Panorama de amenazas a la ciberseguridad: último trimestre de 2022

En el cuarto trimestre de 2022, la cantidad de incidentes disminuyó un 5 % en comparación con el trimestre anterior; pero esta cifra seguía siendo bastante alta: un 15 % más que en el mismo período en 2021. La proporción de ataques masivos continuó creciendo: aumentó un 2 %. Los ciberataques exitosos contra las empresas solían producir filtraciones de información confidencial (un 51 %) e interrupciones de actividad vitales (un 36 %). Vimos cortes en infraestructuras críticas y grandes fugas de datos del usuario y código fuente de productos.

Los software espía están en aumento

El porcentaje de ataques con software espía va en aumento: el 17 % de dichos ataques fueron perpetrados contra organizaciones, el 49 % contra individuos. Esto significa, respectivamente, 5  y 3 puntos porcentuales más que en el último trimestre. Los atacantes están creando nuevo malware y trabajando para ampliar su funcionalidad: por ejemplo, el nuevo ladrón Aurora puede extraer datos no solo de los navegadores o el portapapeles, sino también directamente desde el disco del dispositivo. La distribución de software espía bajo la categoría “malware como modelo de servicio” significa que incluso los atacantes sin experiencia pueden utilizarlo : por ejemplo, el nuevo ladrón BlueFox analizado por los investigadores de Positive Technologies se promueve activamente en el mercado clandestino de este modo. Además, vimos un aumento en los casos de incrustación de código de software espía en paquetes de Python. Esto puede llevar a un aumento en los ataques en la cadena de suministro (un ciberataque en el que los atacantes se infiltran en una empresa para perjudicar el software o a los proveedores de hardware; por ejemplo, los delincuentes pueden inyectar código malicioso en un código fuente del producto o distribuir actualizaciones maliciosas para infectar la infraestructura de la organización objetivo), que conducen a perjuicios de las redes de TI de las empresas.

Redes de bots y RAT

En el cuarto trimestre, vimos un mayor uso de malware de control remoto: la proporción de ataques a las organizaciones que utilizan este tipo de malware aumentó 6 puntos porcentuales en comparación con el trimestre anterior. Se descubrieron nuevas redes de bots: MCCrash, que puede atacar sistemas Windows y Linux, y GoTrim, que hackea sitios vulnerables de WordPress y puede evadir la protección de bots. También regresaron viejas amenazas: los investigadores de Cyble detectaron que la red de bots SmokeLoader, que difundía el nuevo cryptoclipper Laplas (un tipo de malware que busca si hay una billetera criptográfica en el portapapeles y la reemplaza por la dirección del atacante), la red de bots Emotet, que regresó después de un período de calma, y QakBot estaban enviando varios programas maliciosos, incluido el ransomware Black Basta y los señalizadores Brute Ratel y Cobalt Strike (una carga maliciosa utilizada para obtener acceso remoto a sistemas comprometidos, recopilar datos o cargar malware adicional).

Nuevos métodos de cifrado y ransomware multiplataforma

Los grupos RansomExx y Qilin adquirieron versiones multiplataforma de su ransomware escrito en Rust, lo que les permite abordar sistemas de Windows y Linux. Los atacantes utilizan cada vez más el cifrado de archivos intermitente con un cierto paso de byte; este enfoque hace que el cifrado sea rápido y menos perceptible para las herramientas de seguimiento porque genera menos operaciones en el archivo cifrado y porque es similar al original. Después de un período de calma, los limpiadores disfrazados de ransomware volvieron a estar activos. Este tipo de malware convierte datos y deja una nota de rescate, pero el pago no ayuda a que se devuelvan los datos, que en realidad no se pueden recuperar.

La lista de ataques de alto perfil continúa creciendo: un ataque de ransomware en el gobierno del departamento francés de ultramar de Guadalupe incapacitó a casi toda la infraestructura de TI del estado ; el grupo de ransomware Daixin Team logró robar información sobre cinco millones de pasajeros de AirAsia y cifrar sus servidores.

Cada vez hay más ciberataques en el sector de los seguros

En el cuarto trimestre, notamos un aumento en la cantidad de ciberataques exitosos a empresas de seguros: más del doble que en el trimestre anterior. En el 73 % de los ataques, se filtró información sobre los clientes: principalmente datos personales y, en algunos casos, información médica. Los datos robados se venden en el mercado clandestino o se utilizan para ataques posteriores. Los atacantes que utilizan ransomware quieren conseguir información de las aseguradoras, porque si descubren que una organización tiene un ciberseguro que cubre el rescate, se trata de un blanco fácil, y es muy probable que tales organizaciones paguen mucho dinero.

