Check Point® Software Technologies Ltd., proveedor líder de plataformas de ciberseguridad con soluciones basadas en IA y entregadas en la nube, ha publicado su Índice de amenazas global para octubre de 2024. El informe de este mes destaca una tendencia preocupante en el panorama de la ciberseguridad: el aumento de los ladrones de información y la sofisticación de los métodos de ataque empleados por los ciberdelincuentes.
El mes pasado, los investigadores descubrieron una cadena de ataques en la que se utilizan páginas CAPTCHA falsas para distribuir el malware Lumma Stealer, que ha subido al cuarto lugar en la clasificación mensual de los principales programas maliciosos. Esta campaña es notable por su alcance global, ya que afecta a varios países a través de dos vectores de infección principales: uno que involucra URL de descarga de juegos pirateados y el otro a través de correos electrónicos de phishing dirigidos a usuarios de GitHub como un nuevo e innovador medio de vector de ataque. El proceso de infección engaña a las víctimas para que ejecuten un script malicioso que se ha copiado en su portapapeles, lo que muestra la creciente prevalencia de los ladrones de información como un medio eficaz para que los cibercriminales filtren credenciales y datos confidenciales de los sistemas comprometidos.
En Argentina, el malware más utilizado es el Androxgh0st con un impacto del 5.71%, tratándose de una botnet que ataca a las plataformas Windows, Mac y Linux. Para la infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente a PHPUnit, Laravel Framework y Apache Web Server. El malware roba información confidencial, como información de la cuenta de Twilio, credenciales SMTP, clave de AWS, etc. Utiliza archivos de Laravel para recopilar la información requerida. Tiene diferentes variantes que escanean en busca de información diferente.
En la esfera del malware móvil, la nueva versión de Necro ha surgido como una amenaza importante, ocupando el segundo lugar entre los malware móviles. Necro ha infectado varias aplicaciones populares, incluidos mods de juegos disponibles en Google Play, con una audiencia acumulada de más de 11 millones de dispositivos Android. El malware emplea técnicas de ofuscación para evadir la detección y utiliza esteganografía, que es la práctica de ocultar información dentro de otro mensaje u objeto físico para evitar la detección, para ocultar sus cargas útiles. Una vez activado, puede mostrar anuncios en ventanas invisibles, interactuar con ellos e incluso suscribir a las víctimas a servicios pagos, lo que resalta las tácticas en evolución utilizadas por los atacantes para monetizar sus operaciones.
Maya Horowitz, vicepresidenta de investigación de Check Point Software, comentó sobre el panorama de amenazas actual y afirmó: ‘El aumento de los sofisticados ladrones de información subraya una realidad cada vez mayor. Los cibercriminales están evolucionando sus métodos y aprovechando vectores de ataque innovadores. Las organizaciones deben ir más allá de las defensas tradicionales, adoptando medidas de seguridad proactivas y adaptativas que anticipen las amenazas emergentes para contrarrestar estos desafíos persistentes de manera eficaz’.
Principales familias de malware
FakeUpdates es el malware más frecuente este mes con un impacto del 6 % en las organizaciones de todo el mundo, seguido de Androxgh0st con un impacto global del 5 % y AgentTesla con un impacto global del 4 %. Les siguen Lumma Stealer, Formbook, NJRat, Asyncrat, Remcos, Glupteba, y Vidar en último lugar.
Principales vulnerabilidades explotadas
- ↑ Servidores web URL maliciosas de directorio transversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe una vulnerabilidad de recorrido de directorio en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no desinfecta correctamente la URI para los patrones de recorrido de directorio. La explotación exitosa permite a atacantes remotos no autenticados divulgar o acceder a archivos arbitrarios en el servidor vulnerable.
- ↓ Inyección de comandos a través de HTTP (CVE-2021-43936, CVE-2022-24086): se ha informado de una vulnerabilidad de inyección de comandos a través de HTTP. Un atacante remoto puede explotar este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina de destino.
- ↑ Inyección de comandos Zyxel ZyWALL (CVE-2023-28771): existe una vulnerabilidad de inyección de comandos en Zyxel ZyWALL. La explotación exitosa de esta vulnerabilidad permitiría a atacantes remotos ejecutar comandos arbitrarios del sistema operativo en el sistema afectado.
Principales malwares para móviles
Este mes, Joker ocupa el primer puesto entre los malwares para móviles más frecuentes, seguido de Necro y Anubis.
Las industrias más afectadas a nivel mundial
Este mes, la educación y la investigación se mantuvieron en el primer puesto entre las industrias atacadas a nivel mundial, seguidas por el gobierno y el ejército y las comunicaciones.
Principales grupos de ransomware
Los datos se basan en información de sitios de la vergüenza de ransomware administrados por grupos de ransomware de doble extorsión que publicaron información sobre las víctimas. RansomHub es el grupo de ransomware más frecuente este mes, responsable del 17 % de los ataques publicados, seguido de Play con el 10 % y Meow con el 5 %.