Pocas horas antes de que empezase la invasión de Ucrania por parte del ejército ruso, investigadores de ESET descubrieron un nuevo malware dirigido a empresas y organizaciones Ucranianas. Esta amenaza, que posteriormente sería conocida como HermeticWiper, tenía como finalidad destruir la información almacenada en los sistemas infectados, de forma que esta no pudiera ser recuperada.
Poco tiempo después, los investigadores de ESET volvieron a informar de otro malware similar, bautizado como IsaacWiper, a la vez que proporcionaban más información acerca de un componente, llamado HermeticWizard, que proporcionaba capacidades elevadas de propagación dentro de una red a HermeticWiper.
A pesar del conflicto bélico entre los dos países, no se pueden realizar atribuciones con una certeza del cien por cien acerca de quién podría estar detrás de estos ciberataques. Los ataques de falsa bandera no son algo infrecuente en el campo de las ciberamenazas y, por ese motivo, es difícil señalar a un posible atacante con total certeza.
Así mismo, los ciberdelincuentes comunes tampoco han dudado en aprovechar este conflicto en su propio beneficio, y poco después de que empezasen las hostilidades, se detectaron los primeros casos de páginas fraudulentas que decían recaudar fondos para apoyar al pueblo y ejército de Ucrania.
Informe de amenazas
En febrero, ESET presentó su informe de amenazas correspondiente el último cuatrimestre de 2021, donde se aprovechó para hacer un repaso a todo el año. En ese informe se pudo comprobar como España destacaba en la detección de varios tipos de amenazas, estando entre los primeros puestos del ranking en varias de las categorías analizadas.
Destaca especialmente el elevado número de ataques de fuerza bruta al RDP, detectándose en España nada menos que 56.000 millones de ataques de este tipo, siendo, con diferencia, el país con mayor detección de esta amenaza en todo el mundo. También es elevado el número de detecciones relacionadas con la categoría de infostealers o ladrones de información, con los malware Agent Tesla y Formbook representando la gran mayoría de detecciones en nuestro país.
Precisamente, durante febrero analizamos varios casos que trataban de robar información como un email que incluía un falso chatbot de Correos, notificaciones fraudulentas de entregas de paquetes o campañas de phishing dirigidas a robar credenciales corporativas.
Por su parte, las amenazas que utilizan el correo electrónico como vector de ataque también experimentaron un crecimiento importante en la segunda mitad de 2021. Especialmente destacable resulta el hecho de que el 25% de estas detecciones estuvieron relacionadas con correos que adjuntaban o descargaban un documento de Word o Excel, y que aprovechaban una vulnerabilidad de 2017 para infectar a sus víctimas.
Troyanos bancarios dirigidos a usuarios de Android
Durante el pasado mes de febrero observamos varias campañas protagonizadas por troyanos bancarios cuya finalidad era conseguir instalarse en los dispositivos Android de las víctimas y, así, poder sustraer sus credenciales de banca online y robarles su dinero mediante la realización de transferencias bancarias.
Con este fin, los delincuentes utilizan varios tipos de cebos como falsas aplicaciones que suplantan la identidad de algunas de las entidades bancarias más conocidas. Los navegadores de Internet también se utilizan como cebo para conseguir que las víctimas bajen la guardia y convencerlas para que instalen troyanos bancarios camuflados de actualizaciones de estos navegadores.
Además, el mes pasado analizábamos Xenomorph, un nuevo troyano bancario que aún se encuentra en desarrollo y que se uniría a la lista de este tipo de malware que tiene a usuarios españoles entre sus objetivos. Las muestras de este malware descubiertas en Google Play demostrarían la capacidad de sus creadores para saltarse, al menos temporalmente, algunas de las medidas de seguridad impuestas por Google en su tienda de aplicaciones oficial.
Ataques relacionados con criptomonedas
Febrero también nos ha dejado el que, hasta ahora, es considerado como el segundo ataque más importante contra el ecosistema DeFi. A principios de mes, el protocolo Wormhole fue víctima de ciberdelincuentes que explotaron una vulnerabilidad que les permitió robar tokens del blockchain Solana por valor de 120.000 ETH. En el momento del incidente, esos tokens tenían un valor de 326 millones de dólares.
Por su parte, las amenazas, fraudes y estafas dirigidos a usuarios y que aprovechan la popularidad con la que cuentan actualmente las criptomonedas no han dejado de producirse durante todo el mes pasado. Han sido numerosos los intentos de estafa que, prometiendo rentabilidades muy elevadas, tratan de engañar a los usuarios para que depositen dinero en plataformas de trading de elevado riesgo, algo que suele terminar con la pérdida del capital depositado.
Precisamente, los delincuentes y grupos responsables de los ciberataques con ransomware demandan el pago de sus extorsiones en criptomonedas, y a pesar de que no se detectan tantos ataques de este tipo en España como en otros países, esta amenaza sigue siendo un grave problema. Entre todas las familias de ransowmare existentes actualmente, el grupo Lockbit 2.0 sería una de las más activas en nuestro país, con un importante crecimiento a lo largo de 2021.