Blog

Reporte Mensual de Amenazas Cibernéticas [C2] – Noviembre 2022

Resumen Ejecutivo:

Durante el mes de noviembre de 2022, el equipo de Ciberinteligencia de CronUp Ciberseguridad, ha estado realizando un monitoreo ininterrumpido para detectar, de manera efectiva, las nuevas direcciones IPs de las principales botnets que realizan campañas de malwares dirigidas contra todo tipo de organizaciones y particulares en todo el mundo, siendo las más relevantes en esta oportunidad las siguientes:

  • QakBot
  • Emotet
  • BumbleBee

Uno de nuestros principales objetivos de realizar el siguiente reporte, es la de compartir cuál es el panorama actual, en la vista de CronUp, de las amenazas que residen tanto en nuestra región, como también, en otras partes del mundo. Generar un ambiente de platica respecto a los actores de amenazas y plantear recomendaciones que podrían disminuir la posibilidad de ser comprometidos por una de estas botnets, que emplean el envío de correos phishing, con archivos adjuntos intervenidos, como su principal vía de ataque para poder infectar el equipo y desplegar todo tipo de malwares, principalmente, Ransomware.

Para efectos prácticos, se presenta los puntos más relevantes de nuestro reporte mensual de Amenazas Cibernéticas de ATRc del mes de noviembre:

  • QakBot sigue liderando, desde hace ya un tiempo, la lista de los servidores C2 detectados.
  • Solo el 21% de los servidores identificados en el mes de noviembre están activos.
  • En Latinoamérica, África, Asia y Oceanía, QakBot, es quien tiene más servicios levantados por región. Mientras que BumbleBee se encuentra levantada en América del Norte, Europa y algunos países de Asia. Y finalmente Emotet, donde solo se ha registrado algunos de sus servidores C2 en Reino Unido y en algunos países de Asia.

Panorama actual de las Botnets

Para comenzar con el resumen, hemos estado detectado un creciente número durante el mes de noviembre de nuevas direcciones activas de servidores C2 que pertenecerían a la botnet de QakBot, seguidos posteriormente por BumbleBee y finalmente de Emotet.

El universo de las muestras estudiadas es de 513 Direcciones IPs.

Imagen: CronUp Ciberseguridad

En la segunda imagen se muestra un mapa activo de todos los servidores detectados alrededor del mundo, en base a regiones y países. Se puede apreciar que, por lo menos, en gran parte de América Central y América del Sur, como también en Europa, África, Asia y Oceanía, que QuakBot es quien lidera en el número de países y continentes comprometidos para la utilización de su Botnet. Seguido luego de BumbleBee, que tiene su infraestructura levantada en los continentes de América del Norte, una buena parte de Europa y una leve pasada por Asia. Para finalmente enumerar a Emotet, quien tiene sus servicios levantados en Reino Unido, y en algunos países de Asia.

Imagen: CronUp Ciberseguridad

En la tercera imagen se muestra la cantidad total, en base a porcentajes, de cuánto de las Direcciones IPs analizadas en este universo estadístico se encuentran actualmente Online, con respecto a los que no se encuentran disponibles, es decir, Offline.

Tras realizar este estudio, se ha llegado a detectar que el 79% de las direcciones IPs estudiadas ya no se encuentran disponibles en la red, mientras que su contraparte, el porcentaje de direcciones IPs que aún se mantienen levantadas es del 21%.

Gracias a esta información, se vuelve a demostrar la teoría de que los servicios, es decir servidores, que utilizan para llevar a cabo sus actividades de control de los malware, ya señaladas anteriormente en esta publicación, no suelen durar mucho tiempo, esto es debido a que muchas firmas de ciberseguridad e investigadores independientes de todas partes del mundo, han detectado cuáles son las direcciones IPs finales de los servidores C2 y para mantener su persistencia y su modus operandi de manera activa, suelen cambiar de servidores para que no se vea afectada actividad delictual.

Imagen: CronUp Ciberseguridad

Recomendaciones de Seguridad

  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).
  • Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
  • Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
  • No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
  • No siga links desde mensajes de redes sociales o sitios no oficiales.
  • Realice una evaluación continua de compromisos en la red interna.
  • Manténgase informado de las últimas amenazas y riesgos en Internet.
  • Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required