Check Point Research, la
división de Inteligencia de Amenazas Check Point® Software Technologies Ltd.
(NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel
mundial, ha publicado su Índice Global de Amenazas de diciembre de 2023. Vuelve
Qbot cuatro meses después de que las fuerzas del orden de EE. UU. desmantelaran
la infraestructura en la Operación Duck Hunt en agosto de 2023. Entretanto, el
descargador de JavaScript FakeUpdates se ha situado en primer puesto y el
sector de la educación continúa siendo el más afectado a nivel mundial.
El mes pasado, el malware Qbot fue utilizado por
ciberdelincuentes como parte de un ataque de phishing a pequeña escala dirigido
a empresas del sector de la hostelería. En la campaña, los investigadores han
descubierto que los ciberdelincuentes se hacían pasar por IRS y enviaban
correos electrónicos maliciosos que contenían archivos PDF con enlaces URL que
conducían a un instalador de Microsoft. Una vez activado, desencadenaba una
versión invisible de Qbot que aprovechaba una biblioteca de vínculos dinámicos
(DLL). Antes de su desmantelamiento en agosto, Qbot dominaba el índice de
amenazas, posicionado como uno de los tres malwares más predominantes durante
diez meses consecutivos. Aunque no ha vuelto a la lista, los próximos meses
determinarán si recuperará la notoriedad que tenía previamente.
Mientras tanto, FakeUpdates sigue creciendo después de
reaparecer a finales de 2023, situándose en primer lugar con un impacto global
del 2%. Nanocore se mantiene entre los cinco primeros durante seis meses
consecutivos, tomando el tercer puesto en diciembre, y ha habido nuevas
entradas de Ramnit y Glupteba.
“Ver a Qbot circulando de nuevo en menos de cuatro meses
después de haber desmantelado su infraestructura de distribución es un
recordatorio de que, aunque podemos interrumpir las campañas de malware, los
agentes detrás de ellas se adaptarán con nuevas tecnologías”, afirma Maya
Horowitz, VP de investigación en Check Point Software.
“Por esto se anima a las empresas a adoptar un enfoque
preventivo para la seguridad del endpoint, además de llevar a cabo la
diligencia debida sobre el origen y la intención de un email, afirma Manuel
Rodríguez, Gerente de Ingeniería de Seguridad para NOLA de Check Point
Software”.
CPR también ha revelado que “Apache Log4j Remote Code
Execution (CVE-2021-44228)” y “Web Servers Malicious URL Directory Traversal”
fueron las vulnerabilidades más explotadas, afectando a un 46% de las empresas
a nivel mundial. “Zyxel ZyWALL Command Injection (CVE-2023-28771)” le siguió de
cerca con un impacto global del 43%.
Los tres malware más buscados en Colombia en diciembre
Las flechas indican el cambio en el ranking en comparación
con el mes pasado.
1. ↑ Remcos –
Remcos es un RAT que apareció primero en estado salvaje en 2016. Este malware
se distribuye a través de documentos de Microsoft Office maliciosos que están
adjuntos en emails de SPAM, y está diseñado para eludir la seguridad del UAC
(Control de Cuentas de Usuario) de Microsoft y ejecutar malware con altos
privilegios. Este RAT impactó en diciembre en un 7,38% a las empresas en
Colombia y en 1.28% a las empresas en el mundo.
2. ↓Asyncrat –
AsyncRat es un troyano dirigido a la plataforma Windows. Este malware envía
información del sistema sobre el sistema objetivo a un servidor remoto. Recibe
comandos del servidor para descargar y ejecutar complementos, finalizar
procesos, desinstalarse/actualizarse y capturar capturas de pantalla del
sistema infectado. Su impacto en Colombia en diciembre fue de 4.92% y
globalmente del 1.07%.
3. ↑ Fakeupdates
– Downloader escrito en JavaScript. Escribe las payloads en el disco antes de lanzarlas.
Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader,
Dridex, NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en el
4,62% de las empresas en Colombia en diciembre y en el campo global en un
2.32%.
Las tres industrias más atacadas en diciembre
El mes pasado, Salud se situó como la industria más
atacada, seguida de Comunicaciones y Finanzas/banca.
1. Salud
2. Comunicaciones
3. Finanzas/banca
Las tres vulnerabilidades más explotadas en diciembre
Por otra parte, Check Point Software señala que el mes
pasado las vulnerabilidades más explotadas fueron “Apache Log4j Remote Code Execution
(CVE-2021-44228)” y “Web Servers Malicious URL Directory Traversal”, impactando
en un 42% de las empresas en todo el mundo, seguido de “Zyxel ZyWALL Command
Injection (CVE-2023-28771)” con un impacto global del 43%.
1. ↑
Apache Log4j Remote Code Execution (CVE-2021-44228) – La explotación de esta
vulnerabilidad puede permitir que un atacante remoto ejecute un código
arbitrario en el dispositivo afectado.
2. ↔ Web
Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474,
CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254,
CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949,
CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe una vulnerabilidad de
travesía de directorios en diferentes servidores. Esta vulnerabilidad se debe a
un error de validación de la entrada en servidores web que no ha desinfectado
adecuadamente la URL. Una explotación exitosa permite a los atacantes remotos sin
autentificar revelar o acceder a cualquier archivo del servidor atacado.
3. ↔
Zyxel ZyWALL Command Injection (CVE-2023-28771 – Existe una vulnerabilidad de
inyección de comandos en Zyxel ZyWALL. La explotación de esta vulnerabilidad
permite a los atacantes ejecutar comandos arbitrarios de forma remota en el
sistema operativo en el dispositivo afectado.
Los tres malware móviles más usados en diciembre
El mes pasado Anubis se mantuvo en el primer lugar como el
malware móvil más usado, seguido de AhMyth y Hiddad.
1. Anubis –
Malware troyano bancario diseñado para teléfonos móviles Android. Desde que se
detectó ha ido sumando funciones adicionales como capacidades de troyano de
acceso remoto (RAT), keylogger, grabación de audio y varias características de
ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles
en Google Store.
2. AhMyth –
Troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de
aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y
varios sitios web. Cuando un usuario instala una de estas aplicaciones
infectadas, el malware puede recopilar información confidencial del dispositivo
y realizar acciones como el registro de teclas, capturas de pantalla, el envío
de mensajes SMS y la activación de la cámara, lo que se suele usar para robar
información sensible.
3. Hiddad –
Hiddad es un malware para Android que re empaqueta aplicaciones legítimas y las
coloca en la tienda de un tercero. Su función principal es mostrar anuncios,
pero también puede obtener acceso a detalles de seguridad clave integrados en
el sistema operativo.
El Índice Global de Impacto de Amenazas de Check Point
Software y su mapa ThreatCloud están impulsados por la inteligencia ThreatCloud
de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en
tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre
redes, endpoints y móviles. La inteligencia se enriquece con motores basados en
IA y datos de investigación exclusivos de Check Point Research, la rama de
inteligencia e investigación de Check Point Software Technologies.
.jpg)
.jpg)