La guerra en Ucrania siguió siendo protagonista también en lo relativo a ciberseguridad durante el pasado mes de marzo. No solo se descubrieron de nuevos ataques dirigidos a destruir información en sistemas ucranianos, sino que los ciberdelincuentes comunes también han empezado a aprovecharse de la situación en su beneficio. Este y otros temas van a tratarse en el siguiente resumen de amenazas correspondiente al mes de marzo de 2022.
Guerra en Ucrania
Aunque de momento no se han detectado ciberataques que puedan ser considerados como especialmente graves, sí que se han observado varios incidentes de seguridad en los dos bandos en conflicto. En Ucrania se detectó a mediados de mes un nuevo malware destinado a destruir información almacenada en los sistemas que infectaba y que fue bautizado como CaddyWiper.
Se trataría del tercer malware de estas características descubierto por los investigadores de ESET desde el inicio de la guerra y habría sido observado en docenas de sistemas pertenecientes a un número limitado de organizaciones. No debemos olvidar que Ucrania lleva años sufriendo todo tipo de ciberataques, muchos de ellos relacionados con el grupo Sandworm, que algunas fuentes como el Departamento de Justicia de los Estados Unidos han relacionado con una unidad militar de la Dirección General de Inteligencia rusa.
En lo que respecta a Rusia, no han sido pocos los ataques sufridos tanto por organizaciones públicas como por empresas privadas de este país. Muchos de estos ciberataques han estado realizados por el colectivo Anonymous, quienes han conseguido filtrar una gran cantidad de datos confidenciales relacionados con el sector público y privado ruso, incluyendo algunos datos correspondientes a sus fuerzas armadas.
Tampoco debemos olvidar que los delincuentes comunes como otros grupos APT sin relación directa con Rusia o Ucrania también están aprovechando este conflicto para tratar de hacer su agosto particular, por ejemplo suplantando la identidad de ONGs para robar dinero a aquellos ciudadanos que quieren apoyar a Ucrania o la utilización de documentos que tratan temas de actualidad europea como la guerra para usarlos como cebo en campañas recientes protagonizadas por el grupo Mustang Panda.
El grupo de ransomware LAPSUS$ sigue imparable
Uno de los grupos de ransomware que más ha dado que hablar desde principios de año es, sin duda, LAPSUS$ debido a sus continuos ataques a empresas y organizaciones de gran tamaño. El mes de marzo no ha sido una excepción y este grupo se ha cobrado nuevas víctimas de la talla de Samsung, Nvidia, Ubisoft, Okta o incluso la propia Microsoft.
Si este grupo de delincuentes despedían el mes de febrero anunciando haber comprometido la web de la empresa Nvidia, apenas unos días después filtraron un archivo de alrededor de 190GB en la que aseguraron tener información confidencial de otro gigante tecnológico como es Samsung. El archivo filtrado incluiría código fuente de muchos elementos usados en la seguridad de los procesadores y dispositivos Samsung, con las consecuencias que eso podría tener para los usuarios.
La conocida compañía de videojuegos Ubisoft también sufrió un ataque de ransomware relacionado con el grupo LAPSUS$ durante el mes pasado. Pocos días después del ciberataque a Samsung, Ubisoft informó que fue víctima de un incidente de seguridad que afectó a algunos de sus videojuegos, sistemas y servicios, lo que motivó un reseteo de contraseñas masivo por precaución.
Pero las acciones de este grupo de delincuentes no se quedaron ahí y también durante el mes pasado afectaron a Okta, una compañía que ofrece servicios de autenticación y que es utilizada por grandes empresas. Según publicaron a través de Telegram, los cibercriminales tuvieron acceso a una cuenta con permisos de administrador que les permitió resetear contraseñas y la autenticación multifactor de una gran cantidad de clientes.
Además, también consiguieron comprometer la seguridad de Microsoft publicando un archivo comprimido de 9GB que contenía parte del código fuente robado de Bing, Bing Maps y Cortana. La empresa confirmó a través de un comunicado que uno de sus empleados fue víctima de un incidente de seguridad que permitió a los actores maliciosos acceder y robar parte del código fuente de algunos de sus productos desde un servidor interno. Los cibercriminales aseguraron haber robado 37GB de código fuente de varios proyectos de la compañía.
Robos de credenciales y criptomonedas en auge
Por lo que respecta a amenazas dirigidas a empresas y usuarios, durante el pasado mes vimos como el robo de contraseñas seguía consolidándose como una tendencia muy presente, especialmente en España. Ya no hablamos solamente de los típicos casos de phishing bancario que tratan de robar el acceso a las cuentas de banca online de los usuarios, sino de ataques dirigidos a empleados de las empresas para que desvelen sus credenciales.
Este tipo de ataques se han venido multiplicando durante los últimos meses y suelen consistir en correos camuflados como facturas u órdenes de pago enviados a ciertos departamentos como los de administración y contabilidad. Estos emails suelen adjuntar ficheros maliciosos que infectan el sistema de la víctima y proceden a recopilar credenciales almacenadas en aplicaciones de uso frecuente como navegadores de Internet o clientes de correo, pero también de clientes FTP o VPN. Su finalidad no es otra que la de conseguir el acceso inicial a las redes de la empresa, acceso que luego es utilizado por grupos de delincuentes para robar información e incluso cifrarla solicitando un rescate.
No debemos olvidarnos de las amenazas relacionadas con las criptomonedas, que siguen tratando de robar esos activos financieros usando todo tipo de estrategias. A finales de marzo, investigadores de ESET descubrieron aplicaciones maliciosas dirigidas a usuarios de Android e iOS que tenían como objetivo el robo de las criptomonedas de los usuarios infectados.
Por último, no debemos olvidar que incluso las estafas más sencillas pueden resultar efectivas si se realizan de forma convincente. Por ejemplo, en marzo analizamos un nuevo caso de citación policial, esta vez a nombre de Europol, en la que se solicitaba contactar con una dirección de email para presentar alegaciones a unos cargos de los cuales se acusan al receptor del email. Esta técnica es un clásico que regresa de forma periódica, pero no por ello resulta menos efectiva si la víctima baja la guardia.