Dispositivos móviles, IoT y criptodivisas, objetivos de los ciberdelincuentes

Septiembre ha vuelto a ser un mes de gran actividad en el mundo del cibercrimen. Entre las amenazas y ciberataques recopilados por ESET destaca, por encima de todo, el descubrimiento de Lojax, un potente rootkit UEFI que ha sido utilizado por primera vez en un ataque real, algo que puede suponer un peligroso avance en las herramientas utilizadas por los delincuentes o grupos especializados en realizar ataques dirigidos. Concretamente, el malware ha sido dirigido contra organizaciones gubernamentales en los Balcanes, Europa Central y del Este.

Los dispositivos móviles y, especialmente aquellos con sistema operativo Android, siguen en el punto de mira de los delincuentes. Durante el mes pasado pudimos ver cómo la descarga de aplicaciones maliciosas, tanto financieras como de ocio, seguía siendo una tónica a la hora de conseguir que los usuarios instalasen código malicioso en sus smartphones. Un ejemplo de esto lo tenemos en el descubrimiento de varias apps de banca online y un exchange de criptomonedas fraudulentas que estarían orientadas a usuarios de países como Australia, Nueva Zelanda, Reino Unido, Suiza, Polonia y Austria.

Por otro lado, una de las aplicaciones más esperadas entre los usuarios de Android como es el videojuego Fortnite también está siendo utilizado por los delincuentes para propagar sus amenazas. Hasta 32 aplicaciones falsas disponibles para su descarga en 12 tiendas no oficiales fueron encontradas y se espera que esta tendencia siga produciéndose ahora que la aplicación ya ha sido lanzada de forma oficial y el desarrollador haya decidido no utilizar Google Play para distribuir el instalador del juego.

También se ha visto cómo dispositivos tan comunes como los routers y, concretamente los del fabricante MikroTik son objetivo de los delincuentes para controlarlos y desempeñar funciones como la criptominería. Numerosas vulnerabilidades existentes y ya parcheadas desde hace meses son aprovechadas para tomar el control de estos dispositivos, lo que demuestra el pobre mantenimiento que estos dispositivos suelen tener por parte de los usuarios. Además de los routers, otros de los dispositivos de los delincuentes favoritos para infectar son las cámaras de circuito cerrado o CCTV.

Otro protagonista del mes fue el troyano bancario DanaBot, que se ha seguido expandiendo por el territorio europeo, especialmente en Italia, Alemania, Austria y, desde el pasado mes de septiembre, Ucrania. Junto a él, el malware que mina criptodivisas sin permiso sigue siendo una de las amenazas más prevalentes y los delincuentes no dejan de innovar a la hora de conseguir nuevas víctimas. Así, durante el mes pasado vimos cómo algunos complementos para el popular gestor de medios Kodi estaban siendo utilizados como parte de una campaña de criptominería que utiliza complementos infectados descargados desde repositorios de terceros.

Si hay una constante que parece repetirse durante los últimos meses, esta es el robo y filtraciones continuas de datos privados de usuarios y empresas. Septiembre fue especialmente prolífico en incidentes de este tipo, teniendo un especial impacto la brecha de seguridad de Facebook. También los usuarios de la aerolínea British Airways fueron víctimas de un robo de información personal y financiera alojada en los servidores de la empresa. Pero el incidente con más usuarios afectados del pasado mes fue el protagonizado por la empresa de soluciones de backup Veeam, que dejó expuesta una base de datos que contenía más de 4,5 millones de registros que incluían direcciones de correo electrónico.