COVID-19 explotado por actores cibernéticos maliciosos

Esta es una alerta conjunta de la Agencia de Seguridad Cibernética e Infraestructura (CISA) del Departamento de Seguridad Nacional de los Estados Unidos (DHS) y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido.
Esta alerta proporciona información sobre la explotación por parte de ciberdelincuentes y grupos de amenazas persistentes avanzadas (APT) de la actual pandemia mundial de la enfermedad del coronavirus 2019 (COVID-19). Incluye una lista no exhaustiva de indicadores de compromiso (IOC) para la detección, así como consejos de mitigación.
Tanto CISA como NCSC están experimentando un uso cada vez mayor de temas relacionados con COVID-19 por parte de ciber actores malintencionados. Al mismo tiempo, el aumento del teletrabajo ha aumentado el uso de servicios potencialmente vulnerables, como las redes privadas virtuales (VPN), lo que amplifica la amenaza para las personas y las organizaciones.
Los grupos de APT y los ciberdelincuentes se dirigen a personas, pequeñas y medianas empresas y grandes organizaciones con estafas y correos electrónicos de phishing relacionados con COVID-19. Esta alerta proporciona una descripción general de la actividad cibernética maliciosa relacionada con COVID-19 y ofrece consejos prácticos que las personas y las organizaciones pueden seguir para reducir el riesgo de verse afectados. Los IOC proporcionados en los archivos .csv y .stix adjuntos a esta alerta se basan en análisis de CISA, NCSC y la industria.
Nota: esta es una situación de rápido movimiento y esta alerta no busca catalogar toda la actividad cibernética maliciosa relacionada con COVID-19. Las personas y las organizaciones deben permanecer alerta al aumento de la actividad relacionada con COVID-19 y tomar medidas proactivas para protegerse.
Detalles técnicos
Resumen de ataques
Los grupos de APT están utilizando la pandemia COVID-19 como parte de sus operaciones cibernéticas. Estos actores de amenazas cibernéticas a menudo se harán pasar por entidades confiables. Su actividad incluye el uso de mensajes de phishing con temas de coronavirus o aplicaciones maliciosas, a menudo disfrazadas de entidades confiables que pueden haber sido comprometidas previamente. Sus metas y objetivos son consistentes con prioridades de larga data, como el espionaje y las operaciones de “piratería y filtración”.
Los ciberdelincuentes están utilizando la pandemia para obtener beneficios comerciales, implementando una variedad de ransomware y otro malware.
Es probable que tanto los grupos de APT como los ciberdelincuentes sigan explotando la pandemia de COVID-19 durante las próximas semanas y meses. Las amenazas observadas incluyen:
- Phishing, utilizando el tema del coronavirus o COVID-19 como señuelo,
- Distribución de malware, usando señuelos con temática de coronavirus o COVID-19,
- Registro de nuevos nombres de dominio que contengan textos relacionados con coronavirus o COVID-19, y
- Ataques contra la infraestructura de teletrabajo y acceso remoto recientemente implementada, ya menudo rápidamente.
Los actores cibernéticos maliciosos se basan en métodos básicos de ingeniería social para atraer a un usuario a realizar una acción específica. Estos actores se están aprovechando de rasgos humanos como la curiosidad y la preocupación por la pandemia del coronavirus para persuadir a las víctimas potenciales de:
- Haga clic en un enlace o descargue una aplicación que pueda conducir a un sitio web de phishing o la descarga de malware, incluido el ransomware.
- Por ejemplo, una aplicación maliciosa de Android pretende proporcionar un rastreador de brotes de coronavirus en tiempo real, pero en su lugar intenta engañar al usuario para que proporcione acceso administrativo para instalar el ransomware “CovidLock” en su dispositivo. [1]
- Abra un archivo (como un archivo adjunto de correo electrónico) que contenga malware.
- Por ejemplo, las líneas de asunto del correo electrónico contienen frases relacionadas con COVID-19 como “Actualización de coronavirus” o “2019-nCov: brote de coronavirus en su ciudad (emergencia)”.
Para crear la impresión de autenticidad, los ciberataques malintencionados pueden falsificar la información del remitente en un correo electrónico para que parezca que proviene de una fuente confiable, como la Organización Mundial de la Salud (OMS) o una persona con “Dr.” en su título. En varios ejemplos, los actores envían correos electrónicos de phishing que contienen enlaces a una página de inicio de sesión de correo electrónico falsa. Otros correos electrónicos pretenden ser del departamento de recursos humanos (RR.HH.) de una organización y aconsejan al empleado que abra el archivo adjunto.
