Ciudad de México, México, 4 de febrero de 2022 — Avast (LSE:AVST), líder mundial en seguridad digital y privacidad, ha publicado su informe de amenazas del cuarto trimestre de 2021, en el que se revela una explotación inmediata de la vulnerabilidad Log4j por parte de coinminers, RATs, botnets, ransomware y APTs, en diciembre, lo que pone a los departamentos de CISO bajo presión. Además, los investigadores de amenazas de Avast observaron el resurgimiento de la red de bots Emotet y un aumento del 40% de los coinminers, lo que supone un riesgo tanto para los consumidores como para las empresas. Los resultados del cuarto trimestre muestran igualmente un aumento del adware, de las estafas de soporte técnico en computadores y de las estafas de suscripción y el spyware en dispositivos Android, dirigidos a los consumidores. Al mismo tiempo, Avast vio menos actividad de ransomware y troyanos de acceso remoto (RAT).
«Hacia finales de año, la vulnerabilidad Log4j, extremadamente peligrosa, omnipresente y fácil de abusar, hizo sudar a los departamentos de CISO, y con razón, ya que fue utilizada como arma por los atacantes que propagaban desde coinminers hasta bots y ransomware», dijo Jakub Kroustek, Director de Investigación de Malware de Avast.
«Por otro lado, nos complace informar de la disminución de los ataques de RAT, robos de información y ransomware. La actividad de las RAT se redujo gracias a las vacaciones, al punto que los autores del malware detrás de la herramienta de acceso remoto DcRat incluso llegaron a renombrar su RAT como «SantaRat». Hemos observado un ligero descenso en la actividad de los robos de información, probablemente debido a una importante disminución de las infecciones a través de Fareit, un robador de contraseñas e información, que se redujo en un 61% con respecto al trimestre anterior», señaló Jakub Kroustek. «Los estragos que causó el ransomware en los tres primeros trimestres de 2021 desencadenaron una cooperación coordinada de las naciones, las agencias gubernamentales y los proveedores de seguridad para perseguir a los autores y operadores de ransomware, y creemos que todo esto resultó en una disminución significativa de los ataques de ransomware en el cuarto trimestre de 2021″. El índice de riesgo de ransomware se redujo en un impresionante 28% en comparación con el tercer trimestre de 2021. Esperamos ver una continuación de esta tendencia en el primer trimestre de 2022, pero también estamos preparados para lo contrario.»
Los ciberdelincuentes atacan a las empresas a través de la vulnerabilidad Log4j y mediante RATs que abusan de Azure y AWS
La vulnerabilidad en Log4j, una biblioteca de logging de Java, resultó ser extremadamente peligrosa para las empresas debido a la ubicuidad de la biblioteca y la facilidad de explotación. Los investigadores de Avast observaron que coinminers, RATs, bots, ransomware y grupos APT abusaban de la vulnerabilidad. Varias redes de bots abusaron de la vulnerabilidad, incluida la infame red de bots Mirai. La mayoría de los ataques de bots eran sólo sondas que probaban la vulnerabilidad, pero Avast también observó numerosos intentos de cargar código potencialmente malicioso. Por ejemplo, algunas RAT se propagaron utilizando la vulnerabilidad, siendo las más frecuentes NanoCore, AsyncRat y Orcus. Un ransomware de baja calidad, llamado Khonsari, fue el primer ransomware que los investigadores vieron explotar la vulnerabilidad.
Además de explotar la vulnerabilidad Log4j para propagar RATs, los ciberdelincuentes aprovecharon la vulnerabilidad CVE-2021-40449, que se utilizó para elevar los permisos de los procesos maliciosos explotando el controlador del kernel de Windows. Los atacantes utilizaron esta vulnerabilidad para descargar y lanzar la RAT MistarySnail. Además, una causa muy importante de las altas detecciones de NanoCore y AsyncRat fue causada por una campaña maliciosa que abusaba de los proveedores de la nube, Microsoft Azure y Amazon Web Service (AWS). En esta campaña los atacantes de malware utilizaron Azure y AWS como servidores de descarga para sus cargas útiles maliciosas para atacar a las empresas.
