Check Point Software Technologies Ltd., un proveedor líder de soluciones de ciberseguridad a nivel mundial,ha publicado su Índice Global de Amenazas del mes de enero, destacando para Colombia, que los tres malware más peligrosos en ese periodofueron: XMRig que es un software de minería de CPU de código abierto, utilizado para minar la criptomoneda Monero; le sigue Qbot, un troyano bancario y el terceroes una botnet llamada Glupteba, conocida desde 2011.
En el ámbito global, el Infostealer Vidar ha regresado a la lista de los 10 primeros ocupando el séptimo lugar después de un aumento en los casos de phishing y suplantación de identidad. Aunque el mes también ha estado marcadopor el lanzamiento de una importante campaña de phishing de malware njRAT en Oriente Medio y África del Norte.
Infostealer Vidar se ha propagado a través de dominios falsos engañosamente asociados a AnyDesk (aplicación de escritorio remoto) y ha utilizado el secuestro de URLs de aplicaciones populares para redirigir a las víctimashacia una única dirección IP que simulaba lapágina web oficial de la empresa. Una vez descargado, el malware se hacía pasar por un instalador legítimo para robar información confidencial, como credenciales de inicio de sesión, contraseñas, datos de carteras de criptodivisas, e información bancaria.
Los investigadores de Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point Software, han identificado Earth Bogle: una importante campaña que entrega el malware njRAT a objetivos en todo Oriente Medio y África del Norte. Los atacantes utilizaron correos electrónicos de phishing geopolíticosy, una vez descargado y abierto, el troyano tiene capacidad para infectar dispositivos, lo que permite a los ciberdelincuentes realizar numerosas actividades intrusivas para robar información confidencial. njRAT ha logrado llegar al número diez en la lista de malware, tras su caída después de septiembre de 2022.
Antonio Amador, Country Manager para la región Norte de América Latina de Check Point Software, destaca: ‘Los grupos de ciberdelincuentescontinúanutilizando marcas de confianza para propagar malware con el objetivo de robar información personal y, por ello, es fundamental quelos usuarios presten atención a los enlaces en los que están haciendo clic, para asegurarse de que sean URLs legítimas. Siempre hay que buscar el candado de seguridad junto a los enlaces, que indican la presencia de un certificado SSL actualizado, y estar atentos a cualquier error tipográfico oculto que pueda sugerir que el sitio web es malicioso’.
Los 3 malware más buscados en Colombia en enero de 2023:
*Las flechas se refieren al cambio de rango en comparación con el mes anterior.
- ↑XMRig– XMRig es un software de minería de CPU de código abierto utilizado para minar la criptomoneda Monero. Los actores de amenazas a menudo abusan de este software de código abierto, integrándolo en su malware para realizar minería ilegal en los dispositivos de las víctimas. Ha impactado en enero en un 10,14% de las organizaciones en Colombia y en el campo global a un 3.46% de las organizaciones .
- ↓ Qbot –AKA Qakbot, es un troyano bancario que apareció por primera vez en 2008. Fue diseñado para robar las credenciales bancarias y las pulsaciones de teclas de un usuario. A menudo distribuido a través de correo electrónico no deseado, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección.En enero fue responsable del 7,83% de ataques en Colombia y del 6.50% globalmente.
- ↑Glupteba– Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019 incluía una actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y routerexploiter. Atacó al 5.99% de las organizaciones en Colombia en enero y su impacto global fue del 1.12% en el mismo periodo.
Las tres industrias más atacadas a nivel mundial
En el mes pasado, la educación/investigación siguió siendo la industria más atacada a nivel mundial, seguida por gobierno/militar y luegoSalud.
- Educación/investigación
- Gobierno/militar
- Salud
Las tres vulnerabilidades más explotadas en enero:
El mes pasado, «Web Server Exposed Git Repository Information Disclosure«fue la vulnerabilidad más explotada, afectando al 46% de las organizaciones a nivel mundial, seguida de «HTTP Headers Remote Code Execution« con el 42% de las organizaciones en todo el mundo. «MVPower DVR Remote Code Execution» quedó en tercer lugar con un impacto global del 39%.
- ↔ Web Server Exposed Git Repository Information Disclosure – se ha informado de una vulnerabilidad de divulgación de información en el repositorio Git. El aprovechamiento correcto de esta vulnerabilidad podría permitir una divulgación involuntaria de la información de la cuenta.
- ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Los encabezados HTTP permiten al cliente y al servidor pasar información adicional con una solicitud HTTP. Un atacante remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en el equipo víctima.
- ↑MVPower DVR Remote Code Execution– Existe una vulnerabilidad de ejecución remota de código en los dispositivos MVPower DVR. Un atacante remoto puede explotar esta debilidad para ejecutar código arbitrario en el enrutador afectado a través de una solicitud diseñada.
Los tres malwares móviles más usados en enero:
- Anubis – Anubis es un malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó inicialmente, ha ganado funcionalidades adicionales que incluyen troyano de acceso remoto (RAT), keylogger, capacidades de grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
- Hiddad – Hiddad es un malware de Android que reempaqueta aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.
- AhMyth – AhMyth es un troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como el registro de teclas, la toma de capturas de pantalla, el envío de mensajes SMS y la activación de la cámara, que generalmente se usa para robar información confidencial.
El Índice Global de Impacto de Amenazas de Check Point Software y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.
La lista completa de las 10 familias principales de malware en eneroestá disponible en el blog de Check Point Software.