Análisis de tendencias durante los últimos tres meses: Tráfico Web y de Correo Electrónico referente a COVID y Coronavirus
Forcepoint X-Labs es el guardián de amenazas e inteligencia conductual en Forcepoint. Al analizar el reciente tráfico web y de correo electrónico anónimos, hemos observado tendencias interesantes generadas por nuestra base global de clientes. Este análisis se centró en el tráfico relacionado con las palabras clave de "Corona" y "COVID". A continuación, compartimos nuestras observaciones para mostrar cómo ha cambiado el comportamiento de los ciberdelincuentes y los trabajadores en respuesta a la situación en la que ahora nos encontramos.
Metodología
- El tráfico web y de correo electrónico procesado por nuestros productos Cloud Web Security y Cloud Email Security se analizó para mostrar las tendencias de los últimos 3 meses (del 19 de enero de 2020 al 18 de abril de 2020).
- Buscamos palabras clave de COVID y Corona en las URL´s a las que se accede directamente a través de la Web o insertadas en un correo electrónico.
- El análisis se aplicó a un conjunto de datos globales de clientes de Forcepoint.
- Los datos son anónimos (cuentas únicamente, sin atribución) para proteger la privacidad de nuestros clientes según nuestro enfoque de "Privacidad por diseño".
Puntos Destacados
- El análisis muestra que los ciberdelincuentes son oportunistas que buscan aprovechar el interés del público en COVID-19 y Coronavirus, como se describe en nuestro blog de marzo de 2020.
- Se han registrado y activado nuevos sitios web con temas sobre COVID y Coronavirus a través de medios tanto legítimos como ilegales.
- El interés de los empleados en sitios web que tratan el tema de COVID y Coronavirus, alcanzó su punto máximo a mediados de marzo, en correlación con la promulgación de medidas de "cierre" por parte de los gobiernos alrededor del mundo.
- Vimos un aumento en los correos electrónicos no deseados (maliciosos, spam o phishing) que contienen URL´s incrustadas que usan las palabras clave de COVID o Corona, pasando de valores insignificantes en enero de 2020, a más de medio millón bloqueado por día a fines de marzo en adelante.
- Hay que tener en cuenta la caída de la actividad los fines de semana como es habitual en las campañas de spam activas.
- Una solución de seguridad de correo electrónico es una "primera línea de defensa" efectiva contra las llamadas amenazas combinadas (correos electrónicos que contienen una URL incrustada).
Tráfico del sitio web
La categorización del tráfico web se logró mediante nuestra solución Cloud Web Security.
Observación 1: tráfico web legítimo
Desde mediados de enero (el comienzo de este período de informes) hasta finales de febrero, se observó una corriente subterránea constante de solicitudes de navegación a URL´s legítimas con temática de COVID o Coronavirus. Estas solicitudes se refieren a los llamados sitios de seguimiento COVID-19 (sitios configurados específicamente para compartir puntos de datos relacionados con la pandemia) y sitios web de noticias. Durante las dos primeras semanas de marzo de 2020, se observó un aumento significativo (más de 5 millones de categorizaciones) que puede correlacionarse con el inicio de los procedimientos de bloqueo promulgados por los gobiernos globales y un movimiento hacia el trabajo remoto. Se observó una disminución constante de la actividad durante las siguientes tres semanas, posiblemente relacionada con la llamada "fatiga de noticias" y la comprensión gradual de la "nueva normalidad". El interés alcanzó su punto máximo la semana del 12 al 18 de abril.
Ver Figura 1 abajo:
Observación 2: tráfico web malicioso
El cuadro a continuación muestra un aumento constante en el número de URL´s con temática COVID o Coronavirus clasificadas por Forcepoint como maliciosas desde el 9 de marzo hasta la fecha actual, con dos picos. Como se explica en los puntos destacados anteriores, los ciberdelincuentes han visto valor en la generación de dominios relevantes, aunque maliciosos, para alentar a las personas a hacer clic en enlaces en correos electrónicos o en motores de búsqueda.
Ver Figura 2 abajo:
Observación 3 - Dominios recién registrados
Los empleados buscaron dominios con temas de COVID o Coronavirus que se registraron recientemente solo varios cientos de veces por día durante el período de tres meses. Dichos dominios incluían los llamados rastreadores COVID y sitios web de noticias recién registrados.
