Panorama de amenazas a la ciberseguridad: segundo trimestre de 2023

En el segundo trimestre de 2023, la cantidad de incidentes aumentó un 4 % respecto al primer trimestre y un 17 % interanual. Los ataques dirigidos representaron el 78 % del total. La mayoría de los ciberataques contra organizaciones ocasionó la filtración de información confidencial (un 67 %) y la interrupción de las operaciones principales (un 44 %). En este período se produjeron numerosas filtraciones importantes de datos personales de usuarios y ataques a gran escala que explotaron vulnerabilidades.

Enfoque en productos de transferencia segura de datos

En el primer trimestre, el grupo de ransomware Cl0p ejecutó una gran cadena de hacks corporativos aprovechando una vulnerabilidad de día cero (CVE-2023-0669) en GoAnywhere MFT. En el segundo trimestre, lograron explotar con éxito una vulnerabilidad que habían encontrado (CVE-2023-34362) y que permitía inyectar SQL malicioso en MOVEit Transfer, una aplicación de transferencia de archivos administrada por Progress Software. Se había advertido a Cl0p de las vulnerabilidades, dado que el grupo ya había intentado extraer datos de servidores MOVEit hackeados en abril de 2022.

Entre las víctimas se encontraban los propietarios de marcas reconocidas de ciberseguridad. Por ejemplo, Gen Digital (Avast, CCleaner, Norton LifeLock) confirmó que algunos de los datos personales de sus empleados se vieron comprometidos como consecuencia del último ataque a MOVEit (al momento de la publicación de este texto, el grupo incluye más de 700 empresas en su sitio de filtraciones como víctimas del hack de MOVEit y exige el pago de un rescate).

Teniendo en cuenta el éxito que ha tenido Cl0p al explotar vulnerabilidades de día cero en software de transferencia de archivos administrado, se puede esperar que el grupo mantenga una estrategia similar frente a otros productos de la categoría de ahora en adelante. El enfoque de explotación de día cero de Cl0p sugiere que no todos los grupos de ransomware quieren que sus esfuerzos produzcan ganancias financieras instantáneas, y algunos son capaces de trabajar a largo plazo para maximizar sus beneficios. Los ciberdelincuentes se dan cuenta de que atacar a varias víctimas al mismo tiempo genera un mayor efecto, y el tiempo invertido vale la pena en el largo plazo.

Ataques a proyectos de cadenas de bloques

La cadena de bloques sigue siendo un objetivo atractivo para ataques que apuntan no solo a protocolos sino también a cuentas de redes sociales, ataques en los que se engaña a los usuarios y se roban sus fondos. En el segundo trimestre, los proyectos de cadenas de bloques se vieron afectados por los ciberdelincuentes el doble que en el primer trimestre. Un ataque bien preparado en Discord, que apuntó a los dueños de los servidores de intercambio de criptomonedas, dio como resultado la pérdida de USD  3 000 000. Haciéndose pasar por periodistas, los atacantes utilizaron técnicas de ingeniería social para engañar a los administradores del servidor y hacer que verifiquen sus identidades después de una “entrevista”. Luego de su redirección a un sitio web malicioso, le robaron el token de usuario al administrador de Discord. Luego, los ciberdelincuentes iniciaron sesión en el servidor utilizando la cuenta del administrador, eliminaron a todos los demás administradores e hicieron una publicación de phishing.

También se hackearon las cuentas oficiales de Twitter. Así, los atacantes publicaron un tweet falso de sorteo de criptomonedas en nombre de KuCoin, en el que prometían que cualquiera que enviara criptomonedas recibiría el doble de esa cantidad. Los 45 minutos que la cuenta de Twitter de KuCoin permaneció comprometida fueron suficientes para que los usuarios realizaran transacciones por un total de USD 22 600. La plataforma prometió reembolsar todas las pérdidas.

También hubo ataques mayores contra protocolos de cadena de bloques de dos hackers anónimos que prometieron devolver la mayor parte de los fondos robados si se suspendían las investigaciones sobre sus delitos pasados ([1], [2]) y grupos APT como Lazarus, que estuvo involucrado en el hackeo de la billetera atómica y el robo de USD 35 000 000 de billeteras de criptomonedas.

