El Índice Global de Amenazas de Check Point Software pone de relieve un cambio en el panorama
del ransomware como servicio (RaaS)
Se evidencia que los ciberdelincuentes siguen centrándose en el ransomware
Los investigadores identificaron una campaña que distribuía el malware Remcos a raíz de un
problema de actualización de CrowdStrike
Los investigadores han descubierto una serie de tácticas nuevas que empleaban FakeUpdates
Bogotá, agosto 21 de 2024 – Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder en
soluciones de ciberseguridad en la nube basadas en IA, publica su Índice Global de Amenazas del mes de
julio de 2024. A pesar de una caída significativa en junio, LockBit ha resurgido el mes pasado para convertirse
en el segundo grupo de ransomware más prevalente, mientras que RansomHub ha conservado el primer
puesto. Mientras tanto, los investigadores han identificado tanto una campaña que distribuía el malware
Remcos a raíz de un problema de actualización de CrowdStrike, como una serie de nuevas tácticas de
FakeUpdates, que han vuelto a ocupar el primer puesto este mes.
Un problema en el sensor CrowdStrike Falcon para Windows ha llevado a los ciberdelincuentes a distribuir
un archivo ZIP malicioso llamado crowdstrike-hotfix.zip. Este archivo contenía HijackLoader, que
posteriormente activaba el malware Remcos, clasificado como el séptimo malware más buscado en julio. La
campaña se dirigía a empresas que utilizaban instrucciones en español e implicaba la creación de dominios
falsos para ataques de phishing.
Mientras tanto, los investigadores han descubierto una serie de tácticas nuevas que empleaban
FakeUpdates. Los usuarios que visitaban sitios web comprometidos se encontraban con falsos avisos de
actualización del navegador, que conducían a la instalación de troyanos de acceso remoto (RAT) como
AsyncRAT, que actualmente ocupa el noveno lugar en el índice de Check Point Software. Resulta alarmante
que los ciberdelincuentes hayan empezado a explotar BOINC, una plataforma destinada a la informática
voluntaria, para obtener el control remoto de los sistemas infectados.
"La continua persistencia y resurgimiento de grupos de ransomware cómo Lockbit y RansomHub subraya que
los ciberdelincuentes siguen centrándose en el ransomware, un importante desafío para las empresas con
implicaciones de gran alcance para su continuidad operativa y la seguridad de los datos. Para contrarrestar
estas amenazas, las compañías tendrán que adoptar una estrategia de seguridad multicapa que incluya una
sólida protección de los endpoints, una monitorización continua y la educación de los usuarios para reducir el
impacto de estos ciberataques cada vez más masivos”, afirma Maya Horowitz, VP de Investigación de Check
Point Software.
“La reciente explotación de una actualización de software de seguridad para distribuir el malware Remcos
que ocupa el primer lugar del ranking en Colombia, pone aún más de relieve la naturaleza oportunista de los
ciberdelincuentes, lo que compromete aún más las defensas de las empresas” afirma, Manuel Rodríguez,
Gerente de Ingeniería de Seguridad para NOLA de Check Point Software.
Principales familias de malware en Colombia en Julio
*Las flechas se refieren al cambio de rango en comparación con el mes anterior:
1. ↔Remcos – Remcos es un RAT que apareció primero en estado salvaje en 2016. Este malware se
distribuye a través de documentos de Microsoft Office maliciosos que están adjuntos en emails de
SPAM, y está diseñado para eludir la seguridad del UAC (Control de Cuentas de Usuario) de
©2024 Check Point Software Technologies Ltd. All rights reserved | P. 2
Microsoft y ejecutar malware con altos privilegios. Este RAT impactó en julio en un 11.61% a las
empresas en Colombia y en 2.47% a las compañías en el mundo.
1. ↑Phorpiex – Phorpiex – Es una red de bots (alias Trik) que ha operado desde 2010 y que en su
momento de máxima actividad controló más de un millón de hosts infectados. Conocido por
distribuir otras familias de malware a través de campañas de spam, así como por alimentar
campañas de spam y sextorsión a gran escala. Ha afectado un 9.23% de las empresas en Colombia y
en el mundo al 2.09%.
2. ↓ FakeUpdates. Downloader hecho en JavaScript. Escribe las payloads en el disco antes de
lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex,
NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en julio al 8.93% de las
empresas en Colombia y en 7.40% de las compañías en el mundo.
Vulnerabilidades más explotadas
1. ↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) - se descubrió una
vulnerabilidad de inyección de comandos a través de HTTP. Un atacante remoto puede explotar
este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa
permitiría a un atacante ejecutar código arbitrario en la máquina objetivo.
2. ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771): existe una vulnerabilidad de inyección de
comandos en Zyxel ZyWALL. La explotación exitosa permitiría a atacantes remotos ejecutar
comandos arbitrarios en el sistema afectado.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828,
CVE-2020-1375) - las cabeceras HTTP permiten al cliente y al servidor pasar información adicional
con una petición HTTP. Un atacante remoto puede utilizar una cabecera HTTP vulnerable para
ejecutar código arbitrario en la máquina víctima.
Principales programas maliciosos para móviles
El mes pasado, Joker ocupó el primer puesto como malware para móviles más extendido, seguido de Anubis
y AhMyth.
1. ↔ Joker - Un spyware Android en Google Play, diseñado para robar mensajes SMS, listas de
contactos e información del dispositivo. Además, el malware registra a la víctima en silencio para
servicios premium en páginas web de publicidad.
2. ↔ Anubis - Malware troyano bancario diseñado para teléfonos móviles Android. Desde que se
detectó ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto
(RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en
cientos de aplicaciones diferentes disponibles en Google Store.
3. ↔ AhMyth - Es un troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de
aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web.
Cuando un usuario instala una de estas apps infectadas, el malware puede recopilar información
sensible del dispositivo y realizar acciones como keylogging, tomar capturas de pantalla, enviar
mensajes SMS y activar la cámara, que suele utilizarse para robar información sensible.
Los sectores más atacados a escala mundial
El mes pasado, Educación/Investigación se mantuvo en el primer puesto de los sectores más atacados a
escala mundial, seguido de Gobierno/Militar y Comunicación.
1. Educación/Investigación.
2. Gobierno/Militar.
3. Comunicación.
©2024 Check Point Software Technologies Ltd. All rights reserved | P. 3
Principales grupos de ransomware
Los datos se basan en los "shame sites" de grupos de ransomware de doble extorsión que publicaron
información sobre las víctimas. RansomHub fue el grupo de ransomware más prevalente el mes pasado,
responsable del 11% de los ataques publicados, seguido de LockBit3 con un 8% y Akira con un 6%.
1. RansomHub - Es una operación de ransomware como servicio (RaaS) que surgió como una versión
renovada del anteriormente conocido ransomware Knight. RansomHub, que apareció a principios de
2024 en foros clandestinos de ciberdelincuencia, ha ganado notoriedad rápidamente por sus
agresivas campañas dirigidas a varios sistemas, como Windows, macOS, Linux y, en particular,
entornos VMware ESXi. Este malware es conocido por emplear sofisticados métodos de cifrado.
2. LockBit3 - LockBit3 es un ransomware que opera en un modelo de RaaS, reportado por primera vez
en septiembre de 2019. LockBit tiene como objetivo a grandes empresas y entidades
gubernamentales de varios países y no apunta a individuos en Rusia o la Comunidad de Estados
Independientes.
3. Akira – Se dio a conocer por primera vez a principios de 2023, se dirige tanto a sistemas Windows
como Linux. Utiliza cifrado simétrico con CryptGenRandom y Chacha 2008 para cifrar archivos y es
similar al ransomware Conti v2 filtrado. Akira se distribuye a través de varios medios, incluidos
adjuntos de correo electrónico infectados y exploits en endpoints VPN. Una vez infectado, cifra los
datos y añade la extensión ".akira" a los nombres de los archivos, tras lo cual presenta una nota de
rescate exigiendo el pago del descifrado.
Acerca de Check Point Research
Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo
de investigación recopila y analiza datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo
que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado
por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERTs.
Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. es un proveedor líder en soluciones de ciberseguridad en la nube basadas en IA que protege a más de
100.000 empresas a nivel mundial. Check Point Software aprovecha el poder de la IA en todos los ámbitos para mejorar la eficiencia y precisión de la
ciberseguridad a través de su Plataforma Infinity, con tasas de detección líderes en la industria que permiten una anticipación proactiva a las
amenazas y tiempos de respuesta más ágiles e inteligentes. La plataforma integral incluye soluciones cloud compuestas por Check Point Harmony
para proteger el entorno laboral, Check Point CloudGuard para asegurar la cloud, Check Point Quantum para proteger la red y Check Point Infinity
Core Services para operaciones y servicios de seguridad colaborativos.
©2024 Check Point Software Technologies Ltd. Todos los derechos reservados.
CONTACTO DE PRENSA: OJALVO ASOCIADOS LATAM
MARGARET OJALVO CEL Y WHATSAPP: +573153358717