Resumen de algunas de las ciberamenazas más destacadas del mes de junio
Junio es un mes en el que muchas empresas y usuarios ya tienen el ojo puesto en las vacaciones de verano y se suelen cerrar proyectos, acuerdos y planes de trabajo para volver a retomarlos en septiembre. Lamentablemente, los ciberataques no se detienen en periodo estival y buena prueba de ellos son los incidentes y noticias relacionadas con la ciberseguridad que hemos ido observando durante las últimas semanas.
Vulnerabilidad MOVEit y su aprovechamiento por grupos de ransomware
Nada más empezar el mes teníamos constancia de una vulnerabilidad importante que marcaría el devenir de las siguientes semanas y que es bastante probable que permanezca copando titulares durante un tiempo. Nos referimos al importante agujero de seguridad descubierto en el software de transferencia de ficheros MOVEit, usado por miles de empresas y organizaciones en todo el mundo.
Esta vulnerabilidad podría permitir una escalada de privilegios y potenciales accesos no autorizados a la base de datos de la aplicación y, dependiendo del motor usado, un atacante podría llegar a interceptar información relacionada con la estructura y contenidos de dicha base de datos para, mediante la ejecución de comandos SQL, modificar o borrar elementos presentes en dicha base de datos.
Los delincuentes no tardaron en aprovechar este agujero de seguridad y, pocos días después de publicarse esta vulnerabilidad, comenzaron a aparecer empresas y administraciones públicas en varios países que habían sido víctimas de ciberataques. Uno de los grupos de ciberdelincuentes que no tardó en aprovecharse de la situación fueron los responsables del ransomware Clop, quienes aprovecharon la vulnerabilidad para, según ellos mismos, acceder a la información de cientos de empresas y robarla.
Actualmente, y desde mediados de junio, existen a disposición de los usuarios parches que solucionan esta vulnerabilidad pero es posible que no pocas empresas tarden meses en aplicarlos, por lo que los incidentes relacionados con este agujero de seguridad seguramente sigan produciéndose a corto y medio plazo.
Inteligencia artificial como excusa y desarrollo de nuevas ciberamenazas
Llevamos ya varios meses oyendo hablar de la inteligencia artificial y de sus aplicaciones posibles, tanto para bien como para mal. Mientras, los delincuentes no desaprovechan la ocasión para hacer de las suyas. Un ejemplo de eso lo tenemos en el comunicado lanzado el pasado 5 de junio por el FBI, en el que se alertaba del uso por parte de actores maliciosos de imágenes y vídeos públicos manipulados para campañas de sextorsión. Según advertía, recientemente han recibido varios informes de personas que han sido víctimas de la manipulación de vídeos e imágenes suyas para la creación de imágenes sexuales falsas para después extorsionarlas o intimidarlas.
Aprovechando el boom mediático de la inteligencia artificial, los delincuentes también han generado webs falsas que prometen herramientas legítimas basadas en ChatGPT, pero que, en realidad, están distribuyendo extensiones maliciosas con la intención de robar cookies y acceder a cuentas en los equipos de las víctimas.
Los desarrolladores de troyanos bancarios dirigidos a dispositivos Android también aprovechan la ocasión para promover falsas aplicaciones que utilizan el nombre de ChatGPT con la finalidad de infectar los dispositivos. El equipo de investigadores de ESET descubrió varios troyanos bancarios usando esta técnica para instalar malware capaz de interceptar mensajes SMS, leer los contactos, acceder a la cámara, a la lista de contactos, al registro de llamadas, modificar audio, obtener una lista de aplicaciones instaladas y muchas otras cosas más. En el caso de los SMS, esta capacidad permite obtener el código de verificación en dos pasos para acceder a una cuenta online.
“La insistencia de los atacantes por robar credenciales de todo tipo de empresas españolas demuestra que queda bastante trabajo por realizar a la hora de proteger el acceso no autorizado a información crítica. Los delincuentes saben que las pymes españolas no suelen destinar los recursos necesarios para mitigar ciberamenazas, lo que las hace un blanco fácil de este tipo de ataques”, señala Josep Albors, responsable de investigación y concienciación de ESET España.
Ciberamenazas en España
Cuando ponemos el punto de mira en nuestro país, observamos que las campañas centradas en el robo de información siguen protagonizando la mayoría de incidentes relacionados con la ciberseguridad. Entre ellas continuamos viendo cómo el conocido malware Agent Tesla sigue propagándose usando correos electrónicos con asuntos diversos como el pago de facturas pendientes, aunque en sus últimas versiones encontramos cada vez más capas de ofuscación para tratar de dificultar su detección y análisis.
Otros delincuentes prefieren métodos menos elaborados y por eso recurren a campañas de phishing en las que se intenta dirigir a los usuarios que reciban sus correos a una web donde deberá introducir sus credenciales (generalmente, de correo electrónico). Estas credenciales recopiladas pueden ser usadas, posteriormente, en ataques dirigidos que comprometan la información confidencial de la empresa e incluso lleguen a impedir la continuidad del negocio.
Por último, no debemos olvidar que, aun sin el uso de la inteligencia artificial, las campañas de correos de sextorsión siguen estando presentes en España. La más reciente detectada en nuestro laboratorio utilizaba un correo supuestamente relacionado con la Guardia Civil para resultar más creíble, aunque la plantilla usada por los delincuentes era bastante similar a la observada en campañas anteriores.
Investigaciones de ESET
El pasado mes de junio también fue prolífico en lo que se refiere a investigaciones realizadas por el equipo de investigación de ESET. Para empezar, se revelaron detalles sobre AceCryptor, un cifrador muy extendido utilizado por decenas de familias de malware. Esta amenaza existe desde 2016 y se ha distribuido por todo el mundo, con múltiples desarrolladores de amenazas que la utilizan activamente para propagar malware empaquetado en sus campañas. Durante 2021 y 2022, la telemetría de ESET detectó más de 240.000 impactos de este malware, lo que equivale a más de 10.000 detecciones cada mes. Muchos delincuentes confían en este cifrador para tratar de evitar las detecciones mediante análisis estáticos realizados por las soluciones de seguridad.
Además, los investigadores de ESET publicaron su análisis sobre Asylum Ambuscade, un grupo de ciberdelincuentes que ha estado realizando varias operaciones en paralelo, al menos desde 2020, dirigidas a particulares, pymes, clientes bancarios y comerciantes de criptomonedas en varias regiones de Norteamérica y Europa. ESET encontró compromisos previos de funcionarios del gobierno y empleados de empresas estatales en países de Asia Central y Armenia. El objetivo de los atacantes era robar información confidencial y credenciales de correo web de portales de correo oficiales del gobierno de estos países fronterizos con Ucrania.
Por último, los mismos investigadores identificaron una versión actualizada para Android de GravityRAT, un troyano de acceso remoto que se distribuye como las aplicaciones de mensajería BingeChat y Chatico. GravityRAT es una herramienta de acceso remoto que se conoce desde al menos 2015 y que se usó anteriormente en ataques dirigidos en India. Existen versiones disponibles de este malware para Windows, Android y macOS, tal como lo documentaron previamente Cisco Talos, Kaspersky y Cyble. Si bien el actor detrás de GravityRAT sigue siendo desconocido, internamente desde ESET se rastrea al grupo como SpaceCobra.
Powered by WPeMatico