Check Point Research, la división de inteligencia de amenazas de Check Point Software Technologies, ha lanzado su Índice Global de Amenazas de noviembre de 2024, destacando el avance y la complejidad de las tácticas de los ciberdelincuentes en el entorno actual. Un componente clave del informe es Androxgh0st, un botnet que opera en el marco de Mozi y que continúa atacando infraestructuras críticas globalmente, como las del sector energético, de transporte y sanitario, debido a las vulnerabilidades inherentes de estas redes esenciales. Este tipo de ataques tienen el potencial de desencadenar caos generalizado, pérdidas económicas substanciales e incluso comprometer la seguridad pública.
Durante este periodo, los investigadores han observado un incremento en la actividad de Androxgh0st, el cual ha encabezado las listas de malware al explotar vulnerabilidades en plataformas como dispositivos IoT y servidores web, todos ellos pilares de las infraestructuras críticas. Aprovechando estrategias de Mozi, el botnet emplea tácticas de ejecución remota de código y robo de credenciales, permitiéndole mantener un acceso ilícito para ejecutar persistentes ataques de denegación de servicio distribuido (DDoS) y el robo de datos. La propagación de Androxgh0st a través de fallos de seguridad sin corregir, junto con las funcionalidades de Mozi, ha extendido significativamente su alcance al posibilitar la infección de un mayor número de dispositivos IoT, creando un efecto en cascada en todos los sectores. Esto pone de manifiesto la necesidad urgente de medidas de protección efectivas para gobiernos, empresas y ciudadanos que dependen de estas infraestructuras.
En el ámbito del malware móvil, Joker sigue siendo el principal actor, robando información personal y comprometiendo la seguridad de los usuarios al suscribirlos sin su conocimiento a servicios premium. Por su parte, Anubis, un troyano bancario, ha ampliado su repertorio de amenazas al incorporar acceso remoto, registro de teclas y funciones de ransomware.
Maya Horowitz, VP de Investigación de Check Point Software, advierte sobre la evolución constante de los ciberdelincuentes y subraya la necesidad de que las empresas implementen estrategias de seguridad robustas para mitigar estos riesgos antes de que causen daños irreparables.
En España, el malware más prevalente durante noviembre fue FakeUpdates, también conocido como SocGholish, que afectó al 6,4% de las organizaciones, seguido de Androxgh0st con un 5,4% y Remcos con un 3,6%. FakeUpdates es un downloader en JavaScript que facilita la propagación de otros programas maliciosos, mientras que Remcos es un acceso remoto que se distribuye vía documentos de Office adjuntos a correos electrónicos.
Entre las vulnerabilidades más explotadas del mes, se encuentran la «Command Injection Over HTTP» y el «ZMap Security Scanner», que permiten a los atacantes ejecutar códigos arbitrarios y detectar posibles debilidades en servidores, respectivamente.
En cuanto a los principales sectores atacados, Gobierno/Militar se mantuvieron como los más vulnerables en España, seguidos por los Servicios Públicos y Medios de Comunicación. Además, RansomHub fue identificado como el grupo de ransomware más activo, representando el 16% de los ataques, empleando sofisticados métodos de cifrado para comprometer sistemas críticos.
Este informe secunda la necesidad de una atención continua y adaptativa frente al panorama de amenazas dinámico, donde las técnicas de los ciberdelincuentes se sofistican progresivamente, obligando a organizaciones de todo el mundo a repensar y fortalecer sus posturas de seguridad cibernética.
