Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de febrero. El troyano Remcos regresa a la lista de los diez primeros. Este malware estuvo ausente desde diciembre de 2022, después de que lo utilizaran los ciberdelincuentes para atacar a las entidades gubernamentales ucranianas a través de acciones de phishing. Mientras tanto, Emotet Trojan y Formbook Infostealer subieron al segundo y tercer lugar del ranking global respectivamente, mientras que la educación/investigación continúan siendo las industrias más atacadas.
A pesar de que los investigadores de Check Point Research, la división de Inteligencia de Amenazas de Check Point Software, han identificado entre octubre de 2022 y febrero de 2023 una disminución del 44% en el número promedio de ataques semanales por empresa, Ucrania sigue siendo un objetivo popular para los ciberdelincuentes tras la invasión rusa.
En la campaña más reciente, los atacantes se hicieron pasar por Ukrtelecom JSC en una distribución masiva de correo electrónico, utilizando un archivo adjunto RAR malicioso para propagar el troyano Remcos, que ha regresado a la parte superior de la lista de malware por primera vez desde octubre de 2022. Una vez instalada, esta herramienta abría un backdoor en el sistema comprometido, permitiendo un acceso completo en remoto para llevar a cabo actividades como la filtración de datos y la ejecución de comandos. Por los patrones de comportamiento y las capacidades ofensivas de los incidentes. se cree que los ciberataques en curso están vinculados a operaciones de ciberespionaje
“Si bien ha habido una disminución en el número de ciberataques relacionados con motivos políticos en Ucrania, todavía sigue siendo un campo de batalla activo. El hacktivismo ha sido una prioridad en la agenda de los ciberatacantes desde que comenzó la guerra ruso-ucraniana, y la mayoría ha aprovechado de métodos como los ataques disruptivos de DDoS para obtener más publicidad. Sin embargo, la última campaña utilizó una ruta de ataque más tradicional, aprovechando las estafas de phishing para obtener información de los usuarios y extraer datos. Es importante que todas las organizaciones gubernamentales sigan unas prácticas de seguridad correctas al recibir y abrir correos electrónicos: no hay que descargar archivos adjuntos sin analizar primero las propiedades, evitar hacer clic en los enlaces dentro del cuerpo del correo electrónico y verificar la dirección del remitente para detectar anomalías, como caracteres adicionales o faltas de ortografía” asegura Manuel Rodríguez, Gerente de Ingeniería de Seguridad para el Norte de América Latina, de Check Point Software.
Los 3 malware más buscados en Colombia en febrero:
*Las flechas se refieren al cambio de rango en comparación con el mes anterior.
↑ Qbot – Qbot AKA Qakbot, es un troyano bancario que apareció por primera vez en 2008. Fue diseñado para robar las credenciales bancarias y las pulsaciones de teclas de un usuario. A menudo distribuido a través de correo electrónico no deseado, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección. Ha sido responsable del 10.67% de los ataques a organizaciones en Colombia en este periodo y globalmente del 7.18%.
↑ XMRig – XMRig es un software de minería de CPU de código abierto utilizado para minar la criptomoneda Monero. Los actores de amenazas a menudo abusan de este software de código abierto integrándolo en su malware para actividades de minado desde los dispositivos de las víctimas. Ha impactado en un 9.33% de las empresas en Colombia y en ámbito global su impacto fue del 3.61%.
↑Emotet – Troyano avanzado, autopropagable y modular. Emotet funcionaba como un troyano bancario, pero ha evolucionado para distribuir otros programas o campañas maliciosas. Además, destaca por utilizar múltiples métodos y técnicas de evasión para evitar su detección. Puede difundirse a través de campañas de spam en archivos adjuntos o enlaces maliciosos en correos electrónicos. Este malware que ingresa al top tres en Colombia, ha impactado al 8.44%. de las empresas en el país y globalmente al 3.90%.
Las tres industrias más atacadas a nivel mundial
El mes pasado, la educación/investigación continuó siendo la industria más atacada a nivel mundial, seguida por gobierno/militar y salud.
Educación/investigación
Gobierno/militar
Salud
Las tres vulnerabilidades más explotadas en febrero:
Por otra parte, Check Point Research también reveló que «Web Servers Malicious URL Directory Traversal» fue la vulnerabilidad más explotada que afectó al 47% de las organizaciones a nivel mundial, seguida por «Web Server Exposed Git Repository Information Disclosure», que afectó al 46%, y «Apache Log4j Remote Code Execution», con un impacto global del 45%.
↑ Web Servers Malicious URL Directory Traversal – La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no depura correctamente el URI para los patrones transversales. La explotación exitosa permite a los ciberatacantes remotos no autenticados acceder a archivos arbitrarios en el servidor vulnerado.
↓ Web Server Exposed Git Repository Information Disclosure – Se ha detectado una vulnerabilidad de divulgación de información en Git Repository que permite una divulgación involuntaria de la información de la cuenta.
↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe una vulnerabilidad de ejecución remota de código en Apache Log4j, mediante la cual un atacante remoto podría aprovechar para ejecutar código arbitrario en el sistema afectado.
Los tres malwares móviles más usados en febrero:
Anubis – Anubis es un malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó inicialmente, ha ganado funcionalidades adicionales que incluyen troyano de acceso remoto (RAT), keylogger, capacidades de grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
Hiddad – Hiddad es un malware de Android que reempaqueta aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.
AhMyth – AhMyth es un troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como el registro de teclas, la toma de capturas de pantalla, el envío de mensajes SMS y la activación de la cámara, que generalmente se usa para robar información confidencial.
El Índice Global de Impacto de Amenazas de Check Point Software y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.
La lista completa de las 10 familias principales de malware en febrero está disponible en el blog de Check Point Software.
