El panorama del ransomware como servicio (RaaS) ha experimentado un cambio significativo, según el Índice Global de Amenazas de Check Point Software. En el Informe correspondiente al mes de julio de 2024, se destaca una campaña que distribuyó el malware Remcos debido a un problema de actualización de CrowdStrike.
Check Point® Software Technologies Ltd., un destacado proveedor de soluciones de ciberseguridad en la nube basadas en IA, informa que el grupo LockBit ha resurgido como el segundo grupo de ransomware más prevalente, a pesar de una caída significativa en junio, mientras que RansomHub mantiene la primera posición. Los investigadores también han identificado nuevas tácticas de FakeUpdates, que ha retomado el primer lugar entre los malwares más activos.
En detalle, un problema con el sensor CrowdStrike Falcon para Windows permitió a los ciberdelincuentes distribuir un archivo ZIP malicioso llamado crowdstrike-hotfix.zip. Este archivo contenía HijackLoader, que después activaba el malware Remcos, el séptimo malware más buscado en julio. La campaña iba dirigida a empresas mediante instrucciones en español y usaba dominios falsos para ataques de phishing.
Simultáneamente, nuevas tácticas de FakeUpdates fueron descubiertas. Los usuarios que visitaban sitios web comprometidos se enfrentaban a falsos avisos de actualización del navegador, que llevaban a la instalación de troyanos de acceso remoto (RAT), como AsyncRAT. Destaca la preocupante explotación de BOINC, una plataforma de informática voluntaria, para lograr control remoto sobre sistemas infectados.
"La persistencia y resurgimiento de grupos de ransomware como LockBit y RansomHub subraya que los ciberdelincuentes continúan enfocándose en el ransomware, lo cual plantea un importante desafío para las empresas debido a sus implicaciones para la continuidad operativa y la seguridad de los datos. La reciente explotación de una actualización de software de seguridad para propagar Remcos resalta la naturaleza oportunista de los ciberdelincuentes, comprometiendo aún más las defensas corporativas. Para enfrentar estas amenazas, las compañías deben adoptar una estrategia de seguridad multicapa que incluya protección robusta de endpoints, monitorización continua y educación de los usuarios para mitigar el impacto de estos ciberataques masivos", afirma Maya Horowitz, VP de Investigación de Check Point Software.
En cuanto a las familias de malware más activas en España, FakeUpdates lidera la lista con un impacto del 9.45% en las organizaciones, seguido de Androxgh0st (5.87%) y Qbot (4.26%).
Las vulnerabilidades más explotadas en julio incluyen:
- Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086): Una vulnerabilidad que permite a un atacante remoto ejecutar código arbitrario mediante una solicitud especialmente diseñada.
- Zyxel ZyWALL Command Injection (CVE-2023-28771): Permite a atacantes remotos ejecutar comandos arbitrarios en el sistema afectado.
- HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375): Utiliza cabeceras HTTP vulnerables para ejecutar código arbitrario en la máquina víctima.
En el ámbito móvil, Joker se ha mantenido como el malware más extendido, seguido de Anubis y AhMyth. Joker roba mensajes SMS, listas de contactos e información del dispositivo, registrando a la víctima en servicios premium. Anubis, un troyano bancario, y AhMyth, un troyano de acceso remoto, también continúan siendo amenazas significativas.
Los sectores más atacados a nivel mundial incluyen Educación/Investigación, Gobierno/Militar y Comunicación, con RansomHub como el grupo de ransomware más prevalente, responsable del 11% de los ataques. Le siguen LockBit3 (8%) y Akira (6%).
Este informe destaca la necesidad de que las empresas adopten medidas de seguridad avanzadas y continuas para protegerse contra estas amenazas en evolución y cada vez más sofisticadas.
