Header Monthly Email Threat Review

Email Threat Review Julio 2021

Written by Security Lab / 04.08.2021 /
Home » Blog » Email Threat Review Julio 2021

Resumen

En esta nueva entrega de nuestro «Email Threat Review» presentamos un resumen de los principales ciberataques por correo electrónico, observados en julio de 2021, y los comparamos con el mes anterior.

El informe ofrece contenido sobre:

Correos electrónicos no deseados por categoría

La siguiente tabla muestra la distribución de los correos electrónicos no deseados por categoría.

Categoría del correo electrónico%
Rechazado84.05
Spam11.99
Amenaza3.02
Amenaza avanzada0.91
Contenido0.03

El siguiente histograma temporal muestra el volumen de correos electrónicos por categoría y por día.

El pico de correos electrónicos rechazados el 30-07-2021 puede atribuirse a la campaña mensual de correos electrónicos de extorsión sexual escrita en alemán que causó picos similares en meses anteriores.

Metodología

Las categorías de email listadas corresponden al Email Live Tracking del Control Panel de Hornetsecurity. Por ello, nuestros usuarios ya están familiarizados con ellas. Para otros, las categorías son:

CategoríaDescripción
SpamEstos correos electrónicos no son deseados y a menudo son promocionales o fraudulentos. Los emails son enviados simultáneamente a un gran número de destinatarios.
ContenidoEstos correos electrónicos tienen un archivo adjunto no válido. Los administradores definen en el módulo de control de contenido qué archivos adjuntos no son válidos.
AmenazaEstos correos electrónicos tienen contenido dañino, como archivos adjuntos o enlaces maliciosos, o se envían para cometer delitos, como el phishing.
Amenaza avanzadaAdvanced Threat Protection ha detectado una amenaza en estos correos electrónicos. Los correos electrónicos se utilizan para fines ilegales e implican medios técnicos sofisticados que sólo se pueden rechazar mediante procedimientos dinámicos avanzados.
RechazadoNuestro servidor de correo electrónico rechaza estos correos directamente durante el diálogo SMTP debido a características externas, como la identidad del remitente, y los correos no se analizan más.

Tipos de archivos utilizados en los ataques

La siguiente tabla muestra la distribución de los tipos de archivos utilizados en los ataques.

Tipo de archivo (utilizado en los correos maliciosos)%
Archivo30.0
PDF20.8
HTML17.1
Ejecutable11.7
Excel7.0
Word5.4
Otros4.3
Archivos de imagen de disco3.3
Archivo de script0.1
Powerpoint0.1
Email0.0
Archivo LNK0.0

El siguiente histograma temporal muestra el volumen de correos electrónicos por tipo de archivo utilizado en los ciberataques durante 7 días.

Aquí vemos un aumento en el uso de documentos maliciosos de Word. En el mes anterior, sólo el 3,6% de los ciberataques utilizaban documentos Word. Dichos documentos solían ser el formato dominante utilizado en los ataques basado en archivos. Sin embargo, en 2020 muchos actores de amenazas cambiaron a Excel; utilizando la antigua función de macros de Excel 4.0 para ejecutar código malicioso, lo que hizo que el número de documentos de Word maliciosos utilizados en los ciberataques disminuyera. Los proveedores de seguridad detectaron muchos menos ataques de macros de Excel 4.0 en comparación con aquellas amenazas basadas en macros VBA. Sin embargo, desde que Microsoft ha añadido la compatibilidad con las macros de Excel 4.0 a AMSI 1 el incremento de documentos maliciosos de Word indica que los actores de amenazas podría están considerando volver a utilizar documentos de Word, en lugar de Excel.

Índice de amenazas del correo electrónico en la industria

La siguiente tabla muestra nuestro Índice de Amenazas de Correo Electrónico en la Industria, calculado sobre la base del número de correos electrónicos amenazantes en comparación con los correos limpios recibidos (en la mediana) por sector.

IndustriasPorcentaje de amenaza en los correos amenazados y limpios
Sector investigación4.3
Sector industrial3.8
Sector agrícola3.4
Sector transporte3.4
Sector educativo3.2
Sector entretenimiento3.1
Sector minero3.1
Sector comunicación2.9
Sector turístico2.9
Sector sanitario2.8

El siguiente gráfico de barras visualiza la amenaza que supone el correo electrónico por sector.