Crecimiento continuo en la actividad de ransomware

Los ataques de ransomware continuaron creciendo en el segundo trimestre y aumentaron un 13 %.

La situación en los sectores académico, gubernamental, sanitario y de investigación permaneció tensa a pesar de los combates internos de los hackers y la persecución de parte de las agencias de seguridad: la banda de ransomware LockBit bloqueó a una de sus afiliadas por atacar a Keystone SMILES Community Learning Center, una organización sin fines de lucro que atiende a niños en edad preescolar. Cl0p dijo que había eliminado todos los datos robados de las agencias federales de EE. UU. después de que el gobierno ofreciera una recompensa por información sobre el grupo.

Ya vimos cómo el porcentaje de empresas de TI entre la cantidad total de víctimas de ransomware aumentó 5 puntos porcentuales y llegó a un 11 % en el segundo trimestre, en comparación con el primero. El factor determinante fueron los beneficios potenciales para los ciberdelincuentes: los ataques exitosos a las empresas de TI brindan acceso a los datos confidenciales de las empresas y sus clientes, y abren un universo de posibilidades tanto para ataques a la cadena de suministro como a las relaciones de confianza.

Están apareciendo nuevos nombres entre las bandas de ransomware activas: 8Base es un grupo experimentado que estuvo afectando a organizaciones de todo el mundo. Después de un período de silencio y poca popularidad, el grupo lanzó un nuevo sitio de filtraciones y, en junio, se ubicó en el segundo lugar en términos de cantidad de víctimas, después de LockBit. Tras su primera detección en marzo de 2023, los operadores de ransomware Akira mejoraron sus habilidades en el segundo trimestre y entraron en la clasificación de los 10 grupos más prolíficos. Sin embargo, ya a finales de junio, Avast lanzó una utilidad de descifrado gratuita para sistemas Windows. Akira luego atacó los sistemas Linux, que no eran compatibles con el descifrador.

El segundo trimestre no estuvo exento de campañas únicas. MalasLocker, que se detectó por primera vez en abril de 2023, atacó los servidores de Zimbra explotando la vulnerabilidad CVE-2022-24682 y cifrando los sistemas víctima, pero exigió que la víctima hiciera una donación a una entidad benéfica en lugar de pagar un rescate. En el segundo trimestre, MalasLocker se convirtió en el segundo grupo más grande en cantidad de víctimas. La mayoría de las empresas atacadas tenían su sede en Italia, Estados Unidos y Rusia.

Extorsión sin cifrado

La extorsión en el ciberespacio ha pasado de exigir un rescate por descifrar datos a cifrar datos y amenazar con publicarlos (lo que también se conoce como doble extorsión).

Las empresas han respondido aumentando las medidas en materia de ciberseguridad e implementando protocolos de respuesta a ciberataques, herramientas de respuesta, y monitoreo de endpoints y sistemas de respaldo. El ransomware no siempre produce el efecto deseado en la víctima, y sí exige que el atacante realice un esfuerzo significativo para eludir la seguridad e implementar el malware. Todo lo anterior ha llevado a los hackers a abandonar la etapa de cifrado y adoptar el uso de información confidencial robada como la principal herramienta para presionar a las víctimas, algo que también fue reportado por Barracuda. Los ataques de Cl0p a organizaciones, en los que no se utilizó la doble extorsión, sugieren que este sigue siendo un método eficaz y relevante de ataque. Los grupos Karakurt y RansomHouse, que originalmente apuntaban solo a robar datos para solicitar dinero, continuaron con sus campañas hasta el segundo trimestre de 2023.

Otra razón para que los grupos abandonen el cifrado y pasen a amenazar con publicar datos robados podría ser la afluencia de herramientas de descifrado lanzadas por profesionales de seguridad. Por ejemplo, White Phoenix ayuda a recuperar archivos cifrados con el popular método de cifrado intermitente. El grupo BianLian continuó su campaña de extorsión, pero dejó de cifrar los sistemas de las víctimas porque se publicó el descifrador.

