Los ataques informáticos son cada vez más comunes de lo que el público piensa. Ya esas imágenes cinematográficas en las que los ataques se dan en las grandes empresas con “hackers” disfrazados de personajes de Matrix están en el pasado.
Desde las cuentas de PlayStation, correo electrónico o Netflix hasta grandes servidores de empresas privadas o públicas, son espacios vulnerables para grupos cibercriminales que buscan distintos tipos de beneficios ya sea económicos, políticos, entre otros.
Hace un par de semanas, la Unidad de Delitos Digitales (DCU por sus siglas en inglés) de Microsoft ha interrumpido las actividades de un grupo de piratería con sede en China llamado Nickel.
Un Tribunal Federal en Virginia ha concedido la solicitud de incautación de los sitios web que Nickel utilizó para atacar a organizaciones de los Estados Unidos, Argentina, Barbados, Bosnia y Herzegovina, Brasil, Bulgaria, Chile, Colombia, Croacia, República Checa, República Dominicana, Ecuador, El Salvador, Francia, Guatemala, Honduras, Hungría, Italia, Jamaica, Malí, México, Montenegro, Panamá, Perú, Portugal, Suiza, Trinidad y Tobago, Reino Unido y Venezuela, lo que permite cortar el acceso de Nickel a sus víctimas y evitar que los sitios web se utilicen para ejecutar ataques.
Según los representantes de esta empresa, estos ataques se estaban utilizando en gran medida para la recopilación de inteligencia de agencias gubernamentales, grupos de expertos y organizaciones de derechos humanos.
El 2 de diciembre, Microsoft presentó alegatos ante el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Virginia en busca de autoridad para tomar el control de los sitios. El tribunal concedió rápidamente una orden que se abrió tras la finalización del servicio a los proveedores de alojamiento.
Esta interrupción no impide que Nickel continúe con otras actividades de piratería, pero los expertos en ciberseguridad creen que ha eliminado una pieza clave de la infraestructura en la que el grupo ha estado confiando para esta última ola de ataques.
El Centro de Inteligencia de Amenazas (MSTIC) de Microsoft ha rastreado a Nickel desde 2016 y ha estado analizando esta actividad específica desde 2019.
Los ataques observados por MSTIC son muy sofisticados y utilizan una variedad de técnicas, pero casi siempre tenían un objetivo: insertar malware difícil de detectar que facilite la intrusión, la vigilancia y el robo de datos. A veces, los ataques de Níquel utilizaban proveedores de redes privadas virtuales (VPN) de terceros comprometidos o credenciales robadas obtenidas de campañas de spear phishing.
Otros ataques identificados en la zona
Por otro lado, la empresa ESET ha identificado una vulnerabilidad crítica en Log4j, una librería de Java ampliamente utilizada, que permite a un atacante ejecutar código de manera remota.
Se trata de Log4Shell, una vulnerabilidad de ejecución remota de código (RCE, por sus siglas en inglés) descubierta por el equipo de Alibaba Cloud en noviembre. Hace un par de semanas se publicó un exploit para Log4Shell que permite a un atacante ejecutar el código de su elección en un servidor afectado.
Según los expertos, la vulnerabilidad es de fácil explotación y tiene gran impacto en los equipos afectados. Varios ciberdelincuentes han empezado a realizar acciones maliciosas como instalar malware, exfiltrar datos o tomar el control del servidor.
Roman Kováč, oficial de investigación de ESET, comentó que “el volumen de nuestras detecciones confirma que es un problema a gran escala que no desaparecerá pronto. Efectivamente, los atacantes están probando muchas variantes de explotación, pero no todos los intentos son necesariamente maliciosos. Algunos pueden ser incluso benignos, considerando que investigadores y compañías de seguridad también se encuentran realizando pruebas con propósitos de mejorar la defensa.”
Más allá de la severidad de la vulnerabilidad, el hecho de que es una librería utilizada por miles de aplicaciones, plataformas de comercio electrónico, videojuegos y sitios web genera preocupación.
Dada la severidad de la vulnerabilidad y su impacto, se urge instalar lo antes posible la última versión de Log4j para mitigar esta vulnerabilidad o hacer los ajustes correspondientes en la configuración.
Fuente: El Universo
