Los investigadores han identificado el ascenso de Meow con tácticas novedosas y de significativo
impacto
En Colombia Remcos sigue comandando el ataque a empresas
En este periodo se pone de relieve un cambio en el panorama del ransomware como servicio
(RaaS)
Bogotá, septiembre 11 de 2024 – Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder
en soluciones de ciberseguridad en la nube basadas en IA, publica su Índice Global de Amenazas del mes de
agosto de 2024. El ransomware se ha mantenido como fuerza dominante, con RansomHub como el principal
grupo. Esta operación RaaS se ha expandido rápidamente desde su cambio de marca del ransomware Knight,
que ha atacado a más de 210 víctimas en todo el mundo. Mientras tanto, ha surgido una nueva amenaza
llamada Meow, otro ciberataque de ransomware que ha pasado del cifrado a la venta de datos robados en
mercados de filtración.
El mes pasado, RansomHub consolidó su posición como la principal amenaza de ransomware, como se
detalla en un aviso conjunto del FBI, CISA, MS-ISAC y HHS. Esta organización RaaS ha atacado de forma
agresiva sistemas Windows, macOS, Linux y, especialmente, entornos VMware ESXi, mediante técnicas
sofisticadas de cifrado.
“La aparición de RansomHub como la principal amenaza de ransomware en agosto subraya la creciente
sofisticación de las operaciones de Ransomware-as-a-Service. A medida que evolucionan estas amenazas, las
empresas deben mantenerse alerta, adoptar medidas de seguridad proactivas y mejorar continuamente sus
defensas contra ataques cada vez más sofisticados”, afirma Maya Horowitz, VP de Investigación de Check
Point Software.
“El auge de Meow pone de relieve el cambio hacia el mercado de filtración de datos, lo que indica un nuevo
método de monetización para los operadores de ransomware, donde cada vez más la información robada se
vende a terceros, en lugar de simplemente publicarse online”, afirma Manuel Rodríguez, Gerente de
Ingeniería de Seguridad para NOLA de Check Point Software.
En el mundo, FakeUpdates fue el malware más prevalente, con un impacto del 7% en organizaciones de todo
el mundo, seguido de Qbot, con un impacto global del 5,3%, y Androxgh0st, con un impacto global del 5,3%.
Principales familias de malware en Colombia en agosto
*Las flechas se refieren al cambio de rango en comparación con el mes anterior.
1. ↔ Remcos – Remcos es un RAT que apareció primero en estado salvaje en 2016. Este malware se
distribuye a través de documentos de Microsoft Office maliciosos que están adjuntos en emails de
SPAM, y está diseñado para eludir la seguridad del UAC (Control de Cuentas de Usuario) de
Microsoft y ejecutar malware con altos privilegios. Este RAT impactó en agosto en un 10.77% a las
empresas en Colombia y en 1.78 % a las compañías en el mundo.
1. ↔ Phorpiex – Phorpiex – Es una red de bots (alias Trik) que ha operado desde 2010 y que en su
momento de máxima actividad controló más de un millón de hosts infectados. Conocido por
distribuir otras familias de malware a través de campañas de spam, así como por alimentar
campañas de spam y sextorsión a gran escala. Ha afectado en agosto a un 9.94% de las empresas en
Colombia y en el mundo al 4.52%.
©2024 Check Point Software Technologies Ltd. All rights reserved | P. 2
2. ↔ FakeUpdates. Downloader hecho en JavaScript. Escribe las payloads en el disco antes de
lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex,
NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en agosto al 8.84% de las
empresas en Colombia y en 8.22% de las compañías en el mundo.
Vulnerabilidades más explotadas
1. ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086): se descubrió una
vulnerabilidad de inyección de comandos a través de HTTP. Un atacante remoto puede explotar
este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa
permitiría a un atacante ejecutar código arbitrario en la máquina objetivo.
2. ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771): existe una vulnerabilidad de inyección de
comandos en Zyxel ZyWALL. La explotación exitosa permitiría a atacantes remotos ejecutar
comandos arbitrarios en el sistema afectado.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828,
CVE-2020-1375): las cabeceras HTTP permiten al cliente y al servidor pasar información adicional
con una petición HTTP. Un atacante remoto puede utilizar una cabecera HTTP vulnerable para
ejecutar código arbitrario en la máquina víctima.
