Incrementó el ransomware en México en un 14% en contraste con el Q1 de 2022.

El Informe de Amenazas Q2/2022 de una firma de ciberseguridad expuso un aumento notable de los ataques globales de ransomware, específicamente un 24% más que en el primer trimestre del 2022. Los investigadores también descubrieron un nuevo exploit de Día cero en Chrome, además de varias señales de cómo los ciberdelincuentes se están preparando para alejarse de las macros como vector de infección.

Después de meses de descenso, los ataques de ransomware a escala mundial aumentaron sustancialmente en el segundo trimestre de 2022 un 24% más que en el anterior trimestre. Los mayores incrementos intertrimestrales en el ratio de riesgo de ransomware se produjeron en Brasil (+50%), Argentina (+56%), Francia (+42%), India (+37%) y Reino Unido (+55%). Con respecto a México, el crecimiento entre Q1 y Q2 fue del 14%.

Jakub Kroustek, director de Investigación de Malware de Avast, indica que los usuarios, pero principalmente las compañías, deben estar atentos y preparados para los posibles encuentros con el ransomware, puesto que esta amenaza no se va a erradicar pronto.

Hubo un descenso en los ataques de ransomware durante el cuarto trimestre de 2021 y en el primer trimestre de 2022 esto debido a que las fuerzas del orden detuvieron a los delincuentes del grupo de ransomware, y fue ocasionado por el conflicto bélico entre Rusia y Ucrania, lo cuál provocó desacuerdos internos en la agrupación de ransomware Conti, la cuál detuvo sus operaciones. 

El panorama cambió drásticamente durante el segundo trimestre de 2022. Los integrantes de Conti se han diversificado para establecer nuevos equipos de ransomware, tales como Karakurt y Black Basta, o también se han unido a otros grupos ya existentes, como Quantum, BlackCat o Hive, lo que causó un repunte de la actividad.

¿Ya nos sigues en Instagram? Subimos contenido sobre ciberseguridad, tecnología, transformación digital y desarrollo profesional.

Explotaciones de día cero

Los especialistas de Avast descubrieron dos nuevos exploits de Día cero implementados por Candiru, proveedor israelí de software de espionaje, con la finalidad de atacar a la prensa del Líbano, entre otros. El primero era un error en WebRTC, el cuál fue explotado para agredir a los usuarios de Google Chrome en ataques muy específicos de watering hole, sin embargo, afectó también a muchos otros navegadores. Otro exploit permitió a los hackers fugarse de un sandbox en el que cayeron tras aprovechar el primer día cero. El segundo día cero, identificado por Avast, fue explotado para ingresar en el kernel de Windows.

Follina, otro día cero descrito en el reporte, es un defecto de ejecución remota de código dentro de Microsoft Office, el cuál fue explotado en gran medida por agresores que van desde ciberdelincuentes hasta grupos APT relacionados a Rusia que trabajan en Ucrania. Esta vulnerabilidad también fue aprovechada por Gadolinium/APT40, un popular grupo APT chino, en un ciberataque contra objetivos en Palau.

Macros bloqueadas por defecto

Microsoft se encuentra bloqueando predeterminadamente las macros VBA en las aplicaciones de la paquetería Office. Durante décadas, las macros han sido un popular vehículo de infección. Fueron empleadas por las amenazas mencionadas en el Informe de Amenazas Q2/2022, incluyendo el Nerbian RAT un troyano de acceso remoto, una nueva RAT escrita en Go que nació en el segundo trimestre del 2022, y fue generada por el grupo Confucius APT para poder lanzar más malware en los equipos de las víctimas.

Kroustek indica que ya han observado que los ciberdelincuentes comienzan a generar vectores de infección alternos desde que las macros están siendo bloqueadas por defecto. Con la finalidad de lograr propagar sus campañas han iniciado a implementar archivos LNK, imágenes ISO o IMG y entre otros diversos trucos compatibles con Windows como sustituto a los maldocs. 

Lo más crítico de esta situación es que actualmente es muy común encontrarse ransomware en todas partes donde navegamos, por lo tanto, SAI te recomienda conocer las soluciones de ciberseguridad que tenemos disponibles para tu compañía, para que así evites ser víctima de las amenazas constantes.