Los ataques no se toman vacaciones y aumentan las amenazas a la banca y a dispositivos IoT

El mes de agosto es sinónimo de vacaciones para muchos, pero no para los que trabajan en seguridad informática. Es durante agosto cuando se celebra en Las Vegas Blackhat y Defcon, las dos conferencias más importantes del sector y que reúnen a miles de asistentes para estar al tanto de las investigaciones más recientes. Eset estuvo allí un año más, asistiendo a un buen número de conferencias con temas interesantes, sin olvidar que agosto también nos ha dejado un buen número de noticias relacionadas con la seguridad.

La gran cantidad de investigaciones que se hacen públicas durante la celebración de Blackhat y Defcon hace que agosto esté repleto de noticias relacionadas con la seguridad. Como comenta la compañía en un comunicado, una de las presentaciones más destacadas fue la del investigador español David Meléndez, quien explicó todo el proceso de fabricación de un dron casero de bajo coste y cómo había conseguido introducirle medidas para dificultar su detección e intercepción por las medidas antidrones clásicas, además de añadirle funcionalidades adicionales de ‘pentesting’ de redes WiFi y SDR.

“Pudimos ver también sobre el escenario al español Sergio de los Santos y a la argentina Sheila Berta presentando su investigación Rock Appround the Clock, pensada para tratar de determinar con cierto grado de exactitud la ubicación geográfica de los creadores de aplicaciones maliciosas en Android. Esto es algo que resulta vital a la hora de poder hacer atribuciones y tratar de averiguar quién está detrás de ciertos tipos de ataques, especialmente los dirigidos”, explican.

Asimismo, asistieron al resultado de varias investigaciones donde se analizaban, por ejemplo, las relaciones existentes entre el cibercrimen y el crimen organizado más tradicional. También escucharon la opinión de representantes de agencias tan importantes como la NSA, con afirmaciones tan tajantes como que la mayor parte de los ataques producidos en 2017 podrían haberse evitado siguiendo unas recomendaciones de seguridad básicas.

Desde Eset, se lleva meses informando de ataques relacionados con el sector financiero y agosto no ha sido la excepción, incluso con la banca española siendo protagonista en más de una ocasión. Un ejemplo lo tenemos en el malware Cobalt, y es que, a pesar de que fue detenido el pasado mes de marzo en España el que se cree que fue uno de sus principales responsables, dicho malware sigue en activo apuntando a bancos en Rusia y Rumanía mediante ataques dirigidos de phishing o enlaces maliciosos dentro de un email.

Una de las amenazas descubierta durante 2018 que tiene a los bancos en su punto de mira es BackSwap. Hasta hace poco tan solo había afectado a bancos polacos, pero investigaciones recientes han demostrado que este troyano bancario ha empezado a incluir a los usuarios de seis bancos españoles entre sus objetivos. Este malware suele llegar a sus víctimas mediante un correo malicioso con adjunto ofimático y es capaz de utilizar scripts maliciosos para modificar lo que ven las víctimas en la web de su banco e interceptar los datos confidenciales de los clientes.

Siguiendo con el sector financiero español, el Banco de España, y más concretamente su web oficial, fue una de las víctimas de #OpCatalonia lanzada por Anonymous y que, mediante ataques de denegación de servicio, afectó a varias webs de numerosos ministerios y también a organismos pertenecientes al poder judicial. Todo apunta a que durante las próximas semanas veremos más incidentes similares conforme nos acerquemos al aniversario del 1-O.

Un mes más, los ataques al Internet de las cosas han tenido su protagonismo en varios frentes. En su vertiente más clásica, más de 200.000 routers del fabricante Mikrotik se vieron afectados por una campaña masiva de criptojacking que modificó su configuración para inyectar una copia de Coinhive, el conocido script de minería para navegadores, en algunas partes del tráfico web de los usuarios. Como detalle importante, este ataque solo afectaba a aquellos routers que no hubieran parcheado la vulnerabilidad que apareció el pasado mes de abril.

Además, la botnet Mirai siguió haciendo de las suyas con nuevas variantes que afectan cada vez más a un número mayor de dispositivos. Durante las últimas semanas se han estado monitorizando variantes de este malware, y viendo cómo crecía el número de dispositivos de todo tipo que caían en sus garras, desde routers y cámaras IP a dispositivos Android. Este mayor número de dispositivos afectados se debe a que las nuevas variantes han sido creadas usando un proyecto de código abierto de nombre Aboriginal Linux, lo que facilita la compilación del malware multiplataforma.

