El informe sobre amenazas del tercer trimestre de 2021 de Avast revela un elevado riesgo de ataques de ransomware y RAT

Avast (LSE:AVST), líder mundial en seguridad digital y privacidad, ha publicado su Informe de Amenazas correspondiente al tercer trimestre de 2021. En ese periodo, los Laboratorios de Amenazas de Avast han observado un aumento del riesgo de que empresas y consumidores sean atacados por ransomware y troyanos de acceso remoto (RAT). Los RATs pueden ser utilizados para el espionaje industrial, el robo de credenciales, el acoso e incluso para los ataques de denegación de servicio distribuidos (DDoS). Los investigadores de amenazas también observaron innovaciones en el espacio de la ciberdelincuencia, en constante evolución, con nuevos mecanismos utilizados por los kits de explotación y por el troyano bancario móvil Flubot.

El ransomware y las RATs ponen en riesgo a las empresas

A principios del tercer trimestre de 2021, el mundo fue testigo de un ataque masivo a la cadena de suministro del proveedor de software de gestión de TI Kaseya y sus clientes, con el ransomware Sodinokibi/REvil. Los laboratorios de amenazas de Avast detectaron y bloquearon este ataque en más de 2,4k puntos finales. Tras entrar en juego la comunidad política, los operadores del ransomware liberaron la clave de descifrado, y la infraestructura de Sodinokibi cayó, sin que se identificaran nuevas variantes hasta el 9 de septiembre, cuando Avast detectó, y bloqueó, una nueva variante. En términos globales del tercer trimestre, los Laboratorios de Amenazas de Avast vieron que el ratio de riesgo de los ataques de ransomware subió un 5% respecto al segundo trimestre, e incluso un 22% respecto al primer trimestre de 2021.

Los RAT también fueron una peligrosa amenaza tanto para las empresas como para los consumidores, con una mayor incidencia en el tercer trimestre que en los anteriores. Avast detectó tres nuevas variantes de RAT, entre ellas FatalRAT con capacidades anti-VM, VBA RAT, capaz de explotar la vulnerabilidad de Internet Explorer CVE-2021-26411, y una nueva versión de Reverse RAT con número de compilación 2.0 que añadió capacidades de toma de fotos con cámara web, robo de archivos y anti-AV. "Los RATs pueden ser una amenaza fundamental para las empresas, ya que pueden ser utilizados para el espionaje industrial", dijo Jakub Kroustek, director de Investigación de Malware de Avast. "Sin embargo, los RATs también pueden ser utilizados contra los consumidores, por ejemplo para robar sus credenciales, para añadir sus ordenadores a una red de bots para dirigir ataques DDoS y, desafortunadamente, también para el ciberacoso, que puede causar un daño masivo a la privacidad y el bienestar individual." -concluye Kroustek.

Creciente distribución de los rootkits, e innovación en kits de explotación y troyanos bancarios para móviles

Los Laboratorios de Amenazas de Avast también registraron un aumento significativo de la actividad de los rootkits al final del tercer trimestre, siendo uno de los aumentos más significativos en la actividad trimestral. Un kit rootkit es un software malicioso diseñado para dar acceso no autorizado a los ciberdelincuentes, con los mayores privilegios del sistema. Estos suelen prestar servicios a otros programas maliciosos en modo usuario.

Otra categoría de malware que parece estar regresando son los kits de explotación, con notables innovaciones, incluyendo la focalización en las vulnerabilidades de Google Chrome. El kit de explotación más activo fue PurpleFox, contra el que Avast protegió a más de 6.000 usuarios al día de media. Rig y Magnitude también tuvieron mucha presencia durante todo el trimestre. Por otro lado, el kit de explotación Underminer despertó tras un largo periodo de inactividad y empezó a servir esporádicamente a HiddenBee y Amadey. Algunos kits de explotación, especialmente PurpleFox y Magnitude, se encuentran en pleno desarrollo, recibiendo regularmente nuevas características y capacidades de explotación.

Los Laboratorios de Amenazas de Avast también monitorizaron nuevas tácticas en el ámbito móvil, con FluBot, una amenaza bancaria por SMS basada en Android, que cambió su enfoque de ingeniería social. Jakub Kroustek dijo: "Flubot primero se propagó haciéndose pasar por servicios de entrega con la intención de atraer a las víctimas a la descarga de una "aplicación de seguimiento" para un paquete que habian perdido recientemente o que estuvieran esperando. En el tercer trimestre, Avast ha visto escenarios novedosos en la propagación de este malware. Un ejemplo es hacerse pasar por grabadoras de correo de voz. Otro es la reclamación falsa de fotos personales filtradas. La más extrema de estas variantes incluso atraería a la víctima a una página falsa que afirmaría que la víctima ya ha sido infectada por FluBot cuando probablemente aún no lo ha sido y la engañaría para que instalara una "cura" para la "infección". Esta "cura" sería, en realidad, el propio malware FluBot".

Flubot continuó su expansión desde el punto en el que inicialmente se dirigía a Europa en el segundo trimestre -España, Italia, Alemania- para luego extenderse por el resto de Europa y otros países como Australia y Nueva Zelanda.