Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor l铆der en soluciones de ciberseguridad en la nube basadas en IA, publica su 脥ndice Global de Amenazas del mes de julio de 2024. A pesar de una ca铆da significativa en junio, LockBit resurgi貌 el mes pasado para convertirse en el segundo grupo de ransomware m谩s prevalente, mientras que RansomHub conserva el primer puesto. Mientras tanto, los investigadores identificaron tanto una campa帽a que distribu铆a el malware Remcos a ra铆z de un problema de actualizaci贸n de CrowdStrike, como una serie de nuevas t谩cticas de FakeUpdates, que vuelven a ocupar el primer puesto este mes.
Un problema en el sensor CrowdStrike Falcon para Windows llev贸 a los ciberdelincuentes a distribuir un archivo ZIP malicioso llamado crowdstrike-hotfix.zip. Este archivo conten铆a HijackLoader, que posteriormente activaba el malware Remcos, clasificado como el s茅ptimo malware m谩s buscado en julio. La campa帽a se dirig铆a a empresas que utilizaban instrucciones en espa帽ol e implicaba la creaci贸n de dominios falsos para ataques de phishing.
Mientras tanto, los investigadores descubrieron una serie de t谩cticas nuevas que empleaban FakeUpdates. Los usuarios que visitan sitios web comprometidos se encontraban con falsos avisos de actualizaci贸n del navegador, que conduc铆an a la instalaci贸n de troyanos de acceso remoto (RAT) como AsyncRAT, que actualmente ocupa el noveno lugar en el 铆ndice de Check Point Software. Resulta alarmante que los ciberdelincuentes hayan empezado a explotar BOINC, una plataforma destinada a la inform谩tica voluntaria, para obtener el control remoto de los sistemas infectados.
"La continua persistencia y resurgimiento de grupos de ransomware como Lockbit y RansomHub subraya que los ciberdelincuentes siguen centr谩ndose en el ransomware, un importante desaf铆o para las empresas con implicaciones de gran alcance para su continuidad operativa y la seguridad de los datos. La reciente explotaci贸n de una actualizaci贸n de software de seguridad para distribuir el malware Remcos pone a煤n m谩s de relieve la naturaleza oportunista de los ciberdelincuentes, lo que compromete a煤n m谩s las defensas de las empresas. Para contrarrestar estas amenazas, las compa帽铆as tendr谩n que adoptar una estrategia de seguridad multicapa que incluya una s贸lida protecci贸n de los endpoints, una monitorizaci贸n continua y la educaci贸n de los usuarios para reducir el impacto de estos ciberataques cada vez m谩s masivos”, afirma Maya Horowitz, VP de Investigaci贸n de Check Point Software.
Principales familias de malware
*Las flechas se refieren al cambio de rango en comparaci贸n con el mes anterior.
FakeUpdates fue el malware m谩s prevalente este mes, con un impacto del 9.45% en organizaciones de todo el mundo, seguido de Androxgh0st, con un impacto global del 5.87%, y Qbot, con un impacto global del 4.26%.
↔ FakeUpdates. Downloader hecho en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en el 9.45% de las empresas en Espa帽a.
↔ Androxgh0st - Androxgh0st es un botnet que afecta a plataformas Windows, Mac y Linux. Para la infecci贸n inicial, Androxgh0st explota m煤ltiples vulnerabilidades, espec铆ficamente dirigidas al PHPUnit, el Marco de Trabajo de Laravel y el Servidor Web Apache. El malware roba informaci贸n sensible como cuentas de Twilio, credenciales SMTP, llave AWS, etc. Utiliza archivos de Laravel para recolectar la informaci贸n requerida. Tiene diferentes variantes que escanean para diferente informaci贸n. Este botnet ha impactado al 5.87% de las empresas en Espa帽a.
↓ Qbot – Qbot es un malware multifunci贸n que apareci贸 por primera vez en 2008. Fue dise帽ado para robar las credenciales de los usuarios, registrar pulsaciones de teclas, sustraer las cookies de los navegadores, espiar actividades bancarias e implementar malware adicional. A menudo se distribuye a trav茅s de correos electr贸nicos no deseados, y emplea diversas t茅cnicas anti-VM, anti-debuggin y anti-sandbox para obstaculizar el an谩lisis y eludir la detecci贸n. Desde 2022, se ha posicionado como uno de los troyanos predominantes. El malware ha vuelto a afectar al 4.26% de empresas espa帽olas.
