Image
Security Garage

Partida y regreso

¡Hola a todos!

Nos encontramos en la recta final del año. Por ese motivo, hemos decidido dedicar la última entrada del 2021 en el blog a repasar aquellos sucesos de mayor envergadura que han tenido lugar durante el año y que han conformado el panorama actual de ciberseguridad.

En primer lugar, cabe señalar que, al igual que otros años, las campañas de phishing dirigidas contra entidades financieras y organismos públicos han sido predominantes y notorias durante el transcurso del año. Clientes de entidades como CaixaBank, Santander, BBVA, ING, IberCaja, Caja Rural, Abanca o LiberBank, han recibido, por lo general mediante el sistema de mensajería móvil (SMS) o a través de su correo electrónico, notificaciones fraudulentas en las que atacantes anónimos trataban o bien de recopilar sus datos personales y bancarios, o bien de desplegar alguna familia de malware sobre los dispositivos de los usuarios, haciéndose pasar por alguna de las entidades bancarias anteriores, entre otras.

Este tipo de campañas se ha hecho extensiva a organismos como la DGT, la Agencia Tributaria o entidades de mensajería y paquetería como Correos, DHL, Seur, MRW o FedEx, si bien no resulta un acontecimiento novedoso respecto a periodos de tiempo anteriores, puesto que cada año se suelen identificar campañas de este tipo en distintos momentos del año, con especial incidencia en fechas señaladas como la campaña de la declaración de la renta, el Black Friday o el periodo de festividades navideñas.

No obstante, si bien esta tendencia ya comenzó a observarse durante el año 2020, cabe señalar que durante el año 2021 han continuado incrementándose las campañas de phishing dirigidas contra organizaciones del sector privado que han experimentado un gran incremento en sus ventas durante los meses de confinamiento y restricciones, como Amazon, El Corte Inglés, Ikea o MediaMarkt. Una cuestión interesante a este respecto es que a principios del año 2021 una buena parte de las campañas de phishing estaban destinadas a propagar malware bancario de origen brasileño, como Mekotio, Casbaneiro o BRATA, al mismo tiempo que otras hacían referencia a temáticas relacionadas con la pandemia provocada por el virus SARS-CoV-2. Sin embargo, la incidencia de las campañas de phishing relacionadas con la pandemia descendió notoriamente a partir del mes de marzo, aunque se ha detectado una cierta reactivación en este sentido durante el último cuatrimestre del año.

Por otro lado, cabe señalar que durante todo el mes de enero y desde el pasado mes de noviembre se ha detectado un repunte en las campañas de ciberataques conformadas por Emotet, que actúa por lo general en forma de downloader, y Trickbot o Qbot, que actúan como cargas útiles finales en una parte de los casos, mientras que, en otra parte, actúan como malware de segunda etapa que despliega finalmente un ransomware sobre el sistema comprometido. Lo más curioso en relación con Emotet es la capacidad de los actores que lo desarrollan para mantener activa la amenaza, puesto que el periodo de inactividad experimentado durante los meses de febrero a noviembre fue provocado por una operación conjunta de Europol y Eurojust que condujo a la desarticulación de su infraestructura. Sin embargo, su reactivación puso de manifiesto la insuficiencia de mecanismos en la actualidad para paliar de manera efectiva las ciberamenazas que están afectando en mayor medida a las sociedades actuales.

Otras de las ciberamenazas que han experimentado un auge destacado durante el año 2021 han sido aquellas relacionadas con filtraciones y brechas de datos. En este sentido, durante los primeros meses del año, aún con la incidencia de la pandemia en altos exponentes, las filtraciones de datos o el robo de información confidencial estuvieron relacionadas en buena medida con agencias concernientes a la vacunación u organismos dedicados a la investigación de la enfermedad, mientras que en el segundo cuatrimestre se dejó de hacer referencia a este escenario. Sin embargo, en el último cuatrimestre del año volvió a detectarse incidencia relacionada con exposición de información médica confidencial, tales como datos de rastreo y pruebas COVID-19 o datos de pacientes vacunados, lo que evidencia que las campañas que utilizan la enfermedad provocada por el virus SARS-CoV-2 como señuelo u objetivo adquieren prevalencia cuando aumenta el número de contagios y, por ende, su notoriedad en los medios de comunicación.

