Mantener un parque informático ciberseguro sigue siendo un reto para todas las organizaciones, pero saber cómo mitigar las amenazas más acuciantes permitirá a muchas empresas recorrer la mayor parte del camino. Por ello, os dejamos una lista actualizada de las amenazas de malware para junio de 2023.
Un negocio que no da signos de fatiga
La ciberdelincuencia sigue siendo un negocio lucrativo y no muestra signos de desaceleración. Las operaciones de ransomware están cambiando de táctica para maximizar los beneficios, y el malware sigue invadiendo las redes mundiales.
Aunque es imposible agrupar todas y cada una de las amenazas que se dirigen a las organizaciones cada mes, no está demás conocer algunos de los malware más destacados que hay que tener en cuenta. Helo aquí algunas de las amenazas de malware para junio de 2023 que te pueden interesar.
Dispositivos NAS de Zyxel ampliamente explotados
Zyxel es la última empresa que ha tenido que hacer frente a problemas en su línea de dispositivos de almacenamiento (NAS), atacados por la red.
Tras los ataques generalizados y repetidos a las unidades NAS de QNAP el año pasado, una vulnerabilidad crítica, rastreada como CVE-2023-28771, está siendo explotada ahora en el hardware de Zyxel, y se cree que afecta a decenas de miles de clientes.
El fallo permite la ejecución remota de código, enviando un paquete especialmente diseñado al dispositivo. Un análisis técnico de la empresa de seguridad Rapid7 reveló pruebas de exploits, utilizados para realizar ataques como parte de una red de bots Mirai.
Según la telemetría de la empresa, se estimó que alrededor de 42.000 dispositivos NAS de Zyxel estaban expuestos a Internet en la red de área amplia (WAN), que no es una configuración predeterminada.
Dado que el fallo reside en el servicio VPN de las unidades NAS, que está activado por defecto en la WAN, Rapid7 cree que el número total de dispositivos afectados es «muy superior» a los 42.000.
Los parches para la vulnerabilidad de desbordamiento de búfer, y otras anunciadas al mismo tiempo, ya están disponibles y deben aplicarse lo antes posible.
Ciertos dispositivos de seguridad de Barracuda Networks «deben sustituirse inmediatamente»
Siguiendo con el tema de los ataques dirigidos a hardware importante, Barracuda Networks ha revelado esta semana que, a pesar de haber lanzado parches para una vulnerabilidad crítica, los usuarios deben sustituir los dispositivos lo antes posible.
Una vulnerabilidad de día cero en el servicio VPN de sus dispositivos de puerta de enlace de seguridad de correo electrónico (ESG), permitía la ejecución remota de código.
Los primeros indicios de exploits datan de octubre de 2022, y desde entonces se han utilizado para instalar malware de puerta trasera con persistencia. También se ha observado que los ataques apoyaban ataques descendentes de una campaña de botnet similar a Mirai.
Horobot: dos años sin ser descubierto
Una sofisticada red de bots acaba de ser descubierta por investigadores de seguridad, tras pasar desapercibida durante más de dos años.
Horobot se ha dirigido a sectores verticales específicos –contabilidad, inversiones y construcción, en particular– y ha estado instalando distintas cepas de malware desde noviembre de 2020.
Los troyanos bancarios y las herramientas de spam se encontraban entre el malware lanzado en los ataques. Este último se utilizó para robar información sensible y comprometer cuentas de correo electrónico para lanzar ataques de phishing.
Los usuarios de Gmail, Yahoo y Outlook se vieron afectados por ataques basados en Horobot, señalaron los investigadores.
1Password y otros gestores de contraseñas, en el punto de mira
Se ha descubierto una nueva versión de ViperSoftX, que ahora tiene como objetivo los datos almacenados en los navegadores web por las extensiones de los gestores de contraseñas más populares.
Centrado principalmente en 1Password y KeePass 2, el último ViperSoftX fue encontrado por los investigadores de seguridad de Trend Micro, pero históricamente sólo ha tenido herramientas para Google Chrome, aunque ahora se ha abierto a otros navegadores.
ViperSoftX también se utilizó originalmente para ser sólo una herramienta de secuestro de criptomoneda, pero ahora ofrece opciones más robustas para los atacantes cibernéticos.
Grupos organizados para atacar
Según Trend Micro, la mayor parte de los ataques se dirigen a organizaciones de Australia, Japón, EE.UU. e India, pero también son frecuentes en Asia y regiones de Europa central. Muchos ataques tienen como autores a bandas y grupos organizados, como Cl0p.
No está claro por qué las técnicas de los delincuentes de ransomware están cambiando de esta manera, pero Cl0p, que comenzó el año con el notorio ataque a la cadena de suministro de GoAnywhere MFT, ha tenido un éxito repetido con el método.
También se atribuyó a Cl0p el ataque a la cadena de suministro de MOVEit Transfer (noticia que te contamos aquí), una herramienta de transferencia de archivos muy utilizada en el sector privado.
No hay descanso para la seguridad
Las amenazas de malware para junio de 2023 se traducen en una tendencia que pone de manifiesto la creciente necesidad de que las organizaciones mantengan sus datos seguros, así como que realicen copias de seguridad periódicas en caso de ataque.
Los ciberdelincuentes evolucionan continuamente sus tácticas, especialmente en los ataques con motivación financiera, y es importante que las empresas hagan lo posible para evitar pagarles e incentivar aún más el modelo de negocio.
La red de bots Tofsee sigue siendo una amenaza
Como extra, no está de más señalar que los investigadores de Cisco Talos han incluido, por segunda semana consecutiva, la red de bots Tofsee en su lista de amenazas más frecuentes para las organizaciones. No deja de ser una noticia relevante, ya que esta botnet se remonta a hace más de una década, y ha sufrido varias rondas de evolución desde su creación.
Según Talos, Tofsee es un «malware polivalente que cuenta con varios módulos utilizados para llevar a cabo diversas actividades, como enviar mensajes de spam, realizar fraudes de clics, minar criptomonedas, etc.».
No se dispone de cifras exactas sobre el alcance de la botnet, pero sigue siendo una amenaza significativa para las organizaciones dado su diseño modular.