Los tres malware móviles más usados en agosto
El mes pasado, Joker ocupó el primer puesto como malware para móviles más extendido, seguido de Anubis
y Hydra.
1. ↔ Joker - Un spyware Android en Google Play, diseñado para robar mensajes SMS, listas de
contactos e información del dispositivo. Además, el malware registra a la víctima en silencio para
servicios premium en páginas web de publicidad.
2. ↔ Anubis - Malware troyano bancario diseñado para teléfonos móviles Android. Desde que se
detectó ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto
(RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en
cientos de aplicaciones diferentes disponibles en Google Store.
3. ↑ Hydra - Troyano bancario diseñado para robar credenciales bancarias solicitando a las víctimas
que habiliten permisos y accesos peligrosos cada vez que entran en cualquier aplicación bancaria.
Los sectores más atacados
El mes pasado, los medios de comunicación se mantuvieron en el primer puesto de los sectores más
atacados a escala mundial, seguido de gobierno/militar y servicios públicos.
1. Medios de comunicación.
2. Gobierno/militar.
3. Servicios públicos.
Principales grupos de ransomware
Los datos se basan en los "shame sites" de grupos de ransomware de doble extorsión que publicaron
información sobre las víctimas. RansomHub fue el grupo de ransomware más prevalente el mes pasado,
responsable del 15% de los ataques publicados, seguido de Meow con un 9% y LockBit con un 8%.
1. RansomHub - Es una operación de ransomware como servicio (RaaS) que surgió como una versión
renovada del anteriormente conocido ransomware Knight. RansomHub, que apareció a principios de
2024 en foros clandestinos de ciberdelincuencia, ha ganado notoriedad rápidamente por sus
©2024 Check Point Software Technologies Ltd. All rights reserved | P. 3
agresivas campañas dirigidas a varios sistemas, como Windows, macOS, Linux y, en particular,
entornos VMware ESXi. Este malware es conocido por emplear sofisticados métodos de cifrado.
2. Meow - Meow Ransomware es una variante basada en el ransomware Conti, conocida por cifrar una
amplia gama de archivos en sistemas comprometidos y añadirles la extensión «.MEOW». Deja una
nota de rescate llamada «readme.txt», que indica a las víctimas que se pongan en contacto con los
atacantes por correo electrónico o Telegram para negociar el pago del rescate. El ransomware
Meow se propaga a través de varios vectores, incluyendo configuraciones RDP desprotegidas, spam
de correo electrónico y descargas maliciosas, y utiliza el algoritmo de cifrado ChaCha20 para
bloquear archivos, excluyendo «.exe» y archivos de texto.
3. LockBit3 - LockBit3 es un ransomware que opera en un modelo de RaaS, reportado por primera vez
en septiembre de 2019. LockBit tiene como objetivo a grandes empresas y entidades
gubernamentales de varios países y no apunta a individuos en Rusia o la Comunidad de Estados
Independientes.
Acerca de Check Point Research
Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la
comunidad de inteligencia. El equipo de investigación recopila y analiza datos de ciberataques globales almacenados en
ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check
Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas
e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERTs.
Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. es un proveedor líder en soluciones de ciberseguridad en la nube basadas en IA
que protege a más de 100.000 empresas a nivel mundial. Check Point Software aprovecha el poder de la IA en todos los
ámbitos para mejorar la eficiencia y precisión de la ciberseguridad a través de su Plataforma Infinity, con tasas de
detección líderes en la industria que permiten una anticipación proactiva a las amenazas y tiempos de respuesta más
ágiles e inteligentes. La plataforma integral incluye soluciones cloud compuestas por Check Point Harmony para
proteger el entorno laboral, Check Point CloudGuard para asegurar la cloud, Check Point Quantum para proteger la red
y Check Point Infinity Platform Services para operaciones y servicios de seguridad colaborativos.
©2024 Check Point Software Technologies Ltd. Todos los derechos reservados.
Fuente de redacción: ojalvomargaret@gmail.com