Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd., proveedor especializado en ciberseguridad a nivel mundial, ha publicado su último Índice Global de Amenazas de julio de 2020. En esta nueva entrega, los investigadores de la compañía han descubierto que, tras 5 meses de ausencia, el troyano Emotet vuelve a ocupar el primer lugar del ranking, afectando a un 5% de las empresas a nivel mundial.
Desde febrero de 2020, las actividades maliciosas de Emotet (principalmente el envío de campañas masivas de malspam) comenzaron a disminuir en número e intensidad hasta que finalmente se detuvieron. Sin embargo, los expertos de Check Point han detectado nuevas campañas de difusión de Emotet en julio. Ya el año pasado se observó un patrón de comportamiento parecido, puesto que este malware cesó su actividad durante los meses de verano, pero se reanudó en septiembre.
Durante el mes de julio, los cibercriminales han estado utilizando Emotet para difundir campañas de malspam e infectar a las víctimas con virus informáticos como Trickbot y Qbot, que se emplean para robar credenciales bancarias y difundirlas a través de las redes. Algunas de estas campañas contenían archivos .doc maliciosos con nombres como "form.doc" o "invoice.doc". Según los investigadores de la compañía, estos archivos infectados lanzan un PowerShell para extraer el binario de Emotet de las páginas web en remoto para infectar a los equipos, haciendo que pasen a formar parte de la botnet. La vuelta a la actividad de Emotet pone de manifiesto su capacidad para infectar redes a nivel mundial.
"Es interesante que Emotet estuviera inactivo durante varios meses a principios de este año, repitiendo un patrón que observamos por primera vez en 2019. Como consecuencia, es posible asumir que los desarrolladores detrás de esta botnet estaban actualizando sus características y capacidades”, explica Maya Horowitz, directora del Grupo de Inteligencia e Investigación de Amenazas y Productos de Check Point. “El hecho de que vuelva a estar activa implica que las empresas deben enseñar a sus empleados las claves para detectar los tipos de malspam que conllevan estas amenazas, así como advertirles sobre los riesgos de abrir los archivos adjuntos de los correos electrónicos o hacer clic en los enlaces de fuentes externas. Todo esto, además, debe ir acompañado del despliegue de soluciones antimalware que puedan evitar que este tipo de contenido llegue a los usuarios", añade Horowitz.
Por otra parte, el equipo de investigadores de la compañía apunta que "Ejecución de código en remoto de MVPower DVR" (44% de empresas afectadas) es la vulnerabilidad más frecuentemente explotada por los cibercriminales, seguida de "Revelación de información a través de Heartbeat en OpenSSL TLS DTLS" (42%) e "Inyección de comandos sobre HTTP" (38%).
Los 3 malwares más buscados en julio:
*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.
1. ↑Emotet – Troyano avanzado, autopropagable y modular. Emotet funcionaba como un troyano bancario, pero ha evolucionado para emplearse como distribuidor de otros programas o campañas maliciosas. Además, destaca por utilizar múltiples métodos y técnicas de evasión para evitar ser detectado. Además, puede difundirse a través de campañas de spam en archivos adjuntos o enlace maliciosos en correos electrónicos.
2. ↑Agent Tesla – Es un RAT avanzado que funciona como un keylogger y un usurpador de contraseñas que ha estado infectando ordenadores desde 2014. AgentTesla es capaz de monitorizar y registrar las teclas marcadas pulsadas por la víctima, el portapapeles del sistema, toma capturas de pantalla y extrae credenciales pertenecientes a una variedad de software instalado en la unidad de la víctima (incluyendo Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook).
3. ↓XMRIg – Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017.
Top 3 vulnerabilidades más explotadas en julio
1. Ejecución de código en remoto de MVPower DVR - Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Un atacante remoto puede explotar esta debilidad para ejecutar código arbitrario en el router afectado a través de una petición hecha a medida.
2. Revelación de información a través de Heartbeat en OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) - Existe un fallo en la divulgación de información en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes TLS/DTLS Heartbeat. Un ciberdelincuente puede aprovechar este error para robar contenidos de la memoria o del servidor de un cliente conectado.
3. Inyección de comandos sobre HTTP - Un atacante remoto puede explotar una vulnerabilidad de Inyección de comandos sobre HTTP enviando a la víctima una petición especialmente diseñada. En caso de tener éxito, esta explotación permitiría a un atacante ejecutar código arbitrario en el equipo de un usuario.
Top 3 del malware móvil mundial en julio
2. Necro – Necro es un troyano para Android con goteo. Puede descargar otro malware, mostrar anuncios intrusivos y robar dinero cobrando suscripciones de pago.
3. PreAmo - Es un malware que imita al usuario haciendo clic en los banners recuperados de tres agencias: Presage, Admob y Mopub.
El Índice de Impacto Global de Amenazas de Check Point y su Mapa de ThreatCloud se basan en la inteligencia ThreatCloud de Check Point, la red de colaboración más grande para combatir la ciberdelincuencia que ofrece datos de amenazas y tendencias de ataque desde una red global de sensores de amenazas. La base de datos ThreatCloud contiene más de 250 millones de direcciones analizadas para descubrir bots, más de 11 millones de firmas de malware y más de 5,5 millones de sitios web infectados, e identifica millones de tipos de malware diariamente.