El último índice de amenazas de Check Point Software destaca el auge de Androxgh0st, una botnet integrada en Mozi, y las amenazas constantes de Joker y Anubis, lo que muestra la evolución de las tácticas de los cibercriminales.
El índice de amenazas globales de Check Point para noviembre de 2024 destaca la creciente sofisticación de los cibercriminales. El informe afirma el rápido ascenso de Androxgh0st, ahora integrado con la botnet Mozi, mientras continúa apuntando a infraestructuras críticas en todo el mundo.
Las infraestructuras críticas (que abarcan redes de energía, sistemas de transporte, redes de atención médica y más) siguen siendo un objetivo principal para los cibercriminales debido a su papel indispensable en la vida diaria y sus vulnerabilidades. Interrumpir estos sistemas puede provocar un caos generalizado, pérdidas financieras e incluso amenazas a la seguridad pública.
Los investigadores descubrieron que Androxgh0st, ahora encabeza la lista de malware, está explotando vulnerabilidades en múltiples plataformas, incluidos dispositivos IoT y servidores web, componentes clave de infraestructuras críticas. Al adoptar tácticas de Mozi, ataca sistemas que utilizan la ejecución remota de código y métodos de robo de credenciales para mantener un acceso persistente que permite actividades maliciosas como ataques DDoS y robo de datos. La botnet se infiltra en infraestructuras críticas a través de vulnerabilidades sin parches, y la integración de las capacidades de Mozi ha ampliado significativamente el alcance de Androxgh0st, lo que le permite infectar más dispositivos IoT y controlar una gama más amplia de objetivos. Estos ataques crean efectos en cascada en todas las industrias, lo que pone de relieve los altos riesgos para los gobiernos, las empresas y las personas que dependen de estas infraestructuras.
Entre las principales amenazas de malware móvil, Joker sigue siendo la más frecuente, seguida de Anubis y Necro. Joker sigue robando mensajes SMS, contactos e información del dispositivo mientras suscribe silenciosamente a las víctimas a servicios premium. Mientras tanto, Anubis, un troyano bancario, ha incorporado nuevas funciones, como acceso remoto, registro de pulsaciones de teclas y ransomware.
El auge de Androxgh0st y la integración de Mozi ilustran cómo los cibercriminales evolucionan constantemente sus tácticas. Las organizaciones deben adaptarse rápidamente e implementar medidas de seguridad sólidas que puedan identificar y neutralizar estas amenazas avanzadas antes de que puedan causar daños significativos.
Principales familias de malware
*Las flechas se relacionan con el cambio de clasificación en comparación con el mes anterior.
Androxgh0st es el malware más frecuente este mes con un impacto del 5% de las organizaciones en todo el mundo, seguido de cerca por FakeUpdates con un impacto del 5% y AgentTesla con un 3%.
↑ Androxgh0st – es una botnet que apunta a las plataformas Windows, Mac y Linux. Para la infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente apuntando a PHPUnit, Laravel Framework y Apache Web Server. El malware roba información confidencial como información de la cuenta de Twilio, credenciales SMTP, clave de AWS, etc. Utiliza archivos de Laravel para recopilar la información requerida. Tiene diferentes variantes que escanean en busca de información diferente.
↓ FakeUpdates – (también conocido como SocGholish) es un descargador escrito en JavaScript. Escribe las cargas útiles en el disco antes de ejecutarlas. FakeUpdates provocó más ataques a través de muchos otros programas maliciosos, incluidos GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult.
↔ AgentTesla: es un RAT avanzado que funciona como un keylogger y un ladrón de información, capaz de monitorear y recopilar la entrada del teclado de la víctima, el teclado del sistema, tomar capturas de pantalla y exfiltrar credenciales a una variedad de software instalado en la máquina de la víctima (incluidos Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook).
↑ Formbook: es un Infostealer que apunta al sistema operativo Windows y se detectó por primera vez en 2016. Se comercializa como Malware as a Service (MaaS) en foros de piratería clandestinos por sus fuertes técnicas de evasión y precio relativamente bajo. FormBook recopila credenciales de varios navegadores web, recopila capturas de pantalla, monitorea y registra las pulsaciones de teclas y puede descargar y ejecutar archivos de acuerdo con las órdenes de su C&C.
