Ciberseguridad en noviembre
Los ciberdelincuentes continúan llenando de troyanos bancarios los correos electrónicos de usuarios españoles.
Noviembre ha sido un mes continuista en lo que respecta a las amenazas más detectadas en nuestro país. El laboratorio de ESET, la mayor empresa de ciberseguridad de la Unión Europea, no ha observado novedades especialmente destacables en España pero sí muchos ejemplos de ataques dirigidos tanto a usuarios como a empresas de todos los tamaños y administraciones, algo que no tiene visos de cambiar en un futuro cercano.
En concreto, y tal y como viene siendo costumbre desde hace meses, los troyanos bancarios con origen en América Latina siguen teniendo a los usuarios españoles entre sus objetivos favoritos. Por ese motivo no es de extrañar que se hayan detectado numerosas campañas protagonizadas principalmente por las familias Grandoreiro y Mekotio.
La mayoría de las muestras detectadas durante el mes pasado seguían utilizando el correo electrónico como vector de ataque principal, usando plantillas ya vistas con anterioridad, como por ejemplo la del paquete de Correos con un fallo en su entrega o la notificación de un envío de burofax online. Sin embargo, esto no ha impedido que los delincuentes sigan consiguiendo nuevas víctimas a las que robar dinero de sus cuentas bancarias.
No obstante, a principios de noviembre el laboratorio de ESET detectó una campaña protagonizada por el troyano bancario Grandoreiro que utilizaba el servicio de mensajería Facebook Messenger para propagarse. Este vector de ataque ha sido utilizado ocasionalmente con anterioridad, pero no es lo habitual en las campañas protagonizadas por estas familias de troyanos bancarios. Mediante un breve mensaje simulando incluir un vídeo, los delincuentes trataban de engañar a sus víctimas para que introdujesen sus credenciales de Facebook en una web fraudulenta y, seguidamente, proceder a descargar una muestra del malware Grandoreiro.
También se han observado casos de troyanos bancarios orientados a dispositivos Android, entre los que destaca una campaña que se hacía pasar por ayudas del gobierno español mediante una web a la que se accedía a través de un enlace que se estaba propagando por grupos de WhatsApp. En esta web se solicitaba una serie de datos personales para, seguidamente, descargar una aplicación maliciosa en el dispositivo encargada de robar las credenciales de acceso a la banca online.
Robo de información
Otras amenazas recurrentes durante los últimos meses son aquellas orientadas al robo de información personal de sus víctimas, especialmente las que tratan de robar credenciales almacenadas en aplicaciones como clientes de correo o FTP, navegadores, VPNs o similares. Estas credenciales pueden ser usadas luego por los delincuentes para realizar ataques haciéndose pasar por las víctimas y, por ejemplo, enviar correos electrónicos en su nombre o acceder a redes corporativas a través de VPNs.
Durante el mes de noviembre vimos cómo se utilizaban correos con supuestas facturas como gancho para conseguir que los usuarios que los recibiesen ejecutasen el malware encargado de robar esta información almacenada en las aplicaciones instaladas, una táctica bastante habitual en este tipo de amenazas.
Pasando al phishing más clásico, durante el mes pasado observamos cómo los delincuentes habían preparado varias campañas para hacerse pasar por entidades bancarias, como BBVA, y robar las credenciales de acceso a la banca online. Asimismo, se detectó una campaña que suplantaba la identidad del conocido servicio de transferencia de ficheros WeTransfer que intentaba robar credenciales de email. La misma finalidad tenía otra campaña orientada específicamente a usuarios españoles y que, en esta ocasión, se hacía pasar por Loterías y Apuestas del Estado.
Ransomware y filtraciones
Los incidentes protagonizados por el ransomware tampoco han dejado de producirse durante las últimas semanas. Todo eso a pesar de que el pasado 1 de noviembre el grupo Maze, responsable en buena medida de la reinvención del ransomware actual, anunciaba su retirada. Desde ESET se recuerda que muchas de las campañas actuales de ransomware no se limitan únicamente a cifrar la información de sus víctimas, sino que también roban esta información y amenazan con hacerla pública en caso de que no se ceda a su extorsión.
A pesar de la retirada de esta amenaza, ya se habla de sus posibles sucesores, como puede ser, por ejemplo, el ransomware Egregor, con una notable actividad desde hace semanas. Esta variante ha protagonizado sonados incidentes recientemente, entre los que destaca el que ha afectado a un consorcio empresarial multinacional basado en Chile y que opera en varios países de Sudamérica.
Entre las víctimas recientes de estas campañas se encuentra la compañía japonesa desarrolladora de videojuegos Capcom, quien reveló que fue víctima de un ataque que afectó a algunos de sus sistemas durante las primeras horas de la mañana del 2 de noviembre. Como consecuencia de ello, se filtró información importante acerca de los planes de lanzamiento de la compañía para los próximos meses.
Relevo de botnets
Una de las botnets más relevantes de los últimos años, Emotet, ha disminuido notablemente su actividad durante el pasado mes de noviembre. También ha hecho lo mismo Trickbot tras la operación para intentar ser desmantelada, llevada a cabo el pasado mes de octubre por Microsoft, ESET y otras empresas.
Este hueco estaría siendo aprovechado por otras botnets como Qbot (también conocida como Qakbot), una botnet que ha estado recientemente asociada con Emotet pero que, tras la hibernación de esta última desde principios de noviembre, ha vuelto a protagonizar sus propias campañas de propagación en solitario o asociándose con otras amenazas como los ransomware Prolock y Egregor.
Otra botnet que también ha estado recientemente asociada a Emotet y que ha vuelto a realizar campañas por su cuenta es Zbot. La actividad de esta botnet ha sido detectada en varios países, entre los que se incluye España, durante el mes de noviembre. El vector de ataque de esta amenaza suele ser un correo con un documento de Office adjunto que incluye macros maliciosas, algo similar a lo que hace también Emotet.
Estafas y sextorsión
Las estafas también han tenido su ración de protagonismo y, en un mes en el que se producen dos de las fechas más destacadas en lo que respecta a las compras online, como son el Black Friday y el Cyber Monday, los delincuentes no han querido perder su oportunidad con webs fraudulentas suplantando a las legítimas y todo tipo de correos anunciando ofertas imposibles pero cuya finalidad no era otra que la de robar los datos de las tarjetas de crédito de aquellos que creyesen haber encontrado la oferta de su vida.
Como ejemplo destacado tenemos el caso de un correo que aseguraba regalar una PlayStation 5 a todos aquellos usuarios que respondiesen a una sencilla encuesta. El correo decía provenir de la cadena MediaMarkt pero, en realidad, esta empresa no tenía nada que ver. Lo que se pretendía era engañar a los usuarios para que mordiesen el anzuelo e introdujesen los datos de sus tarjetas de crédito para, seguidamente, cobrarles por una suscripción a un servicio no solicitado.
Durante el mes pasado también se observaron algunos casos de correos de sextorsión dirigidos a usuarios de habla hispana. En esos correos se nos alertaba de la existencia de un vídeo con imágenes comprometedoras viendo contenido pornográfico y se indicaba que se debía pagar un chantaje si no queríamos ver cómo se difundía este contenido entre nuestros contactos. Como siempre sucede con estos casos, el video con el que se amenaza a los receptores de estos correos no existe y tan solo se quiere aprovechar el miedo que provocan estas situaciones para tratar de obtener dinero de forma sencilla.
