Check Point® Software Technologies Ltd., líder en soluciones de ciberseguridad basadas en IA y entregadas en la nube, ha publicado su Índice Global de Amenazas de marzo de 2024. Este informe destaca el uso de archivos de Disco Duro Virtual (VHD) para implementar el troyano de acceso remoto (RAT) Remcos. Por otro lado, Lockbit3 sigue siendo el grupo de ransomware más destacado, a pesar de la acción policial en febrero, aunque su aparición en los sitios de vergüenza de ransomware monitoreados por Check Point Software ha disminuido del 20% al 12%.
Remcos es un malware que ha estado circulando libremente desde 2016. Esta última campaña ha logrado eludir las medidas de seguridad y dar a los ciberdelincuentes acceso no autorizado a los dispositivos de las víctimas. A pesar de sus orígenes legítimos para administrar de forma remota sistemas Windows, los atacantes pronto comenzaron a infectar dispositivos, hacer capturas de pantalla, registrar pulsaciones de teclas y transmitir los datos recopilados a servidores host. Además, el troyano de acceso remoto RAT tiene la función de envío masivo de correos electrónicos que puede poner en marcha campañas de distribución y, en general, sus diversas funciones pueden usarse para crear botnets. El mes pasado, ascendió al cuarto lugar en la lista de malware principal y ascendió dos puestos desde febrero en el mundo.
“En la evolución de las tácticas de ataque destaca el avance en las estrategias de los ciberdelincuentes”, comenta Maya Horowitz, VP de Investigación de Check Point Software. “Esto subraya la necesidad de que las empresas prioricen medidas proactivas.
Por su parte, Manuel Rodríguez, Gerente de Ingeniería de Seguridad para Nola de Check Point recomienda:
“Manteniéndonos alerta, desplegando una protección de endpoint sólida y fomentando una cultura de conciencia de ciberseguridad, podemos fortalecer en conjunto nuestras defensas contra los ciberataques en evolución”.
El índice de amenazas de Check Point Research incluye datos de aproximadamente 200 sitios web sospechosos operados por grupos de ransomware que practican la doble extorsión, de los cuales 68 han publicado información de sus víctimas este año para presionarlas a pagar. Lockbit3 sigue siendo el ransomware más predominante, con un 12% de los incidentes registrados, seguido por Play con un 10% y Blackbasta con un 9%. Blackbasta, que se coloca por primera vez entre los tres primeros, ha reivindicado un reciente ataque cibernético contra Scullion Law, un bufete de abogados escocés.
CPR también ha informado que la vulnerabilidad “Web Servers Malicious URL Directory Traversal” ha sido la más explotada, afectando al 50% de las empresas, seguida por la “Inyección de comandos sobre HTTP” con un 48%, y la “Ejecución de código remoto a través de cabeceras HTTP” con un 43%.
Los tres malware más buscados en Colombia en marzo:
*Las flechas indican el cambio en el ranking en comparación con el mes pasado.
1. ↑ AsyncRat – AsyncRat es un troyano dirigido a la plataforma Windows. Este malware envía información del sistema sobre el sistema objetivo a un servidor remoto. Recibe comandos del servidor para descargar y ejecutar complementos, finalizar procesos, desinstalarse/actualizarse y capturar capturas de pantalla del sistema infectado. Ha impactado en marzo el 6.21% de las empresas en Colombia y en el mundo al 1.55%.
2. ↑ NjRAT– NjRAT, también conocido como Bladabindi, es un troyano de acceso remoto (RAT) desarrollado por el grupo de hackers M38dHhM. Reportado por primera vez en 2012, se ha utilizado principalmente contra objetivos en el Medio Oriente y principalmente contra agencias y organizaciones gubernamentales. El troyano tiene múltiples capacidades: capturar pulsaciones de teclas, acceder a la cámara de la víctima, robar credenciales almacenadas en los navegadores, cargar y descargar archivos, realizar manipulaciones de procesos y archivos y ver el escritorio de la víctima. Infecta a las víctimas mediante ataques de phishing y descargas no autorizadas, y se propaga a través de llaves USB o unidades en red infectadas, con el apoyo del software de servidor Command & Control. Este malware ha afectado al 4.35% de compañías colombianas y al 1.02% en ámbito mundial
3. ↑Tofsee – Es un Trickler dirigido a la plataforma Windows. Este malware intenta descargar y ejecutar archivos maliciosos adicionales en los sistemas de destino. Puede descargar y mostrar un archivo de imagen a un usuario en un esfuerzo por ocultar su verdadero propósito. En marzo en Colombia afectó al 4.04% de empresas y globalmente al 0.82%.
