Se explotaron hasta 55 vulnerabilidades de día cero en la naturaleza en 2022, y la mayoría de las fallas se descubrieron en el software de Microsoft, Google y Apple.
Si bien esta cifra representa una disminución con respecto al año anterior, cuando se armaron la asombrosa cifra de 81 días cero, aún representa un aumento significativo en los últimos años en que los actores de amenazas aprovechan fallas de seguridad desconocidas para su beneficio.
El recomendaciones provienen de la firma de inteligencia de amenazas Mandiant, que señaló que los sistemas operativos de escritorio (19), los navegadores web (11), los productos de administración de redes y TI (10) y los sistemas operativos móviles (seis) representaron los tipos de productos más explotados.
De los 55 errores de día cero, se estima que 13 fueron abusados por grupos de espionaje cibernético, y otros cuatro fueron explotados por actores de amenazas motivados financieramente para operaciones relacionadas con ransomware. Los vendedores comerciales de software espía estaban vinculados a la explotación de tres días cero.
Entre los grupos patrocinados por el estado, los atribuidos a China se han convertido en los más prolíficos, explotando siete días cero: CVE-2022-24682, CVE-2022-1040, CVE-2022-30190, CVE-2022-26134, CVE-2022-42475, CVE-2022-27518y CVE-2022-41328 – durante el año.
Gran parte de la explotación se ha centrado en las vulnerabilidades de los dispositivos de red perimetrales, como los cortafuegos, para obtener acceso inicial. También se han detectado varios clústeres de China-nexus aprovechando una falla en Microsoft Diagnostics Tool (también conocida como Follina) como parte de campañas dispares.
“Múltiples campañas separadas pueden indicar que el día cero se distribuyó a múltiples presuntos grupos de espionaje chino a través de un intendente digital”, dijo Mandiant, y agregó que apunta a la “existencia de una infraestructura logística y de desarrollo compartida y posiblemente una entidad de coordinación centralizada”.
Los actores de amenazas de Corea del Norte y Rusia, por otro lado, han sido vinculados a la explotación de dos días cero cada uno. Esto incluye CVE-2022-0609, CVE-2022-41128, CVE-2022-30190y CVE-2023-23397.
La divulgación se produce cuando los actores de amenazas también están mejorando al convertir las vulnerabilidades recientemente reveladas en potentes exploits para violar una amplia gama de objetivos en todo el mundo.
“Si bien el descubrimiento de vulnerabilidades de día cero es un esfuerzo que requiere muchos recursos y no se garantiza una explotación exitosa, la cantidad total de vulnerabilidades reveladas y explotadas ha seguido creciendo, los tipos de software objetivo, incluidos los dispositivos de Internet de las cosas (IoT) y soluciones en la nube continúan evolucionando y la variedad de actores que las explotan se ha expandido”, dijo Mandiant.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
El informe Mandiant también sigue una advertencia de microsoftdel Centro de Análisis de Amenazas Digitales sobre los persistentes objetivos cibernéticos y cinéticos de Rusia a medida que la guerra en Ucrania continúa en el segundo año.
El gigante tecnológico dijo que desde enero de 2023 ha observado que “la actividad de amenazas cibernéticas rusas se ajusta para aumentar la capacidad destructiva y de recopilación de inteligencia en Ucrania y los activos civiles y militares de sus socios”.
Advirtió además sobre una posible “campaña destructiva renovada” montada por el grupo de estado-nación conocido como gusano de arena (también conocido como Iridium) en organizaciones ubicadas en Ucrania y en otros lugares.
Además, los piratas informáticos respaldados por Moscú han implementado al menos dos ransomware y nueve familias de limpiadores contra más de 100 entidades ucranianas. No menos de 17 países europeos han sido objetivo de campañas de espionaje entre enero y mediados de febrero de 2023, y 74 países han sido objetivo desde el comienzo de la guerra.
Otros rasgos clave asociados con la actividad de amenazas rusas incluyen el uso de ransomware como armas de sabotaje cibernético, obtener acceso inicial a través de diversos métodos y aprovechar grupos reales y pseudo hacktivistas para expandir el alcance de la presencia cibernética de Moscú.