Los archivos adjuntos maliciosos que contienen cargas útiles de malware se pueden nombrar con temas relacionados con el coronavirus o COVID-19, como “El presidente analiza los ahorros presupuestarios debido al coronavirus con Cabinet.rtf”.
Nota: en los archivos .csv y .stix adjuntos a esta alerta se proporciona una lista no exhaustiva de los COI relacionados con esta actividad.
Suplantación de identidad
CISA y NCSC han observado un gran volumen de campañas de phishing que utilizan las técnicas de ingeniería social descritas anteriormente.
Ejemplos de líneas de asunto de correo electrónico de phishing incluyen:
- Actualizaciones del coronavirus 2020,
- Actualizaciones de coronavirus,
- 2019-nCov: Nuevos casos confirmados en su ciudad, y
- 2019-nCov: Brote de coronavirus en su ciudad (Emergencia).
Estos correos electrónicos contienen una llamada a la acción, que anima a la víctima a visitar un sitio web que los ciberatacantes malintencionados utilizan para robar datos valiosos, como nombres de usuario y contraseñas, información de tarjetas de crédito y otra información personal.
Phishing por SMS
La mayoría de los intentos de phishing se realizan por correo electrónico, pero NCSC ha observado algunos intentos de realizar phishing por otros medios, incluidos los mensajes de texto (SMS).
Históricamente, el phishing por SMS a menudo ha utilizado incentivos financieros , incluidos pagos y reembolsos del gobierno (como una devolución de impuestos) , como parte del atractivo. El phishing relacionado con el coronavirus continúa con este tema financiero, particularmente a la luz del impacto económico de la epidemia y los paquetes de apoyo financiero y de empleo de los gobiernos. Por ejemplo, una serie de mensajes SMS utiliza un señuelo con temática del gobierno del Reino Unido para recopilar correo electrónico, dirección, nombre e información bancaria. Estos mensajes SMS, que pretenden ser de “COVID” y “UKGOV” (ver figura 1), incluyen un enlace directamente al sitio de phishing (ver figura 2).

Figura 1: Phishing de SMS con temática gubernamental del Reino Unido

Figura 2: página de phishing con temática del gobierno del Reino Unido
Como demuestra este ejemplo, los mensajes maliciosos pueden llegar por métodos distintos al correo electrónico. Además de los SMS, los posibles canales incluyen WhatsApp y otros servicios de mensajería. Es probable que los actores cibernéticos maliciosos sigan utilizando temas financieros en sus campañas de phishing. Específicamente, es probable que utilicen nuevos paquetes de ayuda del gobierno que respondan al COVID-19 como temas en campañas de phishing.
Phishing por robo de credenciales
Varios actores han utilizado el phishing relacionado con COVID-19 para robar las credenciales de los usuarios. Estos correos electrónicos incluyen técnicas de ingeniería social COVID-19 mencionadas anteriormente, a veces complementadas con lenguaje urgente para mejorar el atractivo.
Si el usuario hace clic en el hipervínculo, aparece una página web de inicio de sesión falsificada que incluye un formulario de entrada de contraseña. Estas páginas de inicio de sesión falsificadas pueden estar relacionadas con una amplia gama de servicios en línea que incluyen, entre otros, servicios de correo electrónico proporcionados por Google o Microsoft, o servicios a los que se accede a través de sitios web gubernamentales.
Para atraer aún más al destinatario, los sitios web a menudo contienen palabras relacionadas con COVID-19 dentro de la URL (por ejemplo, “corona-virus-business-update”, “covid19-advisory” o “cov19esupport”). Estas páginas falsificadas están diseñadas para parecer legítimas o suplantar con precisión sitios web conocidos. A menudo, la única forma de darse cuenta de la intención maliciosa es examinando la URL del sitio web. En algunas circunstancias, los actores cibernéticos malintencionados personalizan específicamente estas páginas web de inicio de sesión falsificadas para la víctima prevista.
Si la víctima ingresa su contraseña en la página falsificada, los atacantes podrán acceder a las cuentas en línea de la víctima, como su bandeja de entrada de correo electrónico. Este acceso se puede utilizar para adquirir información personal o confidencial, o para difundir más correos electrónicos de phishing, utilizando la libreta de direcciones de la víctima.
