El año pasado los ciberataques aumentaron a niveles históricos, y en lo que va de año no parecen detenerse. Ahora, la nueva ciberamenaza viene de un simple documento de Wordque, según un grupo de ciberseguridad japonés, serviría como puerta de entrada para robar todo tipo de datos privados almacenados en un PC.
Los especialistas de Nao_sec identificaron recientemente un vulnerabilidad de día cero en la oficina, la suite de aplicaciones y programas de Microsoft para ordenadores. Previamente, el investigador Kevin Beaumont llamó a esta amenaza Follinaporque la referencia de la muestra analizada, 0438, coincide con el código postal de la localidad italiana del mismo nombre.
A través de un archivo de Word especialmente diseñado, un atacante cibernético puede aprovechar Follina para ejecutar comandos de powershell con la herramienta de diagnóstico de Microsoft (MSDT), que envía información sobre el estado del sistema.
Esta ejecución de código malicioso Omite la detección de Windows Defender y se puede realizar incluso si se han deshabilitado las macros, una serie de instrucciones que se agrupan en un comando para realizar una tarea automáticamente.
El paquete de programas de Microsoft Office, donde destaca el procesador de textos Wiord. Foto: Microsoft.
Beaumont explicó en su blog que el documento de Word “usa la función de plantilla remota para recuperar un archivo HTML de un servidor remoto, que a su vez usa el esquema de URI ms-msdt MSProtocol para cargar código y ejecutar PowerShell”. Esto, como ella señala, “no debería ser posible”.
Según el experto, el impacto en el equipo del usuario es inmediato, simplemente abra el documento de Word. El atacante cibernético tendría acceso al sistema, con la capacidad de recopilar hachís de contraseñas en máquinas Windows.
Ciberataques al alza en Argentina
Durante la pandemia, los ataques de ciberseguridad contra usuarios, pero en mayor medida empresas, crecieron exponencialmente en América Latina.
En términos regionales, en el Informe de inteligencia sobre amenazas de software de Check Point sobre regiones geográficas, una organización en América Latina está siendo atacada (por amenazas en general) un promedio de 1,586 veces por semana en los últimos seis meses, en comparación con 1116 ataques por organización a nivel mundial.
El panorama de los ciberataques y amenazas actuales reveló una aumento de los ataques de ransomware. A la luz de esto, Check Point Software aseguró un aumento interanual del 14 % en lo que va de 2022 a nivel mundial, con 1 de cada 60 organizaciones a nivel mundial afectadas por este tipo de ataques semanales. El costo del ransomware es 7 veces mayor que el rescate pagado.
“Los ataques cibernéticos siguen creciendo a un ritmo alarmante, en volumen, sofisticación e impacto. En esta era de ciberdelincuencia, la necesidad de proteger a las organizaciones de ataques avanzados es más importante que nunca. Para mantenerse protegidas, las empresas deben utilizar tecnologías de punta y no conformarse con el segundo lugar. En esa línea, priorizar la prevención es clave para combatir esta creciente amenaza”, dice Alejandro Botter, gerente de ingeniería de Check Point para el sur de América Latina.
En el caso de Argentina, una organización está siendo atacada un promedio de 1.682 veces por semana durante los últimos seis meses, en comparación con 1.137 ataques por organización a nivel mundial.
LinkedIn, una de las redes sociales que más ciberataques recibe. Foto Shutterstock.
En los últimos cinco años, las operaciones de ransomware han recorrido un largo camino, desde correos electrónicos aleatorios hasta ataques dirigidos a empresas multimillonarias, estos ataques afectan a organizaciones en casi cualquier ubicación geográfica y dentro de cualquier industria.
Investigación de puntos de control (CPR) señaló que los grupos de amenazas de todo el mundo están utilizando documentos de temática rusa/ucraniana para propagar malware y atraer a las víctimas al espionaje cibernético.
Mientras tanto, el Informe anual de spam y phishing de 2021, publicado por Kaspersky, reveló que los ciberdelincuentes utilizaron muchos temas populares defraudar a los usuarios a través de campañas de suplantación de identidad.
los inversiones en criptomonedas o acciones fueron uno de esos temas: en estas estafas, a los usuarios se les ofrecieron oportunidades potencialmente excelentes y “100% seguras”. También revelaron los basados en estrenos mundiales de películas.
los redes sociales, como viene siendo habitual, eran el principal objetivo de los ciberdelincuentes, ya que desde allí pueden obtener información de los usuarios para acceder a sus cuentas personales, así como a datos bancarios. De hecho, LinkedIn fue la empresa que recibió el mayor número de ataques de suplantación de identidad durante el primer trimestre del año, siendo el target del 52 por ciento de estas campañas.
A estas plataformas le siguen en número de ataques otros sectores de la industria, como retail, tecnología y transporte de productos.
En todos estos casos el objetivo, como destaca Check Point, la intención de los delincuentes captar la atención del usuario y convencerlo de que haga clic sobre el enlace malicioso.
Uno de los métodos más comunes para proceder es a través de eestoy enviando un correo electronico de apariencia legítima a estos usuarios, pero que en su contenido se incluye un enlace fraudulento.
El objetivo es captar la atención del usuario y convencerlo de que haga clic en el enlace malicioso. Una vez que han accedido al sitio web supuestamente verificado, se les pide que inicien sesión con sus credenciales.
Los ciberdelincuentes guardan automáticamente estas contraseñas, por lo que pueden acceder a las cuentas de los usuarios en las redes sociales, así como a sus datos personales y profesionales, en cualquier momento.