Resulta destacable, además, que durante todo el año las filtraciones de datos han afectado a un gran número de empresas de elevado prestigio y reputación, tales como Intel, operadores de red móvil como ho. Mobile y T-Mobile, la firma de seguridad Stormshield, la firma antivirus Emsisoft, la firma de banca de inversión Morgan Stanley, las aerolíneas Malaysia Airlines y Air India, la compañía petroquímica y energética Shell, los servicios de alojamiento web Epik y GoDaddy, la división chilena de Eleven Paths y Telefónica, la división peruana de Deloitte, Glovo, Banorte, Audi, Volkswagen, Zurich Seguros, StarHub, OrangeTee, EskyFun, Fortinet, Coninsa Ramón H, Oriflame, Panasonic o incluso plataformas como Facebook o LinkedIn, que en la mayor parte de los casos concluyeron con la exposición de información relacionada con cientos de millones de usuarios.

En adición a lo anterior, se debe señalar que los ciberataques a entidades relacionadas con la cadena de suministro también prevalecieron durante el mes de enero, debido a la explotación de vulnerabilidades en el software empresarial SolarWinds Orion, campaña que había comenzado el año anterior. Sin embargo, rápidamente comenzó a descender su incidencia y notoriedad. Con una excepción, pues durante el mes de marzo FireEye descubriría una nueva familia de malware, SunShuttle, posiblemente vinculada a la campaña anterior. No obstante, con la salvedad de PHP Git en marzo o el ciberataque a Kaseya VSA propiciado por los actores del ransomware REvil, no se han detectado durante el resto del año otras campañas de ciberataques que revistiesen gran envergadura dirigidas contra la cadena de suministro.

En relación con el panorama de actores de amenazas, han predominado las campañas de ciberespionaje efectuadas por grupos de ciberatacantes ya conocidos, tales como Volatile Cedar, que se centró a principios del año en la realización de intrusiones sobre servidores Oracle y Atlassian; Charming Kitten, que dirigió su actividad a objetivos de alto perfil con la finalidad de recopilar información de gran valor; MuddyWater, que enfocó sus recursos en el despliegue de malware sobre agencias gubernamentales de Emiratos Árabes Unidos y Kuwait; OceanLotus, que propagó familias de spyware sobre entidades relacionadas con la defensa de los derechos humanos en Vietnam; Lazarus, que dirigió su actividad al sector de la defensa; Cycldek, que enfocaría sus recursos en atacar a organizaciones gubernamentales y militares en Vietnam; Naikon, que se dirigiría a organizaciones militares del sudeste asiático; Agrius y UNC215, que apuntaron a objetivos israelíes; IndigoZebra, que suplantó a la Oficina del Presidente de Afganistán para infiltrarse en el Consejo de Seguridad Nacional afgano (NSC); SideCopy, que apuntó al sector de defensa y militar en la India; LuminousMoth, que habría centrado sus recursos en atacar a entidades gubernamentales en Myanmar y Filipinas; TA456, que apuntó al sector de defensa aeroespacial; APT29, que dirigió su actividad al gobierno eslovaco; Aggah, que apuntó a la industria manufacturera asiática; GhostEmperor, que habría dirigido su actividad a víctimas de alto perfil del sudeste asiático mediante la explotación de vulnerabilidades en Microsoft Exchange; Cyber Partisans, que apuntó a las autoridades y a las entidades gubernamentales de Bielorrusia; y APT35, que habría publicado en Google Play un spyware que suplantaba a un servicio VPN.

Por otro lado, también han sido predominantes las campañas dirigidas al sector bancario, económico y financiero efectuadas por actores de amenazas como FIN8, que en marzo desarrolló nuevas familias de malware para realizar operaciones relacionadas con el robo de información de tarjetas de pago y posteriormente se le atribuyeron campañas en las que se dirigía a organizaciones estadounidenses; o el grupo TA505, que llevaría al menos siete años robando y publicando información bancaria.

En adición a lo anterior, se debe poner un énfasis especial en las campañas dirigidas contra investigadores relacionados con el ámbito de la ciberseguridad, que han predominado durante los primeros meses del año y suponen un cierto cambio de paradigma con respecto a años anteriores, durante los cuales los actores de amenazas dirigían sus acciones a sectores económicamente lucrativos o que permitían lograr ciertos intereses perseguidos por el estado o nación que les respaldase, según el caso.

Asimismo, durante el año 2021 también se ha incrementado el panorama de actores de amenazas existentes, dado que el beneficio obtenido por grupos ya conocidos ha hecho proclive la aparición de otros como LazyScripter, quien comenzó sus andadas dirigiéndose a varias aerolíneas; Zinc, quien se dirigió, tal y como se ha expresado anteriormente, a investigadores y analistas de seguridad informática; o Moses Staff, que apuntó a objetivos israelíes por motivaciones políticas.

