El Índice Global de Amenazas de octubre de 2020 de Check Point Research, la división de Inteligencia de Amenazas del grupo de ciberseguridad, señala que los troyanos Trickbot y Emotet siguen siendo los dos programas maliciosos predominantes y los responsables del fuerte aumento de los ataques de ransomware contra hospitales y proveedores de servicios de salud en el mundo.

El FBI y otras agencias del Gobierno de EEUU han advertido sobre los ataques de ransomware dirigidos al sector de la salud y se han registrado más de un millón de infecciones de Trickbot que se utilizan para descargar y difundir programas de ransomware que encriptan archivos, como Ryuk. Éste también se está distribuyendo a través del troyano Emotet, que se mantiene en el primer puesto del Índice de Malware por cuarto mes consecutivo.

Los datos de la investigación de amenazas de Check Point han demostrado que el sector de la salud es el más afectado por los ataques de ransomware en EEUU durante octubre, con un aumento del 71% en comparación con septiembre de 2020. Del mismo modo, los ataques de ransomware contra empresas del sector de la salud y contra hospitales aumentaron un 36% en EMEA  (Europa, Oriente Medico y África) y un 33% en APAC (Asia Pacífico).

«Hemos visto aumentar los ataques de ransomware desde el inicio de la pandemia para tratar de aprovechar las brechas de seguridad de las empresas en su adaptación al teletrabajo. Estos ataques han aumentado de forma alarmante en los últimos tres meses, especialmente contra el sector de la salud, y son impulsados por infecciones preexistentes de TrickBot y Emotet. Por ello, recomendamos al sector sanitario de todo el mundo que se mantengan alerta sobre estas posibles infecciones que pueden convertirse en la puerta de entrada de un ataque de ransomware», explica Maya Horowitz, directora de Inteligencia e Investigación de Amenazas de Productos de Check Point.

El equipo de investigación alerta que «MVPower DVR Remote Code Execution», que afectó al 43% de las empresas del mundo, es la vulnerabilidad explotada más común, seguida de «Dasan GPON Router Authentication Bypass» y «HTTP Headers Remote Code Execution (CVE-2020-13756)», ambas con un impacto en el 42% de las empresas.

En España, Emotet, que funcionaba como un troyano bancario pero que ha evolucionado para emplearse como distribuidor de otros programas o campañas maliciosas, destaca por utilizar múltiples métodos y técnicas de evasión para evitar la detección. Además, puede difundirse a través de campañas de spam en archivos adjuntos o enlace maliciosos en correos electrónicos. Este malware ha afectado a un 17% de las empresas españolas.

Hiddad, Malware para Android, tiene como función principal es mostrar anuncios. Sin embargo, también puede obtener acceso a los detalles de seguridad clave incorporados en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario. Ha atacado a un 9% de las empresas españolas.

Zloade, un descendiente del omnipresente malware bancario Zeus, utiliza aplicaciones web para robar credenciales, contraseñas, almacenamiento de cookies en los navegadores web, y otra información sensible de los clientes de los bancos e instituciones financieras. El malware permite a los cibercriminales conectarse al sistema infectado a través de un programa informático de la red, de modo que pueden realizar transacciones fraudulentas desde el dispositivo del cliente. Este malware atacó al 7 % de las empresas en España.

Las vulnerabilidades más explotadas en septiembre son:

• Ejecución de código en remoto de MVPower DVR – Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Esta vulnerabilidad puede explotarse en remoto para ejecutar código arbitrario en el router.
• Bypass de autentificación del router Dasan GPON – Una vulnerabilidad de autenticación de bypass que existe en los routers Dasan GPON. La explotación de esta vulnerabilidad permite a los ciberdelincuentes obtener información sensible y acceder sin autorización al sistema afectado en remoto.
• Inyección de comandos sobre HTTP – Un atacante remoto puede explotar una vulnerabilidad de Inyección de comandos sobre HTTP enviando a la víctima una petición especialmente diseñada. En caso de tener éxito, esta explotación permitiría a un atacante ejecutar código arbitrario en el equipo de un usuario.

Y del malware móvil mundial en octubre:

• Hiddad
• xHelper –Aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de evadir los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
• Lotoor – Herramienta de hacking que explota vulnerabilidades en el sistema operativo Android para obtener privilegios de root.