Ataques a las empresas de TI y sus consecuencias intersectoriales

Las empresas de TI son el principal objetivo para los atacantes, ya que comprometerlas puede conducir a nuevos ataques a sus clientes o a los usuarios de sus productos y servicios (por ejemplo, en un ataque a la cadena de suministro se afecta la relación de confianza y los delincuentes hackean la infraestructura de la empresa de terceros cuyos empleados tienen acceso legítimo a los recursos del objetivo principal), y esto tiene graves consecuencias. La cantidad de incidentes relacionados con las empresas de TI aumentó en un 18 % en el cuarto trimestre. En el 62 % de esos incidentes se usó malware; estos fueron predominantemente ataques de ransomware orientados a robar información confidencial y obtener un rescate.

Entre las víctimas se encontraban proveedores de software para organizaciones de diversas industrias. El ataque a Supeo, un proveedor de servicios de TI para una operador de trenes danés, se convirtió en sensación, ya que los trenes de todo el país se detuvieron durante varias horas debido a las acciones de los hackers. La aplicación del proveedor no pudo funcionar correctamente, y esto hizo que los ingenieros del tren no pudieran acceder a información crítica como avisos de mantenimiento ferroviario y límites de velocidad. Como resultado , las operaciones del tren se tuvieron que suspender varias horas.

Los individuos sufren cada vez más ataques en redes sociales y en mensajería instantánea

En el cuarto trimestre, la proporción de ataques a individuos dentro de la cantidad total de ataques aumentó 5 puntos porcentuales, en comparación con el trimestre anterior. Este número continúa creciendo, porque los ataques exitosos a individuos a través de redes sociales y mensajería instantánea son cada vez más frecuentes. En el tercer trimestre de 2022, el 18 % de los ataques de ingeniería social se dirigieron a usuarios de redes sociales, mientras que la mensajería instantánea y los SMS se utilizaron en un 15 % de tales ataques. En el cuarto trimestre, los atacantes también estuvieron activos: el 19 % de los ataques fueron dirigidos a usuarios de redes sociales y en el 17 % se utilizaron mensajeros de ataques de ingeniería social y mensajes SMS. La cantidad de credenciales robadas también está aumentando: del 39 % en el tercer trimestre pasó al 44 % en el cuarto trimestre.

La mayoría de los ataques exitosos que utilizan redes sociales y mensajería apuntan a recopilar credenciales y hackear las cuentas. Luego, las cuentas comprometidas se utilizan para futuros ataques a los usuarios. En uno de estos ataques, los estafadores pidieron a los usuarios que voten en línea, supuestamente por un familiar o conocido en un concurso infantil, cuando en realidad el enlace los llevaba a un sitio de phishing. En otro ataque, registrado en diciembre, muchos usuarios de Telegram recibieron mensajes falsos acerca de una tarjeta de regalo para una suscripción a Telegram Premium. Para activar la suscripción, se pidió a los usuarios que ingresaran un código de autorización, pero esto solo llevó a la vulneración de la cuenta y la posterior distribución de correos electrónicos de phishing a los contactos de la víctima.

Los datos de la cuenta no son lo único que quieren los delincuentes: también quieren apoderarse de los datos personales y los datos de pago. En un ataque dirigido a ciudadanos indios, los atacantes utilizaron un táctica inusual: rastrearon los mensajes de los usuarios de Twitter que se quejaban de la Corporación de Turismo y Catering Ferroviario de la India y se pusieron en contacto con ellos, haciéndose pasar por representantes de atención al cliente y solicitando información personal.

Para protegerse contra los ciberataques, ante todo recomendamos seguir nuestra guía general de pautas de ciberseguridad personal y corporativa. Teniendo en cuenta los tipos de incidentes que vimos en el cuarto trimestre de 2022, le recomendamos encarecidamente que trate con precaución los correos electrónicos entrantes y los mensajes de redes sociales y mensajería instantánea: compruebe el remitente y no haga clic en ningún enlace sospechoso para evitar convertirse en una víctima de ingeniería social o hacer que su dispositivo se vea comprometido por malware. Descargue aplicaciones solo de fuentes confiables, utilice código fuente abierto solo después de verificar que no tenga módulos maliciosos, utilice soluciones de copia de seguridad de archivos e instale actualizaciones de seguridad de la manera apropiada. Además, le aconsejamos investigar a fondo todos los incidentes importantes para identificar puntos de compromiso y vulnerabilidades explotadas por atacantes, y asegurarse rápidamente de que los delincuentes no hayan dejado ninguna puerta trasera abierta. Puede reforzar la seguridad en el perímetro corporativo con la ayuda de herramientas de seguridad de última generación, como firewalls de aplicaciones web (WAF) para proteger los recursos web. Para prevenir la infección con malware, recomendamos que utilice entornos de pruebas para analizar el comportamiento de los archivos en un entorno virtual y detectar actividad maliciosa.

