FakeUpdates encabeza la lista del malware más buscado de noviembre de 2024, según Check Point Software

Madrid, 11 de diciembre de 2024 – Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, publica su Índice Global de Amenazas del mes de noviembre de 2024, en el que subraya la complejidad creciente de los ciberdelincuentes. El informe destaca a Androxgh0st, un botnet integrado en Mozi, que sigue atacando infraestructuras críticas en todo el mundo (energía, sistemas de transporte, redes sanitarias, etc.) debido a su papel indispensable en la vida cotidiana y a sus vulnerabilidades. La interrupción de estos sistemas puede provocar un caos generalizado, pérdidas económicas e incluso amenazas a la seguridad pública.

Este mes, los investigadores han descubierto que Androxgh0st, que ahora encabeza la clasificación de malware, aprovecha vulnerabilidades en múltiples plataformas, incluidos dispositivos IoT y servidores web, componentes clave de infraestructuras críticas. Al adoptar tácticas de Mozi, ataca sistemas utilizando métodos de ejecución remota de código y robo de credenciales para obtener un acceso que permita actividades maliciosas persistentes como ataques DDoS y robo de datos. La botnet se infiltra a través de brechas de seguridad no parcheadas, y la integración de las capacidades de Mozi ha ampliado significativamente su alcance, permitiéndole infectar más dispositivos IoT. Estos ataques crean el efecto cascada en todos los sectores, lo que subraya lo mucho que está en juego para los gobiernos, las empresas y las personas que dependen de estas infraestructuras.

En el ámbito del malware móvil, Joker sigue siendo la más frecuente, seguida de Anubis y Necro. Joker continúa robando SMS, contactos e información del dispositivo y suscribe a las víctimas a servicios premium. Mientras tanto, Anubis, un troyano bancario, ha sumado nuevas características, incluyendo acceso remoto, keylogging y funcionalidad ransomware.

“El auge de Androxgh0st y su integración en Mozi demuestran que los ciberdelincuentes evolucionan constantemente en sus tácticas. Las empresas deben adaptarse rápidamente e implementar medidas de seguridad robustas que puedan identificar y neutralizar estas amenazas avanzadas antes de que causen daños significativos”, afirma Maya Horowitz, VP de Investigación de Check Point Software.

Principales familias de malware en España en noviembre

*Las flechas se refieren al cambio de rango en comparación con el mes anterior.

FakeUpdates fue el malware más prevalente este mes, con un impacto del 6,4% en organizaciones de todo el mundo, seguido de Androxgh0st, con un impacto global del 5,4% y Remcos, con un impacto global del 3,6%.

1. ↓ FakeUpdates (AKA SocGholish) – Downloader hecho en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en el 6,4% de las empresas en España.
2. ↑ Androxgh0st – Androxgh0st es un botnet que afecta a plataformas Windows, Mac y Linux. Para la infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente dirigidas al PHPUnit, el Marco de Trabajo de Laravel y el Servidor Web Apache. El malware roba información sensible como cuentas de Twilio, credenciales SMTP, llave AWS, etc. Utiliza archivos de Laravel para recolectar la información a. Tiene diferentes variantes que escanean información. Este botnet ha impactado al 5,4% de las compañías españolas.
3. ↑ Remcos – Remcos es un RAT que apareció por primera vez en la naturaleza en 2016 y que se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a correos electrónicos no deseados y está diseñado para eludir la seguridad de CCU (Control de Cuentas de Usuario) de Microsoft Windows y ejecutar malware con privilegios de alto nivel. Este RAT ha impactado en un 3,6% de los negocios en España.

Vulnerabilidades más explotadas en noviembre

1. ↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Se descubrió una vulnerabilidad de inyección de comandos a través de HTTP. Un atacante remoto puede explotar este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina objetivo.
2. ↑ Web Server Exposed Git Repository Information Disclosure – Se ha informado de una vulnerabilidad de filtración de información en Git Repository que podría permitir la publicación no intencionada de información de cuentas.
3. ↑ ZMap Security Scanner (CVE-2024-3378) – ZMap es un producto de detección de vulnerabilidades. Los ciberdelincuentes pueden utilizarlo para identificar debilidades en un servidor objetivo.

Los tres malware móviles más usados en noviembre

El mes pasado, Joker ocupó el primer puesto como malware para móviles más extendido, seguido de Anubis y Necro.

1. ↔ Joker – un spyware Android en Google Play, diseñado para robar mensajes SMS, listas de contactos e información del dispositivo. Además, el malware registra a la víctima en silencio para servicios premium en páginas web de publicidad.
2. ↑ Anubis – es un troyano bancario diseñado para atacar a teléfonos móviles Android. Desde que se detectó ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto (RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
3. ↓ Necro – es un troyano dropper de Android. Es capaz de descargar otro malware, mostrar anuncios intrusivos y robar dinero mediante el cobro de suscripciones.