Phishing para la implementación de malware
Varios actores de amenazas han utilizado señuelos relacionados con COVID-19 para implementar malware. En la mayoría de los casos, los actores crean un correo electrónico que persuade a la víctima para que abra un archivo adjunto o descargue un archivo malicioso de un sitio web vinculado. Cuando la víctima abre el archivo adjunto, se ejecuta el malware, comprometiendo el dispositivo de la víctima.
Por ejemplo, NCSC ha observado varios mensajes de correo electrónico que implementan el malware keylogger “Agent Tesla”. El correo electrónico parece ser enviado por el Dr. Tedros Adhanom Ghebreyesus, Director General de la OMS. Esta campaña de correo electrónico comenzó el jueves 19 de marzo de 2020. Otra campaña similar ofrece termómetros y mascarillas para combatir la epidemia. El correo electrónico pretende adjuntar imágenes de estos productos médicos, pero en su lugar contiene un cargador para el Agente Tesla.
En otras campañas, los correos electrónicos incluyen un archivo adjunto de Microsoft Excel (p. Ej., “8651 8-14-18.xls”) o contienen URL que enlazan con una página de destino que contiene un botón que, si se hace clic en él, redirige para descargar una hoja de cálculo de Excel, como “EMR Letter.xls”. En ambos casos, el archivo de Excel contiene macros que, si están habilitadas, ejecutan una biblioteca de vínculos dinámicos (DLL) incorporada para instalar el malware “Get2 loader”. Se ha observado que el cargador Get2 carga el troyano “GraceWire”.
El malware “TrickBot” se ha utilizado en una variedad de campañas relacionadas con COVID-19. En un ejemplo, los correos electrónicos se dirigen a usuarios italianos con un documento que pretende ser información relacionada con COVID-19 (ver figura 3). El documento contiene una macro maliciosa que descarga un archivo por lotes (BAT), que inicia JavaScript, que, a su vez, extrae el binario TrickBot y lo ejecuta en el sistema.

Figura 3: Correo electrónico que contiene macro maliciosa dirigida a usuarios italianos [2]
En muchos casos, los troyanos, como Trickbot o GraceWire, descargarán más archivos maliciosos, como los troyanos de acceso remoto (RAT), los clientes que comparten el escritorio y el ransomware. Para maximizar la probabilidad de pago, los ciberdelincuentes a menudo implementan ransomware en un momento en que las organizaciones están bajo mayor presión. Los hospitales y las organizaciones sanitarias en los Estados Unidos, [3] España, [4] y en toda Europa [5] se han visto afectados recientemente por incidentes de ransomware.
Como siempre, las personas y las organizaciones deben estar atentas a los señuelos nuevos y en evolución. Tanto CISA [6] , [7] como NCSC [8] brindan orientación sobre cómo mitigar los ataques de malware y ransomware.
Explotación de nueva infraestructura de teletrabajo
Muchas organizaciones han desplegado rápidamente nuevas redes, incluidas las VPN y la infraestructura de TI relacionada, para trasladar toda su fuerza laboral al teletrabajo.
Los actores cibernéticos maliciosos se están aprovechando de este movimiento masivo hacia el teletrabajo explotando una variedad de vulnerabilidades conocidas públicamente en las VPN y otras herramientas y software de trabajo remoto. En varios ejemplos, CISA y NCSC han observado a actores que buscan vulnerabilidades conocidas públicamente en Citrix. La vulnerabilidad Citrix, CVE-2019-19781, y su explotación se han informado ampliamente desde principios de enero de 2020. Tanto CISA [9] como NCSC [10] brindan orientación sobre CVE-2019-19781 y continúan investigando múltiples instancias de explotación de esta vulnerabilidad.
