Ciberamenazas pasadas resurgen mejoradas
Abril ha sido un mes continuista en ciberseguridad.
Han aparecido numerosas vulnerabilidades, y han resurgido ciertas amenazas que tuvieron especial impacto en España durante el año pasado y que han vuelto con tácticas mejoradas.
Submelius vuelve a la carga
Submelius, una amenaza especializada en redirigir al usuario a webs maliciosas ha vuelto a la carga justo un año después de hacer su primera aparición destacable en territorio español. Si en 2017 esta amenaza utilizó sitios de streaming de series y películas como principal vector de ataque, ahora utiliza mensajes a través de la aplicación Facebook Messenger.
Los delincuentes dirigen a sus víctimas a webs controladas que tienen la apariencia de Youtube, pero que en realidad persiguen instalar complementos maliciosos para el navegador Chrome. Entre otras cosas, buscan robar credenciales de Facebook para seguir propagando su amenaza entre la lista de contactos de la víctima. Hay que destacar que, en abril, Submelius ha alcanzado cuotas de detección similares al minado no autorizado de criptodivisas a través de código Javascript ubicado en páginas web (amenaza que lleva meses en lo más alto del ranking).
Por otra parte, las diferentes variantes de ransomware aparecidas durante las últimas semanas han causado problemas considerables. Un ejemplo lo tenemos en la ciudad de Atlanta. Muchos de sus servicios online dejaron de estar disponibles para sus ciudadanos a causa de un ransomware, causando unas pérdidas de 2,7 millones de dólares como mínimo.
No obstante, no todos los ransomware son tan destructivos. También durante este mes apareció una nueva variante que nos invitaba a jugar a uno de los Battle Royale más de moda como es el Playerunknown's Battlegrounds (conocido como PUBG) si queríamos recuperar los archivos cifrados. Por suerte, la víctima podía saltarse este paso incluso en variantes que obligaban a jugar 999 horas debido a errores en el código y a que la clave de descifrado estaba en la nota de rescate.
Acuarios maliciosos y otros riesgos del IoT
Las amenazas dirigidas al Internet de las cosas siguen generando titulares interesantes. El pasado mes conocimos un incidente peculiar: aprovechando una vulnerabilidad en el termómetro inteligente colocado en un acuario para controlar su temperatura, un grupo de delincuentes pudo acceder a la red interna del casino en el que estaba ubicado para acceder a su base de datos y robar información, como los nombres de los jugadores que realizaban grandes apuestas.
Otro dispositivo conectado, pero no debidamente protegido que tuvo su momento de protagonismo, fue el sistema de control de los telesillas utilizados en una estación de esquí austriaca. Una pareja de investigadores consiguió acceder sin mayores dificultades al panel de control de los telesillas, desde el cual podrían haber modificado su funcionamiento e incluso provocar daños a los esquiadores. No obstante, los investigadores informaron a la estación para que se cerrase el acceso y así evitar males mayores.
Volviendo a dispositivos más mundanos, investigaciones recientes han demostrado que los routers siguen siendo uno de los dispositivos preferidos de los delincuentes. Estos dispositivos han sido utilizados en numerosas campañas delictivas y el mes pasado se descubrió otra más que se aprovechaba de 65.000 dispositivos vulnerables para formar una botnet proxy que permitiera realizar todo tipo de actividades delictivas sin delatar las direcciones IP reales de los delincuentes.
Serios problemas para Drupal y otras vulnerabilidades
A finales de marzo, Drupal alertó acerca de una vulnerabilidad en el popular gestor de contenidos. Abril no le ha sentado nada bien, puesto que no solo esta vulnerabilidad ha sido aprovechada por numerosos atacantes, sino que durante este mes que acabamos de dejar atrás han aparecido dos más. Esta situación es especialmente peligrosa, puesto que los atacantes pueden obtener el control total de los sitios gestionados con Drupal y muchos usuarios aún no han actualizado a versiones no vulnerables, por lo que las webs potencialmente en riesgo se cuentan por millares.
Por su parte, empresas acostumbradas a lanzar actualizaciones para sus productos de forma periódica como Microsoft, Google o Adobe hicieron lo propio. La compañía de Redmond solucionó un problema con un parche anterior que se lanzó a principios de año para mitigar los problemas ocasionados por las vulnerabilidades Meltdown y Spectre, además de otros fallos críticos o graves.
Google también alertó de la existencia de nueve vulnerabilidades críticas en Android, que iban desde la ejecución remota de código malicioso hasta un fallo de seguridad en el componente wifi proporcionado por Qualcomm, que permitiría a un atacante ejecutar código arbitrario con privilegios mediante un fichero especialmente preparado.
Afortunadamente, esta vulnerabilidad no afecta a todos los sistemas Windows y se limita a Windows 7 SP1 64 bits y Windows Server 2008 R2 SP1. Para aprovechar esta vulnerabilidad, un atacante debería primero registrarse en el sistema y, seguidamente, ejecutar una aplicación modificada de forma especial para poder tomar el control del sistema. Esto es posible porque Windows fallaría a la hora de manejar objetos en la memoria, por lo que el atacante que cumpliese los requisitos podría ejecutar código arbitrario en modo kernel e instalar aplicaciones, ver, modificar o eliminar datos o incluso crear nuevas cuentas de usuarios con permisos de administrador.
Existe una prueba de concepto desarrollada por el investigador Ulf Frisk que explica cómo explotar esta vulnerabilidad, por lo que se recomienda aplicar el parche lo antes posible, por si algún delincuente decidiera aprovecharla.
Otra empresa que se apuntó hace tiempo a publicar actualizaciones periódicas de seguridad es Adobe. Este pasado mes de abril lanzó 19 actualizaciones, siendo 4 de ellas consideradas críticas. No se han encontrado evidencias de que estas vulnerabilidades estuvieran siendo aprovechadas por los delincuentes.
Fuente: Barómetro ESET NOD32 mensual de seguridad
