El último índice de amenazas de Check Point revela que RansomHub continúa dominando y el ransomware Meow va en aumento con nuevas tácticas y un mayor impacto.
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de plataformas de ciberseguridad basadas en IA y entregadas en la nube, anunció el Índice de Amenazas Globales de agosto de 2024. El índice revela que el ransomware sigue siendo una fuerza dominante, y RansomHub mantiene su posición como el principal grupo de ransomware. Esta operación de ransomware como servicio (RaaS) se ha expandido rápidamente desde que cambió su nombre de Knight ransomware y ha comprometido a más de 210 víctimas en todo el mundo. Mientras tanto, ha surgido el ransomware Meow, pasando del cifrado a la venta de datos robados en el mercado de fugas. En India, la industria de la salud siguió siendo la más afectada el mes pasado, seguida por la educación/investigación y el gobierno/militar. Las organizaciones en India han recibido un promedio de 3244 ataques por semana durante los últimos seis meses, en comparación con 1657 ataques por organización a nivel mundial.
El mes pasado, RansomHub consolidó su posición como la amenaza número uno de ransomware, como se detalla en un aviso conjunto del FBI, CISA, MS-ISAC y HHS. Este ataque RaaS utiliza técnicas de cifrado avanzadas para atacar activamente sistemas en entornos Windows, macOS, Linux y especialmente VMware ESXi.
Agosto también vio la llegada del ransomware Meow, que ocupó el segundo lugar en la lista de ransomware principal por primera vez. Comenzando como una variante del ransomware Conti filtrado, Meow cambió su enfoque del cifrado a la extracción de datos, transformando el sitio de extorsión en un mercado de violación de datos. En este modelo, los datos robados se venden al mejor postor, lo que difiere de las tácticas tradicionales de extorsión con ransomware.
“La aparición de RansomHub como la principal amenaza de ransomware en agosto pone de relieve la creciente sofisticación de las operaciones de Ransomware como servicio”, afirmó Maya Horowitz, vicepresidenta de investigación de Check Point Software. “Las organizaciones deben estar más alerta que nunca. El aumento del ransomware Meow pone de relieve un cambio hacia un mercado de vulneración de datos y apunta a nuevos métodos de monetización para los operadores de ransomware. Los datos robados se venden cada vez más a terceros en lugar de simplemente publicarse en línea. Estas amenazas evolucionan, las empresas deben permanecer alerta y adoptar medidas de seguridad proactivas. Debemos fortalecer continuamente nuestras defensas contra ataques cada vez más sofisticados”.
Principales familias de malware
*Las flechas indican cambios en el ranking respecto al mes anterior.
FakeUpdates es el malware más frecuente este mes y afecta al 8% de las organizaciones en todo el mundo. Le sigue Androxgh0st con un impacto global del 5% y Phorpiex con un impacto global del 5%.
↔ FakeUpdates: FakeUpdates (también conocido como SocGholish) es un programa de descarga escrito en JavaScript. Escribe la carga útil en el disco antes de ejecutarla. Las FakeUpdates provocaron mayores compromisos a través de una serie de malware adicional, incluidos GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. ↔ Androxgh0st: Androxgh0st es una botnet dirigida a plataformas Windows, Mac y Linux. En su infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente dirigidas a PHPUnit, Laravel Framework y Apache Web Server. Este malware roba información confidencial, como información de la cuenta de Twilio, credenciales SMTP y claves de AWS. Utilice archivos Laravel para recopilar la información requerida. Existen diferentes variantes que escanean información diferente. ↑ Phorpiex: Phorpiex es una botnet conocida por distribuir otras familias de malware a través de campañas de spam y facilitar campañas de sextorsión a gran escala.
Vulnerabilidades más explotadas
↔ Inyección de comandos a través de HTTP (CVE-2021-43936, CVE-2022-24086): se ha informado de una vulnerabilidad de inyección de comandos a través de HTTP. Un atacante remoto podría aprovechar este problema enviando una solicitud especialmente diseñada a la víctima. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario en la máquina objetivo. ↔ Inyección de comandos Zyxel ZyWALL (CVE-2023-28771): existe una vulnerabilidad de inyección de comandos en Zyxel ZyWALL. La explotación de esta vulnerabilidad permite a atacantes remotos ejecutar comandos arbitrarios del sistema operativo en un sistema afectado. ↔ Ejecución remota de código en encabezados HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375): los encabezados HTTP permiten a los clientes y servidores pasar información adicional en las solicitudes HTTP. Un atacante remoto podría utilizar un encabezado HTTP vulnerable para ejecutar código arbitrario en la máquina de una víctima.