De manera similar, se siguen explotando las vulnerabilidades conocidas que afectan a los productos VPN de Pulse Secure, Fortinet y Palo Alto. CISA proporciona orientación sobre la vulnerabilidad Pulse Secure [11] y NCSC proporciona orientación sobre las vulnerabilidades en Pulse Secure, Fortinet y Palo Alto. [12]
Los actores cibernéticos maliciosos también buscan explotar el uso cada vez mayor de plataformas de comunicación populares, como Zoom o Microsoft Teams, mediante el envío de correos electrónicos de phishing que incluyen archivos maliciosos con nombres como “zoom-us-zoom _ ################################################################################################################################################################################################################################################# # .exe ”y“ microsoft-teams_V # mu # D _ ##########. exe ”(# representa varios dígitos que se han informado en línea). [13] CISA y NCSC también han observado sitios web de phishing para plataformas de comunicación populares. Además, los atacantes han podido secuestrar teleconferencias y aulas en línea que se han configurado sin controles de seguridad (por ejemplo, contraseñas) o con versiones sin parches del software de la plataforma de comunicaciones. [14]
El aumento del teletrabajo también ha provocado un aumento en el uso del Protocolo de escritorio remoto (RDP) de Microsoft. Los ataques a terminales RDP no seguros (es decir, expuestos a Internet) se informan ampliamente en línea, [15] y un análisis reciente [16] ha identificado un aumento del 127% en los terminales RDP expuestos. El aumento en el uso de RDP podría hacer que los sistemas de TI, sin las medidas de seguridad adecuadas, sean más vulnerables a los ataques. [17]
Indicadores de compromiso
CISA y NCSC están trabajando con las fuerzas del orden y socios de la industria para interrumpir o prevenir estas actividades cibernéticas maliciosas y han publicado una lista no exhaustiva de IOC relacionadas con COVID-19 a través de los siguientes enlaces:
Además, hay una serie de recursos útiles disponibles públicamente que brindan detalles de la actividad cibernética maliciosa relacionada con COVID-19:
- Informe de Recorded Futures, Capitalizando el pánico por el coronavirus, los actores de amenazas apuntan a las víctimas en todo el mundo
- DomainTools’ gratuito COVID-19 Lista Amenaza – Dominio de Evaluación de Riesgos para Coronavirus Amenazas
- Lista de GitHub de campañas de ciberataques relacionadas con COVID-19 recopiladas por el usuario de GitHub Parth D. Maniar
- Lista de GitHub de IOC de malware, spam y phishing que involucran el uso de COVID-19 o coronavirus recopilados por SophosLabs
- Hilo maestro de Reddit para recopilar inteligencia relevante para las campañas de actores maliciosos de amenazas cibernéticas COVID-19
- Tweet sobre la instancia dedicada de MISP # COVID2019 del proyecto MISP para compartir información sobre amenazas cibernéticas relacionada con COVID
Mitigaciones
Los actores cibernéticos maliciosos ajustan continuamente sus tácticas para aprovechar nuevas situaciones, y la pandemia de COVID-19 no es una excepción. Los actores cibernéticos maliciosos están utilizando el gran apetito por la información relacionada con COVID-19 como una oportunidad para entregar malware y ransomware, y para robar las credenciales de los usuarios. Las personas y las organizaciones deben permanecer vigilantes. Para obtener información sobre la pandemia de COVID-19, utilice recursos confiables, como el Resumen de la situación de COVID-19 de los Centros para el Control y la Prevención de Enfermedades (CDC) .
Seguir los consejos de CISA y NCSC que se detallan a continuación ayudará a mitigar el riesgo para las personas y organizaciones de la actividad cibernética maliciosa relacionada con COVID-19 y otros temas:
- Guía de CISA para defenderse contra las estafas cibernéticas COVID-19
- CISA Insights: Gestión de riesgos para el nuevo coronavirus (COVID-19) , que proporciona orientación a los ejecutivos sobre cuestiones físicas, de cadena de suministro y ciberseguridad relacionadas con COVID-19
- Alerta CISA: seguridad VPN empresarial
- Página web de CISA que proporciona un repositorio de la guía COVID-19 de la agencia
- Orientación del NCSC para ayudar a detectar, comprender y tratar mensajes y correos electrónicos sospechosos
- Guía de phishing de NCSC para organizaciones y profesionales de ciberseguridad
- Orientación del NCSC sobre la mitigación de ataques de malware y ransomware
- Orientación del NCSC sobre el trabajo a domicilio
- Orientación NCSC sobre la seguridad del dispositivo del usuario final
Orientación sobre phishing para particulares
La guía de correo electrónico sospechoso del NCSC explica qué hacer si ya ha hecho clic en un correo electrónico, archivo adjunto o enlace potencialmente malicioso. Brinda consejos sobre a quién contactar si su cuenta o dispositivo se ha visto comprometido y algunos de los pasos de mitigación que puede tomar, como cambiar sus contraseñas. También ofrece los mejores consejos de NCSC para detectar un correo electrónico de phishing:
- Autoridad : ¿el remitente afirma ser de alguien oficial (por ejemplo, su banco o médico, un abogado, una agencia gubernamental)? Los delincuentes a menudo fingen ser personas u organizaciones importantes para engañarlo y hacer lo que quieren.
