El robo de datos en Equifax protagonizó la ciberseguridad en septiembre
Septiembre es el mes de la vuelta a la rutina para muchos tras el periodo vacacional, pero como ya hemos ido destacando en los últimos años, los ciberdelincuentes no se toman vacaciones y realizan sus delitos independientemente de la época del año en la que nos encontremos.
Por eso, durante las pasadas semanas el laboratorio de ESET en España ha observado un guion continuista en comparación con meses anteriores.
Uno de los incidentes más destacados acontecidos en septiembre fue, sin duda, la intrusión en los sistemas de la empresa Equifax, que afectó, como mínimo, a los datos de 143 millones de usuarios en Estados Unidos. Según la información proporcionada por la propia empresa, encargada de generar informes de crédito, el acceso no autorizado se produjo desde mediados de mayo hasta julio de este año, pero no fue hasta el 7 de septiembre cuando se hizo público.
Este es uno de los ataques más importantes de los últimos años, no sólo por afectar prácticamente a la mitad de la población de Estados Unidos, sino por la importancia de los datos robados por los atacantes, los cuales incluyen nombres, números de la seguridad social, fechas de nacimiento, direcciones y números de algunos permisos de conducir y tarjetas de crédito. Además del robo de datos, este incidente de seguridad se cobró otra víctima, y es que el CEO de Equifax decidió dimitir de su cargo tras conocer la magnitud de la brecha de seguridad y la importancia de los datos que habían obtenido los delincuentes.
Sin embargo, no fue el único incidente relacionado con el robo de datos que el laboratorio de ESET analizó durante el mes pasado: Taringa, el conocido foro latinoamericano compuesto por millones de usuarios, fue comprometido y los atacantes consiguieron obtener una base de datos con detalles de 28.722.877 cuentas, entre los que se incluyen nombres de usuario, direcciones de correo electrónico y las contraseñas con hash MD5.
Troyanización de aplicaciones y extorsión
Durante el pasado mes de septiembre, los instaladores de la conocida herramienta CCleaner, usada por millones de usuarios en todo el mundo, fueron modificados por otros con características maliciosas que se descargaron desde los servidores oficiales durante algún tiempo. Por suerte, esta suplantación sólo afectó a la versión de 32 bits, limitando bastante el alcance, puesto que la gran mayoría de sistemas operativos actuales son de 64 bits. Aun así, el impacto fue relativamente importante, ya que desde ESET se llegaron a detectar 338.000 detecciones a nivel mundial, situándose España en la décima posición de países más afectados.
En otro orden de cosas, una de las investigaciones más recientes de ESET demostró que el software malicioso conocido como FinFisher, utilizado para espiar a ciudadanos de varios países, estaría distribuyéndose con la ayuda de algunos proveedores de Internet (ISP) en varias regiones del mundo. En dos de los siete países en los que se han observado las variantes más recientes de FinFisher se ha comprobado que el ISP se encargaba de actuar como intermediario para, mediante técnicas de ‘man-in-the-middle’, conseguir instalar este malware en los dispositivos de las víctimas. Esto representa una seria amenaza, especialmente para aquellos usuarios que vivan en regímenes opresivos que pueden forzar a los ISP a colaborar con ellos para espiar a sus objetivos.
Troyanos bancarios ocultos en juegos para Android
El troyano bancario para Android Bankbot, que tanto ha dado que hablar en los últimos meses, apareció de nuevo en septiembre camuflándose como un juego para Android en la tienda oficial Google Play. Antes de ser eliminada de la tienda, esta aplicación maliciosa logró que alrededor de 5.000 usuarios la instalasen en sus dispositivos. El troyano realmente ejecuta un juego, pero también instala otras aplicaciones que solicitan permisos adicionales que permiten a los delincuentes descargar el malware Bankbot en el dispositivo Android de la víctima. Bankbot superpone una ventana cuando el usuario accede a Google Play y solicita los datos de la tarjeta de crédito (que son enviados a los delincuentes), además de obtener acceso a los mensajes SMS y así intentar evadir el doble factor de autenticación que muchas entidades bancarias ofrecen a sus usuarios.
Durante las últimas semanas hemos visto numerosos casos de extorsión, normalmente mediante la propagación de ransomware con continuas y masivas campañas de spam. Sin embargo, también se han observado ciertas variaciones destacables. Por un lado, se han detectado extorsiones directas en las que los delincuentes amenazaban a empresas con realizar ataques de denegación de servicio contra las redes corporativas para que éstas no funcionasen adecuadamente y dificultaran el trabajo de los empleados y el acceso de los clientes. Por otro lado, también se observaron grupos de delincuentes que escaneaban Internet en busca de bases de datos MongoDB vulnerables. Seguidamente, intentaban acceder a ellas para hacer una copia de los datos, borrarlos del servidor y así solicitar un rescate de 0.15 bitcoines a la empresa.
Amenazas para macOS
Septiembre también ha sido un mes en el que hemos visto más amenazas y vulnerabilidades para macOS de lo normal, algo que probablemente haya sido propiciado por el lanzamiento de la nueva versión High Sierra.
El mismo día del lanzamiento del nuevo sistema operativo de Apple, se publicó una vulnerabilidad que permitía a un atacante robar los nombres de usuario y contraseñas de las cuentas almacenadas en el llavero del sistema. Al parecer, las aplicaciones sin firmar instaladas en macOS High Sierra podrían acceder a este llavero y mostrar los usuarios y contraseñas almacenados en texto plano sin necesidad de pedir la contraseña maestra del usuario.
Además, se descubrió una vulnerabilidad en sistemas macOS anteriores a High Sierra que permite saltarse Quarantine, una de las características utilizadas por Apple para proteger a los usuarios de ciberataques y códigos maliciosos mediante el uso de una cuarentena en caso de detectar algo sospechoso.
Para complicar las cosas, y a pesar de que muchas veces estas vulnerabilidades se solucionan con una actualización, durante el último mes conocimos los resultados de un estudio que indicaba que muchos Mac fallan a la hora de instalar parches para el firmware EFI (utilizado para controlar el proceso de arranque antes de que se inicie el sistema operativo), o ni siquiera los reciben.
Minería de criptomonedas por parte de delincuentes
Durante el mes pasado, el laboratorio de ESET analizó también algunos casos en los que los delincuentes conseguían que sus víctimas minasen criptomonedas sin su consentimiento simplemente al visitar una web y sin necesidad de instalar ningún malware ni software de minado.
Se ha observado que los delincuentes han puesto su punto de mira en la criptodivisa Monero, que si bien tiene una cotización muy inferior a otras más conocidas como los bitcoines, cuenta con otras características interesantes como el uso de CPU o GPU de máquinas no necesariamente potentes y la dificultad para rastrear sus transacciones.
Además, se han visto multitud de webs legítimas que han empezado a instalar voluntariamente códigos JavaScript en su página principal y que ejecutan software de minado que consume recursos de las máquinas de los usuarios que las visitan. Uno de los casos más sonados fue el de la web The Pirate Bay, pero hay muchos otros como, por ejemplo, la web oficial de Cristiano Ronaldo.