Los ataques en el cuarto trimestre condujeron a una gama de diferentes consecuencias, que varían tanto en carácter como en impacto: los ciberataques exitosos afectaron tanto a pequeñas empresas como a grupos de empresas y, a veces, incluso a estados enteros. El principal objetivo de los delincuentes fue obtener información confidencial. Además, vimos acciones delictivas que condujeron a grandes pérdidas financieras así como perturbaciones en las actividades centrales de organizaciones y, a veces, infraestructuras críticas.

Los 5 ataques principales del cuarto trimestre que tuvieron un impacto negativo y repercusiones más amplias

• Un ataque al proveedor de electricidad ECG en Ghana. Como consecuencia del ataque de ransomware, los clientes no pudieron pagar el recibo de la luz, lo que llevó a cortes de energía. En algunas áreas del país, los residentes se quedaron sin electricidad durante varios días.
• La empresa de seguros Medibank fue víctima de un ataque de ransomware que interrumpió el funcionamiento de los servicios en línea de la empresa y la infraestructura de TI, después de lo cual los atacantes hicieron pública la información sobre sus clientes, incluidos el estado de salud y los diagnósticos.
• Las contraseñas y otras credenciales son muy buscadas por los delincuentes. Hackear la bóveda de contraseñas de LastPass les permitió a los atacantes obtener datos muy valiosos, como URL, direcciones IP, inicios de sesión y contraseñas cifradas de los clientes.
• Los ataques a desarrolladores de soluciones de autenticación e identificación multifactor se están volviendo cada vez más frecuentes: en el cuarto trimestre, los hackers llevaron a cabo otro ciberataque exitoso a Okta, por cuarta vez en 2022. Los delincuentes lograron copiar el código fuente del producto Workforce Identity Cloud, que se usa para identificar usuarios y gestionar el acceso privilegiado en la nube.
• Uno de los pools de minería más grandes, BIT Mining, fue atacado por ciberdelincuentes. Como resultado, los usuarios de BTC.com fueron víctimas del robo de sus activos, valorados en aproximadamente USD 700 000, y el propio pool perdió 2,3 millones de dólares en criptomoneda. Más tarde, se descubrió que los atacantes lograron enviar los bienes robados a Tornado Cash, y el valor de las acciones de BIT Mining cayó un 20 %.

El cuarto trimestre estuvo marcado por fugas de alto perfil de datos robados mediante ciberataques a organizaciones. En estos ataques, los delincuentes tenían como objetivo más frecuente robar datos personales (un 38 %) y propiedad intelectual (un 20 %).

Las filtraciones más notables del cuarto trimestre

• La fuga del código fuente UEFI (BIOS) de Procesadores Intel Alder Lake: 5,97 GB de información (código fuente propietario, claves de cifrado privadas, registros y herramientas de compilación) se hicieron públicos en GitHub. Este tipo de datos pueden ser utilizados para buscar vulnerabilidades, incluidas aquellas que les permiten a los atacantes incorporar un kit de arranque.
• Un ataque de phishing en Dropbox dio como resultado el robo de 130 repositorios con información sobre clientes actuales y anteriores, así como las claves API de desarrolladores de Dropbox.
• La banda de ransomware Ragnar Locker publicó información robada en un ataque al Departamento de Policía Municipal de Zwijndrecht (Bélgica). Se filtraron datos sobre multas, informes sobre delitos e investigaciones, e información sobre los empleados del departamento.
• El grupo NLB hizo pública una base de datos de la empresa de viajes Level.Travel, con información sobre 400 000 reservas de viajes y los datos personales de 900 000 personas. La base de datos contenía nombres completos, información de contacto, direcciones IP e información de los pasaportes.

El 65 % de los ataques fueron dirigidos.

El 19 % de los ataques estaban dirigidos a individuos.

Este informe contiene información sobre amenazas globales actuales a la seguridad de la información basadas en la propia experiencia, investigaciones y fuentes acreditadas de Positive Technologies.

Estimamos que la mayoría de los ciberataques no se hacen públicos debido a los riesgos que esto supone para la reputación. Como consecuencia, incluso las empresas especializadas en investigación de incidentes y análisis de la actividad de los hackers no pueden cuantificar la cantidad exacta de amenazas. Nuestra investigación busca llamar la atención de empresas y personas comunes y corrientes que se preocupan por el estado de la seguridad de la información. Para esto, informamos los motivos y métodos claves de los ciberataques, y destacamos las principales tendencias en el panorama cambiante de las ciberamenazas.

En este informe, se considera que cada ataque masivo (por ejemplo, un correo electrónico de phishing enviado a múltiples direcciones) representa un incidente, no varios. Para obtener explicaciones de los términos utilizados en este informe, consulte el glosario de Positive Technologies.