Crecen los ciberataques por parte de grupos de APT y el grupo de ransomware LAPSUS$

La guerra en Ucrania ha seguido siendo protagonista también en el ámbito de la ciberseguridad en el pasado mes de marzo. No solo se descubrieron nuevos ataques dirigidos a destruir información en sistemas ucranianos, sino que los ciberdelincuentes comunes también han empezado a aprovecharse de la situación en su beneficio. De acuerdo con ESET, se han observado varios incidentes de seguridad en los dos bandos en conflicto.

En Ucrania se detectó un nuevo malware destinado a destruir información almacenada en los sistemas que infectaba y que fue bautizado como CaddyWiper, que se suma a los numerosos ciberataques que lleva sufriendo, muchos de ellos relacionados con el grupo Sandworm. En lo que respecta a Rusia, no han sido pocos los ataques sufridos tanto por organizaciones públicas como por empresas privadas de este país, muchos realizados por el colectivo Anonymous, quienes han conseguido filtrar una gran cantidad de datos confidenciales relacionados con el sector público y privado ruso.

Por otra parte, delincuentes comunes como otros grupos APT sin relación directa con Rusia o Ucrania también están aprovechando este conflicto para tratar de hacer su agosto particular, por ejemplo, suplantando la identidad de ONGs para robar dinero a aquellos ciudadanos que quieren apoyar a Ucrania o la utilización de documentos que tratan temas de actualidad europea como la guerra para usarlos como cebo en campañas recientes protagonizadas por el grupo Mustang Panda.

Otro grupo que sigue imparable es LAPSUS$, que despedía el mes de febrero anunciando haber comprometido la web de la empresa Nvidia, y que en el mes de marzo se ha cobrado nuevas víctimas de la talla de Ubisoft, Okta o la propia Microsoft.

Efectivamente, Ubisoft informó que fue víctima de un incidente de seguridad que afectó a algunos de sus videojuegos, sistemas y servicios, lo que motivó un reseteo de contraseñas masivo por precaución. En cuanto a Okta, los cibercriminales tuvieron acceso a una cuenta con permisos de administrador que les permitió resetear contraseñas y la autenticación multifactor de una gran cantidad de clientes.

Además, también consiguieron comprometer la seguridad de Microsoft publicando un archivo comprimido de 9GB que contenía parte del código fuente robado de Bing, Bing Maps y Cortana. Los cibercriminales aseguraron haber robado 37GB de código fuente de varios proyectos de la compañía.

Robos de contraseñas y criptomonedas

Por lo que respecta a amenazas dirigidas a empresas y usuarios, durante el pasado mes vimos como el robo de contraseñas seguía consolidándose como una tendencia muy presente en España. Ya no hablamos solamente de los típicos casos de phishing bancario, sino de ataques dirigidos a empleados de las empresas para que desvelen sus credenciales.

Este tipo de ataques consistir en correos camuflados como facturas u órdenes de pago enviados a ciertos departamentos como los de administración y contabilidad. Estos emails suelen adjuntar ficheros maliciosos que infectan el sistema de la víctima y proceden a recopilar credenciales almacenadas en aplicaciones de uso frecuente como navegadores de Internet o clientes de correo, pero también de clientes FTP o VPN. Su finalidad no es otra que la de conseguir el acceso inicial a las redes de la empresa, acceso que luego es utilizado por grupos de delincuentes para robar información e incluso cifrarla solicitando un rescate.

A su vez, las amenazas relacionadas con las criptomonedas siguen tratando de robar esos activos financieros usando todo tipo de estrategias. A finales de marzo, investigadores de ESET descubrieron aplicaciones maliciosas dirigidas a usuarios de Android e iOS que tenían como objetivo el robo de las criptomonedas de los usuarios infectados.