Noviembre es la antesala de las fiestas navideñas y, cada vez más una época de consumo intensivo con fechas señaladas como el Black Friday, el Cyber Monday o el día del soltero. Eso lo saben los delincuentes y por eso intensifican las campañas dirigidas al robo de información, y más concretamente la información financiera, algo que ha vuelto a suceder durante el mes pasado.
Ofertas, ciberestafas y robos de información bancaria
Tal y como hemos indicado, en un mes marcado por continuas ofertas online, no es de extrañar que veamos un repunte de la actividad delictiva orientada a obtener un beneficio a costa de los incautos o desprevenidos. Así pues, durante las últimas semanas hemos estado revisando y analizando varias estafas que se hacían pasar por tiendas online como Amazon y que eran propagadas por servicios de mensajería como WhatsApp.
Toda esta actividad detectada durante el mes pasado tiene como finalidad robar información de los usuarios relacionada con sus tarjetas de crédito y otras formas de pago. Para ello, los delincuentes no dudan en volver a suplantar a servicios de mensajería, sabiendo que son muchos los que están esperando un paquete tras haber realizado muchas compras online.
Pero además, los delincuentes también se adaptan y modifican sus cebos adaptándolos a la nueva normativa de importación que se aplica a las compras desde fuera de la Unión Europea desde hace algunos meses, utilizando un supuesto pago pendiente al servicio aduanero para engañar a sus víctimas y conseguir que estas proporcionen la información de su tarjeta de crédito.
Por si fuera poco, coincidiendo con la conclusión de la fusión entre CaixaBank y Bankia, los mensajes de phishing bancario no han dejado de sucederse, no solo afectando a esta entidad sino también a otras de las mas reconocidas del sector bancario español como BBVA o Bankinter. Estos casos de phishing han seguido produciéndose y prácticamente todas las semana analizamos alguno con prácticamente las mismas plantillas usadas en las semanas anteriores.
Explotación y solución de vulnerabilidades
Microsoft ha tenido un mes intenso en lo que se refiere a publicación de parches para solucionar vulnerabilidades que estaban siendo explotadas por atacantes. En sus boletines mensuales de seguridad Microsoft solucionó un total de 55 vulnerabilidades, un número pequeño si lo comparamos con lo visto en meses anteriores, pero dos de los agujeros de seguridad considerados como críticos estaban siendo aprovechados de forma activa por atacantes, lo que requería la publicación de parches de seguridad lo antes posible.
La primera de las dos vulnerabilidades críticas solucionadas afectaba a Microsoft Exchange Server y permitiría a un atacante autenticado la ejecución remota de código en servidores vulnerables. Por otro lado, la otra vulnerabilidad crítica afectaba a Microsoft Excel, concretamente a las versiones 2013 – 2021, y podría permitir a un atacante la instalación de código malicioso si se logra convencer al usuario para que abra un fichero Excel especialmente modificado.
Además, también Otras vulnerabilidades catalogadas como críticas en los boletines de seguridad del mes pasado estaban relacionadas con el protocolo de escritorio remoto o RDP. Este ha sido y sigue siendo uno de los principales vectores de ataque usados por los delincuentes desde el inicio de la pandemia en marzo del 2020, siendo España el país donde más se han detectado este tipo de incidentes durante los últimos meses.
El problema es que, tras la publicación de los boletines de seguridad de Microsoft se descubrieron otros dos peligrosos exploits para Windows y Microsoft Exchange Server. El primero se aprovecharía de una vulnerabilidad para realizar una escalada de privilegios de forma local y permitiría a un atacante obtener el permiso de SYSTEM a partir de una cuenta con privilegios estándar mientras que el segundo cuenta con una prueba de concepto para una vulnerabilidad que afecta a servidores Microsoft Exchange Server 2016 y 2019. Esta vulnerabilidad permite a un atacante previamente autenticado ejecutar código de forma remota en servidores Exchange vulnerables.
Investigaciones y detenciones
Noviembre también ha sido el mes en el que hemos visto el retorno de la botnet Emotet, que tantos quebraderos de cabeza nos ha dado en años anteriores. A mediados de mes, varios investigadores descubrieron que los criminales estaban utilizando la infraestructura existente de TrickBot para reconstruir la botnet Emotet. A pesar de que las campañas de spam aun no han llegado al nivel que tenían antes del primer desmantelamiento de Emotet a principios de 2021, es de esperar que en los próximos meses esta botnet recupere el protagonismo de antaño.
El mes pasado también ha venido cargado de publicaciones por parte de los investigadores de ESET, quienes han descubierto programas de espionaje en Oriente Medio comprometiendo webs de oriente medio y usando el spyware Candiru. Así mismo, desde ESET también se desveló un nuevo intento de ataque a investigadores de seguridad, supuestamente orquestado por el grupo Lazarus.
Los investigadores de ESET también descubrieron y publicaron información detallada de nuevas variantes del ransomware Hive dirigidas a sistemas Linux y, aunque esta no funciona correctamente, es muy probable que se trate de variantes en desarrollo que los delincuentes piensan utilizar en breve.
Precisamente relacionadas con el ransomware se produjeron varias noticias durante el mes pasado, empezando por el cierre de BlackMatter ransomware por parte de sus operadores. Esta fue la nueva identidad que adoptaron los responsables del ransomware DarkSide, que se hizo especialmente conocido tras atacar el principal oleoducto de los Estados Unidos el pasado mes de mayo.
Para terminar, también se produjeron buenas noticias relacionadas con operaciones policiales realizadas contra delincuentes relacionadas con los ransomware REVil y Clop. Las personas detenidas estarían encargadas de diferentes tareas dentro de estas organizaciones criminales como, por ejemplo, el lavado de dinero, pero no del desarrollo del malware propiamente dicho.