¿Cómo se infiltran los atacantes en las administraciones públicas?

InicioCiberseguridad¿Cómo se infiltran los atacantes en las administraciones públicas?

VirusTotal ha publicado el informe «El engaño a escala: cómo se infiltran los atacantes en las infraestructuras de las administraciones públicas».

Este informe es el tercero de una serie sobre el panorama de amenazas actuales, y tiene la finalidad de ayudar a entender mejor cómo están evolucionando los ataques mediante software malicioso. En esta ocasión, VirusTotal repasa la infiltración de atacantes en la infraestructura informática de los organismos públicos y entre sus principales hallazgos: 

  • Los dominios pertenecientes a organismos públicos gozan de una confianza implícita y, por tanto, los usuarios suelen presuponer que son seguros.
  • Se han identificado decenas de dominios de organismos públicos con presencia de software malicioso, como troyanos, ransomware, entre otros.
  • Se han identificado rastros de distintas webshells alojadas en decenas de dominios de organismos públicos.

Metodología

Virus Total se basa en contribuciones colaborativas, que brindan una imagen valiosa de cómo se propagan y evolucionan los diferentes ataques. Todos los datos de este informe se compilan utilizando un subconjunto representativo de envíos de nuestros usuarios.

La relevancia de las muestras observadas y detectadas como maliciosas varía a lo largo del año. Pequeños cambios en muestras maliciosas impulsados por variaciones en los contribuyentes, polimorfismo y rastreadores externos pueden generar detecciones significativamente más únicas.

Abuso de la infraestructura relacionada con el gobierno

Después del anterior informe Deception at Scale, que se centró en cómo el malware abusa de la confianza, desde Virus Total ha explorado con más detalle cómo los atacantes abusaron de algunos dominios especialmente sensibles.

En particular, han analizado los dominios relacionados con el gobierno y el tipo de actividad maliciosa en la que estaban involucrados. Este informe ofrece ejemplos detallados, así como análisis resumidos de tales ataques.

¿Qué tipo de dominios son los más abusados por los atacantes?

Ha utilizado la categorización de dominios antivirus, proporcionada por varios proveedores en VirusTotal y soluciones adicionales de filtrado de contenido, para identificar las categorías (según el sector económico al que pertenecen) más propensas al abuso.

Aunque los veredictos de los proveedores de antivirus para los dominios son más simples que los que brindan para las muestras, la información que brindan es valiosa. El siguiente gráfico muestra la evolución de las detecciones sobre dominios sospechosos entre 2022 y años anteriores, donde Virus Total ha observado un aumento en el porcentaje de dominios categorizados como phishing.

Las categorías de dominios de proveedores de antivirus también brindan información sobre la naturaleza del dominio sospechoso. Después de normalizar y limpiar los datos, el siguiente cuadro muestra las principales categorías de dominios sospechosos para 2022:

Cómo se infiltran los atacantes en las administraciones públicas.

Principales categorías de dominio abusadas por los atacantes en 2022
Principales categorías de dominio abusadas por los atacantes en 2022

El gráfico está limitado por las categorías proporcionadas por el software antivirus. Se esperaba que el alojamiento web, por su naturaleza, fuera ampliamente abusado, seguido en diferente escala por los blogs.

Desafortunadamente, la categoría Economía/Negocios parece ser demasiado amplia en sus criterios de segmentación para ofrecer alguna posibilidad de análisis significativo.

Las instituciones educativas son objetivos habituales tanto de ataques dirigidos como oportunistas, pero se encuentran en un nivel similar en comparación con el resto de las categorías. Hay que subrayar que la categoría Gobierno también aparece como una de las más maltratadas por encima de otras categorías como foros, inmobiliaria o estilo de vida.

Los dominios se pueden etiquetar como sospechosos por varias razones, incluida la propagación de malware. El siguiente cuadro proporciona un desglose de los tipos de archivos sospechosos encontrados distribuidos libremente por los dominios sospechosos anteriores:

PDF es el tipo de archivo más comúnmente distribuido enviado desde dominios sospechosos y utilizado para la distribución de malware y phishing. Los archivos ejecutables de Windows son el segundo tipo de archivo más común, seguidos de HTML, que a menudo corresponde a sitios maliciosos que intentan infectar a los visitantes, similar a Javascript en quinto lugar.

Android muestra una imagen diferente, ya que la mayoría de las muestras encontradas se distribuyeron a través de mercados impúdicos (la mayoría de ellos de China) y, en el 85 % de los casos, los antivirus las detectan como posibles aplicaciones no deseadas o adware. Hay que señalar que la presencia del formato XLSX en esta lista junto con la ausencia de DOCX, que es una tendencia que ya se observó en el informe anterior Tendencias de malware.

Al comparar la tendencia genérica de distribución de archivos sospechosos con los dominios gubernamentales, existe una gran diferencia en el porcentaje de archivos PDF (81 % de dominios genéricos frente a 57 % de dominios gubernamentales).

