Importantes empresas, como Everis, la Cadena Ser, La Zaragozana, Vithas o Prosegur, se vieron afectadas por diferentes ataques
Mientras muchas empresas ya están pensando en cerrar el año e irse de vacaciones, los delincuentes no cesan en sus actividades. Prueba de ello es que durante noviembre el laboratorio de ESET, el mayor fabricante de software de seguridad de la Unión Europea, no ha dejado de descubrir nuevas amenazas, especialmente relacionadas con el ransomware, un tipo de malware que vuelve a causar estragos entre empresas de todos los tamaños y con notables casos acontecidos en España. Desde el laboratorio de ESET también se ha alertado durante este mes de importantes fugas de información que han expuesto los datos privados de cientos de millones de usuarios.
El ransomware golpea con fuerza en España
Ya avisábamos a la vuelta de las vacaciones de verano de que los delincuentes volvían con las pilas cargadas. Desde entonces, no hemos dejado de ver cómo las campañas de propagación de varias familias de malware han hecho estragos en todo el mundo. Entre estas familias destacamos la del ransomware Ryuk, que durante las últimas semanas ha afectado a numerosas empresas en España, algunas de gran tamaño.
A principios de mes se produjeron dos incidentes en grandes empresas españolas. Por un lado, la consultora Everis se vio afectada por lo que, desde algunas fuentes y según los datos que pudieron obtenerse, parecería una variante del ransomware Bitpaymer. Además, todos los indicios apuntan a que se trató de un ataque dirigido por la personalización de la extensión de los ficheros afectados o la personalización de la nota del rescate, entre otros.
Por otro lado, la Cadena Ser también se vio afectada ese mismo día, aunque en su caso se trató de una variante del ransomware Ryuk que suele elegir a sus objetivos de forma indiscriminada, pero casi siempre centrándose en empresas y administraciones públicas. Este incidente provocó problemas en las emisiones locales y regionales, sobre todo en Madrid.
Precisamente, Ryuk ha seguido provocando problemas en España y afectó en semanas posteriores a la empresa de seguridad Prosegur. También se reportaron incidentes relacionados con ransomware, aunque sin poderse comprobar la familia responsable, que afectó a siete hospitales de la cadena Vithas y a la empresa cervecera La Zaragozana. Además, el instituto de empleo de Zaragoza también se vio afectado por un caso de ransomware, aunque en este caso fue de la familia Sodinokibi. Tanto Ryuk como Sodinokibi se reparten buena parte de los casos de ransomware a empresas en lo que llevamos de año y no se prevé que este tipo de incidentes vayan a desaparecer a corto plazo, a menos que las empresas adopten las medidas de seguridad adecuadas.
Fugas de información que afectan a millones de usuarios
Durante las últimas semanas hemos visto cómo se han producido numerosos incidentes que han terminado con fugas de información personal de millones de usuarios. Entre estos incidentes tenemos el que ya se considera como la filtración más grande hasta la fecha y que ha afectado a más de 1.200 millones de usuarios de redes sociales como Facebook y LinkedIn. Entre los datos que se han filtrado se incluyen los nombres de usuario, números de teléfono o el email. El origen de esta fuga podría estar en un par de empresas que tienen el enriquecimiento de datos como vía de negocio. Tal cantidad de datos se encontraba almacenada en un servidor Elasticsearch totalmente abierto que sumaba un total de cuatro Terabytes de datos y alrededor de 4.000 millones de cuentas de usuarios. Tras analizar cuáles pertenecían a usuarios únicos, se llegó a la cantidad de 1.200 millones de cuentas comprometidas. Siguiendo con las filtraciones y centrándonos ahora en el sector las telecomunicaciones, un fabricante de dispositivos y un proveedor de servicios también anunciaron haber sufrido brechas de seguridad.
Por un lado, OnePlus, el fabricante chino de smartphones, anunció hace unos días haber sufrido una fuga de información que afectaría a los datos de algunos de sus usuarios. Entre los datos comprometidos se encontrarían los nombres, números de contacto, emails y direcciones de envío. Por suerte, la información relacionada con medios de pago, contraseñas y cuentas no se habría visto afectada, según la compañía.
La otra empresa del sector de las telecomunicaciones afectada por una fuga de información fue T-Mobile, quien sufrió accesos no autorizados a la información perteneciente a las cuentas de un número inicialmente indeterminado de sus clientes de pre-pago. Declaraciones posteriores realizadas desde la compañía indicaron que este incidente habría afectado a un pequeño número de sus usuarios. Entre los datos a los que se accedió se encuentran el nombre de los usuarios, su dirección de facturación, número de teléfono, número de cuenta, plan de tarificación contratado y sus características.
Otros incidentes destacables
La cantidad de incidentes de seguridad que se producen a lo largo de un mes es muy elevada y cuesta destacar unos sobre otros. Sin embargo, desde el laboratorio de ESET se quiere poner el foco de atención en tres de ellos por su especial relevancia.
Por un lado, investigadores de ESET descubrieron una variante del troyano bancario Mispadu que afectaba a países de Latinoamérica, especialmente a Mexico y Brasil, con ciertas peculiaridades a la hora de propagarse. En algunos casos se emplea el clásico correo de phishing que se hace pasar por una entidad bancaria o empresa de confianza. Sin embargo, los responsables de este malware, denominado Mispadu, también lanzaron una campaña de anuncios patrocinados en Facebook ofreciendo falsos cupones de descuento para McDonald’s. En el caso de pulsar en uno de estos anuncios, la víctima potencial era dirigida a una de las páginas web controladas por los delincuentes.
Pulsar sobre el botón que sugiere el anuncio descarga un archivo ZIP que contiene un instalador MSI y que termina con la instalación del malware.
Por otro lado, también nos hicimos eco de la alerta de seguridad publicada por el fiscal del distrito de Los Ángeles, California, donde se desaconsejaba la utilización de las estaciones de carga que ya son tan comunes en aeropuertos, medios de transporte públicos y hoteles, entre otros, debido a que pueden ser utilizadas para lanzar ataques contra los dispositivos que se conecten a ellas.
Finalmente, una investigación descubrió importantes fallos de seguridad que comprometían la privacidad de los usuarios del smartwatch SMA-WATCH-M2, diseñado paradójicamente para proteger a los menores. Los agujeros de seguridad encontrados permitían obtener información privada como la edad del niño, su dirección física, lugares visitados frecuentemente, rutas habituales, donde pasa buena parte de su tiempo, mensajes y notas de voz enviados al smartwatch e incluso conocer en tiempo real la posición del menor.