Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, publica su Índice Global de Amenazas del mes de marzo de 2025, en el que destaca FakeUpdates cómo downloader malware que más ciberamenazas ha protagonizado a nivel mundial.
En marzo, los investigadores descubrieron una nueva campaña de intrusión que distribuye FakeUpdates, el malware más prevalente, y que perpetra ataques con el ransomware RansomHub. FakeUpdates continúa siendo el malware más común, con una tendencia de crecimiento que se apoya en técnicas evolucionadas por las que los ciberdelincuentes cada vez utilizan más plataformas legítimas como Dropbox y TryCloudflare para evadir la detección y mantener la persistencia.
Además, Check Point Research ha detectado una gran campaña de phishing con Lumma Stealer, que comprometió a más de 1.150 empresas y 7.000 usuarios en América del Norte, el sur de Europa y Asia. Los atacantes distribuyeron cerca de 5.000 archivos PDF maliciosos alojados en la CDN de Webflow, utilizando imágenes falsas de CAPTCHA para activar la ejecución de PowerShell e instalar el malware. Los investigadores vinculan Lumma Stealer con juegos falsos de Roblox y una herramienta pirateada y troyanizada de Windows Total Commander, promocionada a través de cuentas de YouTube secuestradas.
Maya Horowitz, vicepresidenta de investigación en Check Point Software explica que «los ciberdelincuentes continúan adaptando sus tácticas, confiando cada vez más en plataformas legítimas para distribuir malware y evadir la detección.
Las organizaciones deben mantenerse alerta e implementar medidas de seguridad proactivas para mitigar los riesgos de estas amenazas en evolución» afirma Manuel Rodríguez, Gerente de Ingeniería de Seguridad para NOLA en Check Point Software.
Principales familias de malware en Colombia en marzo de 2025
*Las flechas se refieren al cambio de rango en comparación con el mes anterior.
1. ↔ Remcos – Remcos es un RAT que apareció por primera vez en la naturaleza en 2016 y que se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a correos electrónicos no deseados y está diseñado para eludir la seguridad de CCU (Control de Cuentas de Usuario) de Microsoft Windows y ejecutar malware con privilegios de alto nivel. Este RAT ha impactado en marzo a un 16.51% de las empresas en Colombia y en el mundo al 3.43%.
2. ↑ FakeUpdates – Fakeupdates (AKA SocGholish) es un malware de descarga que se descubrió inicialmente en 2018. Se propaga mediante descargas no autorizadas en sitios web comprometidos o maliciosos, incitando a los usuarios a instalar una actualización falsa del navegador. El malware Fakeupdates está asociado con el grupo de hackers ruso Evil Corp y se utiliza para distribuir diversas cargas útiles secundarias tras la infección inicial. Este downloader atacó al 11.11% de las empresas en Colombia y a un 8.15% en el mundo.
3. ↔ AsyncRat – AyncRatTroyano de acceso remoto (RAT) dirigido a sistemas Windows, identificado por primera vez en 2019. Extrae información del sistema hacia un servidor de comando y control y puede ejecutar diversas acciones, como descargar complementos, terminar procesos, capturar capturas de pantalla y actualizarse automáticamente. Se distribuye comúnmente a través de campañas de phishing para el robo de datos y la toma de control de sistemas. En Colombia en marzo impactó al 8.57% de las empresas y en el mundo al 2.94%.
Los tres malware móviles más destacados de marzo de 2025
El mes pasado, Anubis ocupó el primer puesto como malware para móviles más extendido, seguido de Necro y AhMyth.
1. ↔ Anubis – continúa siendo el principal troyano bancario en dispositivos móviles. Puede evadir la autenticación multifactor (MFA), registrar pulsaciones de teclado y realizar funciones de ransomware.
2. ↔ Necro – es un troyano dropper de Android, que ha escalado posiciones. Permite a los atacantes ejecutar componentes maliciosos según comandos de sus creadores, facilitando una amplia gama de acciones dañinas en dispositivos infectados.
3. ↔ AhMyth – un troyano de acceso remoto (RAT) dirigido a dispositivos Android, cuya prevalencia ha disminuido ligeramente. Sin embargo, sigue representando una amenaza significativa debido a su capacidad para extraer información sensible, como credenciales bancarias y códigos de autenticación multifactor (MFA).
Los sectores más atacados a nivel global
Educación continua en el primer puesto de los sectores más atacados a nivel europeo, seguido de Telecomunicaciones y Gobierno/Militar.
1. Educación
2. Telecomunicaciones
3. Gobierno/Militar
Principales grupos de ransomware
RansomHub es el grupo de ransomware más prevalente, responsable del 12% de los ataques publicados. Le siguen Qilin y Akira, ambos con un 6%.
1. RansomHub – Operación de Ransomware-as-a-Service (RaaS) que se ha consolidado rápidamente tras el rebranding del ransomware Knight. Se ha destacado por sus campañas sofisticadas dirigidas a Windows, macOS y Linux.
2. Qilin también conocido como Agenda, es un ransomware como servicio (RaaS) detectado por primera vez en julio de 2022 y se enfoca en empresas de alto valor, con un énfasis particular en los sectores de salud y educación. Qilin suele infiltrarse en las víctimas mediante correos electrónicos de phishing y vez dentro, se mueve de forma lateral a través de la infraestructura de la víctima, buscando datos críticos para cifrar.
3. Akira – Un grupo de ransomware más reciente que se enfoca en Windows y Linux. Ha sido vinculado a campañas de phishing y explotación de vulnerabilidades en VPNs, convirtiéndose en una seria amenaza para las empresas.