Conforme termina un año, llega el momento de echar la vista atrás y recapitular qué dieron de sí los últimos doce meses antes de mirar hacia el futuro para ver qué nos espera en este recién estrenado 2023. En ESET hemos aprovechado el mes de diciembre para hacer un repaso a las noticias más destacadas de 2022 y prepararnos para lo que nos puede esperar en los próximos meses, no sin antes dar unos cuantos consejos sobre cómo debíamos pasar las vacaciones navideñas de forma segura.
Ciberataques que complementan la guerra convencional
No hay duda de que la invasión rusa de Ucrania también tuvo y sigue teniendo su repercusión en el mundo digital en forma de ciberataques. Y es que, tal y como veníamos observando desde hace ya varios años, las instituciones, empresas e infraestructuras ucranianas también han sido víctimas de varios intentos de sabotaje y destrucción de información.
El más destacado al respecto de los detectados hasta el momento fue Industroyer 2, la segunda versión del malware que, a finales de 2016, nos sorprendió con sus capacidades para sabotear estaciones de distribución de energía eléctrica. Esta segunda versión estaba más depurada y dirigida y venía acompañada de CaddyWipper, un malware usado para destruir la información que encuentra en los sistemas a los que infecta.
Estos no fueron, de hecho, los únicos malware destructivos detectados en Ucrania durante 2022, ya que tanto HermeticWipper como IsaacWiper fueron usados en las fases iniciales de la guerra, e incluso unas horas antes de que se iniciará la invasión del territorio ucraniano por parte del ejército ruso.
El ransomware sigue reinando y evolucionando
En lo que respecta al malware convencional, el ransomware ha seguido teniendo especial protagonismo durante todo 2022, y probablemente lo siga teniendo durante 2023. La migración del malware convencional y automatizado que atacaba de forma indiscriminada a todo tipo de empresas, buscando únicamente cifrar archivos para solicitar un rescate por ellos, al modelo de ransomware operado por humanos que también busca extorsionar con la publicación de la información robada, parece haberse terminado de realizar, e incluso en países como España familias de este último tipo de ransomware como LockBit ya se encuentran entre las más detectadas por las soluciones de seguridad de ESET.
No son pocas las empresas y organizaciones gubernamentales que se han visto afectadas en todo el mundo por ataques de este tipo, e incluso han llegado a poner en jaque a gobiernos enteros como el de Costa Rica, donde se declaró la emergencia nacional tras una serie de ataques protagonizados por los grupos de ransomware Conti y Hive. Tras este incidente, el grupo Conti pareció esfumarse o, más bien, cambiar de identidad, algo muy común entre los grupos de ransomware como servicio cuando notan que están atrayendo demasiada atención por parte de las autoridades.
Otro de los actores protagonista de los titulares durante el pasado año fue el grupo de ransomware Lapsus$, que cobró notoriedad tras conseguir afectar a importantes empresas como NVIDIA, Samsung, Microsoft, Okta, Globant o T-Mobile. El principal problema de estos ataques, además de las posibles disrupciones temporales en el servicio que ofrecen estas compañías o el tiempo que pueden tardar sus sistemas en funcionar normalmente, es la filtración de grandes cantidades de información confidencial que pueden llegar a contener el código fuente de varios desarrollos y aplicaciones.
En lo que respecta a España, LockBit, como en otros países, se ha alzado con el liderato en lo que respecta a familias de ransomware detectadas durante los últimos meses, y eso se ve en la gran cantidad de ataques de este tipo que han afectado a empresas de todo tipo y organizaciones gubernamentales (destacando el importante número de ayuntamientos afectados).
El robo de credenciales, una plaga que no cesa
Pero si hablamos de un tipo de malware que se ha cebado especialmente en España durante todo el año, y diciembre no ha sido una excepción, no podemos mencionar otro que la categoría que ESET denomina como infostealers. Estas amenazas, dirigidas tanto a usuarios particulares como a empresas, han estado lanzando de forma constante campañas usando principalmente el correo electrónico como vector de ataque principal, aunque sin olvidar otros canales como los mensajes SMS.
Por un lado hemos tenido campañas de phishing y troyanos bancarios que siguen tratando de robar las credenciales bancarias de los usuarios de banca online, de sus ordenadores y dispositivos móviles, para vaciar sus cuentas. En este punto, los grupos basados en Latinoamérica como Mekotio o Grandoreiro han seguido siendo los principales protagonistas a lo largo del año, tal y como vienen haciendo desde inicios de 2020.
Sin embargo, en lo que respecta a las empresas españolas, las herramientas de control remoto (o RATs por sus siglas en inglés) maliciosas han hecho su agosto en nuestro país con intensas campañas de envío de correos durante prácticamente todo el año y que tienen como finalidad el robo de credenciales almacenadas en aplicaciones de uso cotidiano en las empresas como clientes de correo, navegadores de Internet, clientes FTP y VPN.
Estas credenciales son posteriormente usadas para seguir propagando amenazas, enviándolas, por ejemplo, desde las cuentas comprometidas de los usuarios de las empresas atacadas. Además, las credenciales robadas también pueden ser usadas en las fases de acceso inicial que realizan los operadores de ransomware y que buscan acceder a las redes corporativas para robar información confidencial con la que chantajear con su publicación, además de cifrarla.
Investigaciones de ESET durante diciembre
A pesar de que el mes de diciembre suele ser un periodo que comprende muchas fiestas y donde no pocas personas prefieren dedicarlo a resumir lo más importante del año y descansar, lo cierto es que se siguen realizando y publicando investigaciones muy interesantes como las realizadas por nuestros compañeros del laboratorio de investigación de ESET.
Un buen ejemplo de ello es el análisis de un ataque de cadena de suministro que abusaba de un software israelí para desplegar Fantasy, un malware del tipo wiper del grupo Agrius que incluía entre sus víctimas a la industria del diamante. Este grupo es conocido por sus operaciones destructivas; está alineado con los intereses de Irán y se centra en objetivos principalmente localizados en Israel y Emiratos Árabes Unidos desde 2020.
Además, durante el pasado mes de diciembre investigadores de ESET descubrieron una campaña del grupo de APT MirrorFace especialmente dirigida a entidades políticas japonesas y que utiliza un nuevo malware para robar credenciales. La campaña analizada fue lanzada en las semanas previas a la elección de la Cámara de Consejeros de Japón en julio de 2022, y que desde ESET se ha llamado Operation LiberalFace, ya que estaba dirigida a los miembros de un partido político nipón en particular.