Un exploit es un tipo de malware que aprovecha errores en el software para infectar dispositivos con algún tipo de código malicioso. Lo ataques con exploits se sitúan entre los de más éxito, ya que no necesitan de ninguna interacción por parte del usuario, y pueden entregar su código malicioso sin llegar a generar ningún tipo de sospecha. Este tipo de herramientas están siendo ampliamente utilizadas, tanto por los cibercriminales en sus intentos de robo de dinero de usuarios privados y empresas, así como en ataques dirigidos sofisticados, intentando hacerse con información sensible.
Los paquetes de exploits están detrás del cambio de escenario de ciberamenazas en el segundo trimestre de 2017. En apenas 3 meses, los productos de Kaspersky Lab han bloqueado más de cinco millones de ataques de exploits filtrados en archivos en la red. Fue a finales del trimestre cuando se alcanzaron los niveles más elevados, mostrando una vez más el constante aumento de esta ciberamenaza.
El segundo trimestre de 2017, según el informe de malware del Q2 de Kaspersky Lab, padeció una ola masiva de este tipo de vulnerabilidades con un alto número de “exploits”, ocasionando un cambio significativo en el escenario de ciberamenazas actual. El inicio podemos fijarlo en la publicación por el grupo de hackers Shadow Brokers del archivo “Lost in Translation”, conteniendo un importante número de “exploits” para diferentes versiones de Windows.
A pesar de que muchas de estas vulnerabilidades no eran de tipo Zero Day, y que Microsoft había publicado un parche de seguridad apenas un mes antes de la filtración, su aparición llevó a unos resultados desastrosos. El número medio de ataques diarios fue creciendo, y el 82% de todos ellos fueron detectados en los últimos 30 días del trimestre.
El daño producido por el malware que utiliza “exploits”, así como el número de usuarios infectados, se sale de cualquier cálculo, con las pandemias de ExPetr y WannaCry como ejemplos más familiares. Otro ejemplo es la vulnerabilidad en Microsoft Office CVE-2017-0199, descubierta a principios de abril. A pesar de que en el mismo mes ya se dispuso de un parche, el número de usuarios atacados alcanzó rápidamente la cifra de 1,5 millones. En conjunto, el 71% de los ataques sobre estos usuarios utilizaron la vulnerabilidad CVE-2017-0199.
“El escenario de amenazas del segundo trimestre nos recuerda que la ausencia de vigilancia es uno de los ciberpeligros más importantes. Y aunque los fabricantes elaboran periódicamente los parches necesarios, muchos usuarios no les dan la debida atención, resultando en ataques masivos una vez que las vulnerabilidades están a disposición de los cibercriminales”, señala Alexander Liskin, experto de seguridad de Kaspersky Lab.
Otros datos sobre amenazas online d el informe del 2T de 2017:
- Durante este periodo, las soluciones de Kaspersky Lab detectaron y repelieron 342.566.061 de ataques malintencionados originados en recursos online situados en 191 países, una cantidad menor que la de los 479.528.279 detectados en el 1T y localizados en 190 países.
- Se descubrieron en 224.675 ordenadores de usuarios, frente a los 288.000 del 1T, intentos de infecciones de malware dirigidas al robo de fondos mediante acceso online a las cuentas bancarias,
- Fueron bloqueados ataques de crypto-ransomware en 246.675 ordenadores únicos, frente a 240.799 en el 1T.
- Las herramientas de antivirus de Kaspersky Lab detectaron en el 2T un total de 185.801.835 objetos únicos malintencionados y potencialmente no deseados, frente a los 174.989. del 1T.
- En promedio, el 17.26% de todos los ordenadores en el mundo conectados a Internet, sufrieron al menos una vez un ataque utilizando objetos malintencionados de tipo malware.
Para reducir el riesgo de infección, se aconseja a los usuarios:
- Actualizar permanentemente el software instalado en su PC, y autorizar la funcionalidad de auto-actualización si está disponible.
- Cuando sea posible, escoger a un proveedor de software que demuestre un acercamiento responsable a la problemática de la vulnerabilidad. Comprueba que tu proveedor dispone de su propio programa de detección de errores.
- Utiliza soluciones de seguridad robustas y comprueba que el software está permanentemente actualizado.
- Realiza regularmente escaneos de seguridad del sistema, buscando posibles infecciones.
