Check Point Software Technologies, un proveedor líder de plataformas de ciberseguridad con soluciones basadas en IA y entregadas en la nube, ha publicado su Índice de amenazas global para octubre de 2024. El informe de este mes destaca una tendencia preocupante en el panorama de la ciberseguridad: el aumento de los ladrones de información y la sofisticación de los métodos de ataque empleados por los ciberdelincuentes.

El mes pasado, los investigadores descubrieron una cadena de ataques en la que se utilizan páginas CAPTCHA falsas para distribuir el malware Lumma Stealer, que ha subido al cuarto lugar en la clasificación mensual de los principales programas maliciosos. Esta campaña es notable por su alcance global, ya que afecta a varios países a través de 2 vectores de infección principales: uno que involucra URL de descarga de juegos pirateados y el otro a través de correos electrónicos de phishing dirigidos a usuarios de GitHub como un nuevo e innovador medio de vector de ataque.

El proceso de infección engaña a las víctimas para que ejecuten un script malicioso que se ha copiado en su portapapeles, lo que muestra la creciente prevalencia de los ladrones de información como un medio eficaz para que los cibercriminales filtren credenciales y datos confidenciales de los sistemas comprometidos.

En Argentina, el malware más utilizado es el Androxgh0st con un impacto del 5,71 por ciento, tratándose de una botnet que ataca a las plataformas Windows, Mac y Linux. Para la infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente a PHPUnit, Laravel Framework y Apache Web Server.

El malware roba información confidencial, como información de la cuenta de Twilio, credenciales SMTP, clave de AWS, etcétera. Utiliza archivos de Laravel para recopilar la información requerida. Tiene diferentes variantes que escanean en busca de información diferente.

En la esfera del malware móvil, la nueva versión de Necro ha surgido como una amenaza importante, ocupando el segundo lugar entre los malware móviles. Necro ha infectado varias aplicaciones populares, incluidos mods de juegos disponibles en Google Play, con una audiencia acumulada de más de 11 millones de dispositivos Android.

El malware emplea técnicas de ofuscación para evadir la detección y utiliza esteganografía, que es la práctica de ocultar información dentro de otro mensaje u objeto físico para evitar la detección, para ocultar sus cargas útiles. Una vez activado, puede mostrar anuncios en ventanas invisibles, interactuar con ellos e incluso suscribir a las víctimas a servicios pagos, lo que resalta las tácticas en evolución utilizadas por los atacantes para monetizar sus operaciones.

Maya Horowitz, vicepresidente de investigación de Check Point Software, comentó sobre el panorama de amenazas actual y afirmó: "El aumento de los sofisticados ladrones de información subraya una realidad cada vez mayor. Los cibercriminales están evolucionando sus métodos y aprovechando vectores de ataque innovadores. Las organizaciones deben ir más allá de las defensas tradicionales, adoptando medidas de seguridad proactivas y adaptativas que anticipen las amenazas emergentes para contrarrestar estos desafíos persistentes de manera eficaz".

Principales familias de malware

• Las flechas se relacionan con el cambio de clasificación en comparación con el mes anterior.

FakeUpdates es el malware más frecuente este mes con un impacto del 6 por ciento en las organizaciones de todo el mundo, seguido de Androxgh0st con un impacto global del 5 y AgentTesla con un impacto global del 4.

1. FakeUpdates: FakeUpdates (también conocido como SocGholish) es un programa de descarga escrito en JavaScript. Escribe las cargas útiles en el disco antes de ejecutarlas. FakeUpdates provocó una mayor vulnerabilidad a través de muchos otros programas maliciosos, incluidos GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult.
2. Androxgh0st: Androxgh0st es una botnet que ataca las plataformas Windows, Mac y Linux. Para la infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente apuntando a PHPUnit, Laravel Framework y Apache Web Server. El malware roba información confidencial, como información de la cuenta de Twilio, credenciales SMTP, clave de AWS, etc. Utiliza archivos de Laravel para recopilar la información requerida. Tiene diferentes variantes que escanean en busca de información diferente.
3. AgentTesla: AgentTesla es un RAT avanzado que funciona como un keylogger y un ladrón de información, capaz de monitorear y recolectar la entrada del teclado de la víctima, el teclado del sistema, tomar capturas de pantalla y exfiltrar credenciales a una variedad de software instalado en la máquina de la víctima (incluidos Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook).
4. Lumma Stealer: Lumma Stealer, también conocido como LummaC2, es un malware de robo de información vinculado a Rusia que ha estado operando como una plataforma de Malware-as-a-Service (MaaS) desde el año 2022. Este malware, descubierto a mediados de 2022, está en constante evolución y se distribuye activamente en foros en idioma ruso. Como un ladrón de información típico, LummaC2 se enfoca en recolectar varios datos de los sistemas infectados, incluidas las credenciales del navegador y la información de la cuenta de criptomonedas.
5. Formbook: Formbook es un Infostealer que ataca al sistema operativo Windows y fue detectado por primera vez en 2016. Se comercializa como Malware as a Service (MaaS) en foros de piratería clandestinos por sus potentes técnicas de evasión y su precio relativamente bajo. FormBook recopila credenciales de varios navegadores web, recopila capturas de pantalla, monitorea y registra las pulsaciones de teclas y puede descargar y ejecutar archivos según las órdenes de su C&C.
6. NJRat: NJRat es un troyano de acceso remoto que ataca principalmente a agencias y organizaciones gubernamentales en Oriente Medio. El troyano apareció por primera vez en 2012 y tiene múltiples capacidades: capturar pulsaciones de teclas, acceder a la cámara de la víctima, robar credenciales almacenadas en los navegadores, cargar y descargar archivos, realizar manipulaciones de procesos y archivos y ver el escritorio de la víctima. NJRat infecta a las víctimas a través de ataques de phishing y descargas automáticas, y se propaga a través de memorias USB infectadas o unidades en red, con el apoyo del software del servidor Command & Control.
7. AsyncRat: Asyncrat es un troyano que ataca la plataforma Windows. Este malware envía información del sistema sobre el sistema atacado a un servidor remoto. Recibe comandos del servidor para descargar y ejecutar complementos, eliminar procesos, desinstalarse/actualizarse y capturar capturas de pantalla del sistema infectado.
8. Remcos: Remcos es un RAT que apareció por primera vez en 2016. Remcos se distribuye a través de documentos maliciosos de Microsoft Office, que se adjuntan a correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar malware con privilegios de alto nivel.
9. Glupteba: Conocido desde 2011, Glupteba es una puerta trasera que gradualmente maduró hasta convertirse en una botnet. En 2019, incluía un mecanismo de actualización de direcciones C&C a través de listas públicas de Bitcoin, una capacidad integral de robo de navegadores y un explotador de enrutadores.
10. Vidar: Vidar es un malware que roba información y que funciona como malware como servicio y que se descubrió por primera vez a fines de 2018. El malware se ejecuta en Windows y puede recopilar una amplia gama de datos confidenciales de navegadores y billeteras digitales. Además, el malware se utiliza como descargador de ransomware.

