Trickbot ocupa el primer puesto por quinta vez y afecta al 4% de las empresas de todo el mundo

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ha publicado su Índice Global de Amenazas del mes de octubre. Los investigadores informan que el botnet y troyano bancario, Trickbot, sigue encabezando la lista de los programas maliciosos más frecuentes, afectando al 4% de las empresas de todo el mundo, mientras que «Apache HTTP Server Directory Traversal» ha entrado en la lista de las diez vulnerabilidades más explotadas. CPR también revela que el sector más atacado es el de la educación/investigación.

Trickbot es capaz de robar datos financieros, credenciales de cuentas e información personal identificable, así como de propagarse lateralmente dentro de una red y lanzar ransomware. Desde el desmantelamiento de Emotet en enero, Trickbot ha figurado cinco veces en el primer puesto de la lista de malware más frecuentes. Se actualiza constantemente con nuevas capacidades, características y vectores de distribución, lo que le permite ser un malware flexible y personalizable que puede distribuirse como parte de campañas con múltiples propósitos.

Una nueva vulnerabilidad, «Apache HTTP Server Directory Traversal», ha entrado en la lista de las diez principales vulnerabilidades explotadas en octubre, en el décimo lugar. Cuando se descubrió por primera vez, los desarrolladores de Apache publicaron correcciones para CVE-2021-41773 en Apache HTTP Server 2.4.50. Sin embargo, se descubrió que el parche era insuficiente y que seguía existiendo una brecha en el acceso a directorios en Apache HTTP Server. La explotación exitosa podría permitir a un ciberdelincuentes acceder a archivos arbitrarios en el sistema afectado. 

«La vulnerabilidad de Apache apareció a principios de octubre y ya es una de las diez vulnerabilidades más explotadas en todo el mundo, lo que demuestra la rapidez con la que se mueven los ciberdelincuentes. Esta vulnerabilidad puede llevar a los ciberdelincuentes a mapear URLs a archivos fuera de la raíz del documento esperada, lanzando un ataque path transversal», afirma Maya Horowitz, vicepresidenta de investigación de Check Point Software. «Es imperativo que sus usuarios cuenten con las tecnologías de protección adecuadas». Este mes, Trickbot, que a menudo se utiliza para lanzar ransomware, vuelve a ser el malware más frecuente. A nivel mundial, una de cada 61 empresas sufre ransomware cada semana. Es una cifra impactante y las empresas deben hacer más. Muchos ataques comienzan con un simple correo electrónico, por lo que educar a los usuarios sobre cómo identificar una amenaza potencial es una de las defensas más importantes que una empresa puede desplegar.» 

Check Point Research también ha revelado este mes que el sector de la educación/investigación es el más atacado a nivel mundial, seguido por el de las comunicaciones y el gubernamental/militar.

Asimismo, los expertos de la compañía señalan que “Servidores web con URL maliciosas de directorio transversal”, es la vulnerabilidad explotada más común – que ha afectado60% de las empresasa nivel mundial-, seguida de “La revelación de información del servidor web Git”que impactó a más del 55%. «La ejecución de código remoto en encabezados HTTP» se sitúa en tercer lugar, afectando al 54% de los negocios en el mundo. 

Los 3 malware másbuscados en España en octubre 

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior. 

1. ↔Trickbot- Trickbot es un troyano bancario dominante que se actualiza constantemente con nuevas capacidades, características y vectores de distribución. Esto permite que sea un malware flexible y personalizable que puede ser distribuido como parte de campañas multipropósito. Ha afectado a un 8,03% de las empresas españolas.
2. ↔ Formbook – Detectado por primera vez en 2016, FormBook es un InfoStealer que apunta al sistema operativo Windows. Se comercializa como MaaS en los foros underground de hacking por sus fuertes técnicas de evasión y su precio relativamente bajo. FormBook cosecha credenciales de varios navegadores web, recoge capturas de pantalla, monitoriza y registra las secuencias de teclas, pudiendo descargar y ejecutar archivos según las órdenes de su C&C. Ha atacado al 4,49% de las compañías en españolas.
3. ↑XMRig – Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 3,95% de las organizaciones en España.

Los sectores más atacados a nivel mundial

Este mes, la educación/investigación es la industria más atacada a nivel mundial, seguida de las comunicaciones y el gobierno/militar.

1. Educación/investigación
2. Comunicaciones
3. Gobierno/Militar

Top 3 vulnerabilidades más explotadas en octubre

1. ↑Servidores web con URL maliciosas con directorio transversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La debilidad se debe a un error de validación de entrada en un servidor web que no sanea adecuadamente la URL para los patrones de recorrido de directorios. El éxito de la explotación permite a los ciberdelincuentes remotos no autentificados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
2. ↓Revelación de información del servidor web Git– La explotación exitosa de la vulnerabilidad de divulgación de información en el Repositorio Git. permitecompartir de forma involuntaria información de la cuenta.

3. ↔Ejecución remota de código en encabezados HTTP–Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. Un ciberdelincuenteremoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en el equipo infectado. 

Top 3 del malware móvil mundial en octubre

1. xHelper – aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
2. AlienBot – Esta familia de malware es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
3. XLoader– es un troyano espía y bancario para Android desarrollado por YanbianGang, un grupo de hackers chinos. Este malware utiliza la suplantación de DNS para distribuir aplicaciones Android infectadascon el fin de recopilar información personal y financiera.

Me interesa

• Cómo proteger los dispositivos móviles en tu empresa
• Cómo mantener seguros los datos de tu empresa
• Qué hacer para que los piratas informáticos no puedan acceder a tu red y archivos
• Las 5 mejores prácticas ante el ransomware
• Con estas amenazas los ciberdelincuentes ya no hackean, simplemente inician sesión