En su Informe de Seguridad en Internet, para el primer trimestre de 2023, la compañía estadounidense de ciber seguridad WatchGuard Technologies, identificó que el 75 por ciento de las nuevas amenazas en su lista de los 10 principales programas malignos (malware) tienen fuertes vínculos con Rusia o China.
“Estos grupos de piratas se dirigen a usuarios desprevenidos y dispositivos desprotegidos. En muchos casos, esto conduce a estafas; pero los ataques pueden agravarse dando acceso a programas de secuestros [ransomware] y programas troyanos”, subraya el informe. “Sospechamos que, si un objetivo de alto valor se ve comprometido, los atacantes venderán el acceso al dispositivo infectado al mejor postor y es probable que los grupos patrocinados por algún Estado superen la oferta de cualquier otro grupo”.
Una de esas nuevas amenazas es la familia de malware chino Zusy, que aparece por primera vez en la lista de WatchGuard. Una de las muestras de Zusy encontradas por los investigadores apunta hacia adware (programas automáticos de publicidad) que infecta los navegadores. El adware se auto designa como el navegador original y secuestra la configuración Windows del sistema.
“El malware Zusy suele propagarse a través de archivos adjuntos de correo electrónico, descargas de sitios web comprometidos, o mediante la explotación de vulnerabilidades en software desactualizado”, dijo el 16 de agosto a Diálogo Raúl Álvarez, máster en Inteligencia y catedrático de Ciberseguridad de la Universidad Anáhuac de México. “Una vez en el sistema, secuestra al navegador de la víctima. Esto se logra mediante la modificación de configuraciones de la computadora como la página de inicio, los motores de búsqueda predeterminados y las extensiones instaladas”.
Una vez que Zusy secuestra al navegador, el virus se extiende hasta afectar la configuración del sistema operativo Windows. Algunos de los efectos más comunes detallados por Álvarez incluyen la alteración del registro de Windows para establecerse como una aplicación permanente en el sistema, redirección del tráfico web a sitios maliciosos o controlados por el atacante, robo de información confidencial, inyección de contenido malicioso en las páginas web visitadas por la víctima y deterioro del rendimiento del sistema y del navegador.
“Este tipo de malware va dirigido al robo de información personal y bancaria, desde la suplantación de identidad hasta el robo bancario y destrucción económica de la víctima”, explicó a Diálogo Verónica Becerra, cofundadora de la empresa mexicana de ciber seguridad Offensive Hacking & Security Networks. “En algunos casos se usa como método de entrada para filtrarse en las organizaciones, robar información y extorsionar hasta la pérdida de la continuidad de un negocio”.
“Las organizaciones necesitan prestar atención más activa y continua a las estrategias de seguridad a las que confían a sus negocios, para mantenerse protegidas frente a amenazas cada vez más sofisticadas”, afirmó Corey Nachreiner, jefe de seguridad de WatchGuard. “Los temas principales y las mejores prácticas que [descubrió] nuestro laboratorio de amenazas, enfatizan fuertemente las defensas de malware en capas, para combatir los ataques. Esto puede hacerse de manera sencilla y eficaz con una plataforma de seguridad unificada, a cargo de proveedores de servicios certificados”.
Ingeniería social
El informe de WatchGuard advierte además sobre las tendencias de ingeniería social basadas en el navegador y utilizando las funciones de notificaciones para forzar ciertos tipos de interacciones. Pero los ataques de este tipo también pueden llegar por medio de otras aplicaciones.
Microsoft advirtió sobre una serie de ataques de ingeniería social para robar información a través de la mensajería de su programa empresarial Microsoft Teams. La compañía confirmó que el responsable de las agresiones es el grupo ruso Midnight Blizzard, mismo que los gobiernos de los Estados Unidos y el Reino Unido vinculan como un brazo de piratería informática del Servicio de Inteligencia Exterior de Rusia.
La revista digital CIO Perú detalló que este grupo -conocido también como Cozy Bear o NOBELIUM- estuvo detrás del ataque del 2020 a la compañía estadounidense de software SolarWinds y otros ataques contra instituciones gubernamentales, misiones diplomáticas y empresas de la industria militar de todo el mundo.
Estos ciber criminales configuraron cuentas de subdominios para engañar a sus víctimas, haciéndose pasar por el soporte técnico de Microsoft Teams. A través de servicios de chat, obtenían las credenciales para hackear empresas o gobiernos, publicó el 3 de agosto El Español.
Este grupo ruso tiene objetivos específicos dirigidos a entidades del Estado, organizaciones no gubernamentales, servicios de inteligencia, tecnología, fabricación discreta y sectores de medios, detalló Reuters.
Los ataques de ingeniería social aprovechan el factor humano, utilizando la inteligencia artificial e información pública en redes sociales para crear imágenes, audios, videos y otros archivos falsos. El Buró Federal de Investigaciones de los EE. UU. (FBI), advirtió a través de la revista PCMag, que los ciberdelincuentes desarrollan nuevos ataques a través de sitios web que secretamente pueden inyectar códigos maliciosos. Cualquier estrategia de seguridad informática debería considerar este factor, alertó la revista Estrategia & Negocios.
“Hay que tener cuidado con los dispositivos de la línea de producción e industriales de las empresas”, dijo a Infobae Gabriel Croci, director de Seguridad de la Información de la compañía india Tata Consultancy Services. “Los atacantes pueden penetrar fácilmente los sistemas a través de dispositivos instalados en la red interna de las organizaciones sin controles de seguridad implementados, o con sistemas operativos obsoletos, tanto a nivel local como en la nube”.
La Agencia de Seguridad Nacional de los EE. UU. lanzó en julio un nuevo aviso de seguridad cibernética sobre vulnerabilidades de aplicaciones web. Los delincuentes cibernéticos pueden abusar de las aplicaciones web para comprometer datos confidenciales, lo que podría afectar no solo las aplicaciones web, sino también los servicios en la nube. Por ello recomienda pruebas regulares de penetración y escaneo, para garantizar que las aplicaciones web sean seguras.