El Grupo de Inteligencia de Amenazas de Google (GTIG) afirma que los atacantes explotaron 75 vulnerabilidades de día cero el año pasado, más del 50% de las cuales estaban vinculadas a ataques de software espía.

Estas cifras son inferiores a los 97 días cero de 2023, pero superiores a los 63 de 2022, lo que los analistas de GTIG atribuyeron a oscilaciones interanuales que reflejan la variación esperada dentro de una trayectoria ascendente de los ataques que explotan los días cero, que la empresa define como vulnerabilidades explotadas en la naturaleza antes de que los proveedores publiquen parches.

Señalaron que los actores de amenazas de ciberespionaje, incluidos grupos respaldados por gobiernos y clientes de proveedores de vigilancia comercial, fueron responsables de más de la mitad de los ataques de día cero atribuibles en 2024. De estos, los grupos vinculados a China explotaron cinco días cero, los clientes de vigilancia comercial ocho, mientras que los operadores norcoreanos fueron vinculados a cinco exploits de día cero por primera vez, utilizados en ataques que combinan espionaje y motivos financieros.

El año pasado, el Grupo de Análisis de Amenazas de Google (TAG) y la subsidiaria de Google, Mandiant, detectaron 97 días cero explotados en ataques , un aumento de más del 50 por ciento en comparación con las 62 vulnerabilidades del año anterior, muchas de ellas también vinculadas a proveedores de software espía y sus clientes.

Si bien los recuentos anuales han fluctuado enormemente en los últimos cuatro años, la tendencia promedio muestra un aumento constante en la explotación de día cero. En 2024, las plataformas y productos para usuarios finales (por ejemplo, navegadores web, dispositivos móviles y sistemas operativos de escritorio) fueron los más afectados por esta actividad.

Las plataformas y productos de usuario final (por ejemplo, navegadores web, dispositivos móviles y sistemas operativos de escritorio) representaron el 56 % de los ataques de día cero detectados. Los exploits contra navegadores se redujeron aproximadamente un tercio, de 17 en 2023 a 11 en 2024, mientras que los ataques de día cero contra dispositivos móviles se redujeron casi a la mitad, de 17 a nueve.

Google Chrome siguió siendo el principal objetivo de los navegadores y las vulnerabilidades de seguridad en sistemas operativos de escritorio aumentaron de 17 a 22, y los ataques de día cero en Windows aumentaron a 22 el año pasado, frente a los 16 de 2023 y los 13 de 2022.

"Mientras Windows siga siendo una opción popular tanto en hogares como en entornos profesionales, esperamos que siga siendo un objetivo popular tanto para la explotación de día cero como de día n (es decir, una vulnerabilidad explotada después de que se haya lanzado su parche) por parte de actores de amenazas", dijo GTIG .

Por otro lado, en 2024, los atacantes explotaron 33 de las 75 fallas de día cero (44%) para atacar productos utilizados principalmente en entornos empresariales, frente al 37% en 2023.

De estos, el software y los dispositivos de seguridad y red representaron 20 ataques de día cero explotados in situ, lo que representa más del 60 % de los ataques de día cero dirigidos a empresas. Los atacantes se centran en ellos porque vulnerar un solo dispositivo de seguridad o de red les proporciona amplio acceso al sistema sin necesidad de cadenas de exploits multietapa mucho más sofisticadas.

Como descubrieron los analistas de amenazas de GTIG, entre los ataques de día cero empresariales más notables explotados en 2024 se incluyen aquellos que afectaron a Ivanti Cloud Services Appliance, Cisco Adaptive Security Appliance, Palo Alto Networks PAN-OS e Ivanti Connect Secure VPN.

"La explotación de día cero continúa creciendo a un ritmo lento pero constante. Sin embargo, también hemos empezado a ver que el trabajo de los proveedores para mitigarla está dando frutos", afirmó Casey Charrier, analista sénior de Google Threat Intelligence Group.

Por ejemplo, hemos observado menos casos de explotación de día cero dirigida a productos que históricamente han sido populares, probablemente debido a los esfuerzos y recursos que muchos grandes proveedores han invertido para prevenir la explotación.

Al mismo tiempo, observamos un cambio en la explotación de día cero hacia productos empresariales, lo que requiere un conjunto más amplio y diverso de proveedores para reforzar las medidas de seguridad proactivas. El futuro de la explotación de día cero dependerá, en última instancia, de las decisiones de los proveedores y de su capacidad para contrarrestar los objetivos y objetivos de los actores de amenazas.

Fuente: https://www.bleepingcomputer.com/news/security/google-97-zero-days-exploited-in-2024-over-50-percent-in-spyware-attacks/