Software espía en aumento

En el segundo trimestre vimos que el porcentaje de ataques de malware a las organizaciones cayó 8 puntos porcentuales en comparación con el primer trimestre. Esta disminución se debe a un aumento en los ataques de explotación de vulnerabilidades, cuya proporción alcanza el 35 %. El uso de malware en los ataques a individuos aumentó 5 puntos porcentuales.

Según ANY.RUN, el grupo de robo de información RedLine se convirtió en la principal familia de malware y aumentó mucho su popularidad en el segundo trimestre. El malware más popular para Android, según un estudio de Check Point, fue SpinOk, otro tipo de software espía. La tendencia de utilizar este tipo de malware en ataques a organizaciones (un 21 %) e individuos (un 62 %) siguió vigente.

En el segundo trimestre, el equipo de PT Expert Security Center logró descubrir un nuevo ladrón de peso ligero escrito en Go que buscaba archivos (por extensión de nombre) en el directorio de inicio y en unidades locales, y luego enviaba estos archivos al servidor C&C, junto con capturas de pantalla y contenido del portapapeles. Se enviaban mensajes de correo electrónico de phishing que contenían un enlace a un instalador NSIS. El correo electrónico de phishing es uno de los vectores de distribución de malware más utilizados (un 57 %) en ataques a organizaciones. Cuando se iniciaba el instalador, se abría un archivo PDF y simultáneamente se intentaba entregar una carga al dispositivo del usuario.

En los ataques a individuos, el malware se distribuye principalmente con la ayuda de los sitios web (en el 40 % de todos los casos). La tendencia a utilizar el envenenamiento de SEO, que describimos antes, se mantuvo activa durante el segundo trimestre. Los actores de amenazas combinaron el envenenamiento de SEO y la publicidad maliciosa en sitios web ([1], [2], [3]) para difundir malware.

Tendencias en vulnerabilidades

La cantidad de vulnerabilidades descubiertas por trimestre está en aumento: en el segundo trimestre se detectó un 7 % más que en el primero. Hubo más de 7500 vulnerabilidades nuevas, según los datos publicados por el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. Los ciberdelincuentes continúan explotando vulnerabilidades más antiguas, dado que algunos sistemas todavía ejecutan sistemas operativos y software obsoletos. Las siguientes vulnerabilidades se explotaron activamente durante el segundo trimestre:

• CVE-2023-34362. Una vulnerabilidad de día cero ampliamente explotada en MOVEit MFT que les permite a los atacantes obtener acceso a cualquier archivo y escalar sus privilegios en un servidor inyectando código SQL malicioso en las solicitudes enviadas al servidor.
• CVE-2023-27350 y CVE-2023-27351. Vulnerabilidades críticas en PaperCut MF y software de gestión de impresión NG. El grupo Lace Tempest logró comprometer servidores vulnerables, obtener acceso remoto, distribuir ransomware y luego filtrar información confidencial.
• CVE-2023-2868. Una vulnerabilidad de día cero en Barracuda Email Security Gateway, asociada con una validación incompleta de los datos entrantes en el módulo de escaneo de archivos adjuntos de correo electrónico. La falla permite inyectar comandos remotos utilizando archivos TAR maliciosos generados especialmente. El grupo APT conocido como UNC4841 aprovechó la vulnerabilidad para realizar una campaña de ciberespionaje enviando por correo masivo un archivo adjunto malicioso. El hecho de que Barracuda liberara un parche de seguridad para dispositivos vulnerables se consideró una medida insuficiente: la empresa insiste en que los dispositivos comprometidos deben reemplazarse.
• CVE-2018-9995 y CVE-2016-20016. En abril de 2023, investigadores de FortiGuard registraron aumentos significativos en los ataques que explotaban la vulnerabilidad CVE-2018-9995 en dispositivos DVR por TBK (más de 50 000 intentos únicos) y la vulnerabilidad CVE-2016-20016 en videograbadoras digitales MVPower. La explotación de CVE-2018-9995 les permite a los atacantes omitir la autenticación en el dispositivo y obtener acceso a una red vulnerable, mientras que explotar CVE-2016-20016 permite ejecutar comandos no autenticados con la ayuda de solicitudes HTTP maliciosas. Picos como este sugieren que los dispositivos viejos y vulnerables son susceptibles a ataques años después de que se detecta la explotación .

