Repasamos las amenazas recurrentes que protagonizan el último trimestre del año

En su estudio, el especialista de seguridad muestra su preocupación por la actividad que están llevando a cabo la ciberdelincuencia contra activos industriales críticos y pone como ejemplo, sus descubrimientos en torno al grupo Telebots.

Este grupo es conocido por ser el responsable de los ataques realizados contra centrales eléctricas de Ucrania usando el malware BlackEnergy, causar el caos en esa región y otras partes del mundo con el falso ransomware NotPetya y crear una de las amenazas más avanzadas dirigida a sistemas de control industrial como fue Industroyer.

Según las investigaciones realizadas por la firma de seguridad, no ha dejado de trabajar en nuevas amenazas. Entre sus nuevas creaciones, ESET menciona el backdoor Win32/Exaramel, del que cree que es “muy probablemente una versión mejorada del malware Industroyer que empezó a ser detectada en abril de este mismo año con mejoras en sus funcionalidades, especialmente a la hora de robar contraseñas”.

Sin embargo, el descubrimiento de otra amenaza de este grupo también orientada al sector industrial y bautizada por el especialista en seguridad como GreyEnergy demuestra que” los objetivos de este grupo siguen centrados en causar daño a este sector crítico”, indican sus expertos. Este malware, activo durante los últimos años pero sin realizar acciones destructivas de momento, ha permanecido bajo el radar realizando operaciones de espionaje y reconocimiento, posiblemente para preparar un futuro ataque contra algún objetivo crítico.

La firma llama la atención de las tiendas de apps oficiales, en las que se cuelan apps maliciosas. Aunque reconoce que “la presencia de malware en smartphones y otros dispositivos móviles no debería extrañar a nadie a estas alturas”, considera preocupante que en mercados oficiales se sigan colando aplicaciones maliciosas preparadas por los delincuentes, como las 29 descubiertas por el investigador de ESET Lukas Stefanko y que actuaban como troyanos bancarios.

Alrededor de 30.000 usuarios descargaron estas apps desde Google Play antes de ser retiradas y eran capaces de afectar de forma dinámica cualquier aplicación presente en el dispositivo mediante la utilización de formularios fraudulentos personalizados. También podían interceptar y redirigir mensajes de texto para así saltarse los mecanismos de doble factor de autenticación utilizados por muchas entidades bancarias, además de poder interceptar registros de llamadas y descargar otras aplicaciones maliciosas en el dispositivo infectado.

 

 

Por su parte, los usuarios de iOS han visto cómo, a pesar de varias actualizaciones lanzadas por Apple para intentar corregirlo, era posible  saltarse la contraseña de desbloqueo para acceder al álbum de fotos e incluso enviarlas mediante un mensaje. Fue un aficionado a la seguridad, llamado José Rodríguez, quien publicó el pasado viernes un vídeo en el que se revelaba la vulnerabilidad. El fallo se encuentra en la posibilidad de aprovecharse de Siri y VoiceOver para quebrantar la autenticación del dispositivo. La vulnerabilidad está presente en todos los modelos de iPhone, incluidos iPhone X y XS, que estén funcionando con la última versión del sistema operativo de Apple.

Recuerda ESET también que en octubre también se conoció de la existencia de una vulnerabilidad ya solucionada en la conocida aplicación de mensajería WhatsApp. Descubierta a finales de agosto por la investigadora Natalie Silvanovich (miembro de Google Project Zero), la vulnerabilidad era consecuencia de un problema de desbordamiento de memoria que se activaba cuando un usuario recibía un paquete RTP manipulado a través de una videollamada, lo que provocaba un error que terminaba por hacer caer la aplicación. En este caso, la firma recomienda a todos los usuarios de WhatsApp actualizar a la v

Datos, siempre en peligro
El informe destaca también diversos casos de brechas de datos que fueron noticia a lo largo de octubre. Google+ anunciaba el cierre su versión para consumidores tras conocerse que los datos de más de 500.000 usuarios quedaron expuestos. Debido a un fallo, aplicaciones de terceros eran capaces de acceder a datos privados del perfil de un usuario de Google+ cuando solo deberían haber podido acceder a la información marcada como pública. Entre los datos expuestos figuraban la dirección de correo, ocupación, género, edad, foto de perfil, pseudónimo, fecha de nacimiento o estado civil, entre otros. Además, el fallo no solo permitía a los desarrolladores acceder a información privada de un usuario, sino también a la de sus amigos.

El segundo ejemplo es la filtración de datos de Cathay Pacific, que expuso la información privada de 9,4 millones de usuarios. Los atacantes consiguieron obtener los nombres, nacionalidades, números de pasaporte, fecha de nacimiento, email y dirección postal de los usuarios, junto con un pequeño número de tarjetas de crédito, tanto activas como caducadas.

Como contrapunto a todos estos casos, el documento se detiene en una buena noticia: a finales de octubre se consiguió desarrollar una herramienta de descifrado gratuita para uno de los ransomware que más ha dado que hablar durante durante 2018. Se trata de GrandCrab en varias de sus versiones, cuyas víctimas ya pueden probar a descifrar los datos afectados por este ransomware gracias a la herramienta que ya se encuentra disponible en la web nomoreransom.org en la que colaboran diferentes empresas de ciberseguridad.