Los ciberdelincuentes han hecho su agosto atacando a los famosos
Aunque generalmente se asocia el mes de agosto con vacaciones y relax, no es el caso en el mundo de la seguridad informática, lo que nos hace recordar que nunca debemos bajar la guardia.
A los hackeos de las cuentas de Twitter del FC Barcelona y del Real Madrid anunciando fichajes, se les unió este mes también el realizado a la web de WikiLeaks o a las cuentas de Twitter y Facebook de HBO y PlayStation. Todas estas acciones fueron protagonizadas por el grupo OurMine, un viejo conocido.
HBO fue protagonista también de otras acciones al sufrir, además, el robo y filtración de episodios de algunas de sus series más conocidas y la filtración de varios documentos internos, incluido uno con los números de teléfono y email de actores de Juego de Tronos como Lena Headey (Cersei Lannister), Emilia Clarke (Daenerys Targaryen) y Peter Dinklage (Tyrion Lannister).
De la misma manera, celebridades como Miley Cyrus, Justin Bieber, Kristen Stewart, su pareja, la modelo Stella Maxwell, Katharine McPhee o la esquiadora Lindsey Vonn y su expareja Tiger Woods también padecieron la intromisión de los ciberdelincuentes en su información privada. En este caso fue en forma de fotografías, sustraídas en la mayoría de los casos de las copias de seguridad en la nube de los móviles de las víctimas.
BlackHat USA muestra nuevas vulnerabilidades
Por su parte, el español Rubén Santamarta expuso en BlackHat USA, una de las conferencias sobre ciberseguridad más importante del mundo, los fallos y vulnerabilidades de los dispositivos encargados de medir los niveles de radiación en instalaciones tan críticas como puertos, fronteras y centrales nucleares. Santamarta descubrió que tanto los sensores como el software utilizado podían ser engañados para que aceptasen como válidos valores erróneos y planteó diversos escenarios en los que un ataque de este tipo podría ser utilizado para aumentar el daño provocado por un accidente o evitar que el transporte de material radioactivo pueda ser detectado fácilmente.
Los coches conectados, y más concretamente su seguridad, saltaron un año más a la palestra. Nuevas investigaciones han vuelto a demostrar su inseguridad. Los expertos se centraron en la consola de comunicación y entretenimiento del vehículo, consiguiendo, por un lado, que otros vehículos se conectasen a una web controlada por ellos y proporcionasen información privada y, por otra, un par de vulnerabilidades que permitirían a un atacante ejecutar código arbitrario tanto de forma local como remota.
El ransomware no se toma vacaciones
Las últimas semanas de mes también han sido bastante intensas en lo que a ransomware se refiere. Comenzamos el mes con una campaña del ransomware GlobeImposter. Mediante una campaña de envío masivo de spam, este ransomware intentaba convencer a sus víctimas de que abrieran una supuesta factura guardada en un archivo comprimido para terminar cifrando la información en sus discos.
Pero la campaña más activa durante agosto en España (y otros países) ha sido la protagonizada por el regreso de Locky y sus numerosas variantes. En sucesivas campañas de correos electrónicos con adjuntos maliciosos, han conseguido infectar a sus víctimas a través de ejecutables alojadas en páginas webs comprometidas, algunas de ellas españolas.
“Con la vuelta a la actividad en septiembre no sería extraño ver que este tipo de campañas ocasiona más daños que los provocados en agosto, ya que los delincuentes pueden haber aprendido de las pruebas realizadas durante las últimas semanas”, advierte Josep Albors, responsable de concienciación de ESET España.
Troyanos bancarios y otros tipos de malware
Pero el ransomware no tuvo el monopolio del malware durante el mes de agosto. Desde el laboratorio de ESET también se analizó un par de campañas de propagación de troyanos bancarios muy bien preparadas.
A mediados de mes observamos una serie de correos que supuestamente adjuntaban un fax e intentaban descargar y ejecutar una variante del troyano bancario Trickbot. Camuflada en una macro de MS Word se producía la descarga de lo que, aparentemente, era una imagen pero que en realidad se trataba de un archivo ejecutable. Tras infectar la máquina, ésta quedaba a merced de los delincuentes. Además, el malware robaba las credenciales de acceso a banca online de la víctima.
Un malware similar, como es Zbot, utilizó una técnica similar al presentarse como una supuesta factura pendiente de pago en formato Excel. De la misma forma que en el caso anterior, esta hoja de cálculo contenía una macro maliciosa dentro de la falsa factura y terminaba descargando el fichero responsable de la infección final. Este malware también se encarga de controlar remotamente la máquina de la víctima y de capturar las credenciales bancarias, haciendo hincapié, además, en entidades bancarias españolas.
Cuando el mes ya había prácticamente acabado, el equipo del laboratorio de ESET publicó una interesante investigación en la que se detalla lo que apunta a una nueva actividad del grupo de ciberespionaje Turla. Esta actividad estaría siendo utilizada para espiar a consulados y embajadas de todo el mundo, pero con especial interés en países del sur de Europa Oriental y pertenecientes al antiguo bloque soviético.
Ataques relacionados con criptomonedas
El auge que han experimentado las criptomonedas durante los últimos meses ha provocado que se hayan incrementado los ataques dirigidos que, con diferentes vertientes, comparten el mismo objetivo: conseguir ganar dinero a costa del interés de los usuarios en las criptodivisas.
Un vector de ataque clásico que han utilizado los delincuentes consiste en conseguir infectar las máquinas de los usuarios para utilizar sus recursos y minar estas monedas. Durante el mes pasado el kit de exploits Neptune se usó para descargar el software de minado malicioso desde anuncios controlados por los delincuentes.
Sin embargo, las noticias más relevantes relacionadas con las criptomonedas y su seguridad fueron las relacionadas con los robos de estas divisas aprovechando las ICO (Initial Coin Offering) que algunas empresas estaban realizando para captar fondos. Enigma fue una de estas empresas que vio como unos delincuentes modificaron el enlace donde los usuarios tenían que enviar sus transferencias de dinero en forma de criptomonedas y se llevaron una importante suma de dinero mientras este enlace estuvo activo.
Tampoco faltan los que intentan aprovecharse de la moda e intentan estafar a los más ingenuos prometiéndoles grandes beneficios. De hecho, durante las últimas semanas se han enviado una gran cantidad de correos electrónicos donde se invita a los usuarios a hacerse rico de forma rápida operando con bitcoines. La realidad es que detrás se esconde una empresa con prácticas de dudosa legalidad y busca principalmente obtener el dinero de los usuarios a toda costa.