BARÓMETRO ESET NOD32: Lojax, el primer rootkit UEFI utilizado en un ciberataque, protagoniza los incidentes de septiembre

  • Aunque se conocía la existencia de este tipo de amenazas, el laboratorio de ESET detectó el mes pasado su uso en un ataque real por primera vez en la historia

Madrid, 19 de octubre de 2018 . – El mes de septiembre suele ser el del retorno al trabajo tras las vacaciones y el de la rutina postvacacional. Sin embargo, el mundo del cibercrimen no descansa ni siquiera en vacaciones, tal y como venimos comprobando durante los últimos años y, para ellos, septiembre es solo un mes más en el que cometer sus delitos. Como todos los meses, ESET , el mayor fabricante de software de seguridad de la Unión Europea, ha venido recopilando las amenazas y ciberataques que se han producido durante el pasado mes, en el que ha destacado, por encima de todo, el descubrimiento, por parte del laboratorio de ESET, de Lojax, un potente rootkit UEFI que ha sido utilizado activamente contra organizaciones gubernamentales en los Balcanes, Europa Central y del Este por primera vez en la historia: nunca antes había sido detectado un malware de este tipo en un ataque real, algo que puede suponer un peligroso avance en las herramientas utilizadas por los delincuentes o grupos especializados en realizar ataques dirigidos.

Amenazas en dispositivos móviles e IoT
Los dispositivos móviles y, especialmente aquellos con sistema operativo Android, siguen en el punto de mira de los delincuentes. Durante el mes pasado pudimos ver cómo la descarga de aplicaciones maliciosas, tanto financieras como de ocio, seguía siendo una tónica a la hora de conseguir que los usuarios instalasen código malicioso en sus smartphones.

Un ejemplo de esto lo tenemos en el descubrimiento por parte de investigadores de ESET de varias apps de banca online y un exchange de criptomonedas fraudulentas que estarían orientadas a usuarios de países como Australia, Nueva Zelanda, Reino Unido, Suiza, Polonia y Austria. Estas aplicaciones fueron descargadas cientos de veces antes de ser retiradas en septiembre y su finalidad era robar detalles de las tarjetas de crédito y/o claves de acceso a las cuentas aquellas entidades financieras suplantadas mediante el uso de formularios falsos.

Por otro lado, una de las aplicaciones más esperadas entre los usuarios de Android como es el videojuego Fortnite también está siendo utilizado por los delincuentes para propagar sus amenazas. Hasta 32 aplicaciones falsas disponibles para su descarga en 12 tiendas no oficiales fueron encontradas y se espera que esta tendencia siga produciéndose ahora que la aplicación ya ha sido lanzada de forma oficial y el desarrollador haya decidido no utilizar Google Play para distribuir el instalador del juego.

Durante los últimos meses hemos visto cómo dispositivos tan comunes como los routers y, concretamente los del fabricante MikroTik son objetivo de los delincuentes para controlarlos y desempeñar funciones como la criptominería. Numerosas vulnerabilidades existentes y ya parcheadas desde hace meses son aprovechadas para tomar el control de estos dispositivos, lo que demuestra el pobre mantenimiento que estos dispositivos suelen tener por parte de los usuarios.

Además de los routers, otros de los dispositivos de los delincuentes favoritos para infectar son las cámaras de circuito cerrado o CCTV. Muchas de estas cámaras están expuestas a Internet con contraseñas débiles, vulnerabilidades explotables o sin ninguna contraseña, algo que aprovechan los criminales para controlar remotamente miles de cámaras en todo el mundo.

Criptodivisas y otras amenazas
Otro protagonista del mes fue el troyano bancario DanaBot, que fue descubierto a principios de año y que afectaba a usuarios de Australia y, posteriormente, de Polonia. Durante los últimos meses, este troyano se ha seguido expandiendo por el territorio europeo, especialmente en Italia, Alemania, Austria y, desde el pasado mes de septiembre, Ucrania.

El malware que mina criptodivisas sin permiso aprovechándose de los recursos de los sistemas a los que infecta sigue siendo una de las amenazas más prevalentes y los delincuentes no dejan de innovar a la hora de conseguir nuevas víctimas. Durante el mes pasado vimos cómo algunos complementos para el popular gestor de medios Kodi estaban siendo utilizados como parte de una campaña de criptominería que utiliza complementos infectados descargados desde repositorios de terceros. La existencia de binarios de este malware tanto para Windows como para Linux nos hace pensar que los delincuentes tienen como objetivo a dispositivos como la Raspberry Pi, muy extendidos para visualizar contenido a través de esta plataforma.

Una de las actualizaciones periódicas que Microsoft realiza cada mes solucionó un grave fallo de seguridad que estaba siendo aprovechado por atacantes y que permitía escalar privilegios en sistemas desde Windows 7 a Windows 10. El grupo PowerPool aprovechó el exploit para realizar una campaña de ataques, afectando a una pequeña cantidad de usuarios en varios países repartidos por todo el mundo.

A pesar de todos estos ataques más o menos avanzados, desde finales de julio venimos observando una campaña de extorsión a los usuarios usando solamente el correo electrónico. En la mayoría de casos, este tipo de chantajes no funcionaría pero los delincuentes detrás de esta campaña están aprovechándose tanto de antiguas contraseñas de servicios comprometidos como de la suplantación del remitente del correo para hacer creer que han sido hackeados de verdad. Tras revisar los ingresos realizados a las carteras de Bitcoin de los delincuentes podemos decir que esta campaña les está saliendo muy rentable, si tenemos en cuenta el retorno de inversión obtenido y el poco esfuerzo realizado.

Problemas con la privacidad de millones de usuarios
Si hay una constante que parece repetirse durante los últimos meses, esta es el robo y filtraciones continuas de datos privados de usuarios y empresas. Septiembre fue especialmente prolífico en incidentes de este tipo, teniendo un especial impacto el problema de seguridad de Facebook que inicialmente se pensó que había afectado a 50 millones de usuarios de la popular red social pero que, posteriormente, la empresa rebajo a 30 millones. Estos datos pudieron ser obtenidos de forma ilícita aprovechando la existencia de un agujero de seguridad en el código que permitía obtener los tokens de acceso para las cuentas de los usuarios afectados, llegando a poder tomar el control de ellas.

También los usuarios de la aerolínea British Airways fueron víctimas de un robo de información personal y financiera alojada en los servidores de la empresa. Al menos 380.000 pagos con tarjetas realizados a través de su aplicación y página web se vieron comprometidos.

Pero el incidente con más usuarios afectados del pasado mes fue el protagonizado por la empresa de soluciones de backup Veeam, que dejó expuesta una base de datos que contenía más de 4,5 millones de registros que incluían direcciones de correo electrónico. La base de datos con toda esa información fue descubierta por un investigador que la localizó totalmente accesible durante al menos nueve días y sin contraseña alguna.