En el equipo de Respuesta a Incidentes de ITS Security by Ibermática hemos detectado un repunte importante de diferentes campañas de malware y ransomware, así como aplicaciones maliciosas, campañas de SPAM, y un largo etcétera, que emplean temáticas relacionada con la pandemia del Coronavirus/COVID-19 para infectar a individuos y organizaciones de todo el mundo.

A continuación hago un repaso por las principales ciberamenazas bajo temática ‘COVID-19’ detectadas hasta el momento:

ÁLVARO FRAILE, DIRECTOR DEL COE DE CIBERSEGURIDAD DE IBERMÁTICA.

MALWARE Y RANSOMWARE
En los últimos días se han dado a conocer nuevas campañas de malware en las que el coronavirus se usa como excusa para disfrazar archivos maliciosos que buscan infectar a sus víctimas. Grupos de ciberdelincuentes están tratando de distribuir archivos maliciosos bajo la apariencia de archivos pdf, mp4 o docx con asuntos relacionados con el coronavirus, logrando así que la víctima los abra y quede su equipo infectado.

APLICACIONES MALICIOSAS
Se han detectado varias aplicaciones desarrolladas con fines maliciosos que, aprovechando la situación generada por el coronavirus, tratan de infectar a sus víctimas.

CAMPAÑAS DE SPAM
Según se ha podido verificar, actualmente existen registrados más de 24.000 dominios en Internet que contienen los términos: “coronavirus”, “corona-virus”, “covid19” y “covid-19”. De los cuales 16.000 han sido creados durante el mes de marzo. Algunos de ellos tienen fines legítimos y otros están dedicados a realizar campañas de spam. Se han puesto en marcha diferentes intentos de ciberestafas que persiguen el robo de credenciales, así como infectar los equipos de las víctimas aprovechando la situación de emergencia provocada por el COVID-19.

PHISING Y SUPLANTACIÓN DE IDENTIDAD
La situación de alerta generada por el COVID-19 a nivel mundial genera una oportunidad para los ciberdelincuentes que no dudan en aprovecharla para idear peligrosos ataques de phishing a través de diversos medios: servicios de mensajería instantánea, email y otros medios. La forma de actuar sigue el mismo patrón: tratarán de suplantar organizaciones legítimas con información relevante sobre el COVID-19 como el Ministerio de Sanidad, una Consejería de Sanidad de una Comunidad Autónoma, Fuerzas del Orden, Organizaciones Internacionales, etcétera, simulando prestar ayuda y consejo, o incluso fingiendo ser la empresa en la que trabajas. Los medios utilizados son variados: correo electrónico y servicios de mensajería instantánea como WhatsApp o Telegram.

ESTAFAS ECONÓMICAS
En situaciones de urgencia, somos testigos de campañas organizadas para recaudar fondos que hagan frente a esa situación crítica. Acciones que apelan a la solidaridad de las personas y que consiguen recaudar numerosos fondos. Se trata de una oportunidad para los delincuentes, que organizan falsas campañas de recaudación de dinero con sitios web fraudulentos, e-mails personalizados solicitando donaciones y un sinfín de mensajes que consiguen su objetivo: obtener grandes cantidades de dinero a través de medios no legítimos.

MAPAS E INFORMACIÓN FALSAS
En situaciones de urgencia, los ciudadanos demandan información, lo cual es aprovechado por los estafadores para, a través de aplicaciones y sitios fraudulentos, infectar a las víctimas.

RECOPILACIÓN DE DATOS, a través de falsas web de venta de medicamentos, supuestas curas contra el coronavirus, voluntariado y un largo etcétera.

La información personal es un activo muy valioso, ya que permite a los ciberdelincuentes construir mensajes más creíbles y personalizados, haciendo que el phising parezca legítimo, y que la víctima acabe siendo infectada. Además, si el delincuente se hace con nuestros datos personales, puede utilizarlos para robar nuestra identidad y suplantarla, llegando a realizar compras en nuestro nombre, solicitar créditos, y un largo etcétera.

APTS – ADVANCED PERSISTENT THREATS
Se trata de ataques cuyo objetivo es una persona, empresa o infraestructura crítica, realizados de forma imperceptible y durante un largo periodo de tiempo. Son los más temidos ya que sus efectos pueden ser devastadores. Diversos grupos APT de cibercriminales han sido detectados enviando correos electrónicos de phishing que simulan ofrecer información importante sobre el coronavirus, pero que en realidad infectan a las víctimas con ciberataques personalizados.

VICIOUS PANDA (APT28): mediante campañas de phishing detectadas contra el sector público, aprovechan la situación de miedo provocada por el coronavirus para entregar malware.

CRIMSON RAT (APT36): usan un documento de advertencia de salud como señuelo para difundir una herramienta de administración remota (RAT). Se basa principalmente en ataques de phishing, que contienen un archivo macro malicioso o un archivo RTF que explota vulnerabilidades, como CVE-2017-0199.

ANCIENT TORTOISE: este grupo está usando correos electrónicos falsos para realizar ataques BEC (Business Email Compromise) con suplantación de identidad. Tratan de engañar a los clientes de una empresa para que paguen un saldo pendiente, pero solicitando que se deposite en un banco diferente “debido al brote del coronavirus”.