↑ Remcos – es un RAT que apareció por primera vez en 2016. Remcos se distribuye a través de documentos maliciosos de Microsoft Office, que se adjuntan a correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar malware con privilegios de alto nivel.
↔ AsyncRat – es un troyano que ataca a la plataforma Windows. Este malware envía información del sistema sobre el sistema atacado a un servidor remoto. Recibe comandos del servidor para descargar y ejecutar complementos, matar procesos, desinstalarse/actualizarse y capturar capturas de pantalla del sistema infectado.
↓ NJRat – es un troyano de acceso remoto, que ataca principalmente a agencias gubernamentales y organizaciones en Oriente Medio. El troyano apareció por primera vez en 2012 y tiene múltiples capacidades: capturar pulsaciones de teclas, acceder a la cámara de la víctima, robar credenciales almacenadas en navegadores, cargar y descargar archivos, realizar manipulaciones de procesos y archivos y ver el escritorio de la víctima. NJRat infecta a las víctimas mediante ataques de phishing y descargas automáticas, y se propaga a través de memorias USB infectadas o unidades en red, con el apoyo del software del servidor Command & Control.
↑ Phorpiex: es una botnet (también conocida como Trik) que ha estado activa desde 2010 y en su apogeo controló más de un millón de hosts infectados. Es conocida por distribuir otras familias de malware a través de campañas de spam, así como por impulsar campañas de spam y sextorsión a gran escala.
↑ Cloud Eye: es un descargador que apunta a la plataforma Windows y se utiliza para descargar e instalar programas maliciosos en las computadoras de las víctimas.
↑ Rilide: una extensión de navegador maliciosa que apunta a los navegadores basados en Chromium, imitando software legítimo para infiltrarse en los sistemas. Explota las funcionalidades del navegador para ejecutar actividades dañinas como monitorear la navegación web, capturar capturas de pantalla e inyectar scripts para robar criptomonedas. Rilide funciona descargando otro malware, registrando las actividades del usuario e incluso puede manipular el contenido web para engañar a los usuarios y obligarlos a realizar acciones no autorizadas.
Principales vulnerabilidades explotadas
↑ Inyección de comandos a través de HTTP (CVE-2021-43936, CVE-2022-24086): se ha informado de una vulnerabilidad de inyección de comandos a través de HTTP. Un atacante remoto puede explotar este problema enviando una solicitud especialmente diseñada a la víctima. Una explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina de destino.
↑ Divulgación de información del repositorio Git expuesta en un servidor web: se ha informado de una vulnerabilidad de divulgación de información en el repositorio Git. La explotación exitosa de esta vulnerabilidad podría permitir una divulgación involuntaria de información de la cuenta.
↑ Escáner de seguridad ZMap (CVE-2024-3378): ZMap es un producto de escaneo de vulnerabilidades. Los atacantes remotos pueden usar ZMap para detectar vulnerabilidades en un servidor de destino.
Principales malwares para móviles
Este mes, Joker ocupa el primer puesto entre los malwares para móviles más frecuentes, seguido de Anubis y Necro.
↔ Joker: un spyware para Android en Google Play, diseñado para robar mensajes SMS, listas de contactos e información del dispositivo. Además, el malware registra a la víctima de forma silenciosa para servicios premium en sitios web de publicidad.
↑ Anubis:es un malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó inicialmente, ha adquirido funciones adicionales, incluida la funcionalidad de troyano de acceso remoto (RAT), keylogger, capacidades de grabación de audio y varias funciones de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
↓ Necro: es un troyano para Android. Es capaz de descargar otro malware, mostrar anuncios intrusivos y robar dinero mediante el cobro de suscripciones pagas.
Industrias más afectadas a nivel mundial
Este mes, la educación y la investigación se mantuvieron en el primer puesto entre las industrias atacadas a nivel mundial, seguidas de las comunicaciones y el gobierno y el ejército.
- Educación/Investigación
- Comunicaciones
- Gobierno/Ejército
Principales grupos de ransomware
Los datos se basan en información de «sitios de la vergüenza» de ransomware administrados por grupos de ransomware de doble extorsión que publicaron información sobre las víctimas. RansomHub es el grupo de ransomware más frecuente este mes, responsable del 16 % de los ataques publicados, seguido de Akira con el 6 % y Killsec3 con el 6 %.