No obstante, como ya se ha señalado en anteriores entradas de este blog, las ciberamenazas que han resultado más predominantes durante el transcurso del año 2021 han sido las campañas de ransomware, que han sido visibles y notorias todos los meses del año.

En este sentido, se han identificado campañas realizadas por actores de ransomware cuya infraestructura ha sido finalmente reducida a cenizas, siendo este el caso de la familia Egregor, que, tras afectar a agencias de transporte como Translink, finalmente fue neutralizado por las autoridades francesas y ucranianas en el marco de una operación conjunta. También sería ese el destino de las familias de ransomware NetWalker, Avaddon o Babuk, si bien en estos dos últimos casos serían los propios actores los que decidirían paralizar su actividad al considerar que habían alcanzado su objetivo tras el compromiso de la aseguradora AXA en el primer caso y al filtrar masivamente información de Phone House en el segundo.

Por el contrario, otros actores de ransomware continúan en activo y han presentado más incidencia e impacto que nunca, como ha sido el caso de LockBit, que en el mes de agosto llegó a afectar a la consultora Accenture y en septiembre a Bangkok Airways. Pysa también habría sido prevalente en este sentido, con campañas destacadas como una que afectó al London Council durante el mes de enero; o el ransomware BitLocker, que dirigiría su actividad al sector de la salud. El ransomware Cl0p también ha presentado una elevada actividad durante todo el año aun a pesar de la detención de alguno de sus miembros, habiendo afectado a organizaciones como la firma legal Jones Day, la firma de ciberseguridad Qualys o la división de servicios marinos Swire Pacific Offshore (SPO); al mismo tiempo que el ransomware Ragnar Locker, continuando esta tendencia, afectaba a la compañía israelí Ness Digital Engineering.

Otros ciberataques destacados de ransomware han sido los propiciados por las familias RansomExx, que afectó a la aseguradora médica MNH, la a Corporación Nacional de Telecomunicación (CNT) de Ecuador y a la empresa taiwanesa Gygabyte; DopplePaymer, que tuvo impacto sobre Kia Motors; DarkSide, que paralizaría la actividad del oleoducto Colonial Pipeline y comprometería la filial francesa de Toshiba; BlackMatter, que habría apuntado a las organizaciones Olympus, NEW Cooperative y Marketron; o la novedosa Hive, que habría afectado a Mediamarkt a gran escala.

Del mismo modo, el conocido ransomware REvil habría tenido afectación sobre empresas como Acer, el grupo farmacéutico y dermocosmético francés Pierre Fabre, el sistema judicial brasileño de Rio Grande do Sul, Apple (al menos presuntamente), e incluso sobre Kaseya VSA, la empresa distribuidora de un software de gestión empleado por un amplio abanico de organizaciones en todo el mundo. Por otro lado, Ryuk asolaría durante el primer trimestre del año a distintos organismos públicos españoles como el Servicio Público de Empleo Estatal (SEPE) y el Instituto Nacional de la Seguridad Social (INSS).

En adición a lo anteriormente expuesto, cabe hacer una mención especial al ransomware Conti, habiéndose considerado que podría constituirse en el futuro como el sucesor de Ryuk, al haberse incorporado a la tríada compuesta por Emotet, Trickbot y una determinada familia de ransomware. Además, se identificaron actividades de envergadura ejecutadas por los actores del ransomware Conti, tales como el compromiso de distintos hospitales en Irlanda y otra serie de organismos pertenecientes al sector de la salud en Estados Unidos, el compromiso de la compañía GSS, que afectó a las actividades del Canal de Isabel II, o de diferentes servidores de Microsoft Exchange, que fueron explotados aprovechando la vulnerabilidad ProxyShell.

Como se ha podido observar, ciberamenazas como las filtraciones de datos, el ciberespionaje, el phishing y el malware en todas sus variantes están a la orden del día. Por ello, desde Entelgy Innotec Security deseamos concluir el año poniendo de relieve una serie de buenas prácticas dirigidas a todo tipo de usuarios del ciberespacio que ya fueron comentadas en el suplemento Caja de herramientas del experto en ciberseguridad del juego de rol Karma, en el que tuvimos el placer de colaborar, con la finalidad de conseguir que durante el año 2022 se pueda reducir la incidencia o, al menos, el impacto de algunas de las ciberamenazas que fueron señaladas anteriormente. He aquí nuestras 20 recomendaciones básicas:

  1. Mantén tus equipos, aplicaciones y software actualizados.
  2. No abras correos electrónicos provenientes de desconocidos e identifica correctamente al remitente.
  3. No proporciones tus datos personales en redes sociales.
  4. No instales aplicaciones o software desde plataformas no oficiales. Además, es altamente recomendable utilizar siempre productos de software licenciados, ya sean de código abierto o cerrado.
  5. No aportes ningún tipo de información requerida mediante el correo electrónico, especialmente en lo referente a claves o datos personales.
  6. Evita abrir archivos adjuntos y enlaces a páginas web externas desde el correo electrónico, especialmente si hacen referencia a servicios de banca online, pasarelas de pago o cualquier otro lugar en el que se almacenen datos bancarios, pues podrían ser fraudulentas.
  7. Revisa la existencia de faltas de ortografía, errores de traducción o errores gramaticales en la expresión, pues podrían ser claros indicativos de la recepción de un correo electrónico fraudulento.
  8. Verifica la barra de direcciones del navegador y comprueba si concuerda con la dirección del sitio web oficial.
  9. Asegúrate de que solamente introduces tu información personal y tus claves de acceso en páginas web que utilicen protocolos seguros de comunicación (HTTPS), certificado digital válido e incluyan el símbolo de un candado, pues indica que la conexión es segura.
  10. Utiliza el segundo factor de autenticación en aquellas páginas web que lo permitan.
  11. Cambia siempre tus credenciales por defecto (por ejemplo, Router, redes Wi-Fi...) siguiendo el estándar marcado en el paso 12.
  12. Configura credenciales robustas (con ocho o más caracteres, letras mayúsculas y minúsculas, números y caracteres especiales, que no estén asociadas a tus datos personales) y cámbialas cada cierto tiempo, siendo recomendable hacerlo en lapsos de entre uno y tres meses. Si se diese a conocer una filtración de credenciales en un servicio que utilizases, asegúrate de no utilizar las claves configuradas para ese sitio nunca más.
  13. No reutilices tus credenciales en distintos servicios, siendo recomendable configurar una clave distinta para cada uno de ellos. Para facilitar esta labor, se puede hacer uso de generadores y gestores de contraseñas aleatorias en los cuales se puede especificar la longitud de la contraseña que se desea obtener y el tipo de caracteres que se desea incluir en ella, así como almacenarlas de manera segura.
  14. Elimina los metadatos de tus documentos e imágenes antes de distribuirlos o subirlos a cualquier sitio o página web.
  15. No descargues contenido pirata y revisa siempre la extensión de los ficheros que obtengas, pues podrían contener software malicioso (por ejemplo, si estás descargando un documento con extensión .mp4, sospecha si lo que realmente obtienes es un fichero ejecutable con extensión .exe; ante cualquier indicio de duda, no lo abras).
  16. Realiza una copia de seguridad de toda la información y datos que valores en un sitio externo a tu equipo, para posibilitar que la información pueda ser recuperada en caso de pérdida.
  17. Si te topas con una página web, correo electrónico o contenido susceptible de ser fraudulento, denúncialo a las autoridades, a tu proveedor de ciberseguridad o avisa a la entidad afectada, con la finalidad de que se pueda actuar contra los ciberdelincuentes que lo hayan desarrollado.
  18. Evita conectar a tu equipo dispositivos extraíbles desconocidos.
  19. Evita conectar tus dispositivos a redes Wi-Fi públicas o conexiones inalámbricas desconocidas, especialmente en los momentos en los que vayas a interactuar con información sensible. En caso de que se precise la conexión a este tipo de redes, es altamente recomendable utilizar herramientas de tunelización o servicios VPN.
  20. Desconfía de las llamadas telefónicas provenientes de números desconocidos en las que te soliciten datos personales o bancarios de manera urgente, pues en estas modalidades de estafa online se apremia al individuo a proporcionar sus datos con rapidez, de modo que no llegue a verificar si lo que le indican es cierto. Por norma general, todos los servicios y entidades que actúan de manera legítima, al momento de requerir este tipo de datos al individuo, hacen uso de un sistema telefónico automático que contiene una grabación en la que solicita la información necesaria, con la finalidad de que ninguna persona llegue a conocer la información requerida.

Por el momento eso es todo, pero volveremos. Concluimos así el año 2021.

Muchas gracias a todos y… ¡Felices Fiestas!


Raquel Puebla González 

Analista de Ciberinteligencia

Entelgy Innotec Security