Para protegerse contra los ataques, sugerimos ante todo seguir nuestras reglas generales en materia de ciberseguridad personal y corporativa. Teniendo en cuenta los tipos de incidentes que se vieron en el segundo trimestre de 2023, recomendamos encarecidamente tratar el correo electrónico entrante, los mensajes instantáneos y los mensajes que se reciben a través redes sociales con precaución: debe verificar el remitente y abstenerse de hacer clic en enlaces sospechosos para evitar caer en ataques de ingeniería social o que su dispositivo se vea comprometido por malware. Sea prudente y piense bien sus decisiones, sobre todo cuando vea ofertas atractivas. Descargue aplicaciones únicamente de fuentes confiables, utilice servicios de respaldo de archivos e instale parches de seguridad según sea necesario y a medida que estén disponibles. Además, recomendamos investigar a fondo cada incidente importante para identificar puntos de riesgo y vulnerabilidades explotadas por atacantes, a fin de asegurarse de que los ciberdelincuentes no dejen ninguna puerta trasera abierta. Puede endurecer el perímetro de seguridad con la ayuda de herramientas de seguridad modernas, como firewalls de aplicaciones web (WAF). Para prevenir una infección con malware, recomendamos que utilice entornos de pruebas para analizar el comportamiento de los archivos en un entorno virtual y detectar cualquier tipo de actividad maliciosa.

Las consecuencias de los ataques en el segundo trimestre fueron variadas, y los ciberataques exitosos afectaron tanto a pequeñas como grandes empresas, así como a ciudades y distritos enteros. En la mayoría de los casos, los ciberataques provocaron que los delincuentes obtuvieran información confidencial y las operaciones comerciales se vieran interrumpidas. Un ataque de ransomware en Dallas, una megalópolis de los Estados Unidos, es un buen ejemplo de un ciberataque que afecta a una ciudad. El ataque interrumpió los servicios urbanos: la policía tuvo que enviar equipos de forma manual para que respondieran a llamadas de emergencia, se pospusieron algunos juicios con jurado y las empresas de agua no pudieron procesar pagos en línea.

Los cinco principales ataques del segundo trimestre con impacto negativo y las repercusiones más amplias

• Un ciberataque a Bitmarck, una importante ISP alemana, obligó a la empresa a cerrar todos sus sistemas internos y de cara al cliente. El tiempo de inactividad afectó negativamente a las organizaciones de seguros médicos obligatorios que utilizaron los servicios de TI de Bitmarck. Entre los servicios interrumpidos se encontraba el acceso a registros de salud de los pacientes, el procesamiento de bajas laborales electrónicas, la tramitación centralizada de datos de las empresas, la presentación de informes estadísticos mensuales y las comunicaciones digitales.
• Los hospitales en Idaho Falls y Mountain View, así como sus clínicas asociadas, fueron atacadas por ransomware, lo que obligó a algunos de ellos a permanecer cerrados. Idaho Falls confirmó que varias ambulancias se redirigieron a hospitales vecinos. Las clínicas tardaron más de un mes en restaurar completamente sus procesos.
• Los ataques de DDoS a gran escala en las aplicaciones de Microsoft causaron fallas en los sitios web de Outlook, OneDrive y Azure. Los clientes que vieron interrupciones en el servicio no pudieron usar el correo electrónico ni los servicios en la nube. Unos 18 000 usuarios no pudieron acceder a Outlook cuando el ataque alcanzó su punto máximo. El grupo hacktivista Anonymous Sudan lanzó los ataques uno a la vez durante tres días.
• LockBit exigió que TSMC, la empresa mejor valorada de Asia y uno de los mayores fabricantes de semiconductores del mundo, pagara un rescate de USD 70 000 000 para impedir que sus datos se publicaran. Los datos se habían filtrado desde un servidor mal configurado que pertenecía al proveedor de equipos de TI Kinmax Technologies.
• La empresa rusa Infotel, que proporciona integración de bancos y empresas con el sistema automatizado de comunicaciones digitales del Banco de Rusia, enfrentó un ataque cibernético proveniente del grupo hacktivista Cyber.Anarchy.Squad. El ataque dejó a varios clientes, es decir, bancos importantes, aislados de los sistemas bancarios nacionales. Le llevó al operador de telecomunicaciones 32 horas restaurar el servicio.

