Check Point Software Technologies publicó su Índice de Amenazas Global de octubre de 2024. Este informe destaca el aumento de los ladrones de información y la sofisticación de los métodos de ataque en el panorama global.
Un caso relevante es la distribución del malware Lumma Stealer mediante páginas CAPTCHA falsas. Este malware, que afecta tanto a usuarios de juegos pirateados como a desarrolladores en GitHub mediante correos de phishing, ocupa el cuarto lugar en la lista de malwares principales.
Lumma Stealer roba credenciales y datos confidenciales, mostrando la eficacia de los cibercriminales al utilizar vectores innovadores de ataque.
En Argentina, Androxgh0st lidera con un impacto del 5,71%. Esta botnet afecta plataformas Windows, Mac y Linux, explotando vulnerabilidades en PHPUnit, Laravel y Apache Web Server para robar datos sensibles como credenciales de AWS y Twilio.
En el ámbito móvil, una nueva versión de Necro ocupa el segundo lugar entre los malwares móviles más peligrosos. Este malware infecta aplicaciones populares en Google Play, llegando a más de 11 millones de dispositivos Android.
Necro utiliza técnicas avanzadas como esteganografía para ocultar sus cargas útiles y evade detección para monetizar operaciones mediante anuncios invisibles y suscripciones no autorizadas.
Maya Horowitz, VP de investigación de Check Point Software, destacó: “El aumento de los sofisticados ladrones de información subraya una realidad cada vez mayor. Los cibercriminales están evolucionando sus métodos y aprovechando vectores de ataque innovadores“.
Principales familias de malware
Las flechas se relacionan con el cambio de clasificación en comparación con el mes anterior.
FakeUpdates es el malware más frecuente este mes con un impacto del 6 % en las organizaciones de todo el mundo, seguido de Androxgh0st con un impacto global del 5 % y AgentTesla con un impacto global del 4 %.
1 ↔ FakeUpdates: FakeUpdates (también conocido como SocGholish) es un programa de descarga escrito en JavaScript.
Escribe las cargas útiles en el disco antes de ejecutarlas. FakeUpdates provocó una mayor vulnerabilidad a través de muchos otros programas maliciosos, incluidos GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult.
2 ↔ Androxgh0st: Androxgh0st es una botnet que ataca las plataformas Windows, Mac y Linux. Para la infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente apuntando a PHPUnit, Laravel Framework y Apache Web Server.
El malware roba información confidencial, como información de la cuenta de Twilio, credenciales SMTP, clave de AWS, etc. Utiliza archivos de Laravel para recopilar la información requerida.
Tiene diferentes variantes que escanean en busca de información diferente.
3 ↑ AgentTesla – AgentTesla es un RAT avanzado que funciona como un keylogger y un ladrón de información, capaz de monitorear y recolectar la entrada del teclado de la víctima, el teclado del sistema, tomar capturas de pantalla y exfiltrar credenciales a una variedad de software instalado en la máquina de la víctima (incluidos Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook).
4 ↑ Lumma Stealer – Lumma Stealer, también conocido como LummaC2, es un malware de robo de información vinculado a Rusia que ha estado operando como una plataforma de Malware-as-a-Service (MaaS) desde el año 2022.
Este malware, descubierto a mediados de 2022, está en constante evolución y se distribuye activamente en foros en idioma ruso.
Como un ladrón de información típico, LummaC2 se enfoca en recolectar varios datos de los sistemas infectados, incluidas las credenciales del navegador y la información de la cuenta de criptomonedas.
5 ↓ Formbook – Formbook es un Infostealer que ataca al sistema operativo Windows y fue detectado por primera vez en 2016. Se comercializa como Malware as a Service (MaaS) en foros de piratería clandestinos por sus potentes técnicas de evasión y su precio relativamente bajo.
FormBook recopila credenciales de varios navegadores web, recopila capturas de pantalla, monitorea y registra las pulsaciones de teclas y puede descargar y ejecutar archivos según las órdenes de su C&C.
6 ↑ NJRat – NJRat es un troyano de acceso remoto que ataca principalmente a agencias y organizaciones gubernamentales en Oriente Medio.
El troyano apareció por primera vez en 2012 y tiene múltiples capacidades: capturar pulsaciones de teclas, acceder a la cámara de la víctima, robar credenciales almacenadas en los navegadores, cargar y descargar archivos, realizar manipulaciones de procesos y archivos y ver el escritorio de la víctima.
NJRat infecta a las víctimas a través de ataques de phishing y descargas automáticas, y se propaga a través de memorias USB infectadas o unidades en red, con el apoyo del software del servidor Command & Control.
7 ↑ AsyncRat – Asyncrat es un troyano que ataca la plataforma Windows. Este malware envía información del sistema sobre el sistema atacado a un servidor remoto.
Recibe comandos del servidor para descargar y ejecutar complementos, eliminar procesos, desinstalarse/actualizarse y capturar capturas de pantalla del sistema infectado.
8 ↑ Remcos – Remcos es un RAT que apareció por primera vez en 2016. Remcos se distribuye a través de documentos maliciosos de Microsoft Office, que se adjuntan a correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar malware con privilegios de alto nivel.
