Se Revela el Top Malware de julio para Colombia y Global

Check Point® Software Technologies, líder en soluciones de ciberseguridad basadas en IA y entregadas en la nube, ha publicado su Índice Global de Amenazas de julio de 2024. A pesar de una disminución notable en junio, LockBit resurgió el mes pasado para convertirse en el segundo grupo de ransomware más prevalente, mientras que RansomHub mantuvo la primera posición. Además, los investigadores identificaron una campaña que distribuía el malware Remcos debido a un problema de actualización de CrowdStrike, así como una serie de nuevas tácticas de FakeUpdates, que han retomado la primera posición este mes.

Un fallo en el sensor Falcon de CrowdStrike para Windows propició que los ciberdelincuentes distribuyeran un archivo ZIP dañino denominado crowdstrike-hotfix.zip. Dicho archivo contenía HijackLoader, que a su vez desencadenaba el malware Remcos, situándolo como el séptimo malware más destacado en julio. La campaña estaba dirigida a empresas con instrucciones en español e incluía la creación de dominios falsos para ataques de phishing.

Por otro lado, los investigadores descubrieron nuevas tácticas empleadas por FakeUpdates. Los usuarios que accedían a sitios web comprometidos se topaban con avisos engañosos de actualización del navegador, que llevaban a la instalación de troyanos de acceso remoto (RAT) como AsyncRAT, actualmente en el noveno puesto del índice de Check Point Software. Es preocupante que los ciberdelincuentes hayan comenzado a explotar BOINC, una plataforma de computación voluntaria, para tomar control remoto de los sistemas infectados.

«La continua persistencia y resurgimiento de grupos de ransomware cómo Lockbit y RansomHub subraya que los ciberdelincuentes siguen centrándose en el ransomware, un importante desafío para las empresas con implicaciones de gran alcance para su continuidad operativa y la seguridad de los datos. Para contrarrestar estas amenazas, las compañías tendrán que adoptar una estrategia de seguridad multicapa que incluya una sólida protección de los endpoints, una monitorización continua y la educación de los usuarios para reducir el impacto de estos ciberataques cada vez más masivos”, afirma Maya Horowitz, VP de Investigación de Check Point Software.

“La reciente explotación de una actualización de software de seguridad para distribuir el malware Remcos que ocupa el primer lugar del ranking en Colombia, pone aún más de relieve la naturaleza oportunista de los ciberdelincuentes, lo que compromete aún más las defensas de las empresas” afirma, Manuel Rodríguez, Gerente de Ingeniería de Seguridad para NOLA de Check Point Software.

Principales familias de malware en Colombia en Julio

*Las flechas se refieren al cambio de rango en comparación con el mes anterior:

1. ↔Remcos – Remcos es un RAT que apareció primero en estado salvaje en 2016. Este malware se distribuye a través de documentos de Microsoft Office maliciosos que están adjuntos en emails de SPAM, y está diseñado para eludir la seguridad del UAC (Control de Cuentas de Usuario) de Microsoft y ejecutar malware con altos privilegios. Este RAT impactó en julio en un 11.61% a las empresas en Colombia y en 2.47% a las compañías en el mundo.

1.        ↑Phorpiex – Phorpiex – Es una red de bots (alias Trik) que ha operado desde 2010 y que en su momento de máxima actividad controló más de un millón de hosts infectados. Conocido por distribuir otras familias de malware a través de campañas de spam, así como por alimentar campañas de spam y sextorsión a gran escala. Ha afectado un 9.23% de las empresas en Colombia y en el mundo al 2.09%.

2. ↓ FakeUpdates. Downloader hecho en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en julio al 8.93% de las empresas en Colombia y en 7.40% de las compañías en el mundo.

Vulnerabilidades más explotadas

1. ↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – se descubrió una vulnerabilidad de inyección de comandos a través de HTTP. Un atacante remoto puede explotar este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina objetivo.
2. ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771): existe una vulnerabilidad de inyección de comandos en Zyxel ZyWALL. La explotación exitosa permitiría a atacantes remotos ejecutar comandos arbitrarios en el sistema afectado.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – las cabeceras HTTP permiten al cliente y al servidor pasar información adicional con una petición HTTP. Un atacante remoto puede utilizar una cabecera HTTP vulnerable para ejecutar código arbitrario en la máquina víctima.

Principales programas maliciosos para móviles

El mes pasado, Joker ocupó el primer puesto como malware para móviles más extendido, seguido de Anubis y AhMyth.

1. ↔ Joker – Un spyware Android en Google Play, diseñado para robar mensajes SMS, listas de contactos e información del dispositivo. Además, el malware registra a la víctima en silencio para servicios premium en páginas web de publicidad.
2. ↔ Anubis – Malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto (RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
3. ↔ AhMyth – Es un troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas apps infectadas, el malware puede recopilar información sensible del dispositivo y realizar acciones como keylogging, tomar capturas de pantalla, enviar mensajes SMS y activar la cámara, que suele utilizarse para robar información sensible.

Los sectores más atacados a escala mundial

El mes pasado, Educación/Investigación se mantuvo en el primer puesto de los sectores más atacados a escala mundial, seguido de Gobierno/Militar y Comunicación.

1. Educación/Investigación.
2. Gobierno/Militar.
3. Comunicación.

Principales grupos de ransomware

Los datos se basan en los «shame sites» de grupos de ransomware de doble extorsión que publicaron información sobre las víctimas. RansomHub fue el grupo de ransomware más prevalente el mes pasado, responsable del 11% de los ataques publicados, seguido de LockBit3con un 8% y Akira con un 6%.

1. RansomHub – Es una operación de ransomware como servicio (RaaS) que surgió como una versión renovada del anteriormente conocido ransomware Knight. RansomHub, que apareció a principios de 2024 en foros clandestinos de ciberdelincuencia, ha ganado notoriedad rápidamente por sus agresivas campañas dirigidas a varios sistemas, como Windows, macOS, Linux y, en particular, entornos VMware ESXi. Este malware es conocido por emplear sofisticados métodos de cifrado.
2. LockBit3 – LockBit3 es un ransomware que opera en un modelo de RaaS, reportado por primera vez en septiembre de 2019. LockBit tiene como objetivo a grandes empresas y entidades gubernamentales de varios países y no apunta a individuos en Rusia o la Comunidad de Estados Independientes.
3. Akira – Se dio a conocer por primera vez a principios de 2023, se dirige tanto a sistemas Windows como Linux. Utiliza cifrado simétrico con CryptGenRandom y Chacha 2008 para cifrar archivos y es similar al ransomware Conti v2 filtrado. Akira se distribuye a través de varios medios, incluidos adjuntos de correo electrónico infectados y exploits en endpoints VPN. Una vez infectado, cifra los datos y añade la extensión «.akira» a los nombres de los archivos, tras lo cual presenta una nota de rescate exigiendo el pago del descifrado.