Durante el segundo trimestre de este año, el tema Covid-19 representó —también— una amenaza destacada en materia de ciberseguridad. Principalmente, se usó como señuelo para atacar sitios web y aumentó el volumen de phishing a través de correos fraudulentos enviados por gente que quiere sacar provecho de la crisis sanitaria a través del engaño.
El Informe de amenazas informáticas del segundo trimestre de 2020, recientemente publicado por ESET, señala que los ciberataques que explotan la pandemia no mostraron ninguna desaceleración.
Camilo Gutierrez, jefe del Laboratorio de Investigación de ESET Latinoamérica, comentó que en este periodo la conexión global aumentó exponencialmente a nivel corporativo y hogareño, lo cual aumentó el nivel de exposición a riesgos en línea. El ejecutivo consideró que “entender el panorama ayuda a saber protegerse adecuadamente”.
Amenaza de ciberseguridad a tele trabajo
Luego de un descenso en marzo y abril de 2020, la compañía detectó un incremento de 9% en la detección de correos electrónicos maliciosos respecto al primer trimestre del año.
Se encontraron tres marcas como las más utilizadas en este tipo de correos: DHL, Microsoft y Adobe. Así mismo, hubo un alto número de correos supuestamente de los bancos sudafricanos Absa y Standard Bank. El informe subraya que el phishing que se hace pasar por servicios de paquetería de DHL, dirigido a compradores en línea, aumentó 10 veces en comparación con lo sucedido en el primer periodo del año.
Por otra parte, en el periodo se observó un aumento en los ataques contra el protocolo de escritorio remoto (RDP, por sus siglas en inglés) con intentos persistentes para establecer conexiones RDP, algo que se duplicó desde el comienzo de este año. Como se había mencionado antes en este espacio, el trabajo remoto y las compras en línea han sido en 2020 dos focos de riesgo cibernético a raíz de la crisis sanitaria.
Otra gran amenaza de ciberseguridad que mostró desarrollo en el segundo trimestre fue el ransomware. De acuerdo con ESET, algunos operadores abandonaron la tendencia de doxing y filtración de datos aleatorios, para subastar los datos robados en la dark web. Muestra de su evolución fue que en junio apareció, en Canadá, el ransomware CryCryptor dirigido a usuarios de dispositivos Android. Esta aplicación se hacía pasar por una herramienta oficial de rastreo de contactos de coronavirus dirigida a usuarios de aquel país. Cabe recordar que los eslabones más débiles de la cadena suelen ser los primeros en caer cuando se trata de ransomware.
El informe señala también que en América Latina siguen operando troyanos bancarios mediante campañas de spam que aparentan ser correos legítimos, suplantan la identidad de empresas o instituciones gubernamentales.
Los mensajes apócrifos buscan engañar a los usuarios para que accedan a enlaces maliciosos. Su objetivo es robar credenciales bancarias desde ventanas de inicio de sesión que son falsas.
Vigilancia continua
En el segundo trimestre, desde ESET se siguió monitoreando la Operation In(ter)ception, dirigida a compañías aeroespaciales y militares de alto perfil. Las compañías objetivo de esta operación se ubican en Brasil, República Checa, Qatar, Turquía y Ucrania, lo cual indica que este ataque podría estar operando en todo el mundo.
Los especialistas en ciberseguridad también revelaron en el informe el modus operandi del grupo InvisiMole, actor de amenazas que opera por lo menos desde 2013. InvisiMole se asocia con operaciones de ciberespionaje en Ucrania y Rusia, su malware fue reportado por primera vez por ESET en 2018.
El año pasado se detectó un resurgimiento del grupo a través de herramientas que apuntaban a algunas organizaciones de alto perfil en el sector militar y a misiones diplomáticas de Europa del Este. La compañía de soluciones de seguridad IT señala que estos atacantes utilizan largas cadenas de ejecución con múltiples capas de cifrado por víctima para dificultar la reconstrucción del ataque.
En tales cadenas se han usado diversas técnicas para mezclarse con programas legítimos y así pasar desapercibidos. Logran persistencia, realizan movimientos laterales para quedar en la lista blanca de aplicaciones y evitar la detección. También se observó que InvisiMole entrega ejecutables vulnerables a computadoras infectadas para aprovecharlos posteriormente al ejecutar código encubierto y mantener la persistencia a largo plazo.
Top 10 de malware en América Latina
Durante este periodo, ESET señala que los siguientes 10 malware fueron los que tuvieron mayor presencia:
1. LNK/Agent
2. Win32/Ramnit
3. Win32/Autoit
4. JS/Bondat
5. Win32/Bundpil
6. Win32/Delf
7. Win32/Exploit.CVE-2012-0143
8. Win32/VB Q1 2020
9. Win32/TrojanDownloader.Zurgop
10. Win32/CoinMiner
