El fallo de SolarWinds destaca entre los incidentes de seguridad de diciembre

  • Actualidad

amenaza - darkweb

El hackeo a la empresa SolarWinds, cuyo software de gestión de redes utilizan grandes compañías de todo el mundo y organismos públicos estadounidenses, ha sido uno de los principales incidentes de seguridad del mes pasado y, por tanto, ocupa un lugar destacado en el último informe mensual de 2020 de ESET. Tampoco han faltado otras amenazas en forma de troyanos, botnets o robo de credenciales a partir de mensajes de correo maliciosos.

Recomendados: 

Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar

Brechas de seguridad, ¿hay opciones? Webinar

El hackeo a la empresa SolarWinds ha afectado a grandes organizaciones de múltiples sectores, ya que su software de gestión de redes corporativas es empleado por muchas grandes empresas de la lista Fortune 500, pero también por organismos gubernamentales y universidades de Estados Unidos, y se cree que los atacantes lo utilizaron para acceder a información confidencial de las empresas y organismos oficiales atacados.

Los responsables de este incidente utilizaron lo que se conoce como ataque a la cadena de suministro, comprometiendo la seguridad de un proveedor como SolarWinds y troyanizando sus actualizaciones para instalar malware en sus objetivos pasando inadvertido.

El ataque se habría producido por un grupo APT, y aunque algunas fuentes señalan a un grupo relacionado con Rusia como posible responsable. No obstante, como explica el especialista en seguridad, “como siempre sucede en estos casos, no se pueden establecer conexiones concluyentes aún como para atribuir su autoría a un grupo o país en concreto”.

Pero esta no fue la única operación de este tipo detectada durante el pasado mes de diciembre. Los investigadores de Eset descubrieron otro ataque de cadena de suministro en el sitio web de la Autoridad de Certificación del Gobierno de Vietnam. En este caso, los atacantes modificaron dos de los instaladores del software disponibles para su descarga en ese sitio web y agregaron un backdoor con el objetivo de comprometer a los usuarios de la aplicación legítima.

Además, siguiendo con las investigaciones que se llevan realizando desde hace años al grupo APT Turla, encontraron un backdoor y un software para robar información previamente indocumentada y que fue apodado Crutch por sus desarrolladores. Sus datos apuntan a que se habría estado utilizando desde 2015 hasta, al menos, principios de 2020. “Se ha observado la utilización de Crutch en la red de un Ministerio de Relaciones Exteriores en un país de la Unión Europea, lo que sugiere que esta familia de malware solo se utiliza contra objetivos muy específicos, algo común con muchas herramientas de Turla”, señala el informe.

Menos troyanos bancarios en la segunda quincena
Durante la segunda mitad del mes de diciembre la actividad de troyanos bancarios con origen en Latinoamérica ha disminuido considerablemente (al menos en lo que respecta a troyanos dirigidos a usuarios españoles), aunque el laboratorio de esta compañía todavía pudo analizar alguna campaña de este estilo que usaba una nueva plantilla de correo. Fue el troyano bancario Mekotio el que, mediante una supuesta “comunicación urgente” sobre el coronavirus, envió una importante cantidad de correos electrónicos a usuarios españoles para intentar que estos se descargasen los archivos maliciosos que contenían la amenaza, responsable del robo de credenciales bancarias.

Otro troyano bancario que lleva tiempo entre nosotros es Dridex, que también lanzó una campaña en todo el mundo con una supuesta factura adjunta. En el caso de que el usuario abriese y permitiese la ejecución de macros se iniciaba una cadena de infección que terminaba con la instalación de este troyano bancario clásico y cuyos desarrolladores han estado preparando también variantes de ransomware desde hace algunos años.

En lo que respecta a campañas de troyanos bancarios contra dispositivos Android, el informe de diciembre destaca una que aprovechaba el nombre de Flash Player, software que fue definitivamente abandonado por Adobe el 1 de enero de este 2021. Los usuarios que descargaban esta aplicación maliciosa en sus dispositivos móviles eran infectados por una variante de troyano bancario con funcionalidades como el robo de credenciales o la interceptación de mensajes SMS para hacerse con los códigos de verificación que envían las entidades para confirmar la realización de una transferencia.

Además, durante las últimas semanas de diciembre, fue noticia una campaña similar que suplantaba a Correos para intentar robar credenciales bancarias.

Botnets y otras amenazas
En su análisis, Eset también destaca que Emotet volvió a activarse justo antes de la campaña navideña y la actividad de diferentes familias de malware como Qbot, que tienen una forma de propagación muy similar: el envío masivo de emails con adjuntos que contienen macros maliciosas que descargan y ejecutan malware adicional.

Por otro lado, los delincuentes también aprovecharon como gancho el lanzamiento de Cyberpunk 2077, posiblemente el videojuego más esperado del año pasado través de varios enlaces que prometían una descarga gratuita del juego se han estado distribuyendo varias amenazas, desde molestas encuestas a amenazas que recopilaban información de nuestro sistema y mostraban publicidad no deseada.

Finalmente, la firma de seguridad menciona que, a principios de diciembre fue detectado un nuevo correo suplantando a BBVA. Usando como gancho una supuesta notificación de pago, los delincuentes intentaban que sus víctimas ejecutasen este fichero malicioso adjunto para proceder a robar credenciales almacenadas en las aplicaciones objetivo, que suelen ser principalmente navegadores de Internet, clientes de correo electrónico, FTPs y VPNs.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos