Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ha publicado su Índice Global de Amenazas del mes de junio. Los investigadores señalan que Trickbot sigue siendo el programa malicioso más extendido, después de ocupar el primer puesto en mayo.
Trickbot es una red de bots y un troyano bancario con capacidad para robar datos financieros, credenciales de las cuentas e información personal identificable, así como para desplegarse dentro de una red y lanzar ransomware. El mes pasado, CPR informó de que el ransomware aumentó un 93% de media en los últimos 12 meses, y también advirtió de que estos ataques a menudo empiezan con ransomware como el ataques de Ryuk, en el que se utilizó el malware Emotet para infiltrarse en la red y Trickbot para infectarla antes de que el ransomware cifrara finalmente los datos.
Desde que la red de botsEmotet fue eliminada en enero, el troyano y la red de botsTrickbot han ganado popularidad. y recientemente se le ha relacionado con una nueva cepa de ransomware llamada «Diavol». Trickbot se actualiza con nuevas capacidades, características y vectores de distribución de forma constante, lo que le convierte en un malware flexible y personalizable que puede distribuirse en campañas multipropósito.
“Algunos grupos de ransomware conocidos como Ryuk y REvil se basan en formas variadas de malware en sus etapas iniciales de infección, y uno de ellos, Tickbot, es el más importante de este mes», destaca Maya Horowitz, directora de Inteligencia de Amenazas e Investigación de Productos de Check Point. “Las organizaciones deben ser muy conscientes de los riesgos y asegurarse de que cuentan con las soluciones adecuadas. Además de la red de bots y el troyano bancario Trickbot, la lista de este mes incluye una gran variedad de tipos de malware, como redes de bots, backdoors, RATs y móviles. Es fundamental que las empresas dispongan de la tecnología adecuada para hacer frente a una variedad tan amplia de amenazas. Si lo hacen, la mayoría de los ataques, incluso los más avanzados como REvil, pueden evitarse sin interrumpir el flujo normal de la empresa».
Asimismo, los expertos de la compañía advierten que “Ejecución de Código Remoto en encabezados HTTP (CVE-2020-13756)», es la vulnerabilidad explotada más común – afectó al 47% de las empresas a nivel mundial, seguida de «Ejecución de código en remoto de MVPower DVR» “que impactó a más del 45%. Dasan «MVPower DVR RemoteCodeExecution se sitúa en tercer lugar, afectando al 44% de los negocios a nivel mundial.
Los 3 malwares más buscados en España en junio
*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.
- ↔Trickbot– Trickbot es un troyano bancario dominante que se actualiza constantemente con nuevas capacidades, características y vectores de distribución. Esto permite que sea un malware flexible y personalizable que puede ser distribuido como parte de campañas multipropósito. Ha afectado a un 7,10 % de las empresas españolas.
- ↔ XMRig – Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 5,82% de las organizaciones en España.
- ↔ Formbook– Detectado por primera vez en 2016, FormBook es un InfoStealer que apunta al sistema operativo Windows. Se comercializa como MaaS en los foros de hacking underground por sus fuertes técnicas de evasión y su precio relativamente bajo. FormBook cosecha credenciales de varios navegadores web, recoge capturas de pantalla, monitoriza y registra las secuencias de teclas, pudiendo descargar y ejecutar archivos según las órdenes de su C&C. Ha atacado al 4,12% de las compañías en españolas.
Top 3 vulnerabilidades más explotadas en junio
- Ejecución remota de código en encabezados HTTP (CVE-2020-13756) –Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. El ciberdelincuente puede remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en remoto en el equipo infectado.
- Ejecución de código en remoto de MVPower DVR –Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Un atacante en remoto puede explotar esta vulnerabilidad para ejecutar código arbitrario en el router objetivo a través de una petición hecha a medida.
- Bypass de autentificación del router Dasan GPON –una vulnerabilidad de autenticación de bypass que existe en los routers Dasan GPON. La explotación de esta vulnerabilidad permite a los ciberdelincuentes obtener información sensible y acceder sin autorización al sistema afectado en remoto.
Top 3 del malware móvil mundial en mayo
- xHelper – aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
- Hiddad–es un malware para Android que tiene como función principal mostrar anuncios. Sin embargo, también puede obtener acceso a las claves seguridad incorporadas en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario.
- XLoader– es un troyano espía y bancario para Android desarrollado por YanbianGang, un grupo de hackers chinos. Este malware utiliza la suplantación de DNS para distribuir aplicaciones Android infectadas, con el fin de recopilar información personal y financiera.
Me interesa
- La evolución del ransomware: del email al acceso inicial como primer paso
- Ransomware, fraude al CEO y espionaje corporativo, las amenazas que deben preocupar a las empresas en 2021
- Consejos para prevenir un ataque de ransomware
- Por qué no hay que pagar un ransomware
- Qué hacer si somos víctimas de un ransomware