- RansomHub: Es una operación de ransomware como servicio (RaaS) que surgió como una versión renombrada del ransomware Knight, conocido anteriormente. RansomHub, que apareció de forma destacada a principios de 2024 en foros clandestinos sobre delitos cibernéticos, ha ganado notoriedad rápidamente por sus campañas agresivas dirigidas a varios sistemas, incluidos Windows, macOS, Linux y, en particular, entornos VMware ESXi. Este malware es conocido por emplear métodos de cifrado sofisticados.
- Akira: Akira Ransomware, del que se informó por primera vez a principios de 2023, se dirige a sistemas Windows y Linux. Utiliza cifrado simétrico con CryptGenRandom() y Chacha 2008 para el cifrado de archivos y es similar al ransomware filtrado Conti v2. Akira se distribuye a través de varios medios, incluidos archivos adjuntos de correo electrónico infectados y exploits en puntos finales de VPN. Tras la infección, cifra los datos y añade una extensión «. akira» a los nombres de los archivos, luego presenta una nota de rescate que exige el pago para el descifrado.
- KillSec3: es un grupo de ciberamenazas de habla rusa que surgió en octubre de 2023. El grupo, que opera una plataforma de ransomware como servicio (RaaS), también ofrece una variedad de otros servicios cibercriminales ofensivos, incluidos ataques DDoS y los llamados «servicios de pruebas de penetración». Una revisión de su lista de víctimas revela una cantidad desproporcionadamente alta de objetivos en la India y una proporción inusualmente baja de víctimas estadounidenses en comparación con grupos similares. Sus principales objetivos incluyen los sectores de la salud y el gobierno.
| Acerca de Check Point Research
Check Point Research proporciona inteligencia de ciberamenazas líder a los clientes de Check Point Software y a la comunidad de inteligencia en general. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que garantiza que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERT. Acerca de Check Point Software Technologies Ltd. Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de plataformas de ciberseguridad basadas en la nube y basadas en IA que protege a más de 100 000 organizaciones en todo el mundo. Check Point aprovecha el poder de la IA en todas partes para mejorar la eficiencia y la precisión de la ciberseguridad a través de su plataforma Infinity, con tasas de detección líderes en la industria que permiten una anticipación proactiva de las amenazas y tiempos de respuesta más rápidos e inteligentes. La plataforma integral incluye tecnologías entregadas en la nube que consisten en Check Point Harmony para proteger el espacio de trabajo, Check Point CloudGuard para proteger la nube, Check Point Quantum para proteger la red y Check Point Infinity Core Services para operaciones y servicios de seguridad colaborativos. Aviso legal sobre declaraciones prospectivas Este comunicado de prensa contiene declaraciones prospectivas. Las declaraciones prospectivas generalmente se relacionan con eventos futuros o nuestro desempeño financiero u operativo futuro. Las declaraciones prospectivas en este comunicado de prensa incluyen, entre otras, declaraciones relacionadas con nuestras expectativas con respecto al crecimiento futuro, la expansión del liderazgo industrial de Check Point, la mejora del valor para los accionistas y la entrega de una plataforma de ciberseguridad líder en la industria a clientes de todo el mundo. Nuestras expectativas y creencias con respecto a estos asuntos pueden no materializarse, y los resultados o eventos reales en el futuro están sujetos a riesgos e incertidumbres que podrían causar que los resultados o eventos reales difieran materialmente de los proyectados. Las declaraciones prospectivas contenidas en este comunicado de prensa también están sujetas a otros riesgos e incertidumbres, incluidos aquellos que se describen con más detalle en nuestras presentaciones ante la Comisión de Bolsa y Valores, incluido nuestro Informe Anual en el Formulario 20-F presentado ante la Comisión de Bolsa y Valores el 2 de abril de 2024. Las declaraciones prospectivas en este comunicado de prensa se basan en la información disponible para Check Point a la fecha del presente, y Check Point renuncia a cualquier obligación de actualizar cualquier declaración prospectiva, excepto según lo requiera la ley |
