Emotet, Phorpiex y XMRig fueron los malware más peligrosos en Colombia en abril
Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de abril. Los investigadores descubrieron una importante campaña de malspam de Qbot distribuida a través de archivos PDF maliciosos, adjuntos a correos electrónicos vistos en varios idiomas. Para Colombia destacaron la importante presencia de Emotet, Phorpiex y XMrig.
La campaña de Qbot del mes pasado prueba que hay un nuevo método de entrega en el que los objetivos reciben un correo electrónico con un archivo adjunto que contiene archivos PDF protegidos. Una vez que se descargan, se instala en el dispositivo. Los investigadores encontraron casos de malspam que se envían en varios idiomas, lo que significa que el objetivo de ataque se ubica en organizaciones en todo el mundo.
Mientras tanto, el malware de Internet de las cosas (IoT) Mirai entra en la lista por primera vez en un año, después de explotar una nueva vulnerabilidad en los enrutadores TP-Link. Por otro lado, el sector sanitario se ha convertido en la segunda industria más explotada. Mirai es uno de los malware de IoT más populares. Los investigadores de Check Point Software descubrieron que estaba explotando una nueva vulnerabilidad de zero-day CVE-2023-1380 para atacar los enrutadores TP-Link y agregarlos a su botnet, utilizado para facilitar algunos de los ataques DDoS más disruptivos. Una campaña que continúa con los reportes publicados por Check Point Research (CPR) sobre la prevalencia de los ataques IoT.
“Los ciberdelincuentes trabajan constantemente en nuevos métodos para eludir las restricciones existentes, y estas campañas son una prueba más de cómo el malware se adapta para sobrevivir”, explica Manuel Rodríguez, Gerente de Ingeniería de Seguridad para el Norte de América Latina de Check Point Software. “Con Qbot a la ofensiva nuevamente es importante contar con una infraestructura de ciberseguridad integral”.
Los 3 malware más buscados en Colombia en abril:
*Las flechas se refieren al cambio de rango en comparación con el mes anterior.
1. ↑Emotet – Emotet es un troyano avanzado, autopropagable y modular. Emotet solía emplearse como un troyano bancario, y recientemente se utiliza como distribuidor de otro malware o campañas maliciosas. Utiliza múltiples métodos para mantener la persistencia y técnicas de evasión para evitar la detección. Además, se puede propagar a través de correos electrónicos de spam de phishing que contienen archivos adjuntos o enlaces maliciosos. En abril impactó en un 10.06% a las empresas en Colombia y en el ámbito global en un 5.84%.
2. ↑ Phorpiex – Es una red de bots (alias Trik) que ha operado desde 2010 y que en su momento de máxima actividad controló más de un millón de hosts infectados. Conocido por distribuir otras familias de malware a través de campañas de spam, así como por alimentar campañas de spam y sextorsión a gran escala. Ha afectado a un 9.12% de las empresas en Colombia y globalmente en un 2.56%.
3. ↓ XMRig – XMRig es un software de minería de CPU de código abierto utilizado para minar la criptomoneda Monero. Los actores de amenazas a menudo abusan de este software de código abierto integrándolo en su malware para actividades de minado desde los dispositivos de las víctimas. En abril impactó en un 8.81% a las empresas en Colombia y en el ámbito global en un 2.80%.
Las tres industrias más atacadas a nivel mundial
El mes pasado, la educación/investigación continuó siendo la industria más atacada a nivel mundial, seguida por salud y gobierno/militar.
1. Educación/Investigación
2. Salud
3. Gobierno/militar
Las tres vulnerabilidades más explotadas en abril
Por otra parte, Check Point Research también reveló que «Web Servers Malicious URL Directory Traversal» fue la vulnerabilidad más explotada, afectando al 48% de las empresas a nivel mundial, seguida de «Apache Log4j Remote Code Execution» que afectó al 44% de las organizaciones en todo el mundo y «HTTP Headers Remote Code Execution» con un impacto global del 43%.
1. ↑ Web Servers Malicious URL Directory Traversal – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no sanea correctamente el URI para los patrones de recorrido de directorios. La explotación exitosa permite a los atacantes remotos no autenticados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
2. ↓ Ejecución remota de código Apache Log4j (CVE-2021-44228) – Existe una vulnerabilidad de ejecución remota de código en Apache Log4j. Si se aprovechara esta vulnerabilidad, un atacante remoto podría ejecutar código arbitrario en el sistema afectado.
3. ↓ Ejecución remota de código de encabezados HTTP (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756): los encabezados HTTP permiten al cliente y al servidor pasar información adicional con una solicitud HTTP. Un atacante remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en el equipo víctima.
Los tres malwares móviles más usados en abril
1. AhMyth –troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como el registro de teclas, la toma de capturas de pantalla, el envío de mensajes SMS y la activación de la cámara.
2. Anubis – malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó inicialmente ha ganado funciones adicionales que incluyen capacidades de troyano de acceso remoto (RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
3. Hiddad – malware de Android que re-empaqueta aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles de seguridad integrados en el sistema operativo.
El Índice Global de Impacto de Amenazas de Check Point Software y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.