Como hemos observado en los últimos años, el malware dirigido a México ha aumentado significativamente, un ejemplo de esto son las estadísticas de SCILabs que reflejan un incremento de más de 350% en enero de 2018 respecto del mismo mes de 2015. Desgraciadamente no solo se ha visto un aumento en la cantidad de ataques, sino en la complejidad de estos, pues ha mejorado su capacidad para evadir los mecanismos tradicionales de seguridad. En el pasado era común observar que una amenaza que se operaba en otra parte del mundo se llegaba a identificar en México meses después, años incluso, además de que era raro que hubiese campañas de complejidad media alta dirigidas exclusivamente a nuestro país.

No obstante lo anterior, el cambio en el panorama de las amenazas nos alcanzó y ahora amenazas globales se detectan aproximadamente dos semanas después en México, aunque a veces en menor tiempo. Un ejemplo de lo anterior es Catasia, una campaña identificada por SCILabs que debe su nombre al uso de dominios .cat y .asia como servidores de comando y control. Esta amenaza ha estado activa durante los últimos cuatro años y se enfoca en comprometer a usuarios de nuestro país. Los cibercriminales detrás de esta campaña envían correos electrónicos masivos a sus víctimas, suplantando a organizaciones de alcance nacional, entre las que destacan instituciones bancarias y de gobierno.

En la mayor parte de los eventos identificados de Catasia, el correo electrónico de suplantación de identidad tiene un documento de Word adjunto (o un vínculo hacia un documento de este tipo) con código macro para descargar y ejecutar un malware adicional, el cual genera persistencia en el equipo comprometido para asegurar su ejecución cada que el dispositivo se reinicia. A pesar de los cambios realizados por el atacante, las tácticas, técnicas y procedimientos identificadas por SCILabs se mantuvieron, lo cual permitió agrupar los eventos e identificarlos como parte de una misma campaña. A partir de las características obtenidas, se determinó que la campaña inició en 2014 y comenzó suplantando a una organización de Colombia; posteriormente todos los ataques registrados fueron en México.

Las acciones realizadas por Catasia incluyen fraude bancario, espionaje, acceso al correo electrónico de los equipos infectados, uso de los equipos para ejecutar ataques de fuerza bruta hacia otros equipos en Internet y descarga de malware adicional, entre otras. Catasia destaca de otras amenazas de seguridad debido a que está enfocada exclusivamente en México, y también por el largo tiempo que ha permanecido activa, para ello ha empleado técnicas de evasión de detección, además de que el atacante “clein” ha empleado métodos más complejos para ofuscar los artefactos maliciosos.

A lo largo de los cuatro años de existencia de la campaña, SCILabs ha documentado cada cambio en las tácticas, técnicas y procedimientos utilizados por esta amenaza, agrupándolos en cuatros fases observadas:

  • Periodo 1: mayo de 2014 a febrero de 2015
  • Periodo 2: septiembre de 2015 a febrero de 2016
  • Periodo 3: abril de 2016 a julio de 2017
  • Periodo 4: agosto de 2017 al momento presente

 

Lo anterior nos muestra que México no pasa desapercibido para los atacantes y que, dado que las amenazas no se mantienen estáticas sino evolucionan continuamente, lo mismo tiene que suceder con el monitoreo de estas. Ya no es suficiente con esperar a que aparezca una alerta para investigarla, es necesario contar con tecnología y un equipo humano que sea capaz de diseñar modelos de detección que permitan identificar anomalías basadas en el comportamiento de la organización, además de contextualizar la evolución de las amenazas y estar preparados para responder ante ellas. La evolución constante en las prácticas de seguridad adoptadas por la organización es lo que puede marcar la diferencia en detectar una amenaza en minutos u horas y no en meses o años.

 

[email protected]