Tras el desmantelamiento de la red de bots Emotet en enero, los investigadores de Check Point advierten que ahora los ciberdelincuentes están recurriendo a nuevas técnicas de distribución de malware como Trickbot para continuar con sus actividades maliciosas. Durante el pasado mes de febrero, Trickbot se distribuyó a través de una campaña de spam maliciosa diseñada para engañar a los usuarios del sector legal y de seguros con el principal objetivo de que descargasen en sus ordenadores un archivo .zip con un fichero JavaScript malicioso. Una vez abierto este archivo, trataba de descargar otro payload malicioso desde un servidor remoto.
Trickbot fue el cuarto malware más presente a nivel mundial durante 2020, afectando al 8% de las empresas. Desempeñó un papel clave en uno de los ciberataques más destacados y caros del pasado año, que llegó a atacar a Universal HealthServices (UHS), uno de los principales proveedores de servicios sanitarios de Estados Unidos. UHS sufrió el ataque del ransomware Ryuk, y señaló que el ataque le costó 67 millones de dólares en pérdidas de ingresos y costes. Los cibercriminales utilizaron Trickbot para detectar y recopilar datos de los sistemas de UHS, y luego distribuir la payload del ransomware.
"Los ciberdelincuentes no van a dejar de utilizar las amenazas existentes y las herramientas de las que disponen. Trickbot destaca por su versatilidad y su historial de éxito en ciberataques anteriores", afirma Maya Horowitz, directora de Inteligencia e Investigación de Amenazas y Productos en Check Point. "Como ya sospechábamos, incluso cuando se elimina una amenaza importante, hay muchas otras que siguen suponiendo un alto riesgo en las distintas de las redes de todo el mundo, por lo que las empresas deben asegurarse de que cuentan con sistemas de seguridad robustos para evitar que sus sistemas se vean comprometidos y minimizar los riesgos. Es crucial impartir una formación exhaustiva a todos los empleados, para que estén equipados con las habilidades necesarias para identificar los distintos correos electrónicos maliciosos que propagan Trickbot y otros programas de este tipo", concluye Horowitz.
Asimismo, los expertos de la compañía advierten de que "Revelación de información del servidor web Git" es la vulnerabilidad explotada más común- afectó al 48% de las compañías en todo el mundo-, seguida de "Ejecución de Código Remoto en encabezados HTTP (CVE-2020-13756)", que impactó a más del 46%. "Dasan"MVPower DVR RemoteCodeExecution" ocupa el tercer lugar en la lista, con un impacto global del 45%.
Los 3 malwares más buscados en España en febrero:
*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.
Top 3 vulnerabilidades más explotadas en febrero
Top 3 del malware móvil mundial en febrero
El Índice de Impacto Global de las Amenazas de Check Point y su Mapa de ThreatCloud se basan en la inteligencia ThreatCloud de Check Point, la red de colaboración más grande para combatir la ciberdelincuencia que ofrece datos de amenazas y tendencias de ataque desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 3.000 millones de sitios web y 600 millones de archivos diariamente e identifica más de 250 millones de actividades de malware cada día.
La lista completa de las 10 familias principales de malware en febrero está disponible en el blog de Check Point.