Principales vulnerabilidades explotadas

1. Servidores web URL maliciosas de directorio transversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260): existe una vulnerabilidad de recorrido de directorio en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no desinfecta correctamente la URI para los patrones de recorrido de directorio. La explotación exitosa permite a atacantes remotos no autenticados divulgar o acceder a archivos arbitrarios en el servidor vulnerable.
2. Inyección de comandos a través de HTTP (CVE-2021-43936, CVE-2022-24086): se ha informado de una vulnerabilidad de inyección de comandos a través de HTTP. Un atacante remoto puede explotar este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina de destino.
3. Inyección de comandos Zyxel ZyWALL (CVE-2023-28771): existe una vulnerabilidad de inyección de comandos en Zyxel ZyWALL. La explotación exitosa de esta vulnerabilidad permitiría a atacantes remotos ejecutar comandos arbitrarios del sistema operativo en el sistema afectado.

Principales malwares para móviles

Este mes, Joker ocupa el primer puesto entre los malwares para móviles más frecuentes, seguido de Necro y Anubis.

1. Joker: un spyware para Android en Google Play, diseñado para robar mensajes SMS, listas de contactos e información del dispositivo. Además, el malware registra a la víctima de forma silenciosa para servicios premium en sitios web de publicidad.
2. Necro: Necro es un troyano para Android que descarga malware. Es capaz de descargar otro malware, mostrar anuncios intrusivos y robar dinero mediante el cobro de suscripciones pagas.
3. Anubis: Anubis es un malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó inicialmente, ha adquirido funciones adicionales, incluida la funcionalidad de troyano de acceso remoto (RAT), registrador de teclas, capacidades de grabación de audio y varias funciones de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.

Las industrias más afectadas a nivel mundial

Este mes, la educación y la investigación se mantuvieron en el primer puesto entre las industrias atacadas a nivel mundial, seguidas por el gobierno y el ejército y las comunicaciones.

• Educación/Investigación.
• Gobierno/Militar.
• Comunicaciones.

Principales grupos de ransomware

Los datos se basan en información de "sitios de la vergüenza" de ransomware administrados por grupos de ransomware de doble extorsión que publicaron información sobre las víctimas. RansomHub es el grupo de ransomware más frecuente este mes, responsable del 17 por ciento de los ataques publicados, seguido de Play con el 10 y Meow con el 5.

• RansomHub: RansomHub es una operación de ransomware como servicio (RaaS) que surgió como una versión renombrada del ransomware Knight anteriormente conocido. RansomHub, que apareció de manera destacada a principios de 2024 en foros clandestinos sobre delitos cibernéticos, rápidamente ganó notoriedad por sus campañas agresivas dirigidas a varios sistemas, incluidos Windows, macOS, Linux y, en particular, entornos VMware ESXi. Este malware es conocido por emplear métodos de cifrado sofisticados. Play
• Play Ransomware, también conocido como PlayCrypt, es un ransomware que surgió por primera vez en junio de 2022. Este ransomware se ha dirigido a un amplio espectro de empresas e infraestructuras críticas en América del Norte, América del Sur y Europa, afectando aproximadamente a 300 entidades en octubre de 2023. Play Ransomware generalmente obtiene acceso a las redes a través de cuentas válidas comprometidas o explotando vulnerabilidades sin parches, como las de las VPN SSL de Fortinet. Una vez dentro, emplea técnicas como el uso de binarios que viven fuera de la tierra (LOLBins) para tareas como la exfiltración de datos y el robo de credenciales.
• Meow: Meow Ransomware es una variante basada en el ransomware Conti, conocido por cifrar una amplia gama de archivos en sistemas comprometidos y agregar la extensión ". MEOW" y les deja una nota de rescate llamada "readme.txt", en la que se les indica a las víctimas que se pongan en contacto con los atacantes por correo electrónico o Telegram para negociar el pago del rescate. El ransomware Meow se propaga a través de varios vectores, incluidas configuraciones RDP desprotegidas, correo no deseado y descargas maliciosas, y utiliza el algoritmo de cifrado ChaCha20 para bloquear los archivos, excepto los archivos ".exe" y de texto.