El mes de septiembre suele suponer para muchos la vuelta a la rutina y al trabajo. No es el caso de los ciberdelincuentes, ya que la gran mayoría no se toman vacaciones y continúan con sus actividades maliciosas durante los meses veraniegos. Durante el mes pasado hemos seguido viendo que las amenazas relacionadas con el robo de información seguían cebándose con los usuarios y empresas españolas, pero también cómo se han producido incidentes de seguridad en importantes empresas internacionales y cómo se han descubierto vulnerabilidades críticas en varias plataformas.
El robo de información, a la orden del día
Los datos son el petróleo de nuestro siglo, no solo para las grandes corporaciones, sino también para los delincuentes, y si para acceder a estos datos hace falta robar las credenciales, no tengamos dudas de que los criminales lo van a intentar por todos los medios. Esta tendencia es algo que hemos estado observando desde hace bastantes meses y septiembre no ha sido una excepción.
Son varias las amenazas que utilizan los correos electrónicos para propagarse y, concretamente, cierto tipo de plantillas de probada eficacia para engañar a los usuarios. Así lo hemos podido comprobar un mes más tras analizar numerosas campañas dirigidas a usuarios y empresas españolas que han utilizado ganchos como las supuestas facturas, órdenes de compra o presupuestos pendientes de aprobación.
También se han detectado numerosos correos haciéndose pasar por empresas de logística con la finalidad de infectar el sistema de la víctima y robar las credenciales almacenadas en aplicaciones de uso cotidiano como clientes de correo, navegadores de Internet o clientes FTP, por poner algunos ejemplos. Esto es un modus operandi bastante común cuando hablamos de amenazas como Agent Tesla o Formbook, pero tampoco podemos olvidar que los troyanos bancarios originarios de Latinoamérica como Mekotio siguen muy presentes en nuestro país.
Por si fuera poco, la suplantación de empresas y marcas reconocidas sigue usándose frecuentemente para obtener los datos de usuarios particulares y suscribirlos a caros servicios. Por poner algunos ejemplos, septiembre ha sido el mes en el que se han vuelto a observar falsas encuestas utilizando los nombres de Decathlon y Heineken y que prometían suculentos premios a cambio de abonar una pequeña cantidad en concepto de gastos de envío.
Ataques a grandes empresas
Durante las últimas semanas hemos visto como grandes empresas veían su seguridad comprometida y algunos atacantes conseguían acceder a sus sistemas internos y obtener, e incluso filtrar, información confidencial. Dos de los ejemplos más destacados fueron los de Uber y Rockstar, que llenaron titulares a mediados de mes tras ser atacados por lo que, supuestamente, sería un miembro del grupo Lapsus$, el cual ya habría sido detenido por las autoridades británicas.
Este tipo de incidentes suponen un importante daño reputacional a las empresas atacadas, e incluso, en algunos casos, rehacer algunos planes si la información robada es filtrada. En el caso de Rockstar, el atacante consiguió obtener código fuente del videojuego superventas GTA5 y de su sucesor GTA6, además de vídeos de este último que se encuentra aún en desarrollo.
Además, la empresa especializada en software de gestión de contraseñas LastPass aportó más información sobre el ataque sufrido en agosto, indicando que pudieron prevenir que las personas detrás del ataque tuvieran acceso a información sensible y asegurando que, de acuerdo a la investigación realizada, no habría evidencias de que se hubiese accedido a las contraseñas cifradas de quienes utilizan este administrador de contraseñas.
Vulnerabilidades en sistemas de Apple y Microsoft
Como es habitual, todos los meses se descubren nuevos agujeros de seguridad en todo tipo de aplicaciones y sistemas operativos. Septiembre no ha sido la excepción, aunque algunas de las vulnerabilidades descubiertas pueden tener un importante impacto en las próximas semanas y meses si no se solucionan rápidamente.
La empresa Apple informó de una nueva actualización de seguridad encargada de solucionar lo que es ya la octava vulnerabilidad zero-day descubierta en sistemas de esta empresa. Esta vulnerabilidad afectaba a sistemas iOS 15.7, iPadOS 15.7, macOS Monterey 12.6 y macOS Big Sur 11.7, permitiendo a una aplicación ejecutar código arbitrario con privilegios de kernel.
Por su parte, Microsoft informó de una vulnerabilidad en MS Teams relacionada con el hecho de que la aplicación almacena, sin la debida protección, tokens de autenticación en texto sin formato. De esta forma, un atacante podría hacer uso de estos tokens de autenticación para iniciar sesión en la cuenta de la víctima, incluso si tienen habilitada la autenticación multifactor (MFA, por sus siglas en inglés). Además, como el atacante no necesita permisos elevados para leer estos archivos, puede ser aprovechada en cualquier ataque en el que hayan logrado acceso físico o remoto al sistema.
Pero sin duda, las vulnerabilidades que más darán que hablar en los próximos meses son las dos que se descubrieron justo antes de finalizar el mes y que afectan a Microsoft Exchange Server. La propia Microsoft informó de que han visto usar estas vulnerabilidades en ataques dirigidos limitados, que se aprovecharían de la posibilidad de ejecutar código remotamente. En el momento de redactar este resumen aún no existe ningún parche que solucione este agujero de seguridad, aunque Microsoft ha puesto a disposición de sus usuarios una serie de pasos para mitigar posibles ataques.
Investigaciones de ESET
Durante las últimas semanas, el equipo de investigadores de ESET ha estado especialmente activo mostrando algunas de sus investigaciones en eventos alrededor del mundo. Esto ha permitido sacar a la luz varias campañas protagonizadas por nuevos grupos de ciberespionaje como Worok, que ha estado apuntando a organismos gubernamentales y compañías de alto perfil en distintos países y utilizando herramientas que no habían sido documentadas previamente.
Así mismo, investigadores de ESET publicaron a mediados de mes sus más recientes descubrimientos relacionados con otra herramienta del ya extenso arsenal de herramientas que utiliza el grupo de APT SparklingGoblin, siendo esta una variante para Linux del backdoor SideWalk. Esta variante se utilizó en un ataque contra una universidad de Hong Kong en febrero de 2021, la misma universidad que ya había sido atacada por SparklingGoblin durante las protestas estudiantiles de mayo de 2020.
Josep Albors