Home Sociedad Del ransomware al ciberespionaje: 55 vulnerabilidades de día cero atacadas en 2022

Del ransomware al ciberespionaje: 55 vulnerabilidades de día cero atacadas en 2022

Hasta 55 vulnerabilidades de día cero fueron explotadas en la naturaleza en 2022, con la mayoría de los defectos descubiertos en el software de Microsoft, Google y Apple.

Aunque esta cifra representa una disminución con respecto al año anterior, cuando se aprovecharon la friolera de 81 vulnerabilidades de día cero, sigue representando un aumento significativo en los últimos años de los actores de amenazas que aprovechan los fallos de seguridad desconocidos en su beneficio.

Los resultados proceden de la empresa de inteligencia sobre amenazas Mandiant, que señaló que los sistemas operativos de sobremesa (19), los navegadores web (11), los productos de gestión de redes y TI (10) y los sistemas operativos móviles (seis) fueron los tipos de productos más explotados.

De los 55 fallos de día cero, se calcula que 13 han sido aprovechados por grupos de ciberespionaje, y otros cuatro por agentes de amenazas con motivaciones económicas para operaciones relacionadas con ransomware. Los vendedores comerciales de programas espía fueron vinculados a la explotación de tres días cero.

Entre los grupos patrocinados por el Estado, los atribuidos a China han sido los más prolíficos, explotando siete días cero -CVE-2022-24682, CVE-2022-1040, CVE-2022-30190, CVE-2022-26134, CVE-2022-42475, CVE-2022-27518 y CVE-2022-41328- durante el año.

Gran parte de la explotación se ha centrado en vulnerabilidades de dispositivos de red periféricos, como cortafuegos, para obtener el acceso inicial. También se han detectado varios clusters conectados a China que aprovechan un fallo de Microsoft Diagnostics Tool (también conocido como Follina) como parte de campañas dispares.

Corea del Norte y Rusia, por su parte, han sido vinculadas a la explotación de dos vulnerabilidades de día cero cada una. Se trata de CVE-2022-0609, CVE-2022-41128, CVE-2022-30190 y CVE-2023-23397.

La revelación se produce en un momento en el que los actores de amenazas también están mejorando a la hora de convertir las vulnerabilidades recién reveladas en potentes exploits para penetrar en una amplia gama de objetivos en todo el mundo.