2020 finalizó con el hackeo a SolarWinds y con la reactivación del malware Emotet

  • Seguridad

El incidente de seguridad sufrido por SolarWinds y, por ende, por muchas de las grandes empresas que utilizan este software, ha sido uno de los más graves del año que acabamos de dejar atrás, un año atípico que ha venido acompañado de muchas otras amenazas en forma de troyanos, botnets o robo de credenciales a partir de mensajes de correo maliciosos.

Recomendados: 

Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar

2021, ¿el año de la ciberdefensa? Webinar

Ciberseguridad orientada al futuro Leer

El año 2020 se ha despedido a lo grande tras descubrirse el pasado mes de diciembre un importante hackeo a la empresa SolarWinds que ha afectado a grandes organizaciones de múltiples sectores. Sin embargo, este no ha sido el único incidente de seguridad destacable durante el último mes de 2020, según el análisis de ESET.

El incidente de seguridad sufrido por SolarWinds y, por ende, por muchas de las grandes empresas que utilizan este software, se habría producido por un grupo APT, y aunque algunas fuentes señalan a un grupo relacionado con Rusia como posible responsable, no se pueden establecer conexiones concluyentes aún como para atribuir su autoría a un grupo o país en concreto. Se cree que los atacantes utilizaron el software de gestión de redes corporativas SolarWinds para acceder a información confidencial de las empresas y organismos oficiales atacados, lo que se conoce como ataque a la cadena de suministro, comprometiendo así la seguridad de un proveedor como SolarWinds y troyanizando sus actualizaciones para instalar malware en sus objetivos pasando inadvertido.

Pero esta no fue la única operación de este tipo detectada durante el pasado mes de diciembre, ya que los investigadores descubrieron otro ataque de cadena de suministro en el sitio web de la Autoridad de Certificación del Gobierno de Vietnam. Los atacantes modificaron dos de los instaladores del software disponibles para su descarga en ese sitio web y agregaron un backdoor con el objetivo de comprometer a los usuarios de la aplicación legítima.

Asimismo, y siguiendo con las investigaciones al grupo APT Turla, investigadores de ESET encontraron un backdoor y un software para robar información previamente indocumentada y que fue apodado Crutch por sus desarrolladores. Según esta investigación, se habría estado utilizando desde 2015 hasta, al menos, principios de 2020. Se ha observado la utilización de Crutch en la red de un Ministerio de Relaciones Exteriores en un país de la Unión Europea, lo que sugiere que esta familia de malware solo se utiliza contra objetivos muy específicos.

Por otro lado, aunque durante la segunda mitad del mes de diciembre la actividad de troyanos bancarios con origen en Latinoamérica ha disminuido considerablemente en España, se detectó una campaña del troyano bancario Mekotio, en la que, mediante una supuesta “comunicación urgente” sobre la COVID-19, envió una importante cantidad de correos electrónicos a usuarios españoles para intentar que estos se descargasen los archivos maliciosos que contenían la amenaza, responsable del robo de credenciales bancarias.

Otro troyano bancario que lleva tiempo entre nosotros es Dridex, que también lanzó una campaña en todo el mundo con una supuesta factura adjunta. En el caso de que el usuario abriese y permitiese la ejecución de macros se iniciaba una cadena de infección que terminaba con la instalación de este troyano bancario.

Un apunte especial merece las campañas de troyanos bancarios orientadas a dispositivos Android, entre ellas una que aún aprovechaba el nombre de Flash Player. Los usuarios que descargaban esta aplicación maliciosa en sus dispositivos móviles eran infectados por una variante de troyano bancario con funcionalidades como el robo de credenciales o la interceptación de mensajes SMS para hacerse con los códigos de verificación que envían las entidades para confirmar la realización de una transferencia.

Otra amenaza a destacar es el malware Emotet, que volvió a activarse justo antes de la campaña navideña. Mediante el envío masivo de correos electrónicos personalizados para cada región o país, los delincuentes detrás de esta amenaza volvían a adjuntar documentos Word maliciosos que, al permitir la ejecución de macros, ejecutaban código malicioso y descargaban malware adicional. Precisamente, una de estas familias de malware, Qbot, estuvo especialmente activa durante las semanas que Emotet estuvo descansando antes de volver a activarse de nuevo. Su forma de propagarse es muy similar a Emotet y consiste en el envío masivo de emails con adjuntos que contienen macros maliciosas que descargan y ejecutan malware adicional.

“Muchas de las amenazas que hemos repasado en este Barómetro de diciembre utilizan el correo electrónico como principal vector de ataque”, comenta Josep Albors, responsable de investigación y concienciación de ESET España. “Esto pone de manifiesto la vigencia de este medio como puerta de entrada de los delincuentes, tanto a sistemas de usuarios domésticos como a redes corporativas, y es un problema que especialmente las empresas deberían solucionar lo antes posible”.