Dridex desaparece de la lista, mientras que Trickbot alcanza el primer puesto

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de mayo. Las novedades vienen desde los primeros puestos, donde Trickbot, que entró por primera vez en la lista en el mes de abril de 2019, se sitúa en el primer puesto. Por su parte, el troyano Dridex, después de ser uno de los más malwares más establecidos y populares, ha caído por completo. Aunque todavía no se sabe con certeza el motivo, informes recientes indican que la banda EvilCorp, muy conocida por distribuir este ataque, ha cambiado de marca y de enfoque para evadir las sanciones de la Hacienda estadounidense.

Este mes de mayo, el primer puesto del ranking lo ocupa Trickbot -una red de bots y un troyano bancario que son capaces de robar datos financieros, credenciales de cuentas e información de identificación personal, así como propagarse dentro de una red y lanzar ransomware, en particular el conocido como Ryuk. Su constante actualización de nuevas capacidades, características y vectores de distribución le permite ser un malware flexible y personalizable que puede distribuirse como parte de campañas polivalentes. Trickbot ganó popularidad tras el desmantelamiento de la red de botsEmotet el pasado enero, y volvió a ser noticia esta semana cuando el Departamento de Justicia de Estados Unidos acusó a una mujer letona por su papel en la creación y despliegue del malware Trickbot.

Desde principios de 2021, los expertos de Check Point Research han observado un aumento significativo en el volumen de ciberataques hacia las empresas. En comparación con mayo del pasado año, han visto un ascenso del 70% en el número de ciberataques en el continente americano, mientras que en el territorio EMEA se presenta un incremento del 97% en comparación con mayo de 2020, y por su parte, la región APAC ve un asombroso repunte del 168% interanual.

"Se ha hablado mucho del reciente aumento de los ataques de ransomware, pero en realidad estamos viendo un enorme impulso en el número de ciberataques en general. Es una tendencia significativa y preocupante", destaca Eusebio Nieva, director técnico de Check Point Software para España y Portugal. "Por otra parte, es reconfortante ver que se han presentado denuncias en la lucha contra Trickbot, el malware más frecuente de este mes. Las empresas deben ser conscientes de los riesgos y asegurarse de que cuentan con las soluciones adecuadas, pero también es importante que recuerden que las amenazas no sólo pueden detectarse, sino que también existe la posibilidad de prevenirlas, incluidos los ataques zero-day y el malware desconocido. Con la tecnología adecuada, la mayoría de estos casos, incluso los más avanzados, pueden impedirse sin interrumpir el ritmo de trabajo de la empresa", concluye Nieva.

Asimismo, los expertos de la compañía advierten que “Revelación de información del servidor web Git” es la vulnerabilidad explotada más común- afectó al 48% de las empresasa nivel mundial-, seguida de “Ejecución de Código Remoto en encabezados HTTP (CVE-2020-13756)", que impactó a más del 47,5%. "Ejecución de código en remoto de MVPower DVR" se sitúa en tercer lugar, afectando al 46% de los negocios del mundo.

Los 3 malwares más buscados en España en mayo:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. ↑Trickbot- Trickbot es un troyano bancario dominante que se actualiza constantemente con nuevas capacidades, características y vectores de distribución. Esto permite que sea un malware flexible y personalizable que puede ser distribuido como parte de campañas multipropósito. Ha afectado a un 10.69% de las empresas españolas.
2. ↑ XMRig - Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 6% de las organizaciones en España.
3. ↑ Formbook– Detectado por primera vez en 2016, FormBook es un InfoStealer que apunta al sistema operativo Windows. Se comercializa como MaaS en los foros de hacking underground por sus fuertes técnicas de evasión y su precio relativamente bajo. FormBook cosecha credenciales de varios navegadores web, recoge capturas de pantalla, monitoriza y registra las secuencias de teclas, pudiendo descargar y ejecutar archivos según las órdenes de su C&C. Ha atacado al 4.39% de las compañías en españolas.

Top 3 vulnerabilidades más explotadas en mayo

1. Revelación de información del servidor web Git –La explotación exitosa de la vulnerabilidad de divulgación de información en el Repositorio Git. Permite compartir de forma involuntaria información de la cuenta.
2. Ejecución remota de código en encabezados HTTP (CVE-2020-13756) –Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. El ciberdelincuente puede remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en remoto en el equipo infectado.
3. Ejecución de código en remoto de MVPower DVR –Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Un atacante en remoto puede explotar esta vulnerabilidad para ejecutar código arbitrario en el router objetivo a través de una petición hecha a medida.

Top 3 del malware móvil mundial en mayo

1. xHelper - aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
2. Triada - Backdoor modular para Android que garantiza privilegios de superusuario para descargar malware.
3. Hiddad–es un malware para Android que tiene como función principal mostrar anuncios. Sin embargo, también puede obtener acceso a las claves seguridad incorporadas en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario.

El Índice de Impacto Global de las Amenazas de Check Point Software y su Mapa de ThreatCloud se basan en la inteligencia ThreatCloud de Check Point Software, la red de colaboración más grande para combatir la ciberdelincuencia que ofrece datos de amenazas y tendencias de ataque desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 3.000 millones de sitios web y 600 millones de archivos diariamente e identifica más de 250 millones de actividades de malware cada día.