Reporte Mensual de Amenazas Cibernéticas [C2] – Noviembre 2022

Resumen Ejecutivo:

Durante el mes de noviembre de 2022, el equipo de Ciberinteligencia de CronUp Ciberseguridad, ha estado realizando un monitoreo ininterrumpido para detectar, de manera efectiva, las nuevas direcciones IPs de las principales botnets que realizan campañas de malwares dirigidas contra todo tipo de organizaciones y particulares en todo el mundo, siendo las más relevantes en esta oportunidad las siguientes:

• QakBot
• Emotet
• BumbleBee

Uno de nuestros principales objetivos de realizar el siguiente reporte, es la de compartir cuál es el panorama actual, en la vista de CronUp, de las amenazas que residen tanto en nuestra región, como también, en otras partes del mundo. Generar un ambiente de platica respecto a los actores de amenazas y plantear recomendaciones que podrían disminuir la posibilidad de ser comprometidos por una de estas botnets, que emplean el envío de correos phishing, con archivos adjuntos intervenidos, como su principal vía de ataque para poder infectar el equipo y desplegar todo tipo de malwares, principalmente, Ransomware.

Para efectos prácticos, se presenta los puntos más relevantes de nuestro reporte mensual de Amenazas Cibernéticas de ATRc del mes de noviembre:

• QakBot sigue liderando, desde hace ya un tiempo, la lista de los servidores C2 detectados.
• Solo el 21% de los servidores identificados en el mes de noviembre están activos.
• En Latinoamérica, África, Asia y Oceanía, QakBot, es quien tiene más servicios levantados por región. Mientras que BumbleBee se encuentra levantada en América del Norte, Europa y algunos países de Asia. Y finalmente Emotet, donde solo se ha registrado algunos de sus servidores C2 en Reino Unido y en algunos países de Asia.

Panorama actual de las Botnets

Para comenzar con el resumen, hemos estado detectado un creciente número durante el mes de noviembre de nuevas direcciones activas de servidores C2 que pertenecerían a la botnet de QakBot, seguidos posteriormente por BumbleBee y finalmente de Emotet.

El universo de las muestras estudiadas es de 513 Direcciones IPs.

En la segunda imagen se muestra un mapa activo de todos los servidores detectados alrededor del mundo, en base a regiones y países. Se puede apreciar que, por lo menos, en gran parte de América Central y América del Sur, como también en Europa, África, Asia y Oceanía, que QuakBot es quien lidera en el número de países y continentes comprometidos para la utilización de su Botnet. Seguido luego de BumbleBee, que tiene su infraestructura levantada en los continentes de América del Norte, una buena parte de Europa y una leve pasada por Asia. Para finalmente enumerar a Emotet, quien tiene sus servicios levantados en Reino Unido, y en algunos países de Asia.

En la tercera imagen se muestra la cantidad total, en base a porcentajes, de cuánto de las Direcciones IPs analizadas en este universo estadístico se encuentran actualmente Online, con respecto a los que no se encuentran disponibles, es decir, Offline.

Tras realizar este estudio, se ha llegado a detectar que el 79% de las direcciones IPs estudiadas ya no se encuentran disponibles en la red, mientras que su contraparte, el porcentaje de direcciones IPs que aún se mantienen levantadas es del 21%.

Gracias a esta información, se vuelve a demostrar la teoría de que los servicios, es decir servidores, que utilizan para llevar a cabo sus actividades de control de los malware, ya señaladas anteriormente en esta publicación, no suelen durar mucho tiempo, esto es debido a que muchas firmas de ciberseguridad e investigadores independientes de todas partes del mundo, han detectado cuáles son las direcciones IPs finales de los servidores C2 y para mantener su persistencia y su modus operandi de manera activa, suelen cambiar de servidores para que no se vea afectada actividad delictual.

Recomendaciones de Seguridad

• Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).
• Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
• Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
• No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
• No siga links desde mensajes de redes sociales o sitios no oficiales.
• Realice una evaluación continua de compromisos en la red interna.
• Manténgase informado de las últimas amenazas y riesgos en Internet.
• Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.

Camilo Mix

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.