Vulnerabilidades m谩s explotadas
↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) - se descubri贸 una vulnerabilidad de inyecci贸n de comandos a trav茅s de HTTP. Un atacante remoto puede explotar este problema enviando una solicitud especialmente dise帽ada a la v铆ctima. La explotaci贸n exitosa permitir铆a a un atacante ejecutar c贸digo arbitrario en la m谩quina objetivo.
↔ Zyxel ZyWALL Command Injection (CVE-2023-28771): existe una vulnerabilidad de inyecci贸n de comandos en Zyxel ZyWALL. La explotaci贸n exitosa permitir铆a a atacantes remotos ejecutar comandos arbitrarios en el sistema afectado.
↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) - las cabeceras HTTP permiten al cliente y al servidor pasar informaci贸n adicional con una petici贸n HTTP. Un atacante remoto puede utilizar una cabecera HTTP vulnerable para ejecutar c贸digo arbitrario en la m谩quina v铆ctima.
Principales programas maliciosos para m贸viles
El mes pasado, Joker ocup贸 el primer puesto como malware para m贸viles m谩s extendido, seguido de Anubis y AhMyth.
↔ Joker - Un spyware Android en Google Play, dise帽ado para robar mensajes SMS, listas de contactos e informaci贸n del dispositivo. Adem谩s, el malware registra a la v铆ctima en silencio para servicios premium en p谩ginas web de publicidad.
↔ Anubis - Malware troyano bancario dise帽ado para tel茅fonos m贸viles Android. Desde que se detect贸 ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto (RAT), keylogger, grabaci贸n de audio y varias caracter铆sticas de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
↔ AhMyth - Es un troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a trav茅s de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas apps infectadas, el malware puede recopilar informaci贸n sensible del dispositivo y realizar acciones como keylogging, tomar capturas de pantalla, enviar mensajes SMS y activar la c谩mara, que suele utilizarse para robar informaci贸n sensible.
Los sectores m谩s atacados a escala mundial
El mes pasado, Educaci贸n/Investigaci贸n se mantuvo en el primer puesto de los sectores m谩s atacados a escala mundial, seguido de Gobierno/Militar y Comunicaci贸n.
Educaci贸n/Investigaci贸n.
Gobierno/Militar.
Comunicaci贸n.
Principales grupos de ransomware
Los datos se basan en los "shame sites" de grupos de ransomware de doble extorsi贸n que publicaron informaci贸n sobre las v铆ctimas. RansomHub fue el grupo de ransomware m谩s prevalente el mes pasado, responsable del 11% de los ataques publicados, seguido de LockBit3 con un 8% y Akira con un 6%.
RansomHub - Es una operaci贸n de ransomware como servicio (RaaS) que surgi贸 como una versi贸n renovada del anteriormente conocido ransomware Knight. RansomHub, que apareci贸 a principios de 2024 en foros clandestinos de ciberdelincuencia, ha ganado notoriedad r谩pidamente por sus agresivas campa帽as dirigidas a varios sistemas, como Windows, macOS, Linux y, en particular, entornos VMware ESXi. Este malware es conocido por emplear sofisticados m茅todos de cifrado.
LockBit3 - LockBit3 es un ransomware que opera en un modelo de RaaS, reportado por primera vez en septiembre de 2019. LockBit tiene como objetivo a grandes empresas y entidades gubernamentales de varios pa铆ses y no apunta a individuos en Rusia o la Comunidad de Estados Independientes.
Akira – Se dio a conocer por primera vez a principios de 2023, se dirige tanto a sistemas Windows como Linux. Utiliza cifrado sim茅trico con CryptGenRandom y Chacha 2008 para cifrar archivos y es similar al ransomware Conti v2 filtrado. Akira se distribuye a trav茅s de varios medios, incluidos adjuntos de correo electr贸nico infectados y exploits en endpoints VPN. Una vez infectado, cifra los datos y a帽ade la extensi贸n ".akira" a los nombres de los archivos, tras lo cual presenta una nota de rescate exigiendo el pago del descifrado.
Comentarios
Publicar un comentario