Check Point Research ha publicado su Índice Global de Amenazas del mes de noviembre. Los investigadores informan que, mientras Trickbot sigue encabezando la lista de malware más predominante, afectando al 5% de las empresas a nivel mundial, Emotet vuelve a aparecer en el índice en séptima posición. Asimismo, Check Point Research también revela que los sectores que más se ha visto atacado son los de la educación y la investigación.
A pesar de los grandes esfuerzos a principios de este año de numerosos organismos policiales para acabar con Emotet, se ha confirmado que la famosa red de bots ha vuelto a la acción en noviembre y ya es el séptimo malware más utilizado. Trickbot encabeza el índice por sexta vez, e incluso está implicado en la nueva variante de Emotet, que se está instalando en máquinas infectadas utilizando la infraestructura de Trickbot.
Emotet se propaga a través de correos electrónicos de phishing que contienen archivos Word, Excel y Zip infectados que despliegan este malware en el host de la víctima. Los emails contienen líneas de asunto intrigantes como noticias de actualidad, facturas y falsos memorándums corporativos para atraer a las víctimas a abrirlos. Recientemente, Emotet también comenzó a propagarse a través de paquetes maliciosos de Windows App Installer que simulan ser software de Adobe.
“Emotet es una de las redes de bots más exitosas de la historia de la cibernética y es responsable de la explosión de ataques de ransomware dirigidos que hemos presenciado en los últimos años”, explica Maya Horowitz, VP de Investigación de Check Point Software. “La reaparición de la botnet en noviembre es extremadamente preocupante, ya que puede conducir a un aumento de este tipo de ataques. El hecho de que esté utilizando la infraestructura de Trickbot significa que está acortando el tiempo que le llevaría a Emotet construir un punto de apoyo suficientemente significativo en las redes de todo el mundo. Dado que se está propagando a través de correos electrónicos de phishing con archivos adjuntos maliciosos, es crucial que la concienciación y la formación de los usuarios estén en lo más alto de la lista de prioridades de las empresas cuando se trata de ciberseguridad. Y cualquiera que quiera descargar el software de Adobe debe recordar, como con cualquier aplicación, que sólo debe hacerlo a través de los sites oficiales”.
Check Point Research también ha revelado este mes quelos sectores de la educación y la investigación son el más atacado a nivel mundial, seguido por el de las comunicaciones y el gubernamental/militar. Asimismo, los expertos de la compañía señalan que “Servidores web con URL maliciosas de directorio transversal”, es la vulnerabilidad explotada más común – que ha afectado 44% de las empresas a nivel mundial-, seguida de “La revelación de información del servidor web Git” que impactó a más del 43.7%. “La ejecución de código remoto en encabezados HTTP” se sitúa en tercer lugar, afectando al 42% de los negocios en el mundo.
Los malware más buscados en México en noviembre:
Top 3 vulnerabilidades más explotadas en noviembre:
| Malware Family Name | Descripción | Impacto global | Impacto país |
| IRCBot | IRCBot es un agente de bot que apunta a la plataforma Windows. Este malware utiliza un canal IRC, desde el cual puede ejecutar comandos enviados por un atacante remoto. Los comandos incluyen iniciar nuevos procesos, descargar / cargar archivos, etc. | 0.52% | 4.13% |
| Trickbot | Trickbot es un botnet modular y un troyano bancario que se dirige a la plataforma Windows, principalmente entregado a través de campañas de spam u otras familias de malware como Emotet. Trickbot envía información sobre el sistema infectado y también puede descargar y ejecutar módulos arbitrarios de una gran variedad de módulos disponibles: desde un módulo VNC para control remoto, hasta un módulo SMB para propagarse dentro de una red comprometida. Una vez que una máquina está infectada, la pandilla Trickbot, los actores de amenazas detrás de este malware, utilizan esta amplia gama de módulos no solo para robar las credenciales bancarias de la PC de destino, sino también para el movimiento lateral y el reconocimiento en la propia organización de destino, antes de realizar la entrega. un ataque de ransomware dirigido a toda la empresa. | 4.52% | 3.71% |
| Glupteba | Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019, incluía un mecanismo de actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y un explorador de enrutadores. | 2.31% | 3.60% |
| XMRig | Visto por primera vez en la naturaleza en mayo de 2017, XMRig es un software de minería de CPU de código abierto que se utiliza para minar la criptomoneda Monero. | 2.13% | 3.18% |
| Remcos | Remcos es una RAT que apareció por primera vez en la naturaleza en 2016. Remcos se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a correos electrónicos de SPAM y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar malware con privilegios de alto nivel. | 2.16% | 2.86% |
| AgentTesla | AgentTesla es un RAT (troyano de acceso remoto) avanzado que funciona como un registrador de teclas y un ladrón de contraseñas. Activo desde 2014, AgentTesla puede monitorear y recopilar la entrada del teclado y el portapapeles del sistema de la víctima, y puede grabar capturas de pantalla y extraer las credenciales ingresadas para una variedad de software instalado en la máquina de la víctima (incluidos Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook). AgentTesla se vende abiertamente como una RAT legítima y los clientes pagan entre $ 15 y $ 69 por licencias de usuario. | 3.82% | 2.65% |
| Neurevt | Neurevt, también conocido como Betabot, es un troyano versátil escrito en C ++. | 0.15% | 2.44% |
| Ramnit | El troyano utiliza técnicas de rootkit para enmascarar su presencia en el sistema operativo, inyecta código en cada proceso en ejecución, bloquea algunos programas antivirus y se propaga a través de unidades flash USB. | 1.69% | 2.33% |
| Vidar | Ramnit es un troyano bancario que incorpora capacidades de movimiento lateral. Ramnit roba información de la sesión web, lo que permite a los operadores del gusano robar credenciales de cuenta para todos los servicios utilizados por la víctima, incluidas cuentas bancarias, cuentas corporativas y de redes sociales. | 1.10% | 1.80% |
| DirtyMoe | Vidar es un infolstealer que apunta a los sistemas operativos Windows. Detectado por primera vez a fines de 2018, está diseñado para robar contraseñas, datos de tarjetas de crédito y otra información confidencial de varios navegadores web y billeteras digitales. Vidar se ha vendido en varios foros en línea y se ha utilizado como un cuentagotas de malware que descarga el ransomware GandCrab como su carga útil secundaria. | 0.30% | 1.59% |
Top 3 del malware móvil mundial en noviembre:
- AlienBot – Esta familia de malware es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
- xHelper – aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
- FluBot – FluBot es un malware botnet para Android que se distribuye a través de SMS de phishing, la mayoría de las veces haciéndose pasar por marcas de reparto de logística. Una vez que el usuario hace clic en el enlace dentro del mensaje, FluBot se instala y obtiene acceso a toda la información sensible del teléfono.
La lista completa de las 10 familias principales de malware en octubre está disponible en el blog de Check Point Software.