Naturalmente, esto da como resultado un aumento para todos los demás tipos de archivos distribuidos desde dominios relacionados con el gobierno. Esto es especialmente notable para los archivos ejecutables de Windows, Javascript y XLSX (3 veces más) y para ZIP (4,5 veces más).

Aparte de los tipos de archivo, también es importante saber qué tan «frescas» son las muestras distribuidas. El siguiente gráfico muestra el porcentaje de muestras por tipo que se observan por primera vez en VirusTotal en 2022:

Cómo se infiltran los atacantes en las administraciones públicas.

Malware distribuido en la naturaleza en 2022 'frescura' por tipo de archivo (%)
Malware distribuido en la naturaleza ‘frescura’ en 2022 por tipo de archivo (%)

XLSX es el primero en este gráfico, duplicando la tendencia de distribución discutida anteriormente. Se esperaba que HTML fuera el formato «más nuevo» por su naturaleza, pero, sorprendentemente, las DLL ocupan esta posición incluso por encima de las PE (por 20 puntos porcentuales).

Las muestras de Android, también por su naturaleza de distribución principalmente a través de mercados, parecen no actualizarse con tanta frecuencia. Para todos los tipos distribuidos en la naturaleza, excepto Android, VirusTotal vio más del 75% de ellos por primera vez durante 2022.

Como resumen rápido, Virus Total ha observado sitios web gubernamentales en las principales categorías de distribución de contenido malicioso. Durante el año, se observa un crecimiento general en la distribución de phishing.

PDF es el formato más popular encontrado para distribuir contenido malicioso en la naturaleza. XLSX está reemplazando rápidamente otros formatos de oficina para la distribución de malware.

Cuando los atacantes tienen la oportunidad de comprometer la infraestructura del gobierno, aprovechan agresivamente la oportunidad para distribuir ejecutables de malware.

Dominios relacionados con el gobierno

Los dominios pertenecientes a cualquier institución relacionada con el gobierno, por razones obvias, son un objetivo buscado por los atacantes. Esto no significa necesariamente que estos dominios sean el objetivo final del ataque, o que los atacantes pertenezcan a algún grupo APT.

Aunque este también podría ser el caso, se encuentran ejemplos en los que las víctimas parecen ser el objetivo de ataques oportunistas de ciberdelincuentes, o en los que los atacantes simplemente las usaron como trampolín para una campaña en curso.

En esta sección, VirusTotal recopila varios ejemplos representativos interesantes que encontramos al analizar en detalle diferentes actividades sospechosas relacionadas con el gobierno.

El siguiente cuadro muestra los TLD principales para los dominios sospechosos relacionados con el gobierno que encontramos en VirusTotal en 2022. Han decidido excluir los TLD no específicos (como .com, .net, .org, etc.) de esta lista:

La lista anterior se basa en dominios sospechosos según el antivirus, por lo que existe una probabilidad relativamente alta de falsos positivos.

Para el resto de esta sección, Virus Total ha verificado dos veces manualmente diferentes casos representativos interesantes sobre cómo los atacantes abusaron de los dominios relacionados con el gobierno en diferentes escenarios.

Reflexiones finales

Los ataques de malware y phishing a través de sitios relacionados con el gobierno representan una gran amenaza potencial dada la confianza implícita que representan estos dominios.

Los atacantes que los incluyen como parte de su infraestructura incluyen tanto ataques oportunistas como dirigidos. VirusTotal encontró malware distribuido desde cientos de sitios gubernamentales en más de 50 territorios.

Los sitios abusados incluyen phishing, distribución de malware y sitios potencialmente comprometidos.

Hay muchos sitios que parecen carecer de mantenimiento regular o utilizan sistemas vulnerables que permiten a los atacantes alojar su malware. En algunos casos, es probable que el compromiso se haya producido de forma automática sin que el atacante supiera que estaba abusando de las instituciones gubernamentales.

En algunos otros casos, se cree que los atacantes usaron sitios infectados como parte de su infraestructura para alojar malware temporalmente como parte de los ataques continuos. Esto tiene ventajas para los atacantes, como minimizar la posibilidad de activar alarmas o crear esquemas de ingeniería social más convincentes.

Virus Total sugiere varias ideas para minimizar los riesgos más comunes:

  • Actualiza periódicamente los sitios web gubernamentales, especialmente los sistemas de administración de contenido (CMS), para abordar las vulnerabilidades.
  • Supervisa activamente la infraestructura gubernamental en busca de anomalías, como malware que se comunica activamente con ellos o subdominios que alojan archivos con veredictos maliciosos.
  • Escanea regularmente todos los archivos alojados en la infraestructura del gobierno, especialmente en subdominios y sitios personales. No descartes el phishing, ya que puede usarse en esquemas de ingeniería social.
  • Piensa que el tráfico de dominios confiables puede ser malicioso, ya que la infraestructura se puede usar para alojar herramientas de movimiento lateral u otros conjuntos de herramientas maliciosas avanzadas.
  • En caso de encontrar algo sospechoso, pero especialmente en caso de encontrar webshells o herramientas de movimiento lateral en la infraestructura, asume compromiso y considera una investigación completa.

¿Nos ayudas a compartirlo?