Las tres industrias más atacadas en Europa en marzo
El mes pasado, Educación/Investigación se situó como la industria más atacada en el mundo, seguida de Gobierno/Militar y Comunicaciones.
1. Educación/Investigación
2. Gobierno/Militar
3. Comunicaciones
Las tres vulnerabilidades más explotadas en marzo
Por otra parte, Check Point Software señala que el mes pasado la vulnerabilidad más explotada fue “Travesía de directorios de URL maliciosas en servidores web” impactando en un 50% de las empresas de todo el mundo, seguida de “Inyección de comandos sobre HTTP” con un 48%y “Ejecución remota de código a través de encabezados HTTP” con un 43%.
1. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe una vulnerabilidad de travesía de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no desinfecta correctamente la URI para los patrones de travesía de directorios. La explotación exitosa permite a atacantes remotos no autenticados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
2. ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Se ha informado de una vulnerabilidad de inyección de comandos sobre HTTP. Un atacante remoto puede explotar este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina objetivo.
3. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – Los encabezados HTTP permiten que el cliente y el servidor pasen información adicional con una solicitud HTTP. Un atacante remoto puede utilizar un encabezado HTTP vulnerable para ejecutar código arbitrario en la máquina víctima.
Los tres malware móviles más usados en marzo
El mes pasado Anubis se mantuvo en el primer lugar como el malware móvil más usado, seguido de AhMyth y Cerberus.
1. Anubis – Malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto (RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
2. AhMyth – Troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como el registro de teclas, capturas de pantalla, el envío de mensajes SMS y la activación de la cámara, lo que se suele usar para robar información sensible.
3. Cerberus – Visto por primera vez en la naturaleza en junio de 2019, Cerberus es un troyano de acceso remoto (RAT) con funciones específicas de superposición de pantalla bancaria para dispositivos Android. Cerberus opera en un modelo de Malware como Servicio (MaaS), ocupando el lugar de banqueros descontinuados como Anubis y Exobot. Sus características incluyen control de SMS, keylogging, grabación de audio, rastreador de ubicación, y más.
Los tres grupos ransomware más destacados en marzo
Esta sección se basa en información recibida de más de 200 “shame sites” ejecutadas por grupos ransomware de doble extorsión que publicaron los nombres e información de las víctimas. Los datos de estos sitios tienen sus propios sesgos, pero aun así proporcionan información valiosa sobre el ecosistema del ransomware.
En el último mes, LockBit3 ha sido el ransomware más destacado, responsable del 12% de los ataques realizados, seguido de Play con un 10% y Blackbasta con un 9%.
1. LockBit3 – LockBit3 es un ransomware que opera en un modelo de RaaS, reportado por primera vez en septiembre de 2019. LockBit tiene como objetivo a grandes empresas y entidades gubernamentales de varios países y no apunta a individuos en Rusia o la Comunidad de Estados Independientes. A pesar de experimentar interrupciones significativas en febrero de 2024 debido a la acción de las fuerzas del orden, LockBit3 ha reanudado la publicación de información sobre sus víctimas.
2. Play – Play Ransomware, también conocido como PlayCrypt, es un grupo de ransomware que surgió por primera vez en junio de 2022. Este ransomware ha dirigido un amplio espectro de empresas e infraestructuras críticas en América del Norte, América del Sur y Europa, afectando aproximadamente a 300 entidades para octubre de 2023. Play Ransomware suele obtener acceso a redes a través de cuentas válidas comprometidas o mediante la explotación de vulnerabilidades no parcheadas, como las de los Fortinet SSL VPN. Una vez dentro, emplea técnicas como el uso de binarios de “living-off-the-land” (LOLBins) para tareas como la exfiltración de datos y el robo de credenciales.
3. Blackbasta – El ransomware BlackBasta se observó por primera vez en 2022 y opera como ransomware como servicio (RaaS). Los actores de amenazas detrás de él principalmente tienen como objetivo a organizaciones e individuos mediante la explotación de vulnerabilidades de RDP y correos electrónicos de phishing para entregar el ransomware.