Los ataques que provocaron fugas de datos confidenciales estuvieron destinados principalmente a robar datos personales (un 53 %) y secretos comerciales (un 18 %) de organizaciones. Los ataques a individuos estuvieron destinados en gran medida a robar sus credenciales (un 43 %).

Las filtraciones más notables en el segundo trimestre

• Algunas de las víctimas más notables del ataque Cl0p a MOVEit Transfer fueron la Oficina de Vehículos de Motor (OMV) de Luisiana y el Departamento de Transporte de Oregón (ODOT). La fuga afectó a 3 500 000 titulares de identificaciones y licencias de conducir en el estado de Oregón y 6 000 000 en Luisiana.
• Los clientes afectados de Harvard Pilgrim Health Care presentaron cuatro demandas colectivas contra la empresa, en las que la acusaron de no garantizar la seguridad de los datos personales y de salud. En abril, la organización recibió un ataque de malware que dio como resultado una fuga de datos de 2 500 000 personas.
• Durante tres días, se filtraron en Internet datos personales que pertenecían a los clientes de 12 empresas rusas: nombres completos, números de teléfono, direcciones de correo electrónico y, en ciertos casos, incluso hashes de contraseñas. En la lista de empresas figuraban las cadenas minoristas Auchan, Tvoy Dom y Leroy Merlin, las tiendas en línea Gloria Jeans, book24.ru, Askona, Bukvoed, Tvoe y Chitai-Gorod, el sitio web de cocina edimdoma.ru, las editoriales AST y Eksmo, y el complejo turístico Roza Khutor. Auchan, Gloria Jeans, book24.ru, Askona y el grupo Eksmo-AST confirmaron las filtraciones.
• Después de que fracasaran varias negociaciones en torno a un rescate de USD 4 000 000, el grupo de ransomware Money Message publicó las claves privadas de Intel Boot Guard y las claves de firmware robadas a la empresa de hardware MSI. Los extorsionadores afirmaron haber robado 1,5 TB de datos de MSI. La filtración afectó a todo el ecosistema Intel y planteó un amenaza directa a los clientes de MSI. Un atacante podía usar las claves para crear actualizaciones de firmware maliciosas y luego entregarlas con la ayuda de ciertas herramientas de actualización de BIOS y MSI.
• Los datos de tratamiento médico y diagnóstico de laboratorio de 2 500 000 pacientes de Enzo Biochem se vieron comprometidos durante un ataque de ransomware. Algunos de los datos se eliminaron por completo de los sistemas de la empresa. Enzo Biochem no suspendió el servicio incluso cuando sus procesos comerciales internos se vieron interrumpidos mientras trabajaba para limitar el alcance del ataque. Enzo Biochem, junto con su filial Enzo Clinical Labs, fueron objeto de cuatro demandas colectivas en las que se acusaba a la empresa de no garantizar suficiente seguridad en los datos almacenados de los clientes.

El 78 % de los ataques fueron dirigidos.

El 15 % de los ataques estaban dirigidos a individuos.

Este informe contiene información sobre amenazas globales actuales a la seguridad de la información basadas en la propia experiencia, investigaciones y fuentes acreditadas de Positive Technologies.

Estimamos que la mayoría de los ciberataques no se hacen públicos debido a los riesgos que esto supone para la reputación. Como consecuencia, incluso las empresas especializadas en investigación de incidentes y análisis de la actividad de los hackers no pueden calcular la cantidad exacta de amenazas. Nuestra investigación busca llamar la atención de empresas y personas comunes y corrientes que se preocupan por el estado de la seguridad de la información. Para esto, informamos los motivos y métodos claves de los ciberataques, y destacamos las principales tendencias en el panorama cambiante de las ciberamenazas.

En este informe, se considera que cada ataque masivo (por ejemplo, correos electrónicos de phishing enviados a múltiples direcciones) representa un incidente, no varios. Para obtener explicaciones de los términos utilizados en este informe, consulte el glosario de Positive Technologies.