Principal malware móvil
Joker es el malware móvil más frecuente este mes, seguido de Anubis e Hydra.
↔ Joker: software espía para Android de Google Play. Diseñado para robar mensajes SMS, listas de contactos e información del dispositivo. Además, el malware registra secretamente a las víctimas para servicios premium en sitios web publicitarios. ↔ Anubis: Anubis es un malware troyano bancario diseñado para teléfonos móviles con Android. Desde que se detectó por primera vez, ha adquirido capacidades adicionales, como capacidades de troyanos de acceso remoto (RAT), registradores de pulsaciones de teclas, capacidades de grabación de voz y varias capacidades de ransomware. Se ha encontrado en cientos de aplicaciones diferentes disponibles en Google Store. ↑ Hydra – Hydra es un troyano bancario diseñado para robar credenciales bancarias pidiendo a las víctimas que habiliten permisos y accesos peligrosos cada vez que ingresan a una aplicación bancaria.
La industria más atacada del mundo
Este mes, la educación/investigación sigue siendo la industria número uno atacada a nivel mundial, seguida por el gobierno/militar y la atención sanitaria.
Educación/Investigación Gobierno/Medicina militar
Principales grupos de ransomware
Estos datos se basan en información de “sitios vergonzosos” de ransomware operados por grupos de ransomware de doble amenaza que publican información de las víctimas. RansomHub fue el ataque más popular este mes y representó el 15% de los ataques publicados. Le sigue Meow con un 9% y Lockbit3 con un 8%.
RansomHub: RansomHub es una operación de ransomware como servicio (RaaS) que surgió como una versión renombrada del anteriormente conocido ransomware Knight. RansomHub, que emergió de manera destacada en los foros clandestinos sobre delitos cibernéticos a principios de 2024, emplea técnicas criptográficas avanzadas para lanzar campañas agresivas dirigidas a una variedad de sistemas, incluidos Windows, macOS, Linux y, especialmente, los entornos VMware ESXi que están ganando notoriedad rápidamente. Meow: Meow ransomware es una variante basada en el ransomware Conti conocido por cifrar varios archivos en un sistema comprometido y agregarles una extensión “.MEOW”. Deja una nota de rescate llamada “readme.txt” e indica a las víctimas que se comuniquen con los atacantes por correo electrónico o Telegram para negociar el pago del rescate. Meow ransomware se propaga a través de varios vectores, incluidas configuraciones RDP no seguras, correo no deseado y descargas maliciosas, y utiliza el algoritmo de cifrado ChaCha20 para bloquear archivos excepto “.exe” y archivos de texto. Lockbit3: LockBit es un ransomware que opera en un modelo RaaS que se informó por primera vez en septiembre de 2019. LockBit se dirige a grandes empresas y agencias gubernamentales en varios países y no a individuos en Rusia o la Comunidad de Estados Independientes.
Puede encontrar una lista completa de las 10 principales familias de malware de enero en el blog de Check Point.
Para seguir Check Point:
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
INCÓGNITA:https://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal
Acerca de la investigación de puntos de control
Check Point Research proporciona inteligencia de vanguardia sobre amenazas cibernéticas a los clientes de Check Point Software y a la comunidad de inteligencia en general. Nuestro equipo de investigación recopila y analiza los datos de ataques cibernéticos del mundo almacenados en ThreatCloud para mantener a raya a los piratas informáticos y garantizar que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está compuesto por más de 100 analistas e investigadores que colaboran con otros proveedores de seguridad, agencias de aplicación de la ley y varios CERT.
Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de plataformas de ciberseguridad basadas en IA y entregadas en la nube que protegen a más de 100.000 organizaciones en todo el mundo. Check Point aprovecha el poder de la IA en todas partes para aumentar la eficiencia y precisión de la ciberseguridad a través de la plataforma Infinity. Las tasas de captura líderes en la industria permiten una predicción proactiva de amenazas y una respuesta más inteligente y rápida. Esta plataforma integral incluye Check Point Harmony para proteger su espacio de trabajo, Check Point CloudGuard para proteger su nube, Check Point Quantum para proteger su red y Check Point Infinity Core Services para operaciones y servicios de seguridad colaborativos. Incluye tecnología entregada en la nube.
el-malware-mas-buscado-de-agosto-de-2024-fakeupdates-mantiene-el-dominio-en-india-superando-a-qbot
