La causante de encender todas las alarmas antes de terminar el año ha sido la vulnerabilidad conocida como Log4Shell, una vulnerabilidad en la librería de Java Log4j ampliamente utilizada y con la máxima puntuación de criticidad posible (10 sobre 10), que permitía la ejecución remota de código por parte de un atacante en un servidor que fuera vulnerable.
Esta vulnerabilidad fue detectada en noviembre por el equipo de Alibaba Cloud, e inicialmente se pensó que todo estaría solucionado con el parche de seguridad publicado por Apache a mediados de diciembre. Sin embargo, conforme pasaban los días se iban descubriendo nuevas vulnerabilidades que podían ser aprovechadas a pesar de tener la última versión disponible de la librería Log4j, lo que obligó a Apache a seguir lanzando parches.
Los atacantes no perdieron el tiempo una vez se hicieron públicos los detalles de la vulnerabilidad y las formas de explotarla. Así pues, durante las siguientes semanas, desde ESET hemos observado y bloqueado cientos de miles de ataques dirigidos a sistemas vulnerables en 180 países diferentes, entre los que se encuentra España. Es muy probable que estos ataques se sigan produciendo durante los próximos meses, por lo que resulta esencial que se actualicen lo antes posible con la última versión disponible de Log4j.
El robo de credenciales se confirma como una de las amenazas del año
Las amenazas dirigidas a robar credenciales de todo tipo, y que se englobarían dentro de la categoría de infostealers, no han dejado de aumentar durante los últimos meses y diciembre no iba a ser la excepción. Ya sea para obtener datos bancarios como claves de acceso a sistemas corporativos, los delincuentes lanzaron numerosas campañas antes de terminar el año.
Entre esas campañas volvimos a encontrar casos de phishing dirigidos a empleados de empresas y que simulaban un problema con la cuenta de correo corporativa, con la finalidad de obtener las credenciales de ese usuario. A pesar de ser, en esencia, un método un tanto rudimentario, los delincuentes siguen perfeccionándolo y consiguiendo nuevas víctimas, usando sus credenciales para obtener información confidencial o preparar ataques dirigidos a otros empleados.
También los correos con ficheros adjuntos en forma de documentos ofimáticos o facturas volvieron a ser utilizados por los delincuentes para intentar que los usuarios que recibieran estos correos los ejecutasen en sus sistemas. De hacerlo, el malware que contienen procede a revisar algunas de las aplicaciones comunes tales como navegadores de Internet, clientes de correo o VPNs, entre otras, para robar las credenciales que suelen tener almacenadas y utilizarlas en otros ataques posteriores, ataques que pueden ser de varios tipos, incluyendo ransomware.
Además, los delincuentes no perdieron la oportunidad de aprovechar todas las noticias relacionadas con Ómicron, la nueva variante de COVID-19, y se han empezado a detectar en algunos países como Reino Unido correos que la utilizan como gancho, ofreciendo pruebas PCR gratuitas pero que después tienen un coste, y además se solicita a la víctima que complete un formulario con información personal.
Tampoco debemos olvidar que los troyanos bancarios siguen presentes, tal y como se encargó de recordárnoslo una nueva campaña protagonizada por el veterano troyano Grandoreiro. En esta ocasión, los delincuentes volvieron a utilizar una supuesta factura vencida para despertar el interés del usuario que recibiese el correo y tratar de que descargase e instalase el malware en su sistema.
Ataques relacionados con criptomonedas
Las criptodivisas siguen protagonizando todo tipo de incidentes de ciberseguridad, algo que no es de extrañar debido al valor que alcanzan algunas. Los delincuentes han estado activos durante las últimas semanas, con campañas dirigidas tanto a usuarios que posean alguna de estas criptomonedas como a empresas relacionadas con su intercambio.
Una de las campañas detectadas usaba bots de Twitter para conseguir que usuarios de diversas billeteras digitales les proporcionasen acceso a ellas. Estos bots se hacían pasar por representantes del servicio técnico de alguna conocida billetera de criptodivisas y monitorizaban Twitter en busca de usuarios con consultas diversas para redirigirlos a formularios fraudulentos de Google Docs, donde se les solicitaba su email y la frase de recuperación de su cuenta. Con esta información conseguían acceder a los criptoactivos de las víctimas y transferirlos a billeteras bajo su control.
Por su parte, el sitio de intercambio BitMart sufrió el robo de nada menos que 150 millones de dólares en varios de los tokens con los que operan, tras verse comprometidas dos de sus hot wallets. Este robo se une a la larga lista de incidentes similares protagonizados por empresas del mismo sector durante los últimos años, por lo que conviene informarse bien si se va a depositar criptomonedas en alguno de estos servicios.