Además, los investigadores de Avast vieron cómo los malos actores detrás de Emotet reescriben varias de sus partes, reviviendo su maquinaria, y recuperando el mercado de las botnets con la última reencarnación de Emotet.
Adware, Coinminers y estafas de soporte técnico dirigidas a los consumidores
La actividad de adware y rootkit de escritorio aumentó en el cuarto trimestre de 2021. Los investigadores de Avast creen que estas tendencias están relacionadas con el rootkit Cerbu, que puede secuestrar las páginas de inicio de los navegadores y redirigir las URL de los sitios según la configuración del rootkit. Por lo tanto, Cerbu puede desplegarse y configurarse fácilmente como adware, molestando a las víctimas con anuncios no deseados y pudiendo añadir una puerta trasera a las máquinas de las víctimas.
Mientras el precio del Bitcoin aumentaba a finales de 2021, el número de coinminers que se propagaban aumentó un 40%, a menudo a través de páginas web infectadas y software pirata. CoinHelper fue uno de los coinminers más activos a lo largo del cuarto trimestre de 2021, dirigido principalmente a usuarios de Rusia y Ucrania. Los coinminers abusan sigilosamente de la potencia de cálculo del usuario para minar criptomonedas, lo que puede provocar elevadas facturas de electricidad y afectar a la vida útil del hardware del usuario. Además, CoinHelper recopila diversa información sobre sus víctimas, como su geolocalización, la solución antivirus que tienen instalada y el hardware que utilizan. A pesar de observar múltiples criptomonedas configuradas para ser minadas, incluyendo Ethereum y Bitcoin, Monero destacó para los investigadores de Avast en particular. Monero está diseñado para ser anónimo, sin embargo, el uso incorrecto de las direcciones y la mecánica de cómo funcionan los grupos de minería, permitió a los investigadores obtener una visión más profunda de la operación de minería de Monero de los autores del malware. Descubrieron que la ganancia monetaria total del CoinHelper era de 339.694,86 USD a partir del 29 de noviembre de 2021. En el mes de diciembre, se minó un adicional de ~15.162 XMR, ~3.446,03 USD. CoinHelper sigue extendiéndose activamente, con la capacidad de minar ~0,474 XMR cada día.
Los investigadores de amenazas de Avast también han observado un aumento de las estafas de soporte técnico, que engañan al usuario haciéndole creer que tiene un problema técnico, y le inducen a llamar a una línea directa en la que le estafarán para que pague elevadas tarifas de soporte o le concedan acceso remoto a su sistema.
Las estafas de suscripción a SMS Premium y el software espía que roba las credenciales de Facebook se extienden por los dispositivos móviles
Los Laboratorios de Amenazas de Avast señalaron dos amenazas móviles en el informe: Ultima SMS y Facestealer. Ultima SMS, una estafa de suscripción a SMS premium resurgió en los últimos meses. En octubre, las aplicaciones de Ultima SMS están disponibles en la Play Store, imitando aplicaciones y juegos legítimos, a menudo con anuncios pegadizos. Una vez descargadas, pedían a los usuarios que introdujera su número de teléfono para acceder a la aplicación. Posteriormente, los usuarios se suscriben a un servicio de SMS premium que podía costar hasta 10 dólares a la semana. Los responsables de UltimaSMS utilizaron ampliamente las redes sociales para publicitar sus aplicaciones y consiguieron más de 10 millones de descargas.
Facestealer, un programa espía diseñado para robar las credenciales de Facebook, reapareció en múltiples ocasiones en el cuarto trimestre de 2021. El malware se hace pasar por editores de fotos, horóscopos, aplicaciones de fitness y otras. Después de utilizar la aplicación durante un tiempo, pide al usuario que inicie sesión en Facebook para seguir utilizando la aplicación, sin anuncios.