Julio 2024: RansomHub Domina el RaaS y LockBit3 Resurge Impetuosamente en el Escenario del Malware

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder en soluciones de ciberseguridad en la nube basadas en IA, ha publicado su Índice Global de Amenazas correspondiente al mes de julio de 2024. A pesar de una disminución notable en junio, LockBit ha resurgido como el segundo grupo de ransomware más prevalente, mientras que RansomHub ha mantenido su puesto número uno. Además, los investigadores han identificado una campaña de distribución del malware Remcos originada por un problema en una actualización de CrowdStrike, junto con una serie de nuevas tácticas de FakeUpdates, que encabezan el índice este mes.

Un fallo en el sensor CrowdStrike Falcon para Windows resultó en la distribución de un archivo ZIP malicioso denominado crowdstrike-hotfix.zip. Este archivo contenía HijackLoader, que posteriormente activaba el malware Remcos, clasificado como el séptimo malware más buscado en julio. La campaña estaba dirigida a empresas con instrucciones en español e implicaba la creación de dominios falsos para llevar a cabo ataques de phishing.

En paralelo, los investigadores han detectado nuevas tácticas empleadas por FakeUpdates. Los usuarios que visitaban sitios web comprometidos eran recibidos con falsas notificaciones de actualización del navegador, que llevaban a la instalación de troyanos de acceso remoto (RAT) como AsyncRAT, actualmente en el noveno lugar del índice de Check Point Software. Alarmantemente, los ciberdelincuentes han comenzado a explotar BOINC, una plataforma de computación voluntaria, para obtener control remoto de sistemas infectados.

"La continua persistencia y resurgimiento de grupos de ransomware como Lockbit y RansomHub subraya que los ciberdelincuentes siguen centrados en el ransomware, un desafío crucial para las empresas que afecta su continuidad operativa y la seguridad de los datos. La reciente explotación de una actualización de software de seguridad para distribuir el malware Remcos pone aún más de relieve la naturaleza oportunista de los ciberdelincuentes, comprometiendo las defensas empresariales. Para contrarrestar estas amenazas, las compañías deberán adoptar una estrategia de seguridad multicapa que incluya una sólida protección de endpoints, monitorización continua y educación de los usuarios para reducir el impacto de estos ciberataques cada vez más masivos", afirmó Maya Horowitz, VP de Investigación de Check Point Software.

Principales familias de malware en España

FakeUpdates fue el malware más prevalente este mes, afectando al 9.45% de las organizaciones a nivel global, seguido de Androxgh0st con un 5.87% y Qbot con un 4.26%.

1. FakeUpdates (-): Downloader creado en JavaScript que escribe las payloads en el disco antes de lanzarlas. Ha conducido a la instalación de otros malwares como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult, afectando al 9.45% de las empresas en España.
2. Androxgh0st (↓): Botnet que afecta a Windows, Mac y Linux, explotando vulnerabilidades en PHPUnit, el Marco de Trabajo de Laravel y el Servidor Web Apache, impactando al 5.87% de las empresas españolas.
3. Qbot (↑): Malware multifuncional diseñado para robar credenciales, registrar pulsaciones de teclas y espiar actividades bancarias. Ha afectado al 4.26% de las empresas en España.

Vulnerabilidades más explotadas

1. Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) (↑): Permite a un atacante remoto ejecutar código arbitrario en la máquina objetivo a través de solicitudes especialmente diseñadas.
2. Zyxel ZyWALL Command Injection (CVE-2023-28771) (-): Permite la ejecución de comandos arbitrarios en el sistema afectado.
3. HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) (-): Permite a un atacante remoto ejecutar código arbitrario utilizando cabeceras HTTP.

Principales programas maliciosos para móviles

1. Joker (-): Spyware para Android que roba mensajes SMS, listas de contactos y registra a la víctima en servicios premium.
2. Anubis (-): Troyano bancario para Android con capacidades adicionales de RAT, keylogger, grabación de audio y ransomware.
3. AhMyth (-): RAT para Android que recopila información sensible y puede realizar acciones intrusivas como keylogging y captura de pantalla.

Sectores más atacados a escala mundial

1. Educación/Investigación.
2. Gobierno/Militar.
3. Comunicación.

Principales grupos de ransomware

1. RansomHub: Responsable del 11% de los ataques publicados, conocido por sus agresivas campañas y métodos sofisticados de cifrado.
2. LockBit3: Opera en un modelo RaaS, atacando grandes empresas y entidades gubernamentales.
3. Akira: Emplea métodos de cifrado avanzados y se distribuye a través de correos electrónicos infectados y exploits en endpoints VPN.

La constante evolución de las ciberamenazas requiere que las empresas permanezcan vigilantes, actualizando y reforzando sus estrategias de ciberseguridad para minimizar riesgos y proteger sus activos más valiosos.