Para quienes están en el hemisferio norte, los últimos cuatro meses corresponden a la temporada de verano, una época elegida por muchos para tomar vacaciones y descansar luego de lo que fue un difícil comienzo de año con la pandemia.
Desearía poder decir lo mismo con respecto a las amenazas informáticas, pero como podrá observar en las páginas que componen el ESET Threat Report correspondiente al segundo cuatrimestre de 2021, hemos visto varias tendencias preocupantes. Por ejemplo, el crecimiento en el uso de tácticas cada vez más agresivas por parte de los operadores de ransomware, la intensificación de los ataques de fuerza bruta y campañas de phishing dirigidas a personas trabajando desde casa.
De hecho, durante el segundo cuatrimestre de 2021 la escena del ransomware estuvo demasiado activa como para poder realizar un seguimiento, pero algunos incidentes eran imposibles de pasar por alto. El ataque que interrumpió las operaciones de Colonial Pipeline, la compañía de oleoductos más grande de EE. UU., así como el ataque de cadena de suministro que aprovechó una vulnerabilidad en el software de gestión de TI de la compañía Kaseya, fueron dos incidentes que enviaron ondas de choque que se sintieron más allá de la industria de la ciberseguridad.
A diferencia del ataque de cadena de suministro a SolarWinds, en el caso del ataque de Kaseya el objetivo era obtener una ganancia financiera y no el ciberespionaje. Los operadores detrás de este ataque establecieron la cifra de 70 millones de dólares por el rescate, convirtiéndose en la demanda más elevada hasta la fecha.
Sin embargo, es posible que las bandas de ransomware se hayan excedido esta vez: la participación de las fuerzas del orden en estos incidentes que tuvieron gran impacto obligó a varios de los grupos detrás de estas familias de ransomware a abandonar la escena. No se puede decir lo mismo de TrickBot, que parece haberse recuperado de los esfuerzos realizados en su contra el año pasado que buscaron interrumpir sus operaciones, ya que nuestras detecciones se duplicaron en este cuatrimestre y además se observó a esta botnet exhibir nuevas funcionalidades. Otra suerte le tocó a Emotet, que luego del cierre de sus actividades a fines de abril desapareció de la escena, provocando una reorganización del escenario de las amenazas.
Pero esto es solo una parte de los datos que observamos en nuestra telemetría; por eso lo invito a leer la sección Estadísticas y tendencias (Statistics & Trends) de este informe para ver el panorama completo.
Los últimos cuatro meses también fueron fructíferos en términos de investigación. Nuestros expertos descubrieron, entre otros, un conjunto de familias de malware dirigidas a servidores IIS; un nuevo grupo APT multiplataforma apuntando a sistemas Windows y Linux; y una gran cantidad de problemas de seguridad en aplicaciones de stalkerware para Android.
Los expertos también monitorearon de cerca las actividades de grupos como Gamaredon, y The Dukes, así como del software espía DevilsTongue; y estos últimos hallazgos se presentan de manera exclusiva en este informe.
Con su análisis profundo del malware para IIS y de las apps de stalkerware, los investigadores de ESET llegaron a Black Hat USA y a la conferencia RSA —puede encontrar los resúmenes de sus presentaciones en el capítulo final de este informe. Durante los próximos meses, nos complace invitarlo a las charlas que realizaremos desde ESET en Virus Bulletin, AVAR, SecTor y otras conferencias.
Siga la cuenta de ESET research en Twitter para mantenerse informado acerca de las últimas tendencias y actividades de las amenazas más importantes.