– Check Point® Software Technologies Ltd. , proveedor en soluciones de ciberseguridad en la nube basadas en IA, publica su Índice Global de Amenazas del mes de agosto de 2024. El ransomware se ha mantenido como fuerza dominante, con RansomHub como el principal grupo. Esta operación RaaS se ha expandido rápidamente desde su cambio de marca del ransomware Knight, que ha atacado a más de 210 víctimas en todo el mundo. Mientras tanto, ha surgido una nueva amenaza llamada Meow, otro ciberataque de ransomware que ha pasado del cifrado a la venta de datos robados en mercados de filtración.
El mes pasado, RansomHub consolidó su posición como la principal amenaza de ransomware, como se detalla en un aviso conjunto del FBI, CISA, MS-ISAC y HHS. Esta organización RaaS ha atacado de forma agresiva sistemas Windows, macOS, Linux y, especialmente, entornos VMware ESXi, mediante técnicas sofisticadas de cifrado.
“La aparición de RansomHub como la principal amenaza de ransomware en agosto subraya la creciente sofisticación de las operaciones de Ransomware-as-a-Service. A medida que evolucionan estas amenazas, las empresas deben mantenerse alerta, adoptar medidas de seguridad proactivas y mejorar continuamente sus defensas contra ataques cada vez más sofisticados”, afirma Maya Horowitz, VP de Investigación de Check Point Software.
“El auge de Meow pone de relieve el cambio hacia el mercado de filtración de datos, lo que indica un nuevo método de monetización para los operadores de ransomware, donde cada vez más la información robada se vende a terceros, en lugar de simplemente publicarse online”, afirma Manuel Rodríguez, Gerente de Ingeniería de Seguridad para NOLA de Check Point Software.
En el mundo, FakeUpdates fue el malware más prevalente, con un impacto del 7% en organizaciones de todo el mundo, seguido de Qbot, con un impacto global del 5,3%, y Androxgh0st, con un impacto global del 5,3%.
Principales familias de malware en Colombia en agosto
*Las flechas se refieren al cambio de rango en comparación con el mes anterior.
1. ↔ Remcos – Remcos es un RAT que apareció primero en estado salvaje en 2016. Este malware se distribuye a través de documentos de Microsoft Office maliciosos que están adjuntos en emails de SPAM, y está diseñado para eludir la seguridad del UAC (Control de Cuentas de Usuario) de Microsoft y ejecutar malware con altos privilegios. Este RAT impactó en agosto en un 10.77% a las empresas en Colombia y en 1.78 % a las compañías en el mundo.
1. ↔ Phorpiex – Phorpiex – Es una red de bots (alias Trik) que ha operado desde 2010 y que en su momento de máxima actividad controló más de un millón de hosts infectados. Conocido por distribuir otras familias de malware a través de campañas de spam, así como por alimentar campañas de spam y sextorsión a gran escala. Ha afectado en agosto a un 9.94% de las empresas en Colombia y en el mundo al 4.52%.
2. ↔ FakeUpdates. Downloader hecho en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en agosto al 8.84% de las empresas en Colombia y en 8.22% de las compañías en el mundo.
Vulnerabilidades más explotadas
1. ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086): se descubrió una vulnerabilidad de inyección de comandos a través de HTTP. Un atacante remoto puede explotar este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina objetivo.
2. ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771): existe una vulnerabilidad de inyección de comandos en Zyxel ZyWALL. La explotación exitosa permitiría a atacantes remotos ejecutar comandos arbitrarios en el sistema afectado.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375): las cabeceras HTTP permiten al cliente y al servidor pasar información adicional con una petición HTTP. Un atacante remoto puede utilizar una cabecera HTTP vulnerable para ejecutar código arbitrario en la máquina víctima.
Los tres malware móviles más usados en agosto
El mes pasado, Joker ocupó el primer puesto como malware para móviles más extendido, seguido de Anubis y Hydra.
1. ↔ Joker – Un spyware Android en Google Play, diseñado para robar mensajes SMS, listas de contactos e información del dispositivo. Además, el malware registra a la víctima en silencio para servicios premium en páginas web de publicidad.
2. ↔ Anubis – Malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto (RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
3. ↑ Hydra – Troyano bancario diseñado para robar credenciales bancarias solicitando a las víctimas que habiliten permisos y accesos peligrosos cada vez que entran en cualquier aplicación bancaria.
Los sectores más atacados
El mes pasado, los medios de comunicación se mantuvieron en el primer puesto de los sectores más atacados a escala mundial, seguido de gobierno/militar y servicios públicos.
1. Medios de comunicación.
2. Gobierno/militar.
3. Servicios públicos.
Principales grupos de ransomware
Los datos se basan en los «shame sites» de grupos de ransomware de doble extorsión que publicaron información sobre las víctimas. RansomHub fue el grupo de ransomware más prevalente el mes pasado, responsable del 15% de los ataques publicados, seguido de Meowcon un 9% y LockBit con un 8%.
1. RansomHub – Es una operación de ransomware como servicio (RaaS) que surgió como una versión renovada del anteriormente conocido ransomware Knight. RansomHub, que apareció a principios de 2024 en foros clandestinos de ciberdelincuencia, ha ganado notoriedad rápidamente por sus agresivas campañas dirigidas a varios sistemas, como Windows, macOS, Linux y, en particular, entornos VMware ESXi. Este malware es conocido por emplear sofisticados métodos de cifrado.
2. Meow – Meow Ransomware es una variante basada en el ransomware Conti, conocida por cifrar una amplia gama de archivos en sistemas comprometidos y añadirles la extensión «.MEOW». Deja una nota de rescate llamada «readme.txt», que indica a las víctimas que se pongan en contacto con los atacantes por correo electrónico o Telegram para negociar el pago del rescate. El ransomware Meow se propaga a través de varios vectores, incluyendo configuraciones RDP desprotegidas, spam de correo electrónico y descargas maliciosas, y utiliza el algoritmo de cifrado ChaCha20 para bloquear archivos, excluyendo «.exe» y archivos de texto.
3. LockBit3 – LockBit3 es un ransomware que opera en un modelo de RaaS, reportado por primera vez en septiembre de 2019. LockBit tiene como objetivo a grandes empresas y entidades gubernamentales de varios países y no apunta a individuos en Rusia o la Comunidad de Estados Independientes.