Cada vez más, los ciberdelincuentes explotan vulnerabilidades de día cero para conseguir mayores ganancias, lo que podría requerir una reevaluación de los riesgos. Según un reciente informe de Mandiant, los delincuentes explotaron el pasado año 55 vulnerabilidades de día cero.
Si bien se trata de una cifra inferior a las 81 vulnerabilidades críticas del año anterior, suponen el triple de las registradas en 2020. Pese al descenso del último año, la previsión es que la tendencia a largo plazo de la explotación de este tipo de vulnerabilidades seguirá al alza, aunque con algunas fluctuaciones a lo largo de los diferentes años.
De las 55 vulnerabilidades de día cero registradas en 2022, Mandiant apunta que el 80% se utilizaron en ataques de ciberespionaje. Lo sorprendente es que una cuarta parte se usó en ataques con motivos económicos para implementar ransomware.
Esto constata la tendencia de aprovechar los exploits de día cero, especialmente para operaciones con un alto retorno de la inversión. De las 13 vulnerabilidades utilizadas para el ciberespionaje, 7 las usaron actores de amenazas chinos, dos las explotaron grupos rusos y otras dos ciberdelincuentes norcoreanos.
Follina, una vulnerabilidad de ejecución remota de código en la herramienta de diagnóstico de soporte de Microsoft (MSDT) que se explotó a través de documentos de Word, la utilizaron ciberdelincuentes de origen chino y ruso.
Asimismo, destacan tres campañas debido a la participación de múltiples grupos, la orientación expansiva y el enfoque a redes empresariales y dispositivos de seguridad. Así, múltiples grupos explotaron la vulnerabilidad CVE-2022-30190, conocida como Follina, a principios de 2022. También procedieron a la explotación de las vulnerabilidades CVE-2022-42475 y CVE-2022-41328 en FortiOS.
Interés en dispositivos de seguridad de red
Al observar la actividad de explotación de día cero en China, Mandiant observó un patrón de explotación de dispositivos conectados a Internet, especialmente los que se utilizan para la seguridad gestionada, como firewalls, VPN e IPS/IDS.
En octubre, un actor de amenazas patrocinado por el estado chino explotó la vulnerabilidad CVE-2022-42475 detectada en FortiOS SSL-VPN de Fortinet.
Los atacantes no solo explotaron una vulnerabilidad en este dispositivo, sino que realizaron una implementación específica demostrando un conocimiento profundo de los formatos y sistemas utilizados en este sistema operativo.
Este interés se reforzó con otro ciberataque a mediados de 2022 registrado como UNC3886 explotando una vulnerabilidad de día cero en FortiOS (CVE-2022-41328) para escribir archivos en los discos de firewall de FortiGate.
Por su parte, los actores de amenazas rusos también han demostrado su capacidad para encontrar y explotar vulnerabilidades de día cero. Sin embargo, Mandiant cree que el año pasado fueron más cuidadosos debido a la mayor vigilancia de la actividad rusa como consecuencia de la guerra en Ucrania.
APT28, también conocido como Fancy Bear, un grupo que se cree que es parte de GRU, la agencia de inteligencia militar de Rusia, explotó la vulnerabilidad de Follina antes de que fuera parcheada. No obstante, con ello solo se buscaría aprovechar la brecha entre el momento en el que se hizo pública.
Sin embargo, el mismo grupo empleó un exploit de día cero diferente para una vulnerabilidad crítica (CVE-2023-23397) en Microsoft Outlook que la compañía ha parcheado este mes. Esta actividad de explotación pasó desapercibida durante mucho tiempo, entre abril y diciembre de 2022, y apuntó a organizaciones de los sectores gubernamental, militar y energético.
Disminuye el uso de día cero para ataques de ransomware
Mandiant atribuyó cuatro exploits de día cero a grupos con motivación económica el pasado año, una cifra inferior a la de 2021.
Algunos de los grupos de ransomware más prolíficos que explotaron las vulnerabilidades de día cero en años anteriores tenían sede en Rusia o Ucrania. Desde el conflicto entre ambos países, parece haberse interrumpido este ecosistema criminal y contribuido a una disminución de su uso.
Por otra parte, la disminución de los pagos de ransomware en 2022 también puede haber contribuido a reducir la capacidad de los operadores para adquirir o desarrollar ‘zero-days’.
No obstante, el grupo de ciberdelincuentes UNC2633, que distribuye el malware Qakbot, no perdió la oportunidad de explotar Follina antes de que Microsoft tuviera la parchease.
Los productos de gestión de TI, nuevo objetivo
La mayoría de las vulnerabilidades de día cero observadas el año pasado afectaron a los sistemas operativos y navegadores. Microsoft fue el proveedor más afectado con 18 vulnerabilidades, 15 de las cuales estaban en Windows.
En segundo lugar, se situó Chrome con 10 vulnerabilidades, 9 de las cuales estaban en Chrome y una en Android. Apple ocupa el tercer lugar con 9 vulnerabilidades, 4 de las cuales estaban en macOS y 5 en iOS. Por su parte, también se detectaron 2 vulnerabilidades en Mozilla Firefox.
El informe de Mandiant pone la atención en 10 vulnerabilidades de día cero explotadas por los atacantes en una variedad de dispositivos y productos de software de TI, seguridad y gestión de redes. Entre los proveedores afectados se encuentran Fortinet, Sophos, Trend Micro, Zimbra, Adobe, Atlassian, Cisco, Mitel, SolarWinds, Zoho, QNAP y Citrix.
Entre 2021 y 2022, casi uno de cada tres exploits de día cero apuntó a vulnerabilidades en productos de proveedores distintos de Microsoft, Apple y Google. Esto significa que las organizaciones deben asegurarse de contar con capacidades de detección y monitorización para todos los productos y dispositivos en sus pilas de tecnología.
Además de las clasificaciones de riesgo, Mandiant recomienda que las organizaciones analicen los tipos de actores que se dirigen a su geografía o industria específica, malware común, tácticas, técnicas y procedimientos frecuentes de actores maliciosos.
Asimismo, es clave tener en cuenta los productos utilizados por una organización y la superficie de ataque, lo que puede dar información sobre la asignación de recursos para mitigar el riesgo.
