Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder en soluciones de ciberseguridad en la nube basadas en IA, ha publicado su Índice Global de Amenazas correspondiente al mes de agosto de 2024. El ransomware continúa siendo una amenaza significativa, con RansomHub emergiendo como el principal grupo atacante. Esta operación de Ransomware-as-a-Service, que anteriormente se conocía como Knight, ha ampliado su alcance considerablemente y ha afectado a más de 210 víctimas en todo el mundo. Paralelamente, una nueva amenaza llamada Meow ha comenzado a ganar relevancia, evolucionando desde el cifrado de datos hacia la venta de información robada en mercados de filtración.
Durante el mes pasado, RansomHub consolidó su posición como la amenaza de ransomware más prominente, según un informe conjunto del FBI, CISA, MS-ISAC y HHS. Este grupo ha llevado a cabo ataques sofisticados contra sistemas Windows, macOS, Linux y, en particular, entornos VMware ESXi, utilizando complejas técnicas de cifrado.
Maya Horowitz, VP de Investigación en Check Point Software, destacó: «La aparición de RansomHub como la principal amenaza de ransomware en agosto subraya la creciente sofisticación de las operaciones de Ransomware-as-a-Service. El auge de Meow pone de relieve el cambio hacia el mercado de filtración de datos, lo cual indica un nuevo método de monetización para los operadores de ransomware, donde la información robada se vende a terceros en lugar de simplemente publicarla en línea. A medida que estas amenazas evolucionan, las empresas deben mantenerse alertas, adoptar medidas de seguridad proactivas y mejorar continuamente sus defensas contra ataques cada vez más sofisticados».
En cuanto al panorama de malware en España, FakeUpdates fue la familia de malware más prevalente en agosto, afectando al 7% de las organizaciones a nivel mundial, seguido de cerca por Qbot y Androxgh0st, ambos con un impacto global del 5,3%.
FakeUpdates (también conocido como SocGholish) es un downloader escrito en JavaScript que descarga y ejecuta payloads maliciosos en el sistema infectado. Entre los programas maliciosos distribuidos por este malware se encuentran GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult, impactando al 7% de las empresas en España.
Qbot es un malware multifuncional que apareció por primera vez en 2008. Su diseño incluye el robo de credenciales de usuario, registro de pulsaciones de teclas, sustracción de cookies de navegadores, monitorización de actividades bancarias e instalación de malware adicional. Suele difundirse a través de correos electrónicos no deseados y emplea diversas técnicas avanzadas para evitar la detección. Ha impactado al 5,3% de las organizaciones españolas.
Androxgh0st es un botnet que afecta a plataformas Windows, Mac y Linux mediante la explotación de múltiples vulnerabilidades. Este malware roba información sensible como cuentas de Twilio, credenciales SMTP y llaves AWS, y ha impactado al 5,3% de las empresas en España.
Entre las vulnerabilidades más explotadas en agosto se encuentran la Inyección de Comandos Over HTTP (CVE-2021-43936, CVE-2022-24086), la Inyección de Comandos en Zyxel ZyWALL (CVE-2023-28771) y la Ejecución Remota de Código a través de Cabeceras HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375).
En el ámbito de los malware móviles, Joker fue el más extendido, seguido de Anubis y Hydra. Joker es un spyware para Android que roba mensajes SMS, listas de contactos e información del dispositivo. Anubis es un troyano bancario para Android con funciones adicionales como acceso remoto, keylogging y grabación de audio. Hydra, otro troyano bancario, roba credenciales bancarias y solicita permisos peligrosos a las víctimas.
Los sectores más atacados en España durante agosto fueron los medios de comunicación, seguidos por el gobierno/militar y los servicios públicos.
Finalmente, en cuanto a los principales grupos de ransomware, RansomHub lidera con el 15% de los ataques registrados en «shame sites», seguido de Meow con un 9% y LockBit3 con un 8%. RansomHub, una operación de RaaS nacida a principios de 2024, ha ganado notoriedad por sus agresivas campañas, mientras que Meow, basado en el ransomware Conti, es conocido por cifrar archivos y exigir rescates. LockBit3 sigue apuntando a grandes empresas y entidades gubernamentales, manteniéndose activo desde 2019.