Los sectores más atacados en España en noviembre

El mes pasado, Gobierno/Militar se mantuvieron en el primer puesto de los sectores más atacados a escala mundial, seguido de Servicios Públicos y Medios de Comunicación.

1. Gobierno/Militar
2. Servicios Públicos
3. Medios de Comunicación

Principales grupos de ransomware en noviembre

Los datos se basan en los «shame sites» de grupos de ransomware de doble extorsión que publicaron información sobre las víctimas. RansomHub fue el grupo de ransomware más prevalente el mes pasado, responsable del 16% de los ataques publicados, seguido de Akira con un 6% y Killsec3con un 6%.

1. RansomHub – Es una operación de ransomware como servicio (RaaS) que surgió como una versión renovada de Knight. RansomHub, que apareció a principios de 2024 en foros clandestinos de ciberdelincuencia. Ha ganado notoriedad rápidamente por sus agresivas campañas dirigidas a varios sistemas, como Windows, macOS, Linux y, en particular, entornos VMware ESXi. Este malware es conocido por emplear sofisticados métodos de cifrado.
2. Akira – Se dio a conocer por primera vez a principios de 2023, se dirige tanto a sistemas Windows como Linux. Utiliza cifrado simétrico con CryptGenRandom y Chacha 2008 para cifrar archivos y es similar al ransomware Conti v2 filtrado. Akira se distribuye a través de varios medios, incluidos adjuntos de correo electrónico infectados y exploits en endpoints VPN. Una vez infectado, cifra los datos y añade la extensión «.akira» a los nombres de los archivos, tras lo cual presenta una nota de rescate exigiendo el pago por el descifrado.
3. KillSec3 – KillSec es un grupo de ciberamenazas de habla rusa que surgió en octubre de 2023. Opera a través de una plataforma de Ransomware-as-a-Service (RaaS), este grupo ofrece una gama de servicios cibercriminales ofensivos, incluyendo ataques DDoS y los llamados «servicios de pruebas de penetración» Sus principales objetivos son los sectores Sanitario y Gubernamental.

Sigue Check Point Research vía:

Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_

Acerca de Check Point Research

Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recopila y analiza datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERTs.

Sigue a Check Point Software a través de:

LinkedIn:https://www.linkedin.com/showcase/check-point-software-espana/
X: @CheckPointSpainFacebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com/

YouTube: https://www.youtube.com/user/CPGlobal

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. es un proveedor líder en soluciones de ciberseguridad en la nube basadas en IA que protege a más de 100.000 empresas a nivel mundial. Check Point Software aprovecha el poder de la IA en todos los ámbitos para mejorar la eficiencia y precisión de la ciberseguridad a través de su Plataforma Infinity, con tasas de detección líderes en la industria que permiten una anticipación proactiva a las amenazas y tiempos de respuesta más ágiles e inteligentes. La plataforma integral incluye soluciones cloud compuestas por Check Point Harmony para proteger el entorno laboral, Check Point CloudGuard para asegurar la cloud, Check Point Quantum para proteger la red y Check Point Infinity Core Services para operaciones y servicios de seguridad colaborativos.

©2024 Check Point Software Technologies Ltd. Todos los derechos reservados.

Aviso legal sobre declaraciones prospectivas

Este comunicado de prensa contiene declaraciones prospectivas. Las declaraciones prospectivas generalmente se refieren a eventos futuros o a nuestro desempeño financiero u operativo futuro. Las declaraciones prospectivas incluidas en este comunicado de prensa incluyen, pero no se limitan a, declaraciones relacionadas con nuestras expectativas respecto al crecimiento futuro, la expansión del liderazgo de Check Point Software en la industria, la mejora del valor para los accionistas y la entrega de una plataforma de ciberseguridad líder en la industria a clientes de todo el mundo. Nuestras expectativas y creencias sobre estos temas pueden no materializarse, y los resultados o eventos futuros están sujetos a riesgos e incertidumbres que podrían hacer que los resultados reales o los eventos difieran significativamente de los proyectados.

Las declaraciones prospectivas contenidas en este comunicado de prensa también están sujetas a otros riesgos e incertidumbres, incluyendo aquellos descritos con mayor detalle en nuestros archivos ante la Comisión de Bolsa y Valores (SEC), incluyendo nuestro Informe Anual en el Formulario 20-F presentado ante la SEC el 2 de abril de 2024. Las declaraciones prospectivas en este comunicado de prensa se basan en la información disponible para Check Point Software a la fecha de este documento, y Check Point Software renuncia a cualquier obligación de actualizar cualquier declaración prospectiva, salvo que lo exija la ley.