Los troyanos bancarios, robos de información, ataques de ransomware y botnets volvieron a ser protagonistas de los ataques de ciberseguridad durante el mes de noviembre. Todo ello en un mes donde el Black Friday sirvió de reclamo para muchos ciberdelincuentes. De acuerdo con el último informe de Eset, los troyanos bancarios fueron algunos de los ataques más persistentes dutrante el pasado mes, sobre todo los procedentes de América Latina con foco en usuarios españoles. Por ese motivo no es de extrañar que se hayan detectado numerosas campañas protagonizadas principalmente por las familias Grandoreiro y Mekotio.
La mayoría de las muestras detectadas durante el mes pasado seguían utilizando el correo electrónico como vector de ataque principal, usando plantillas ya vistas con anterioridad, como por ejemplo la del paquete de Correos con un fallo en su entrega o la notificación de un envío de burofax online. Sin embargo, esto no ha impedido que los delincuentes sigan consiguiendo nuevas víctimas a las que robar dinero de sus cuentas bancarias.
También se observaron casos de troyanos bancarios orientados a dispositivos Android, entre los que destaca una campaña que se hacía pasar por ayudas del gobierno español mediante una web a la que se accedía a través de un enlace que se estaba propagando por grupos de WhatsApp. En esta web se solicitaba una serie de datos personales para, seguidamente, descargar una aplicación maliciosa en el dispositivo encargada de robar las credenciales de acceso a la banca online.
Otras amenazas recurrentes durante los últimos meses son aquellas orientadas al robo de información personal de sus víctimas, especialmente las que tratan de robar credenciales almacenadas en aplicaciones como clientes de correo o FTP, navegadores, VPNs o similares. Estas credenciales pueden ser usadas luego por los delincuentes para realizar ataques haciéndose pasar por las víctimas y, por ejemplo, enviar correos electrónicos en su nombre o acceder a redes corporativas a través de VPNs.
Pasando al phishing más clásico, durante el mes pasado observamos cómo los delincuentes habían preparado varias campañas para hacerse pasar por entidades bancarias, como BBVA, y robar las credenciales de acceso a la banca online. Asimismo, se detectó una campaña que suplantaba la identidad del conocido servicio de transferencia de ficheros WeTransfer que intentaba robar credenciales de email. La misma finalidad tenía otra campaña orientada específicamente a usuarios españoles y que, en esta ocasión, se hacía pasar por Loterías y Apuestas del Estado.
Ransomware y filtraciones
Los incidentes protagonizados por el ransomware tampoco han dejado de producirse durante las últimas semanas. Todo eso a pesar de que el pasado 1 de noviembre el grupo Maze, responsable en buena medida de la reinvención del ransomware actual, anunciaba su retirada. Desde ESET se recuerda que muchas de las campañas actuales de ransomware no se limitan únicamente a cifrar la información de sus víctimas, sino que también roban esta información y amenazan con hacerla pública en caso de que no se ceda a su extorsión.
Una de las botnets más relevantes de los últimos años, Emotet, ha disminuido notablemente su actividad durante el pasado mes de noviembre. También ha hecho lo mismo Trickbot tras la operación para intentar ser desmantelada, llevada a cabo el pasado mes de octubre por Microsoft, ESET y otras empresas. Este hueco estaría siendo aprovechado por otras botnets como Qbot (también conocida como Qakbot), una botnet que ha estado recientemente asociada con Emotet pero que, tras la hibernación de esta última desde principios de noviembre, ha vuelto a protagonizar sus propias campañas de propagación en solitario o asociándose con otras amenazas como los ransomware Prolock y Egregor.