9 ↔ Glupteba – Conocido desde 2011, Glupteba es una puerta trasera que gradualmente maduró hasta convertirse en una botnet.
En 2019, incluía un mecanismo de actualización de direcciones C&C a través de listas públicas de Bitcoin, una capacidad integral de robo de navegadores y un explotador de enrutadores.
10 ↓ Vidar: Vidar es un malware que roba información y que funciona como malware como servicio y que se descubrió por primera vez a fines de 2018.
El malware se ejecuta en Windows y puede recopilar una amplia gama de datos confidenciales de navegadores y billeteras digitales. Además, el malware se utiliza como descargador de ransomware.
Principales vulnerabilidades explotadas
1 ↑ Servidores web URL maliciosas de directorio transversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) –
Existe una vulnerabilidad de recorrido de directorio en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no desinfecta correctamente la URI para los patrones de recorrido de directorio.
La explotación exitosa permite a atacantes remotos no autenticados divulgar o acceder a archivos arbitrarios en el servidor vulnerable.
2 ↓ Inyección de comandos a través de HTTP (CVE-2021-43936, CVE-2022-24086): se ha informado de una vulnerabilidad de inyección de comandos a través de HTTP.
Un atacante remoto puede explotar este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina de destino.
3 ↑ Inyección de comandos Zyxel ZyWALL (CVE-2023-28771): existe una vulnerabilidad de inyección de comandos en Zyxel ZyWALL.
La explotación exitosa de esta vulnerabilidad permitiría a atacantes remotos ejecutar comandos arbitrarios del sistema operativo en el sistema afectado.
Principales malwares para móviles
Este mes, Joker ocupa el primer puesto entre los malwares para móviles más frecuentes, seguido de Necro y Anubis.
1 ↔ Joker: un spyware para Android en Google Play, diseñado para robar mensajes SMS, listas de contactos e información del dispositivo.
Además, el malware registra a la víctima de forma silenciosa para servicios premium en sitios web de publicidad.
2 ↑ Necro: Necro es un troyano para Android que descarga malware.
Es capaz de descargar otro malware, mostrar anuncios intrusivos y robar dinero mediante el cobro de suscripciones pagas.
3 ↓ Anubis: Anubis es un malware troyano bancario diseñado para teléfonos móviles Android.
Desde que se detectó inicialmente, ha adquirido funciones adicionales, incluida la funcionalidad de troyano de acceso remoto (RAT), registrador de teclas, capacidades de grabación de audio y varias funciones de ransomware.
Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
Las industrias más afectadas a nivel mundial
Este mes, la educación y la investigación se mantuvieron en el primer puesto entre las industrias atacadas a nivel mundial, seguidas por el gobierno y el ejército y las comunicaciones.
- Educación/Investigación
- Gobierno/Militar
- Comunicaciones
Principales grupos de ransomware
Los datos se basan en información de “sitios de la vergüenza” de ransomware administrados por grupos de ransomware de doble extorsión que publicaron información sobre las víctimas.
RansomHub es el grupo de ransomware más frecuente este mes, responsable del 17 % de los ataques publicados, seguido de Play con el 10 % y Meow con el 5 %.
1 RansomHub: RansomHub es una operación de ransomware como servicio (RaaS) que surgió como una versión renombrada del ransomware Knight anteriormente conocido.
RansomHub, que apareció de manera destacada a principios de 2024 en foros clandestinos sobre delitos cibernéticos, rápidamente ganó notoriedad por sus campañas agresivas dirigidas a varios sistemas, incluidos Windows, macOS, Linux y, en particular, entornos VMware ESXi.
Este malware es conocido por emplear métodos de cifrado sofisticados. Play
2 – Play Ransomware, también conocido como PlayCrypt, es un ransomware que surgió por primera vez en junio de 2022.
Este ransomware se ha dirigido a un amplio espectro de empresas e infraestructuras críticas en América del Norte, América del Sur y Europa, afectando aproximadamente a 300 entidades en octubre de 2023.
Play Ransomware generalmente obtiene acceso a las redes a través de cuentas válidas comprometidas o explotando vulnerabilidades sin parches, como las de las VPN SSL de Fortinet.
Una vez dentro, emplea técnicas como el uso de binarios que viven fuera de la tierra (LOLBins) para tareas como la exfiltración de datos y el robo de credenciales.
3 Meow – Meow Ransomware es una variante basada en el ransomware Conti, conocido por cifrar una amplia gama de archivos en sistemas comprometidos y agregar la extensión “. MEOW” y les deja una nota de rescate llamada “readme.txt”, en la que se les indica a las víctimas que se pongan en contacto con los atacantes por correo electrónico o Telegram para negociar el pago del rescate.
El ransomware Meow se propaga a través de varios vectores, incluidas configuraciones RDP desprotegidas, correo no deseado y descargas maliciosas, y utiliza el algoritmo de cifrado ChaCha20 para bloquear los archivos, excepto los archivos “.exe” y de texto.
