El equipo de investigación de la firma proveedora de ciberseguridad Check Point alerta a las empresas de la necesidad de comprobar y parchear cualquier sistema vulnerable a la falla “BlueKeep” Microsoft RDP (CVE-2019-0708) en ordenadores que cuentan con el sistema operativo Windows 7 y Windows Server 2008, con el objetivo de evitar ser víctima de ataques por ransomware y criptojacking.

BlueKeep ha afectado a casi 1 millón de ordenadores con acceso a Internet, siendo los equipos corporativos los más afectados. Esta vulnerabilidad ha sido catalogada como crítica debido a que no requiere la interacción del usuario para ser explotada.

RDP es un vector de ataque frecuente que se ha utilizado para instalar ransomware como SamSam y Dharma.

El equipo de investigación de Check Point ha detectado muchos intentos de ataque sobre este fallo, originados en varios países, lo que podría ser la fase inicial de reconocimiento para un ataque a mayor escala.

«La mayor amenaza que hemos visto en mayo es BlueKeep. Aunque todavía no se han visto ataques que lo exploten, se han desarrollado varias pruebas de concepto públicas. Estamos de acuerdo con Microsoft y otros observadores de la industria de la ciberseguridad en que BlueKeep podría utilizarse para lanzar ciberataques a escala de campañas masivas como WannaCry y NotPetya de 2017”, señala Maya Horowitz, directora del Grupo de Inteligencia de Amenazas de Check Point.

“Un solo ordenador con este defecto puede utilizarse para descargar una carga útil maliciosa capaz de infectar a toda una red. Por tanto, todos los ordenadores con acceso a Internet que se hayan visto comprometidos podrían infectar a otros dispositivos en todo el mundo, permitiendo así que el ataque se propague exponencialmente a un ritmo imparable. En este sentido, es fundamental que las empresas apuesten por la protección, mientras que los usuarios deben parchear el defecto lo antes posible antes de que sea demasiado tarde”, añade.

Los desarrolladores del programa GandCrab Ransomware as a Service anunciaron a finales de mayo que cesaban su operación, al mismo tiempo que pedían a sus afiliados que dejasen de distribuir este código malicioso en un plazo máximo de 20 días. GandCrab, que ha estado activo desde enero de 2018, infectó a más de 50.000 víctimas en tan sólo 2 meses, generando ganancias de miles de millones de dólares. GandCrab, que se encontraba regularmente entre los 10 malware más buscados, destacaba por actualizarse frecuentemente para eludir las herramientas de detección.

Auge de Darkgate en España

En España, se ha producido un cambio en las tres primeras posiciones de los malware más buscados. Darkgate ocupa la primera posición en detrimento de Emotet, que desaparece de las tres primeras posiciones. Darkgate es una amenaza compleja que se instala de manera sigilosa. Este troyano, que ha afectado al 11,49% de las empresas españolas, provoca problemas operativos e incapacidad para ejecutar ciertos servicios o aplicaciones.

Dos criptojackers como XMRig y JSEcoin, ocupan la segunda y tercera posición respectivamente, lo que pone de manifiesto la necesidad de fomentar la protección frente a amenazas basadas en software de criptominería. XMRig, utilizado para minar ilegalmente la criptomoneda Monero, fue descubierto por primera vez en mayo de 2017 y ha atacado a un 11,19% de las empresas en España.

JSEcoin se puede incrustar en sitios web y permite ejecutar el minero directamente en su navegador a cambio de una experiencia sin anuncios, moneda en el juego y otros incentivos. Ha afectado a un 10,16% de las organizaciones españolas.

En el mundo escala a la primera posición del malware móvil mundial en mayo Lotoor, una herramienta de hacking que explota vulnerabilidades en el sistema operativo Android para obtener privilegios de root. En segunda posición figura Hiddad, cuya función principal es mostrar anuncios. pero también puede obtener acceso a los detalles de seguridad clave incorporados en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario.

En tercera posición,Triada, que confiere privilegios de superusuario a otros elementos de malware descargados, al mismo tiempo que les ayuda a integrarse en los procesos del sistema, y también tiene la capacidad de falsificar URL cargadas en el navegador.