Skip to content
Volver a noticias
Jun 6

Más minado no autorizado en el aniversario de WannaCry

Más minado no autorizado en el aniversario de WannaCry

BARÓMETRO ESET NOD32 MENSUAL DE SEGURIDAD

Las campañas de phishing de Mercadona y Netflix y el más de medio millón de routers afectados por el malware VPNFilter protagonizan también los incidentes de mayo

El mes de mayo ha venido marcado por la aplicación definitiva del nuevo Reglamento General de Protección de Datos de la Unión Europea y de la avalancha de correos que todos los usuarios han recibido pidiendo consentimiento para seguir usando sus datos. No obstante, las incidencias relacionadas con la ciberseguridad no han faltado.

WannaCry, un año después

El 12 de mayo se cumplía un año desde que WannaCry pusiera en jaque a miles de empresas y organismos públicos en todo el mundo. Este aniversario ha servido para hacer un repaso a lo aprendido y comprobar si esta amenaza, y las que le siguieron, sirvieron de lección.

Si bien el pico de infecciones de WannaCry se produjo en una ventana de tiempo relativamente corta, no podemos decir lo mismo del exploit EternalBlue, utilizado para propagar el malware de forma rápida y eficaz entre los sistemas vulnerables. De hecho, en los últimos meses hemos observado un aumento en su utilización, obteniendo picos máximos de detección a mediados de abril.

“Con estos datos se demuestra que aún quedan muchos sistemas por parchear y que los delincuentes juegan con ventaja a la hora de intentar propagar sus creaciones, al menos entre aquellos usuarios que descuidan las actualizaciones de seguridad de sus sistemas”, comenta Josep Albors, responsable de investigación y concienciación de ESET España.

El minado no autorizado sigue causando problemas

La amenaza que más ha dado que hablar en los últimos meses sigue protagonizando las estadísticas de detección de malware. El minado de criptodivisas no autorizado, que se aprovecha de los recursos de sus víctimas para obtener estas criptomonedas de forma fraudulenta, sigue comprometiendo webs legítimas para introducir código de minado aprovechando vulnerabilidades como las encontradas en el popular gestor de contenidos Drupal a finales de marzo y durante el mes de abril. De esta forma, sitios webs tan conocidos y visitados por miles de usuarios a diario como la del Zoo de San Diego o la del Gobierno de la ciudad mexicana de Chihuahua se han visto afectadas. En España también se observaron algunas webs pertenecientes a gobiernos regionales comprometidas.

Los ciberdelincuentes tratan de infectar cualquier dispositivo conectado que puedan usar a su favor, incluso aquellos considerados seguros por sus usuarios, como son los ordenadores Mac. De hecho, el mes pasado se observó la aparición de un nuevo minero para MacOS que se estaba camuflando como un falso instalador de alguna aplicación conocida, un documento malicioso o en alguna aplicación subida a algún sitio de descargas ilegales.

Las extensiones maliciosas de Chrome siguieron siendo otro de los vectores de ataque usados por los delincuentes para instalar mineros en los sistemas de sus víctimas y, de paso, robar sus credenciales de acceso a sitios web. Esta técnica, conocida desde hace algún tiempo, les sigue funcionando bien a los delincuentes, por lo que es necesario concienciar a los usuarios de los peligros que entraña instalar extensiones en el navegador de dudosa procedencia.

El IoT y los móviles en el punto de mira

Los dispositivos conectados siguen siendo un objetivo muy apetecible para los delincuentes, especialmente si se tiene en cuenta que muchos de ellos no cuentan con las medidas de seguridad más básicas. “Los usuarios no se molestan en protegerlos adecuadamente, y los fabricantes, en muchas ocasiones, lanzan productos llenos de agujeros de seguridad o abandonan el soporte a versiones antiguas”, subraya Albors.

Un dispositivo esencial como son los routers se han vuelto a ver afectados por una campaña de infección masiva que ha logrado introducir más de 500.000 de estos dispositivos de varios fabricantes dentro de una botnet. El malware conocido como VPNFilter consta de varias fases y es capaz incluso de sobrevivir a un reinicio del dispositivo, lo que hace especialmente molesto deshacerse de él. Algunas hipótesis apuntan al conocido grupo APT28 como responsable de este ataque y a Ucrania como objetivo principal. Esto añadiría un caso más a la larga lista de ciberataques que viene sufriendo este país desde hace años.

Por su parte, los usuarios de smartphones con sistema Android han vuelto a exponerse a descargas de aplicaciones fraudulentas en Google Play. Éstas intentaban engañarlos para que las instalasen en los dispositivos y descargaran malware adicional, incluyendo aplicaciones que muestran publicidad de forma “invisible” en el dispositivo, generando beneficios a los delincuentes a costa del dispositivo infectado.

Phishing de marcas conocidas

Hay técnicas que nunca pasan de moda y que, con ligeras variaciones, consiguen que algunos usuarios caigan en la trampa. Es el caso de la suplantación de marcas conocidas mediante webs fraudulentas, técnica conocida como phishing. Durante el mes pasado pudimos observar varios ejemplos, destacando los de Mercadona o Netflix.

En caso del conocido supermercado, los delincuentes lanzaron una campaña de correo electrónico en la que supuestamente estaban ofreciendo tarjetas regalo por valor de 500€. Si el usuario pulsaba sobre el enlace proporcionado era redirigido a una web con apariencia de legítima pero que no tenía nada que ver con Mercadona. En esa web se pedían datos como los de la tarjeta de crédito, supuestamente para poder cobrar el premio, pero lo único que querían los delincuentes era aprovecharlos para realizar compras fraudulentas.

De forma parecida, el correo que se hacía pasar por Netflix nos informaba de la desactivación de la tarjeta de crédito usada para pagar este servicio y nos invitaba a acceder a una web desde donde podríamos rellenar un formulario con los datos de nuestra tarjeta. Obviamente, esta información pasaba a formar parte de la base datos de tarjetas robadas por los delincuentes para ser utilizadas en acciones delictivas o vendidas al mejor postor.

Nuevo mes, nuevas vulnerabilidades

En mayo tampoco faltaron a su cita los habituales boletines de seguridad para productos de Microsoft, Google o Adobe, entre otros. Estos boletines solucionaban, entre otras cosas, vulnerabilidades graves en Windows que permitían la ejecución de código arbitrario o la escalada de privilegios en un sistema comprometido. Adobe Flash Player también corregía fallos graves que permitirían a un atacante ejecutar código malicioso con los permisos del usuario registrado en el sistema. Por su parte, Google añadió parches adicionales para solucionar numerosas vulnerabilidades relacionadas tanto con Meltdown como con componentes de varios fabricantes (Nvidia o Qualcomm entre ellos).

Además, como prueba del importante trabajo que realizan los investigadores de seguridad, especialistas de ESET descubrieron un malware en desarrollo que aprovechaba dos vulnerabilidades desconocidas hasta el momento. La muestra de código malicioso analizada se encontraba camuflada en un fichero PDF y su detección permitió informar tanto a Microsoft como a Adobe para que aplicaran las soluciones necesarias y así evitar que los usuarios sufrieran ataques aprovechando estos agujeros de seguridad.