El Índice Global de Amenazas de Check Point Software pone de relieve un cambio en el panorama del ransomware como servicio (RaaS). Sus investigadores identificaron una campaña que distribuía el malware Remcos a raíz de un problema de actualización de CrowdStrike.
Además, el informe elaborado por el proveedor líder en soluciones de ciberseguridad en la nube basadas en IA, indicó que, a pesar de una caída significativa en junio, LockBit resurgió el mes pasado para convertirse en el segundo grupo de ransomware más prevalente, por detrás de RansomHub. También, los investigadores identificaron tanto una campaña que distribuía el malware Remcos a raíz de un problema de actualización de CrowdStrike, como una serie de nuevas tácticas de FakeUpdates, que vuelven a ocupar el primer puesto este mes.
Un problema en el sensor CrowdStrike Falcon para Windows llevó a los ciberdelincuentes a distribuir un archivo ZIP malicioso llamado crowdstrike-hotfix.zip. Este archivo contenía HijackLoader, que posteriormente activaba el malware Remcos, clasificado como el séptimo malware más buscado en julio. La campaña se dirigía a empresas que utilizaban instrucciones en español e implicaba la creación de dominios falsos para ataques de phishing.
Mientras tanto, los investigadores de la empresa descubrieron una serie de tácticas nuevas que empleaban FakeUpdates. Los usuarios que visitan sitios web comprometidos se encontraban con falsos avisos de actualización del navegador, que conducían a la instalación de troyanos de acceso remoto (RAT) como AsyncRAT, que actualmente ocupa el noveno lugar en el índice de Check Point Software. Resulta alarmante que los ciberdelincuentes hayan empezado a explotar BOINC, una plataforma destinada a la informática voluntaria, para obtener el control remoto de los sistemas infectados.
‘La continua persistencia y resurgimiento de grupos de ransomware como Lockbit y RansomHub subraya que los ciberdelincuentes siguen centrándose en el ransomware, un importante desafío para las empresas con implicaciones de gran alcance para su continuidad operativa y la seguridad de los datos. La reciente explotación de una actualización de software de seguridad para distribuir el malware Remcos pone aún más de relieve la naturaleza oportunista de los ciberdelincuentes, lo que compromete aún más las defensas de las empresas. Para contrarrestar estas amenazas, las compañías tendrán que adoptar una estrategia de seguridad multicapa que incluya una sólida protección de los endpoints, una monitorización continua y la educación de los usuarios para reducir el impacto de estos ciberataques cada vez más masivos’, afirma Maya Horowitz, VP de Investigación de Check Point Software.
Principales familias de malware
FakeUpdates fue el malware más prevalente este mes, con un impacto del 9.45% en organizaciones de todo el mundo, seguido de Androxgh0st, con un impacto global del 5.87%, y Qbot, con un impacto global del 4.26%.
Vulnerabilidades más explotadas
- Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – se descubrió una vulnerabilidad de inyección de comandos a través de HTTP. Un atacante remoto puede explotar este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina objetivo.
- Zyxel ZyWALL Command Injection (CVE-2023-28771): existe una vulnerabilidad de inyección de comandos en Zyxel ZyWALL. La explotación exitosa permitiría a atacantes remotos ejecutar comandos arbitrarios en el sistema afectado.
- HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – las cabeceras HTTP permiten al cliente y al servidor pasar información adicional con una petición HTTP. Un atacante remoto puede utilizar una cabecera HTTP vulnerable para ejecutar código arbitrario en la máquina víctima.
Principales programas maliciosos para móviles
El mes pasado, Joker ocupó el primer puesto como malware para móviles más extendido, seguido de Anubis y AhMyth.
Los sectores más atacados a escala mundial
El mes pasado, Educación/Investigación se mantuvo en el primer puesto de los sectores más atacados a escala mundial, seguido de Gobierno/Militar y Comunicación.
Principales grupos de ransomware
Los datos se basan en los shame sites de grupos de ransomware de doble extorsión que publicaron información sobre las víctimas. RansomHub fue el grupo de ransomware más prevalente el mes pasado, responsable del 11% de los ataques publicados, seguido de LockBit3 con un 8% y Akira con un 6%.