Sorprendentemente el 91 por ciento de los ataques dirigidos comienza con un correo electrónico de spear phishing, tal y como revelan los nuevos datos recogidos por Trend Micro.
El spear phishing es una modalidad de phishing cada vez más común que hace uso de la información sobre un objetivo para llevar a cabo ataques más específicos y "personalizados". Estos ataques pueden referirse o dirigirse a sus objetivos por su nombre específico, rango o posición, por ejemplo, en lugar de utilizar títulos genéricos en el asunto del email como ocurre en las campañas de phishing más amplias.
El objetivo final es engañar a la víctima para que abra el archivo adjunto malicioso o haga clic en un enlace de malware o un site con exploits, iniciando así el compromiso dentro de la red de la víctima.
Según el informe, “Spear Phishing Email: Most Favored APT Attack Bait", el 94 por ciento de los correos electrónicos dirigidos utiliza archivos maliciosos adjuntos como carga o fuente de infección. El 6 por ciento restante emplea métodos alternativos tales como la instalación de malware a través de links maliciosos.
“Prevemos un resurgimiento del correo electrónico malicioso a medida que los ataques se expanden y evolucionan", indica Rik Ferguson, director de Investigación de Seguridad y Comunicaciones de Trend Micro. “La experiencia nos ha demostrado que los criminales continúan abusando de métodos probados y de confianza para aprovechar directamente la inteligencia obtenida durante el reconocimiento para los ataques dirigidos. También hemos visto que los ataques dirigidos están evolucionando y expandiéndose. La abundancia de información sobre las personas y las empresas hace demasiado simple el trabajo de creación de emails extremadamente creíbles. Se trata de una parte de la defensa personalizada que no debe ser ignorada".
Las principales conclusiones de la investigación son:
Los tipos de archivos más compartidos y utilizados representaron el 70 por ciento de la cifra total de los emails con adjuntos de spear phishing durante el período de tiempo monitorizado. Los principales tipos de archivo son: .RTF (38 por ciento), .XLS (15 por ciento), y .ZIP (13 por ciento). En cambio, los archivos ejecutables (. EXE) no eran tan populares entre los cibercriminales, probablemente debido a que los correos electrónicos con adjuntos.Exe suelen ser detectados y bloqueados por las soluciones de seguridad.
Los sectores que se configuran como principal objetivo son gobiernos y grupos activistas. En Internet se puede encontrar fácilmente amplia información sobre organismos gubernamentales y nombramientos oficiales y, a menudo, es comunicada en la propia página web de los gobiernos. Por su parte, los grupos activistas, muy activos en las redes sociales, también son rápidos en proporcionar información de sus miembros con el fin de facilitar la comunicación, organizar las campañas o reclutar nuevos socios. Estos hábitos promocionan los perfiles de los miembros, lo que los convierte en blancos visibles.
Como resultado, tres de cada cuatro direcciones de correo electrónico de las víctimas objetivo se pueden encontrar fácilmente a través de búsquedas en la web o utilizando formatos comunes de dirección de email.
Trend Micro ofrece la "primera línea de defensa" para el email contra los ataques de seguridad de spear phishing
Las organizaciones deben ser capaces de detectar y bloquear los intentos de spear phishing como primera línea de defensa para combatir los ataques dirigidos.
Como parte de su solución Custom Defense contra las APT, presentada recientemente, Trend Micro refuerza su gama de soluciones de seguridad para el correo electrónico, no sólo para detener las amenazas tradicionales, sino también para identificar los ataques de email más graves y altamente selectivos.
A diferencia de las soluciones estándar de seguridad para el email, que probable no detectan correos electrónicos de spear phishing asociados con APT, los productos de Trend Micro que protegen el correo electrónico envían automáticamente los archivos adjuntos sospechosos a Deep Discovery para realizar su análisis en entornos aislados –“sandboxes"- definidos por el cliente y bloquear el spear phishing online.
Más allá de la detección y protección de las amenazas del correo electrónico, Deep Discovery emite automáticamente actualizaciones de seguridad personalizadas para otras capas de seguridad a través de toda la red de una organización. Además, correlaciona los resultados locales con la inteligencia global de amenazas de Trend Micro para ofrecer a los equipos de seguridad información valiosa sobre la naturaleza y el alcance del ataque, y quién está detrás de él. Esta visión personalizada permite a las organizaciones responder mejor y protegerse contra los ataques.