Las constantes amenazas en el ciberespacio están tomando un papel cada vez más crítico y América Latina no es la excepción. Hasta hace unas semanas habíamos presentado el reporte de 12 datos sobre el estado de la ciberseguridad de las empresas de LATAM, donde se da una perspectiva general sobre cómo las empresas y organismos de la región ven la ciberseguridad desde sus trincheras, cuáles son las amenazas más comunes y qué están haciendo para mitigarlas.

En este post se detallarán las amenazas más activas en lo que va el primer semestre del 2024, y veremos cómo muchas de ellas siguen siendo tendencia a pesar del paso del tiempo, destacando la importancia de estar conscientes y preparados ante este tipo de riesgos.

Top 5 de países con mayores amenazas detectadas

Para comenzar, podemos nombrar que entre el top 5 de los países con mayores amenazas detectadas por nuestra telemetría, Perú se ubicó en el primer lugar, seguido de México, Ecuador, Brasil y Argentina.

Imagen 1: Detecciones únicas discriminadas por país.

El malware que se distribuye en la región en la primera mitad del 2024 da una media de 2.6 millones de muestras únicas, entre las cuales se incluyen inyectores, troyanos, downloaders, gusanos, exploits, backdoors, spyware, rookits y droppers.

El phishing pese a ser de las técnicas de ingeniería más usadas desde hace más de 20 años, sigue teniendo un impacto enorme en el mundo de la ciberseguridad y desde nuestra telemetría hemos identificado casi 2 millones de muestras únicas que llegan a toda la región, que va desde México y se extiende hasta Argentina, siendo más específicos las muestras únicas en este primer semestre son de 1,874,913.

Distribución de software más explotado

El sistema operativo que sigue siendo más explotado por parte de los ciberdelincuentes es Windows, en sus diferentes arquitecturas, incluso muchos de ellos sin ya un soporte oficial extendido por parte del fabricante. Aunque Windows encabeza el software más amenazado, también hay otros que son el objetivo de estos maleantes.

Imagen 2: Distribución de software más explotado en primer semestre 2024

Familias más detectadas en el primer semestre del 2024

El primer lugar de los códigos maliciosos que se observan por parte de nuestra telemetría son los denominados “injector”, es decir, aquellos que buscan insertar código malicioso en los procesos legítimos del sistema, para realizar diversas acciones como el descargar algún malware adicional cuya capacidad pueda monitorear las actividades de la víctima o controlar el equipo remotamente.

En segundo lugar, contamos con el troyano llamado “Kryptik” cuyo primer vector de infección son archivos maliciosos adjuntos que puede llegar por correo electrónico, software pirata y falsos asistentes de actualización y al igual que otras variantes su principal objetivo es obtener información financiera de las víctimas, suplantar su identidad para generar estafas más eficientes y añadir el dispositivo infectado a una botnet.

Y en el top 3 tenemos al malware llamado “Expiro”, este gusano afecta a los sistemas operativos Windows, cuando el dispositivo es infectado para a formar parte de una botnet, además sus principales tareas son el robo de información de sus víctimas, también buscan emplear los recursos del equipo para poder generar ataques de denegación de servicio (DoS)

Detecciones únicas por tipo de malware

En este semestre se han detectado las siguientes muestras únicas por tipo de malware en LATAM:

Imagen 3: Muestras únicas por tipo de malware.

Vulnerabilidades más explotadas en el primer semestre 2024

1. Win/Exploit.CVE-2012-0143

Este exploit se aprovecha de una vulnerabilidad de Microsoft Excel que permite la ejecución remota de código arbitrario. Esto significa que un atacante remoto puede ejecutar código malicioso en un equipo vulnerable. Este fallo de seguridad fue descubierto en 2012 y desde entonces se ha detectado actividad intentando aprovecharlo en todos los países de Latinoamérica.

2. Win/Exploit.CVE-2012-0159

Esta detección corresponde a un exploit que abusa de una vulnerabilidad en Microsoft Windows que también permite acceder remotamente y sin necesidad de autenticación a un sistema vulnerable. El fallo se descubrió en 2012 y fue utilizado, por ejemplo, en campañas de ransomware icónicas como las de “Petya” y “NotPetya” años atrás. Sin embargo, sigue siendo utilizada por actores maliciosos.

3. JS/Exploit.CVE-2021-26855

Se trata de un exploit para la CVE-2021-26855, una vulnerabilidad que afecta a Microsoft Internet Explorer descubierta en 2021 que permite a un atacante tener acceso remoto, sin necesidad de autenticación, a un sistema vulnerable. Si bien el hallazgo de esta vulnerabilidad no tiene mucho tiempo, se ha intentado aprovechar en campañas maliciosas que llegaron a varios países de Latinoamérica.

4. Win/Exploit.CVE-2017-11882

Este exploit aprovecha una vulnerabilidad de Microsoft Office que permitir al atacante acceder remotamente a un sistema vulnerable sin necesidad de autenticación. Fue descubierta en 2017 y los intentos de explotación de este fallo se han observado en varios países de Latinoamérica, principalmente en Argentina, Colombia, Chile y México. Esta vulnerabilidad fue muy utilizada en las campañas de ransomware conocidas como “WannaCry” y “Goldeneye” entre abril y mayo de 2017 en Latinoamérica. Esta vulnerabilidad sigue siendo de las más explotadas en correos de toda Latinoamérica, en el post podemos ver algunos ejemplos de campañas de phishing que se aprovechan de esta.

5. Win/Exploit.CVE-2016-3316

Se trata de un exploit que abusa de la ejecución de código remoto en Microsoft Office cuando este no puede manejar correctamente los objetos en la memoria. Un atacante puede ejecutar código arbitrario con los permisos del usuario actual, es decir, si este usuario ha iniciado sesión con permisos de administrador, el atacante podría tomar el control del sistema afectado instalando programas, viendo, cambiando o eliminando datos; o crear nuevas cuentas con permisos de administrador para otros usuarios.

Conclusión

Con este panorama del primer semestre, donde observamos que existen amenazas que emplean técnicas de ingeniería social muy conocidas y que muchas se aprovechan de vulnerabilidades que tienen más de 10 años existiendo, podemos reforzar la importancia de que las empresas implementen una adecuada política de seguridad en la que la concientización y capacitación en ciberseguridad sean de los pilares fundamentales, junto con la actualización permanente para contar con parches de seguridad que reduzcan el riesgo de explotación de vulnerabilidades antiguas.