Aunque no todo está relacionado con la guerra Ucrania-Rusia, este suceso ha sacudido el panorama mundial de la ciberseguridad, en el que investigadores de ESET detectaron una baja importante en los ataques RDP, pero un aumento en las estafas de phishing y el resurgimiento de los malware Emotet e Industroyer.
De acuerdo con el Informe de amenazas del primer trimestre del año, el número de ataques de Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) descendió 43 por ciento, lo cual sucede por primera vez desde principios de 2020, un hecho al que le siguen los intentos de ataque contra SQL, con 64 por ciento, y SMB con 26 por ciento.
“Poco antes de la invasión rusa, la telemetría de ESET registró una de dos fuertes caídas en los ataques del RDP. La disminución viene tras dos años de crecimiento constante, y como se explica en la sección de Exploits del informe sobre amenazas, este giro de eventos podría estar relacionado con la guerra en Ucrania. Pero incluso con esta caída, casi 60 por ciento de los ataques RDP entrantes vistos en el primer trimestre del año se originaron en Rusia”, destacó Roman Kovac, Chief Research Officer at ESET
.
Los hallazgos del reporte, que incluye un recuento de los diversos ciberataques relacionados con la guerra en curso, consideran como efecto secundario que Rusia sea ahora el principal país con ataques de ransomware, cuando antes los grupos de cibercriminales evitaban los objetivos ubicados en el territorio de ese país.
“Rusia y algunos países de la Comunidad de Estados Independientes solían quedar excluidos de las listas de objetivos del ransomware, posiblemente debido a que los delincuentes residían en esos países o temían las represalias; en el primer trimestre del 2022, Rusia se enfrentó a la mayor proporción de detecciones, 12 por ciento, en la categoría de ransomware”.
Roman Kovac señaló que incluso los investigadores de ESET detectaron variantes de pantalla de bloqueo que utilizaban el saludo nacional ucraniano; además, la guerra también ha sido explotada por amenazas de spam y phishing, pues se encontraron con casos de estafadores que utilizaron como organizaciones benéficas y de recaudación de fondos ficticias para obtener beneficios.
“Inmediatamente después de la invasión del 24 de febrero, los estafadores empezaron a aprovecharse de las personas que intentaban apoyar a Ucrania, utilizando como señuelo organizaciones benéficas y de recaudación de fondos ficticias. Ese día, la telemetría de ESET detectó un gran pico de detecciones de spam”.
No obstante, en marzo y abril de 2022, los operadores de Emotet aumentaron su actividad con campañas masivas de spam, utilizando documentos de Microsoft Word convertidos en armas, lo que multiplicó por 113 las detecciones de Emotet en el primer trimestre.
“Emotet, el malware que se propaga principalmente a través de correos electrónicos no deseados, está de vuelta después de los intentos de derribo del año pasado y ha vuelto a subir en nuestra telemetría. Sus operadores lanzaron una campaña de spam tras otra, con detecciones de Emotet creciendo más de cien veces”, alertó Kovac.
Además de Emotet, detectado en 2014 y cuyas campañas en los primeros tres meses se reflejaron en la categoría de amenazas de correo, con un alza de 37 por ciento, se reportó la resurrección de otro malware: Industroyer, que tenía como su objetivo las subestaciones eléctricas de alto voltaje. La nueva variante descubierta se denominó Industroyer2.
Entre los hallazgos también se encuentran el abuso de las vulnerabilidades del controlador del kernel; vulnerabilidades UEFI de alto impacto; malware de criptomonedas dirigido a dispositivos Android e iOS; una campaña aún no atribuida que despliega el malware DazzleSpy para macOS, y las de Mustang Panda, Donot Team, Winnti Group y el grupo TA410 APT.
C$T-EVP