- Urgencia : ¿Le han dicho que tiene un tiempo limitado para responder (por ejemplo, en 24 horas o inmediatamente)? Los criminales a menudo lo amenazan con multas u otras consecuencias negativas.
- Emoción : ¿El mensaje le provoca pánico, temor, esperanza o curiosidad? Los delincuentes a menudo usan un lenguaje amenazante, hacen afirmaciones falsas de apoyo o intentan burlarse de usted para que quiera saber más.
- Escasez : ¿el mensaje ofrece algo que escasea (por ejemplo, entradas para conciertos, dinero o una cura para las condiciones médicas)? El miedo a perderse un buen trato u oportunidad puede hacer que responda rápidamente.
Orientación sobre phishing para organizaciones y profesionales de la ciberseguridad
Las defensas organizativas contra el phishing a menudo se basan exclusivamente en que los usuarios puedan detectar los correos electrónicos de phishing. Sin embargo, las organizaciones que amplían sus defensas para incluir medidas más técnicas pueden mejorar la resistencia contra los ataques de phishing.
Además de educar a los usuarios sobre cómo defenderse contra estos ataques, las organizaciones deben considerar la guía del NCSC que divide las mitigaciones en cuatro capas, sobre las cuales construir defensas:
- Haga que sea difícil para los atacantes llegar a sus usuarios.
- Ayude a los usuarios a identificar y denunciar correos electrónicos sospechosos de suplantación de identidad (consulte Consejos de CISA, Precaución con los archivos adjuntos de correo electrónico y Evite las estafas de ingeniería social y suplantación de identidad ).
- Proteja a su organización de los efectos de los correos electrónicos de phishing no detectados.
- Responda rápidamente a los incidentes.
CISA y NCSC también recomiendan que las organizaciones planifiquen un porcentaje de los ataques de phishing para tener éxito. La planificación de estos incidentes ayudará a minimizar el daño causado.
Orientación sobre plataformas de comunicaciones para individuos y organizaciones
Debido a COVID-19, un número creciente de personas y organizaciones están recurriendo a plataformas de comunicación, como Zoom y Microsoft Teams, para reuniones en línea. A su vez, los actores cibernéticos malintencionados están secuestrando reuniones en línea que no están protegidas con contraseñas o que usan software sin parches.
Consejos para defenderse contra el secuestro de reuniones en línea (Fuente: FBI advierte sobre teleconferencias y secuestro de aulas en línea durante la pandemia de COVID-19 , comunicado de prensa del FBI, 30 de marzo de 2020):
- No haga públicas las reuniones. En su lugar, solicite una contraseña de reunión o use la función de sala de espera y controle la entrada de invitados.
- No comparta un enlace a una reunión en una publicación de redes sociales disponible públicamente sin restricciones. Proporcione el enlace directamente a personas específicas.
- Administra las opciones para compartir la pantalla. Cambie la pantalla compartida a “Solo host”.
- Asegúrese de que los usuarios estén usando la versión actualizada de las aplicaciones de reunión / acceso remoto.
- Asegúrese de que las políticas de teletrabajo aborden los requisitos de seguridad física y de la información.
Descargos de responsabilidad
Este informe se basa en información derivada de CISA, NCSC y fuentes de la industria. Los hallazgos y recomendaciones realizados no se han proporcionado con la intención de evitar todos los riesgos y seguir las recomendaciones no eliminará todos esos riesgos. La propiedad de los riesgos de la información permanece en el propietario del sistema correspondiente en todo momento.
CISA no respalda ningún producto o servicio comercial, incluidos los sujetos de análisis. Cualquier referencia a productos, procesos o servicios comerciales específicos por marca de servicio, marca comercial, fabricante u otro, no constituye ni implica su respaldo, recomendación o favoritismo por parte de CISA.
Fuente: Departamento de Seguridad Nacional de EEUU