datos personales y los de tu tarjeta bancaria, contacta lo antes posible con tu entidad bancaria para informarles de lo sucedido.

El grupo APT41 ha tratado de explotar, en los dos últimos meses, vulnerabilidades en dispositivos y aplicaciones de las compañías especializadas en soluciones tecnológicas empresariales B2B Cisco, Citrix y Zoho, aprovechando la situación de teletrabajo de muchas empresas ante la pandemia provocada por el COVID-19

También crece el número de aplicaciones que ocultan software malicioso en las que aparentemente lo que se ofrece es información sobre, por ejemplo, dónde adquirir material sanitario, o suplantando cadenas de alimentación ofreciendo cupones de descuento, tanto de supermercados como restaurantes con servicio de comida a domicilio, o con acceso al tracking en tiempo real de los casos de coronavirus que se están produciendo en todo el mundo. Según pasan los días estos ataques se vuelven más sofisticados, y se han detectado versiones falsificadas (con código malicioso) de aplicaciones legitimas sobre temática COVID19 desarrollada por entidades privadas o públicas.

Spam relativo al Coronavirus_

El equipo de analistas ha examinado mensajes de correo electrónico procedentes de todo el mundo. Muchos de estos tienen como remitente a organizaciones oficiales y en apariencia, contienen actualizaciones y recomendaciones relacionadas con la enfermedad. Pero como la mayoría de los ataques que utilizan el correo electrónico como vector, también incluyen archivos adjuntos maliciosos. En este sentido, los laboratorios de Cytomic han observado que suelen contener un dropper que descarga un binario en la ubicación del sistema C:\Users\user\AppData\Local\Temp\qeSw.exe y bajo el hash 258ED03A6E4D9012F8102C635A5E3DCD. Entre los ejemplos de este Spam cabe destacar por el título de su asunto:

  • “Últimas actualizaciones del Coronavirus”: Esta campaña fue detectada en el Reino Unido. El correo electrónico viene con un archivo adjunto en formato.dat que supuestamente contiene las últimas actualizaciones de COVID-19. Dicho archivo contiene un malware
  • “Coronavirus: información importante sobre precauciones”: en este caso, está dirigido a usuarios italianos, un país gravemente afectado por la pandemia. Incluye tanto el asunto como el cuerpo del correo electrónico el texto “Coronavirus: información importante sobre precauciones”. En el cuerpo del correo electrónico, el remitente afirma que el archivo adjunto es un documento preparado por la Organización Mundial de la Salud (OMS) y recomienda encarecidamente a los lectores que descarguen el archivo comprometido adjunto de Microsoft Word. El archivo malicioso contiene un troyano.
  • “Exclusiva: Vacuna para el Coronavirus detectada”: esta campaña en Portugal da un enlace a más información sobre la supuesta vacuna que en realidad contiene el malware.

Dominios maliciosos relacionados con el Coronavirus_

En el laboratorio de Cytomic también hemos detectado un aumento notable en los nombres de dominio que usan la palabra “corona” y que están combinadas con palabras que también suelen utilizar los usuarios en sus búsquedas orgánicas, tales como “vacuna” o “emergencia”. Exponemos una muestra mayor en el informe, pero cabe mencionar dominios como:

  • acccorona [.] com
  • alphacoronavirusvaccine [.] com
  • anticoronaproducts [.] com
  • beatingcorona [.] com
  • beatingcoronavirus [.] com
  • byebyecoronavirus [.] com
  • cdc-coronavirus [.] com
  • contra-coronavirus [.] com
  • corona-crisis [.] com
  • corona-emergencia [.] com
  • coronadetection [.] com

Prevención y soluciones avanzadas_

En el citado informe describimos con más detalle la naturaleza de estos ciberataques y proporcionamos más detalles para la comunidad de ciberseguridad, como los Indicadores de Compromiso. Pero, en cualquier caso, la principal línea de defensa contra estos ciberataques siempre la constituye la prevención, a través de la concienciación de los riesgos entre los empleados de la organización. Es por ello que conviene que los empleados sigan normas generales como:

  • No abrir archivos adjuntos de remitentes desconocidos.
  • No conectar dispositivos de almacenamiento que puedan ser inseguros.
  • Cambiar periódicamente las propias contraseñas.
  • Actualizar el sistema y las aplicaciones de terceros que emplee la organización.

Sin olvidar estas prácticas, las organizaciones deben tomar especiales precauciones en ciberseguridad si han habilitado políticas de teletrabajo, tal y como describimos en un blogpost anterior.

Por último, también conviene contar con soluciones avanzadas en el Endpoint que permitan prevenir los ciberataques de malware, tanto los conocidos como los desconocidos, que puedan utilizar el COVID-19 como gancho. En este sentido, los clientes de Cytomic pueden contar el servicio gestionado Zero-Trust Application que clasifica de todos los binarios antes de su ejecución y bloquea aquellos maliciosos. Este servicio habilita un mecanismo altamente eficiente y desatendido de detección y bloqueo de malware y ransomware, antes incluso de darle oportunidad a ejecutarse, independientemente de si son variantes nuevas o nuevos dominios de descarga, como en el caso de las variantes de malware COVID-19.

Además, las tecnologías Endpoint de Cytomic de detección de Indicadores de Ataque (IOA) por comportamiento y contexto detectan y bloquean comportamientos inusuales en los dispositivos protegidos, como la descarga desde un word de un ejecutable o el acceso a una URL desconocida o maliciosas, bloqueando inmediatamente el intento de compromiso, denegando la ejecución y la conexión.

Descarga el informe Ciberataques instrumentalizando el COVID-19: