El segundo semestre de 2023 fue testigo de importantes incidentes de ciberseguridad. Cl0p, un famoso grupo de ciberdelincuentes conocido por llevar a cabo ataques de ransomware a gran escala, llamó la atención por su extenso “hackeo MOVEit”, que sorprendentemente no implicó el despliegue de este malware. El ataque se dirigió a numerosas organizaciones, incluidas corporaciones globales y agencias gubernamentales estadounidenses. Un cambio clave en la estrategia de Cl0p fue su decisión de filtrar la información robada a sitios web abiertos en todo el mundo en los casos en los que no se pagaba el rescate, una tendencia que también se observó con el grupo de ransomware ALPHV. Otras nuevas estrategias en el panorama del ransomware, según el FBI, han incluido el despliegue simultáneo de múltiples variantes de ransomware y el uso de wipers tras el robo y cifrado de datos.
En el panorama del IoT, nuestros investigadores han hecho un descubrimiento notable. Han identificado un interruptor de desactivación que se había utilizado para dejar fuera de servicio a la botnet IoT Mozi, una de las mayores de su clase que hemos monitorizado en los últimos tres años. La naturaleza de la repentina caída de Mozi plantea la cuestión de si el interruptor de desactivación fue utilizado por los creadores de la botnet o por las fuerzas de seguridad chinas. Una nueva amenaza, Android/Pandora, apareció en el mismo escenario, comprometiendo dispositivos Android —incluidos televisores inteligentes, cajas de TV y dispositivos móviles— y utilizándolos para ataques DDoS.
En medio del debate generalizado sobre los ataques basados en IA, hemos identificado campañas específicas dirigidas a usuarios de herramientas como ChatGPT. También hemos observado un número considerable de intentos de acceder a dominios maliciosos con nombres parecidos a “chapgpt”, aparentemente en referencia al chatbot ChatGPT. Las amenazas encontradas a través de estos dominios también incluyen aplicaciones web que manejan de forma insegura las claves de la API OpenAI, enfatizando la importancia de proteger la privacidad de tus claves de la API OpenAI.
También hemos observado un aumento significativo de los casos de spyware para Android, atribuido principalmente a la presencia del spyware SpinOk. Este software malicioso se distribuye como un kit de desarrollo de software y se encuentra dentro de varias aplicaciones legítimas de Android. En otro orden de cosas, una de las amenazas más registradas en el segundo semestre de 2023 es un código JavaScript malicioso de tres años de antigüedad detectado como JS/Agent, que se sigue cargando en sitios web comprometidos. Del mismo modo, Magecart, una amenaza que persigue datos de tarjetas de crédito, ha seguido creciendo durante dos años atacando miríadas de sitios web sin parches. En estos tres casos, los ataques podrían haberse evitado si los desarrolladores y administradores hubieran aplicado las medidas de seguridad adecuadas.
Por último, el aumento del valor del bitcoin no ha ido acompañado de un aumento correspondiente de las amenazas contra la criptomoneda, lo que supone una divergencia con las tendencias anteriores. Sin embargo, los ladrones de criptomonedas han experimentado un notable aumento, causado por el auge del infostealer de malware como servicio (MaaS) Lumma Stealer, cuyo objetivo son los monederos de criptomonedas. Estos acontecimientos muestran un panorama de ciberseguridad en constante evolución, con actores de amenazas que utilizan una amplia gama de tácticas.
Siga la investigación de ESET en Twitter para obtener actualizaciones periódicas sobre las tendencias clave y las principales amenazas.
Para obtener más información sobre cómo la inteligencia sobre amenazas puede mejorar la postura de ciberseguridad de su organización, visite la página de ESET Threat Intelligence.