Los picos en la actividad de navegación a dichos dominios ocurrieron varias veces en marzo. Un ejemplo de tal aumento puede explicarse por el interés en un sitio legítimo de rastreo hindú de COVID-19 que se correlacionó con un bloqueo de prescripción de órdenesen el país.
Nota: En la figura a continuación, no hemos determinado si el dominio en cuestión era malicioso o legítimo.
Ver Figura 3 abajo:
Tráfico de correo electrónico
Los correos electrónicos identificados como "limpios", "virus" o "spam" fueron identificados como tales por nuestra solución Cloud Email Security. Durante los volúmenes máximos, identificamos 1.5 millones de correos electrónicos totales relacionados con COVID por día. Esta es la disposición que nuestros clientes verán en el tablero del producto.
Observación 4 - tráfico legítimo de correo electrónico
Los empleados de organizaciones de todo el mundo han compartido y están recibiendo correos electrónicos legítimos que contienen URL´s incrustadas con el tema COVID o Coronavirus. El interés en dicho contenido comenzó a aumentar notablemente a mediados de marzo, llegando a un millón de correos electrónicos legítimos por día en todos nuestros sistemas. El interés sigue siendo fenomenalmente alto desde ese momento.
Ver figura 4 abajo:
Observación 5 - Correos electrónicos no deseados
Los correos electrónicos no deseados que contienen URL´s incrustadas con COVID o coronavirus durante enero y febrero de 2020, fueron observados en decenas de miles por día. Los estafadores aumentaron la actividad a mediados de marzo cuando hicieron ajustes a los robots de spam existentes. Forcepoint X-Labs bloqueó más de medio millón de estafas por día desde mediados de marzo en adelante. Observe la disminución en tales envíos durante el período de Pascua.
Ver figura 5 abajo:
Observación 6: Tráfico de correo electrónico malicioso
Tradicionalmente, la cantidad de correos electrónicos maliciosos vistos por día a través de las soluciones Forcepoint Cloud Email Security, son órdenes de menos magnitud que la cantidad de correos electrónicos spam observados. Lo mismo puede decirse de los correos electrónicos maliciosos con temas de COVID y Coronavirus. Hasta la semana del 16 de marzo, la cantidad de correos electrónicos maliciosos que contenían URL´s incrustadas con COVID y coronavirus no había aumentado en las últimas ocho semanas. La semana del 23 de marzo vio el mayor aumento (358%) de dichos correos electrónicos en comparación con el último día hábil de la semana anterior. La primera semana de abril experimentó una disminución significativa, pero la cantidad de correos electrónicos maliciosos ha aumentado desde entonces.
Ver Figura 6 abajo:
¿Qué otros métodos de mitigación activos están siendo implementados por Forcepoint X-Labs?
- Forcepoint X-Labs utiliza fuentes de terceros que abarcan nuevo malware. Estamos adoptando nuestros enfoques habituales para validar e ingerir esos feeds ya que vemos un aumento en el malware específico de COVID ahora incluido en esos feeds..
- Estamos suscritos a la COVID19 Cyber Threat Coalition. Este feed ha sido creado recientemente por la industria de seguridad para compartir la telemetría de amenazas en toda la comunidad. Más sobre esta iniciativa aquí: https://www.cyberthreatcoalition.org/
- Estamos trabajando en estrecha colaboración con nuestros clientes para aumentar la cobertura y comprender nuevas formas en que los autores de malware operan con ataques temáticos de COVID y Coronavirus.
- Forcepoint X-Labs opera un equipo 24/7 que monitorea nuestra detección y agrega nuevas reglas de detección según corresponda.
- Los indicadores y las tendencias obtenidas de un producto se utilizan para mejorar la protección en toda la gama de productos Forcepoint, incluidos los análisis de comportamiento.
Conclusión
Los cibercriminales se han adaptado para explotar el interés del público en COVID-19 y Coronavirus. Esto no debería sorprender a los defensores de las organizaciones globales, ya que vemos este modus operandi a diario. Los vectores de correo electrónico y ataque web siguen siendo componentes clave en el arsenal de un cibercriminal. En respuesta a eventos globales, también hemos visto cambios en el comportamiento de los empleados dentro de las organizaciones de todo el mundo a medida que responden a los mandatos establecidos por el gobierno o sus propios empleadores.
