Las constantes amenazas en el ciberespacio están tomando un papel cada vez más crítico y América Latina no es la excepción. Hasta hace unas semanas ESET presentó el reporte de 12 datos sobre el estado de la ciberseguridad de las empresas de LATAM, donde se da una perspectiva general sobre cómo las empresas y organismos de la región ven la ciberseguridad desde sus trincheras, cuáles son las amenazas más comunes y qué están haciendo para mitigarlas.

En este post se detallarán las amenazas más activas en lo que va el primer semestre del 2024, y veremos cómo muchas de ellas siguen siendo tendencia a pesar del paso del tiempo, destacando la importancia de estar conscientes y preparados ante este tipo de riesgos.

Los 5 países con las amenazas más significativas detectadas.

Para iniciar, es importante destacar que, según la telemetría, Perú se posicionó en primer lugar entre los cinco países con más amenazas detectadas, seguido por México, Ecuador, Brasil y Argentina.

Imagen 1.

Detecciones únicas discriminadas por país.

El malware que circula en la región durante la primera mitad de 2024 presenta un promedio de 2.6 millones de muestras únicas. Estas incluyen inyectores, troyanos, descargadores, gusanos, exploits, puertas traseras, spyware, rootkits y droppers.

A pesar de ser una de las técnicas de ingeniería social más utilizadas desde hace más de 20 años, el phishing sigue teniendo un impacto significativo en el ámbito de la ciberseguridad. Desde nuestra telemetría, hemos registrado casi 2 millones de muestras únicas que se distribuyen en toda la región, desde México hasta Argentina. En concreto, las muestras únicas en este primer semestre ascienden a 1,874,913.

Distribución de software más utilizada.

El sistema operativo más utilizado por los ciberdelincuentes sigue siendo Windows, en sus diversas arquitecturas, incluso en versiones que ya no cuentan con soporte oficial por parte del fabricante. Aunque Windows es el software más amenazado, hay otros que también se convierten en blanco de estas actividades maliciosas.

Imagen 2.

Distribución de software más explotado en primer semestre 2024

Familias más identificadas en el primer semestre de 2024.

El primer tipo de códigos maliciosos que detectamos a través de nuestra telemetría son los llamados «injectores». Estos buscan insertar código dañino en los procesos legítimos del sistema para realizar diversas acciones, como descargar malware adicional que puede monitorear las actividades de la víctima o controlar el equipo de manera remota.

En segundo lugar, encontramos el troyano conocido como «Kryptik». Su primer vector de infección proviene de archivos maliciosos adjuntos que pueden llegar por correo electrónico, software pirata o falsos asistentes de actualización. Al igual que otras variantes, su objetivo principal es obtener información financiera de las víctimas, suplantar su identidad para llevar a cabo estafas más eficaces y añadir el dispositivo infectado a una botnet.

Por último, en el tercer lugar, tenemos al malware denominado «Expiro». Este gusano afecta a los sistemas operativos Windows; una vez que el dispositivo es infectado, pasa a formar parte de una botnet. Sus principales funciones incluyen el robo de información de sus víctimas y utilizar los recursos del equipo para llevar a cabo ataques de denegación de servicio (DoS).

Detecciones exclusivas según el tipo de malware.

Durante este semestre, se han identificado las siguientes muestras únicas de malware por tipo en LATAM:

Imagen 3.

Muestras únicas por tipo de malware.

Vulnerabilidades más aprovechadas en el primer semestre de 2024.

1. Win/Exploit.CVE-2012-0143.

Este exploit se aprovecha de una vulnerabilidad en Microsoft Excel que facilita la ejecución remota de código arbitrario. Esto implica que un atacante en la distancia puede ejecutar código malicioso en un equipo que sea vulnerable. Este fallo de seguridad fue identificado en 2012, y desde entonces se ha observado actividad intentando explotarlo en todos los países de América Latina.

2. Win/Exploit.CVE-2012-0159.

Esta detección se refiere a un exploit que aprovecha una vulnerabilidad en Microsoft Windows, permitiendo el acceso remoto a un sistema vulnerable sin necesidad de autenticación. El fallo fue descubierto en 2012 y se utilizó en campañas de ransomware emblemáticas como «Petya» y «NotPetya» en el pasado. A pesar de su antigüedad, sigue siendo empleado por actores maliciosos.

3. JS/Exploit.CVE-2021-26855.

Se trata de un exploit relacionado con la CVE-2021-26855, una vulnerabilidad que afecta a Microsoft Internet Explorer, identificada en 2021. Esta falla permite a un atacante acceder de forma remota, sin necesidad de autenticación, a un sistema vulnerable. Aunque el descubrimiento de esta vulnerabilidad es reciente, ha sido objeto de intentos de explotación en campañas maliciosas que han impactado a varios países de Latinoamérica.

4. Win/Exploit.CVE-2017-11882.

Este exploit se basa en una vulnerabilidad de Microsoft Office que permite a un atacante acceder de manera remota a un sistema vulnerable sin requerir autenticación. Fue descubierta en 2017 y se han detectado intentos de explotación de este fallo en varios países de Latinoamérica, especialmente en Argentina, Colombia, Chile y México. Esta vulnerabilidad fue ampliamente utilizada en las campañas de ransomware denominadas “WannaCry” y “Goldeneye” entre abril y mayo de 2017 en la región. Aún sigue siendo una de las más explotadas en correos electrónicos en toda Latinoamérica; en este artículo, podemos observar algunos ejemplos de campañas de phishing que se aprovechan de ella.

5. Win/Exploit.CVE-2016-3316.

Se trata de un exploit que aprovecha la ejecución de código remoto en Microsoft Office cuando no puede gestionar adecuadamente los objetos en la memoria. Un atacante tiene la capacidad de ejecutar código arbitrario con los permisos del usuario actual. Esto significa que, si el usuario ha iniciado sesión con permisos de administrador, el atacante podría asumir el control del sistema comprometido, instalando programas, accediendo, modificando o eliminando datos; o incluso creando nuevas cuentas con permisos de administrador para otros usuarios.

Con el análisis del primer semestre, donde hemos podido identificar las amenazas que utilizan técnicas de ingeniería social bien conocidas y que muchas de ellas explotan vulnerabilidades que han estado presentes durante más de 10 años, es crucial enfatizar la necesidad de que las empresas establezcan una política de seguridad efectiva. Esta política debe centrarse en la concientización y capacitación en ciberseguridad como pilares fundamentales, además de asegurar una actualización constante para contar con parches de seguridad que minimicen el riesgo de explotación de estas vulnerabilidades antiguas.

Fuente web: https://www.welivesecurity.com/es/malware/amenazas-mas-detectadas-latam-primer-semestre-2024/