El pasado mes de febrero ha sido un mes en el que hemos comprobado como, a pesar de realizarse operaciones policiales contra grupos de ciberdelincuentes, estas no siempre terminan deteniendo completamente sus actividades ilícitas. Además, es importante destacar la continuación de campañas dirigidas a empresas y usuarios españoles por parte de amenazas sobradamente reconocidas y que siguen teniendo a nuestro país en su punto de mira.
Operación policial contra el ransomware LockBit
Sin duda una de las noticias del mes y de lo que llevamos de año ha sido la denominada “Operación Cronos”, una operación policial llevada a cabo por varios cuerpos de seguridad internacionales y pertenecientes a diversos países contra la infraestructura y los responsables de LockBit.
Gracias a esta operación, las diversas agencias de seguridad y fuerzas policiales, encabezadas por la Agencia Nacional contra el Crimen de Reino Unido, consiguieron acceder a parte de la infraestructura de este grupo de ransomware y dificultar sus operaciones. Además, se logró detener a varios operadores de LockBit en países como Polonia y Ucrania y generar una herramienta de descifrado gratuita para todos aquellos afectados por este ransomware que tuvieran archivos cifrados y quisieran recuperarlos.
Aunque la operación fue clasificada como un éxito inicialmente, representantes de LockBit no tardaron en anunciar que, ni mucho menos, habían sido desarticulados y que reanudarían sus operaciones delictivas en poco tiempo. Esta amenaza se cumplió pocos días después cuando se observaron nuevos sitios de filtraciones que sustituían a los incautados por las fuerzas de seguridad y el descubrimiento de nuevos cifradores utilizados en ataques a finales de mes.
A pesar de que LockBit sigue activo, esta operación policial ha servido para lanzar un mensaje a los ciberdelincuentes y que sepan que no son intocables. Además, ha permitido a muchos usuarios afectados recuperar sus ficheros infectados y conocer como funciona internamente este grupo de delincuentes, recabar información de sus afiliados, estado de sus cuentas y dinero disponible y aprender acerca de los futuros desarrollos de los criminales para saber a que atenerse en futuros ciberataques.
“Resulta fundamental que operaciones policiales de este tipo sigan presionando a los grupos de ciberdelincuentes para que estos no se crean invulnerables”, comenta Josep Albors, responsable de investigación y concienciación de ESET España, “Si se destinan los recursos suficientes, se puede equilibrar la balanza en la lucha contra el cibercrimen, apoyándonos en los expertos y la experiencia con la que cuentan los grupos especializados de las fuerzas de seguridad y en la colaboración público-privada”.
Amenazas dirigidas a España
En lo que respecte a nuestro país, también hemos visto como, a pesar de realizarse una importante operación policial a finales de enero contra el grupo especializado en la distribución de troyanos bancarios Grandoreiro, esta conocida amenaza ha vuelto a realizar numerosas campañas dirigidas a usuarios españoles.
En las campañas de Grandoreiro analizadas durante febrero, se ha observado la utilización de plantillas conocidas suplantando a organismos oficiales como la Dirección General de Tráfico, el Ministerio de Inclusión, Seguridad Social y Migraciones y el Ministerio de Trabajo y Economía Social. La finalidad de estas plantillas es conseguir resultar lo suficientemente convincentes como para que los usuarios que reciban los correos maliciosos pulsen sobre el enlace proporcionado y descarguen el fichero infectado que inicia la ejecución de la cadena de infección de Grandoreiro.
Otras campañas maliciosas que utilizan el email son las que suplantan la identidad de empresas conocidas y nos redirigen a webs fraudulentas para tratar de robar credenciales de todo tipo. Durante el mes pasado se observaron casos como el del correo con una supuesta factura y que suplanta a la empresa BeeDigital. En este tipo de casos se suele incluir un enlace para que la víctima acceda a una web similar a la de la empresa legítima para que introduzca sus credenciales y así poder robarlas, por lo que es conveniente asegurarnos de estar en la web original, evitando pulsar en enlaces proporcionados por email o mensajes recibidos en nuestro móvil.
Durante las últimas semanas hemos observado varios ciberincidentes afectando a empresas y organizaciones públicas españolas. Entre todos ellos podemos destacar el ciberataque sufrido por el ayuntamiento de Sant Antoni en Ibiza, que fue afectado por un ransomware, la filtración de varios miles de credenciales de afiliados de Comisiones Obreras o la filtración de datos personales de algunos titulares de las tarjetas del Consorcio de Transportes de Madrid.
Tampoco debemos olvidar toda la polémica que se generó alrededor de la campaña de escaneo de iris por parte de la empresa Worldcoin y que hizo sonar las alarmas en lo que respecta a la gestión de datos biométricos, especialmente de aquellos usuarios menores de edad.
Investigaciones de ESET
Febrero también fue el mes en el que se cumplieron dos años del inicio de la guerra en Ucrania, una guerra en la que también hemos observado y analizado numerosos ciberataques por parte de ambos bandos. En una reciente investigación de ESET publicada el pasado mes se proporcionaron detalles de la “Operación Texonto”, una campaña de desinformación/operaciones psicológicas (PSYOPs) que utilizaba correos electrónicos como principal método de distribución. A través de mensajes enviados en dos oleadas, los actores maliciosos alineados con Rusia intentaron influir en los ciudadanos ucranianos y hacerles creer que Rusia estaba ganando la guerra. La primera oleada tuvo lugar en noviembre de 2023 y la segunda a finales de diciembre de 2023.
Por otro lado, investigadores de ESET identificaron doce aplicaciones de espionaje para Android que comparten el mismo código malicioso: seis estaban disponibles en Google Play y otras seis se encontraron alojadas en el repositorio de muestras en VirusTotal. Todas las aplicaciones observadas se anunciaban como herramientas de mensajería, salvo una que se hacía pasar por una aplicación de noticias. En segundo plano, estas aplicaciones ejecutan de forma encubierta un código troyano de acceso remoto (RAT) llamado VajraSpy, utilizado para el espionaje selectivo por el grupo Patchwork APT.