Emotet se va de vacaciones este verano, pero definitivamente no está «fuera de la oficina»

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ha publicado su Índice Global de Amenazas del mes de julio de 2022. Los investigadores informan que Emotet sigue manteniendo su reinado como el malware más utilizado, a pesar de que su impacto global se ha reducido en un 50% en comparación con el mes anterior.

Después de un pico negativo en el impacto global de Emotet en el mes de junio, ha alcanzado de nuevo sus cifras de impacto global y continúa como el malware más extendido. Posiblemente el impacto disminuyese debido a las vacaciones de verano. Sin embargo, no dejan de descubrirse nuevas características y mejoras en sus capacidades como, por ejemplo, el último módulo de robo de tarjetas de crédito y los ajustes en sus sistemas de propagación.

En julio Snake Keylogger, un ladrón de credenciales, ha caído del tercer al octavo puesto. En junio, se propagaba a través de documentos maliciosos de Word, por lo que la disminución de su prevalencia podría deberse en parte a la reciente confirmación de Microsoft de que bloqueará las macros por defecto. El tercer puesto lo ocupa XMRig, un software de código abierto para CPU que se utiliza para la extracción de criptomonedas, lo que indica que los ciberdelincuentes están en esto fundamentalmente «por el dinero», a pesar de las motivaciones superiores que puedan alegar, como el hacktivismo. Malibot, que apareció por primera vez en el informe del mes pasado, sigue siendo una amenaza para los usuarios de la banca móvil, ya que sigue siendo el tercer programa malicioso para móviles más frecuente en todo el mundo.

“Como era de esperar, Emotet continúa dominando nuestras listas mensuales de malware», explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “Esta botnet evoluciona continuamente para mantener su persistencia y evasión. Sus últimos desarrollos incluyen un módulo de robo de tarjetas de crédito, lo que significa que las empresas y los individuos deben tener un cuidado adicional al hacer cualquier compra online. Además, ahora que Microsoft ha confirmado que bloqueará las macros por defecto, estamos a la espera de ver cómo los malwares, como Snake Keylogger, modifican sus tácticas”, concluye Nieva.

“La revelación de información del servidor web Git” ha sido la vulnerabilidad más explotada y común – ha afectado al 42% de las empresas de todo el mundo -, seguida muy de cerca por “Apache Log4j Remote Code Execution” que ha impactado en el 41% de las compañías a nivel mundial. “Servidores web URL maliciosos Directory Traversal” se sitúa en el tercer lugar del índice llegando a un 39% de las organizaciones.

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior. 

1. ↔ Emotet –Troyano avanzado, autopropagable y modular. Emotet funcionaba como un troyano bancario, pero ha evolucionado para distribuir otros programas o campañas maliciosas. Además, destaca por utilizar múltiples métodos y técnicas de evasión para evitar su detección. Puede difundirse a través de campañas de spam en archivos adjuntos o enlace maliciosos en correos electrónicos. Este malware ha afectado a un 9% de las empresas en España.
2. ↑XMRig – Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha impactado en un 1,9% de las organizaciones en España.
3. ↓ Formbook – Detectado por primera vez en 2016, FormBook es un Stealer que apunta al sistema operativo Windows. Se comercializa como MaaS en los foros de hacking underground por sus fuertes técnicas de evasión y su precio relativamente bajo. FormBook roba credenciales de varios navegadores web, recoge capturas de pantalla, monitoriza y registra las secuencias de teclas, pudiendo descargar y ejecutar archivos según las órdenes de su C&C. Este Stealer ha atacado al 1,9% de las empresas en nuestro país.

Los sectores más atacados a nivel mundial:

Este mes, la Educación/Investigación es la industria más atacada a nivel mundial, seguida de las Gobierno/Militar yISP/MSP.

1. Educación/Investigación
2. Gobierno/Militar
3. ISP/MSP 

Top 3 vulnerabilidades más explotadas en julio

1. ↑Filtración de información del repositorio Git–La vulnerabilidad en la exposición de información en el repositorio Git está reportada. La explotación exitosa de esta vulnerabilidad podría permitir la divulgación involuntaria de información de la cuenta.
2. ↔Ejecución remota de código en Apache Log4j (CVE-2021-44228) – Existe una vulnerabilidad de ejecución remota de código en Apache Log4j que, si se explota de forma favorable, podría admitir un atacante remoto ejecutar código arbitrario en el sistema afectado.
3. ↓Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260)- Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no sanea adecuadamente el URI para los patrones de recorrido de directorios. Una explotación exitosa permite a los atacantes remotos no autentificados acceder a archivos arbitrarios en el servidor vulnerable. 

Top 3 del malware móvil mundial en julio

1. AlienBot– Esta familia es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
2. Anubis –Anubis es un troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó por primera vez, ha ganado funciones adicionales, incluyendo la capacidad de troyano de acceso remoto (RAT), keylogger, grabación de audio, entre otras. Se ha detectado en cientos de aplicaciones diferentes disponibles en la tienda de Google.
3. MaliBot – Malibot es un malware infostealer para Android que ha sido detectado dirigiéndose a usuarios de España e Italia. El infostealer se disfraza de aplicaciones de minería de criptomonedas bajo diferentes nombres y se centra en robar información financiera, carteras de criptomonedas y más datos personales.

Me interesa

• Cómo proteger a las pymes de ciberataques durante las vacaciones
• El ransomware es la principal amenaza de ciberseguridad
• Pico histórico del ransomware: los ataques a empresas han aumentado un 59% con respecto al 2021