Amenazas informáticas: ¿qué pasó durante el segundo cuatrimestre de 2022?

Los últimos cuatro meses de 2022 fueron el tiempo de las vacaciones de verano para muchos de los que están en el hemisferio norte, y parece que algunos operadores de malware también aprovecharon este tiempo para descansar, reenfocarse y volver a analizar sus procedimientos y actividades actuales. A nivel global, luego de unos picos en mayo y julio, las detecciones de amenazas informáticas en general disminuyeron levemente. En América Latina, el comportamiento fue similar.

Según nuestra telemetría, en agosto se tomaron un receso los operadores de Emotet, uno de los downloader más influyente en los últimos tiempos. El grupo criminal detrás de este código malicioso también se adaptó a la decisión de Microsoft de deshabilitar las macros de VBA en documentos que se originaron en Internet y en sus campañas se centró el uso malintencionado de archivos de Microsoft Office y archivos LNK.

En el segundo cuatrimestre de 2022 observamos que a nivel global continuó el fuerte descenso de los ataques de fuerza bruta al Protocolo de escritorio remoto (RDP). Considerando que en ediciones pasadas del ESET Threat Report un alto porcentaje de los ataques al RDP tenían como origen direcciones IP rusas, es probable que esta disminución esté relacionada con la guerra entre Rusia y Ucrania, sumado con el retorno a las oficinas después del COVID y la mayor seguridad proporcionada por los entornos corporativos.

Sin embargo, en América Latina el comportamiento fue diferente, ya que si bien fueron más estables a lo largo de lo que va de 2022, después de mayo se registró un aumento en la cantidad de intentos de ataque al RDP que se mantuvo estable hasta fines de agosto.

Por otra parte, los intentos de ataque al protocolo SMB (Server Message Block) (color turquesa en el gráfico de la Imagen 3 y 4) se mantuvieron estables con una caída del 9% entre el primer cuatrimestre y el segundo, pasando de 356 millones de intentos de conexiones bloqueadas durante el primer tercio del año a 324 millones en el segundo. En este contexto, México fue a nivel global el país que recibió el mayor porcentaje (35%) de intentos de ataque al SMB, seguido por Francia (16%) y Estados Unidos (9%).

Los ataques de fuerza bruta representan el vector de intrusión más utilizado por los cibercriminales para acceder a una red con el 41%, igual que el cuatrimestre pasado. El segundo vector más utilizado con el 13% fue la explotación de la vulnerabilidad Log4J, y en tercer lugar la vulnerabilidad Follina. Esta última tuvo su pico máximo entre mayo y junio y para finales de agosto bajo considerablemente.

Y pese a los números decrecientes y el conflicto bélico, aun así las direcciones IP rusas continuaron siendo responsables de la mayor parte de los ataques al RDP. En el primer cuatrimestre de 2022 Rusia también fue el país más atacado por ransomware, con algunos de los ataques motivados política o ideológicamente por la guerra. Sin embargo, como se detalla para el segundo cuatrimestre de 2022, esta ola de hacktivismo ha disminuido en el segundo tercio del año y los operadores de ransomware dirigieron su atención hacia los Estados Unidos, China e Israel o Reino Unido. Sin embargo, es importante mencionar que esta realidad tuvo matices en cada región.

Regresar a Noticias
T-Cert / Tigo Copyright©, Guatemala todos los derechos reservados.