Check Point Research ha informado que España ha experimentado un incremento del 5% en los ataques de malware desde abril. Estudios recientes de la entidad han revelado una campaña liderada por la botnet Phorpiex, utilizada para propagar ransomware a través de millones de correos electrónicos de phishing. Lockbit3, que había estado inactivo temporalmente, ha resurgido y ahora es responsable de un tercio de los ataques de ransomware.
Check Point® Software Technologies Ltd. acaba de publicar su Índice Global de Amenazas de mayo de 2024. El mes pasado, los investigadores identificaron una ofensiva de malspam dirigida por Phorpiex mediante millones de correos electrónicos que contenían el ransomware LockBit Black. Este último es una versión derivada de LockBit3, pero no asociada directamente con el grupo original.
El resurgimiento del grupo LockBit3, después de una breve pausa tras las acciones de las fuerzas de seguridad que retiraron sus actividades del mercado, ha representado el 33% de los ataques de ransomware. Otros grupos, como Inc. Ransom y Play, les siguieron con un 7% y un 5%, respectivamente. Inc. Ransom ha reivindicado recientemente un ciberataque significativo contra el Ayuntamiento de Leicester, en el Reino Unido, donde presuntamente robaron más de 3 terabytes de datos y causaron una interrupción generalizada del sistema.
Los operadores originales de Phorpiex cerraron su red y vendieron el código fuente en agosto de 2021. Sin embargo, para diciembre de ese mismo año, Check Point Research descubrió que había resurgido bajo el nombre de «Twizt», operando en un modelo descentralizado peer-to-peer. En abril, la New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) encontró evidencia de que Phorpiex había sido empleada para enviar millones de correos con archivos ZIP adjuntos que al ser ejecutados activaban el ransomware LockBit3. La campaña utilizó más de 1.500 direcciones IP únicas, principalmente procedentes de Kazajistán, Uzbekistán, Irán, Rusia y China.
Maya Horowitz, vicepresidenta de investigación de Check Point Software, comentó sobre la persistencia de la amenaza: “A pesar de que las fuerzas de seguridad han conseguido temporalmente desarticular al grupo de LockBit3 al descubrir a uno de sus líderes y liberar más de 7.000 claves de descifrado, no ha sido suficiente para eliminar completamente la amenaza. Los ciberdelincuentes se reagrupan y despliegan nuevas tácticas para continuar con sus ataques». Horowitz enfatiza la necesidad de que las empresas estén en constante alerta y prioricen las medidas preventivas.
En cuanto a los malware más buscados en España en mayo, Check Point Research resalta a FakeUpdates, Androxgh0st y Qbot. FakeUpdates, un downloader escrito en JavaScript, ha afectado al 10% de las empresas del país; Androxgh0st, una botnet que ataca múltiples sistemas operativos, impactó al 4% de las empresas; y Qbot, un malware multifuncional, afectó al 3%.
Las industrias más atacadas mundialmente en mayo fueron Educación/Investigación, Gobierno/Militar y Comunicación. Las vulnerabilidades más explotadas en ese mes incluyen «Command Injection Over HTTP», «Web Servers Malicious URL Directory Traversal», y «Apache Log4j Remote Code Execution».
En el ámbito de malware móvil, Anubis, AhMyth y Hydra se posicionaron como los más utilizados. LockBit3, Inc. Ransom y Play fueron los grupos de ransomware más destacados.
Para más detalles sobre las principales familias de malware en mayo, se puede consultar el blog de Check Point Software.
Fuente diarios.net