La seguridad de los dispositivos médicos ha vuelto a la primera plana tras una presentación realizada en Blackhat que analizaba las posibles formas de aprovechar vulnerabilidades en bombas de insulina. No es la primera vez que este tipo de dispositivos se encuentran en el ojo del huracán, ya que un ataque a dichos dispositivos podría ocasionar graves consecuencias. Entre las acciones maliciosas que se analizaron se encontraría la modificación de la dosis suministrada a la víctima o, incluso, en el caso de un marcapasos, provocar un shock eléctrico.

Un mes más los robos de datos personales han tenido su protagonismo en el resumen de amenazas. Y es que empezábamos el mes muy fuerte conociendo la noticia de una brecha de seguridad en Reddit que provocó el robo de datos de varios usuarios de esta plataforma. Por suerte, se trataba de una base de datos muy antigua (2007), aunque los atacantes consiguieron evadir el doble factor de autenticación asociado al SMS, lo que volvió a abrir el debate de si esta medida de seguridad mediante mensajes de texto sigue siendo efectiva o si se debe migrar a otras soluciones más efectivas como las contraseñas de un solo uso, tokens hardware o autenticación biométrica.

Otra plataforma muy utilizada y que también se vio envuelta en cierta polémica acerca de su seguridad fue Instagram. Desde principios de mes, varios usuarios informaron haber sido víctimas de una campaña maliciosa en la que los atacantes consiguieron tomar el control de sus cuentas. Desde Instagram afirmaron estar revisando el incidente y a finales de mes incorporaron nuevas funcionalidades, entre las que se encuentra la posibilidad de utilizar aplicaciones de terceros para la autenticación en dos pasos.

Fortnite, el juego de moda, también quiso incentivar a sus usuarios a que protegieran sus cuentas y por eso lanzó una campaña especial en la que regalaban un gesto para los que juegan al modo Battle Royale al activar el doble factor de autenticación. Sin embargo, también tuvo que solucionar una vulnerabilidad en su versión para Android que permitía a aplicaciones maliciosas con pocos permisos ya instaladas en dispositivos Android secuestrar otras aplicaciones legítimas durante su proceso de instalación.

Tras varios meses en los que parecía que el minado no autorizado de criptodivisas era imparable, durante el mes pasado vimos cómo las campañas de anuncios maliciosos con la finalidad de instalar extensiones maliciosas en el navegador Chrome experimentaron un importante crecimiento. Esto no significa que los delincuentes hayan abandonado el criptojacking, pero sí que estamos viendo una migración desde la inyección de código de minado en webs a la infección de dispositivos de todo tipo (principalmente del IoT) para utilizarlos sus recursos en la minería de criptomonedas.

Un ejemplo de que el cryptojacking aún tiene mucho que decir lo tenemos en ZombieBoy, un gusano que utiliza vulnerabilidades conocidas como EternalBlue o DoublePulsar para propagarse rápidamente por redes corporativas y utilizar los sistemas infectados para la minería. Este malware está en constante evolución e incorpora una funcionalidad de puerta trasera que permitiría ejecutar otro tipo de malware como ransomware.

Precisamente durante agosto vimos nuevos casos de ransomware protagonizar más de un incidente de seguridad. Variantes como GranCrab consiguieron un impacto bastante importante en algunas regiones como Latinoamérica. Los vectores de infección siguen siendo muy tradicionales, y en esta ocasión se utilizaron principalmente archivos asociados a cracks de aplicaciones legítimas para poder utilizarlos sin pagar la licencia de uso.

Además, también se han observado numerosas campañas de spam durante las últimas semanas. Con asuntos atractivos como los que nos aseguraban ganar dinero rápidamente o la recepción de una factura impagada, los delincuentes han propagado amenazas como la herramienta de control remota DarkComet para tomar el control de nuestro sistema y robar información, o realizar estafas presentadas como formas aparentemente seguras de invertir en criptomonedas.

Para terminar el mes de forma agitada, supimos de la existencia de una vulnerabilidad 0-day en sistemas Windows que permitiría a un usuario local sin permisos suficientes en un sistema vulnerable realizar una escalada de privilegios mediante un fallo en el planificador de tareas de Windows hasta obtener permisos de SYSTEM. Esto abre la puerta a nuevos ataques que no disponen de solución sencilla hasta que Microsoft publique los correspondientes parches de seguridad, previsiblemente el segundo martes de septiembre.