ESET ha publicado su último informe Threat Report, que detalla las ciberamenazas y tendencias observadas por la compañía desde diciembre de 2023 hasta mayo de 2024, basándose en su telemetría y en la experiencia de sus expertos. Los resultados, presentados por Josep Albors, director de investigación y comunicación de ESET España, durante un webinar celebrado el pasado 27 de mayo, destacan que España ocupa el tercer lugar en detecciones de amenazas con un 6%, cerca de Japón y Polonia.
“En España, los casos de phishing se encuentran en primera posición entre las ciberamenazas detectadas durante el último semestre. Estos ataques, que buscan robar credenciales de servicios online, coinciden significativamente con las detecciones globales, subrayando la persistencia y efectividad de esta táctica fraudulenta contra tanto usuarios individuales como empresas.” señala Albors. “Sin embargo, se observa un acusado descenso de la actividad durante los periodos vacacionales, como Navidad y Semana Santa, lo que indica una estacionalidad en los ciberataques”.
Los infostealers comienzan a explotar la IA y los videojuegos
Desde 2023, ESET Research ha observado un aumento en el uso de la temática de la Inteligencia Artificial por parte de ciberdelincuentes, una tendencia que se espera continúe. En el primer semestre de 2024, ESET descubrió que Rilide Stealer usaba nombres de asistentes de IA generativa, como Sora de OpenAI y Gemini de Google, para atraer a posibles víctimas. En otra campaña maliciosa, el infostealer Vidar se escondía detrás de una supuesta aplicación de escritorio para Windows del generador de imágenes de IA Midjourney, a pesar de que el modelo de IA de Midjourney solo es accesible a través de Discord.
Por otro lado, los investigadores de ESET han descubierto infostealers en videojuegos pirateados y herramientas de trampas para juegos multijugador online, con malwares como Lumma Stealer y RedLine Stealer. Este último mostró varios picos de detección impulsados por campañas en España, Japón y Alemania. El segundo más pronunciado fue el 24 de abril, en el que un 87% de las detecciones fueron en nuestro país. Las recientes oleadas de este malware han sido tan significativas que las detecciones en este semestre han superado en un tercio a las del segundo semestre de 2023. “En el caso de España, los infostealers siguen siendo muy prevalentes, siendo utilizados para robar credenciales almacenadas en programas como navegadores de internet, clientes de correo, clientes de FTP y accesos por VPN”, comenta el director de investigación y concienciación de ESET España.
LockBit, ciberataques a páginas web y la botnet Ebury
En materia de ransomware, el antiguo líder LockBit fue derribado de su pedestal por la Operación Cronos, una acción global coordinada por las fuerzas de seguridad en febrero de 2024. Esta operación, liderada por la Agencia Nacional de Lucha contra el Cibercrimen del Reino Unido junto con Europol y Eurojust, resultó en el arresto de afiliados en Polonia y Ucrania, así como en la emisión de múltiples órdenes de arresto internacionales. A pesar de este golpe significativo, la telemetría de ESET ha registrado dos campañas notables de ransomware en el primer semestre de 2024 utilizando el generador de código filtrado de LockBit. Estas campañas no fueron llevadas a cabo por afiliados oficiales de LockBit, sino por bandas ajenas que aprovecharon la filtración del código para lanzar sus propias ofensivas.
"En España, el ransomware sigue siendo una grave amenaza, ubicando el país en el octavo puesto del top global de detecciones. Este tipo de ataque afecta principalmente a pequeñas y medianas empresas, causando significativas pérdidas económicas. Sin embargo, en los últimos meses hemos visto algunos ciberataques a grandes empresas y hemos detectado picos muy marcados, destacando ataques puntuales protagonizadas por las familias de ransomware que ocupan el Top 3 de nuestro ranking de detección y que representan el 50% del total de detecciones”, explica Albors. “A pesar de las operaciones policiales internacionales que han desmantelado grupos como Lockbit, las campañas de ransomware continúan afectando al tejido empresarial español, subrayando la necesidad de fortalecer las medidas de ciberseguridad".
El informe de ESET también destaca que Balada Injector, un grupo conocido por explotar vulnerabilidades en plugins de WordPress, continuó su actividad en la primera mitad de 2024, comprometiendo más de 20.000 sitios web y registrando más de 400.000 visitas en las variantes utilizadas en una reciente campaña. Además, durante la presentación del informe, la compañía también ha presentado en profundidad su última investigación sobre una de las campañas de malware del lado del servidor más avanzadas, que sigue creciendo: el grupo Ebury, con su malware y botnet. A lo largo de los años, Ebury se ha desplegado como puerta trasera para comprometer casi 400.000 servidores Linux, FreeBSD y OpenBSD; más de 100.000 seguían comprometidos a finales de 2023.