Este gráfico sirve para comparar el gráfico de barras del índice de amenazas basado en el correo electrónico del mes pasado:

Observamos un descenso en la puntuación global de la amenaza del correo electrónico.

Metodología

Las organizaciones de distinto tamaño reciben un número absoluto diferente de correos electrónicos. Por lo tanto, calculamos el porcentaje de correos amenazantes de cada organización y los correos electrónicos limpios para comparar las organizaciones. A continuación, calculamos la mediana de estos valores porcentuales para todas las organizaciones dentro del mismo sector para formar la puntuación final de la amenaza del sector.

Técnicas de ataque

La siguiente tabla muestra la técnica de ataque utilizada en los ataques.

Técnica de ataque%
Otras53.2
Phishing24.2
URL8.1
Ejecutable en archivo/disco-imagen4.7
Estafa por adelantado3.7
Extorsión2.8
Suplantación de la identidad2.2
Maldoc1.1
LNK0.0

El siguiente histograma temporal muestra el volumen de correos electrónicos por técnica de ataque, utilizada por hora.

No hay anomalías significativas.

Marcas de empresa y organizaciones suplantadas

La siguiente tabla muestra qué marcas de empresas y organizaciones detectaron más ataques de suplantación de identidad en nuestros sistemas.

Marca u organización suplantada%
DocuSign20.5
PayPal13.4
Deutsche Post / DHL12.4
Amazon11.7
LinkedIn4.3
Microsoft2.5
HSBC2.2
Santander2.2
O21.7
Volks- und Raiffeisenbank1.6

El siguiente histograma muestra el volumen de correos electrónicos de las marcas y organizaciones, detectado por hora, en los ataques de suplantación de identidad.

Es un flujo constante de phishing y otros ciberataques que se hacen pasar por grandes marcas y organizaciones para atraer a los destinatarios a abrir los correos electrónicos.

Campañas de correo de amenazas destacadas

En esta sección, queremos destacar algunas campañas de malspam de actores de amenazas prominentes y conocidas.

Ten en cuenta que esto no incluye todas las campañas. Por lo tanto, la lista, así como las cifras de volumen, no deben tomarse como una clasificación global. Nos esforzamos por ampliar esta sección de nuestros informes en un futuro.

En el siguiente histograma se muestra el volumen de correos con amenazas destacadas por hora.

Metodología

Hornetsecurity observa miles de campañas de correo electrónico con amenazas diferentes de diversos actores que van desde ataques muy poco sofisticados y de bajo esfuerzo, hasta esquemas de ciberataques ofuscados altamente complejos. Destacamos solo un subconjunto de esas campañas de correo con amenazas.

Ransomleaks

Los actores de amenazas continúan filtrando datos robados a las víctimas de ransomware presionándolos para que paguen por descifrar los archivos y no publicar datos sensibles. Observamos la siguiente cantidad de sitios de fugas de ransomware:

Sitio de filtraciónNúmero de filtraciones de datos de las víctimas
LockBit 2.066
Conti36
Hive16
Synack11
Lorenz8
REvil7
Everest5
Promethous5
Vice Society4
Grief3
RansomEXX3
Cl0p2
LV2
RagnarLocker2
Xing Team2
Nephilim1

El siguiente gráfico de barras visualiza el número de sitios de filtración de datos de las víctimas.

Una nueva incorporación a nuestros informes es el sitio de filtración de LockBit 2.0. que ya estaba en funcionamiento en junio, los actores detrás de dicho sitio estaban buscando afiliados.

Los cibercriminales ofrecieron a sus partners potenciales una comparación del rendimiento del ransomware LockBit 2.0 con respecto a otras ofertas de RaaS (ransomware-as-a-service).

Además, los ciberdelincuentes ofrecieron una comparativa de las velocidades de transferencia para la infiltración de datos.

Posteriormente, el 13 de julio de 2021, el sitio de filtración comenzó a publicar los datos de las víctimas.

Con un conjunto de 66 víctimas, el ransomware LockBit 2.0 anunció casi el doble de afectados que Conti; convirtiéndose en el sitio de filtraciones con la segunda mayor cantidad de víctimas este mes.

Referencias