Octubre ha sido un mes marcado por la aparición de nuevas vulnerabilidades en sistemas y aplicaciones y, sobre todo, por el descubrimiento por parte de investigadores de ESET de un nuevo malware orientado a sistemas industriales de los responsables de ataques como NotPetya o los ataques a centrales eléctricas de Ucrania que dejaron sin luz a miles de usuarios.
El grupo Telebots, conocido gracias a las investigaciones realizadas por expertos de ESET por ser el responsable de los ataques realizados contra centrales eléctricas de Ucrania usando el malware BlackEnergy, causar el caos en esa región y otras partes del mundo con el falso ransomware NotPetya y crear una de las amenazas más avanzadas dirigida a sistemas de control industrial como fue Industroyer, no ha dejado de trabajar en nuevas amenazas, tal y como han demostrado las investigaciones realizadas por ESET, que ha detectado algunas de sus nuevas creaciones. Una de ellas es el backdoor Win32/Exaramel, muy probablemente una versión mejorada del malware Industroyer que empezó a ser detectada en abril de este mismo año con mejoras en sus funcionalidades, especialmente a la hora de robar contraseñas.
Sin embargo, el descubrimiento de otra amenaza de este grupo también orientada al sector industrial y bautizada como GreyEnergy demuestra que los objetivos de este grupo siguen centrados en causar daño a este sector crítico. Este malware, activo durante los últimos años pero sin realizar acciones destructivas de momento, ha permanecido bajo el radar realizando operaciones de espionaje y reconocimiento, posiblemente para preparar un futuro ataque contra algún objetivo crítico.
“La continua evolución de los códigos maliciosos desarrollados por el grupo Telebots demuestra que se trata de un grupo con amplios recursos y conocimiento” comenta Josep Albors, responsable de investigación y concienciación de ESET España. “No obstante, a pesar de que Ucrania es su principal objetivo y este país cuenta con importantes enemigos, no podemos atribuir alegremente estas acciones a una nación sin tener pruebas concluyentes”.
Amenazas en smartphones
La presencia de malware y amenzas en smartphones y otros dispositivos móviles no debería extrañar a nadie a estas alturas. Sin embargo, nunca deja de ser preocupante que en mercados oficiales se sigan colando aplicaciones maliciosas preparadas por los delincuentes, como las 29 descubiertas por el investigador de ESET Lukas Stefanko y que actuaban como troyanos bancarios. Las aplicaciones maliciosas fueron descargadas por alrededor de 30.000 usuarios desde Google Play antes de ser retiradas y eran capaces de afectar de forma dinámica cualquier aplicación presente en el dispositivo mediante la utilización de formularios fraudulentos personalizados. También eran capaces de interceptar y redirigir mensajes de texto para así saltarse los mecanismos de doble factor de autenticación utilizados por muchas entidades bancarias, además de poder interceptar registros de llamadas y descargar otras aplicaciones maliciosas en el dispositivo infectado.
Por su parte, los usuarios de iOS han visto cómo, a pesar de varias actualizaciones lanzadas por Apple para intentar corregirlo, era posible saltarse la contraseña de desbloqueo para acceder al álbum de fotos e incluso enviarlas mediante un mensaje. El investigador español José Rodriguez publicó varios vídeos donde mostraba el proceso que realizaba para alcanzar su objetivo, dejando en evidencia una y otra vez los esfuerzos realizados por Apple para solucionar este fallo.
En octubre también supimos de la existencia de una vulnerabilidad ya solucionada en la conocida aplicación de mensajería WhatsApp. Descubierta a finales de agosto por la investigadora Natalie Silvanovich (miembro de Google Project Zero), esta vulnerabilidad era consecuencia de un problema de desbordamiento de memoria que se activaba cuando un usuario recibía un paquete RTP manipulado a través de una videollamada, lo que provocaba un error que terminaba por hacer caer la aplicación. Se recomienda a todos los usuarios de WhatsApp actualizar a la versión más reciente para evitar posibles incidentes de seguridad.
La seguridad de nuestros datos de nuevo en entredicho
Si en septiembre vimos importantes brechas de seguridad en grandes empresas que afectaron a millones de usuarios, durante octubre esa tendencia se ha venido repitiendo e incluso provocando el cierre de algún servicio que ya llevaba tiempo agonizando.
Eso es precisamente lo que le pasó a Google+, el intento de red social de Google que no llegó a cuajar y que ahora la empresa ha decidido eliminar tras conocerse que los datos de más de 500.000 usuarios fueron expuestos. Gracias a un fallo, aplicaciones de terceros eran capaces de acceder a datos privados del perfil de un usuario de Google+ cuando solo deberían haber podido acceder a la información marcada como pública. Entre los datos expuestos se encuentran la dirección de correo, ocupación, género, edad, foto de perfil, pseudónimo, fecha de nacimiento o estado civil, entre otros. Además, el fallo no solo permitía a los desarrolladores acceder a información privada de un usuario, sino también a la de sus amigos.
Por otro lado, el mes pasado vimos cómo unos atacantes conseguían acceder a información privada (incluyendo datos relacionados con sus tarjetas de crédito) de 380.000 usuarios de la web y aplicación móvil de la aerolínea British Airways, este mes le tocó el turno a la aerolínea Cathay Pacific. Sin embargo este incidente parece ser más grave que el anterior ya que el número de afectados llegaría a los 9,4 millones de usuarios y los atacantes consiguieron obtener los nombres, nacionalidades, números de pasaporte, fecha de nacimiento, email y dirección postal de los usuarios, junto con un pequeño número de tarjetas de crédito tanto activas como caducadas.
Espionaje gubernamental
Durante el pasado mes surgió una polémica tras la publicación por parte de Bloomberg Businessweek de un reportaje en el que se afirmaba que China estaba instalando diminutos chips espía en algunos componentes informáticos, como placas base, destinados a importantes empresas y organismos de Estados Unidos. Según Bloomberg, estos chips no serían más grandes que un grano de arroz y entre las más de 30 empresas afectadas se encontrarían gigantes como Apple o Amazon, así como un reconocido banco y empresas que trabajan para el gobierno de los Estados Unidos.
Sin embargo, algunas de empresas y organismos mencionados en este reportaje han salido a desmentir estas afirmaciones indicando de que no tienen constancia alguna de que su hardware se haya visto comprometido de la forma indicada por Bloomberg. Además, el gobierno chino también emitió un comunicado negando cualquier involucración en este asunto y abogando por la colaboración en la defensa de la ciberseguridad, también en la cadena de proveedores. Sea como sea, la polémica está servida y puede que aun pasen meses hasta que sepamos la verdad sobre este asunto.
Para terminar este resumen mensual, una buena noticia: a finales de octubre se consiguió desarrollar una herramienta de descifrado gratuita para uno de los ransomware que más ha dado que hablar durante durante 2018. Estamos hablando de GrandCrab en varias de sus versiones, cuyas víctimas ya pueden probar a descifrar los datos afectados por este ransomware gracias a la herramienta que ya se encuentra disponible en la web nomoreransom.org en la que colaboramos diferentes empresas de ciberseguridad.