El Informe Global de Amenazas de Check Point Research, la división de Inteligencia de Amenazas del proveedor mundial de ciberseguridad, muestra que el troyano Trickbot encabeza el ranking por primera vez, escalando desde la tercera posición en enero.

Tras el desmantelamiento de la red de bots Emotet en enero, los investigadores de Check Point advierten que ahora los ciberdelincuentes están recurriendo a nuevas técnicas de distribución de malware como Trickbot para continuar con sus actividades maliciosas. Durante febrero, Trickbot se distribuyó a través de una campaña de spam maliciosa diseñada para engañar a los usuarios del sector legal y de seguros con el principal objetivo de que descargasen en sus ordenadores un archivo .zip con un fichero JavaScript malicioso. Una vez abierto este archivo, trataba de descargar otro payload malicioso desde un servidor remoto.

Trickbot fue el cuarto malware más presente en el mundo durante 2020, afectando al 8% de las empresas. Desempeñó un papel clave en uno de los ciberataques más destacados y caros del pasado año, que llegó a atacar a Universal Health Services (UHS), uno de los principales proveedores de servicios sanitarios de Estados Unidos. UHS sufrió el ataque del ransomware Ryuk, y señaló que el ataque le costó 67 millones$ en pérdidas de ingresos y costes. Los cibercriminales utilizaron Trickbot para detectar y recopilar datos de los sistemas de UHS, y luego distribuir la payload del ransomware.

«Los ciberdelincuentes no van a dejar de utilizar las amenazas existentes y las herramientas de las que disponen. Trickbot destaca por su versatilidad y su historial de éxito en ciberataques anteriores», afirma Maya Horowitz, directora de Inteligencia e Investigación de Amenazas y Productos en Check Point.

«Cuando se elimina una amenaza importante, hay muchas otras que siguen suponiendo un alto riesgo en las distintas de las redes de todo el mundo, por lo que las empresas deben asegurarse de que cuentan con sistemas de seguridad robustos para evitar que sus sistemas se vean comprometidos y minimizar los riesgos. Es crucial impartir una formación exhaustiva a todos los empleados, para que estén equipados con las habilidades necesarias para identificar los distintos correos electrónicos maliciosos que propagan Trickbot y otros programas de este tipo», concluye Horowitz.

Los  expertos de la compañía advierten de que «Revelación de información del servidor web Git» es la vulnerabilidad explotada más común- afectó al 48% de las compañías en todo el mundo-, seguida de «Ejecución de Código Remoto en encabezados HTTP (CVE-2020-13756)», que impactó a más del 46%. «Dasan «MVPower DVR Remote Code Execution» ocupa el tercer lugar en la lista, con un impacto global del 45%.

Los 3 malwares más buscados en España en febrero

• 1.- también conocido como Qakbot, es un troyano bancario que apareció por primera vez en 2008, diseñado para robar las credenciales bancarias y las claves del usuario. A menudo se distribuye a través de correo electrónico spam. Qbot emplea varias técnicas anti-VM, anti-debugging y anti-sandbox para obstaculizar el análisis y evadir ser detectado. Este troyano atacó al 7.57% de las empresas en España.
• 2.-XMRig – Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 4.79% de las empresas españolas.
• 3.- Darkgate – Es una amenaza compleja que se instala de manera sigilosa. Este troyano, que ha atacado al 4.02% de las empresas españolas, provoca problemas de desempeño e incapacidad para ejecutar ciertos servicios o aplicaciones.

Top 3 vulnerabilidades más explotadas en febrero

• 1.-Revelación de información del servidor web Git – Se ha informado acerca de una vulnerabilidad de divulgación de información en el Repositorio Git. La explotación exitosa de esta vulnerabilidad podría permitir una divulgación involuntaria de la información de la cuenta.
• 2.-Inyección de comandos sobre HTTP – Un atacante en remoto puede explotar una vulnerabilidad de inyección de comandos sobre HTTP enviando a la víctima una petición especialmente diseñada. En caso de tener éxito, esta explotación permitiría a un atacante ejecutar código arbitrario en el equipo de un usuario.
• 3.-Ejecución de código en remoto de MVPower DVR – Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Esta vulnerabilidad puede explotarse en remoto para ejecutar código arbitrario en el router.

Top 3 del malware móvil mundial en febrero

• 1.-Hiddad – Es un malware para Android que tiene como función principal mostrar anuncios. Sin embargo, también puede obtener acceso a las claves seguridad incorporadas en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario.
• 2.-xHelper – Aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
• 3.-FurBall – es un MRAT (troyano de acceso remoto móvil) para Android que es desplegado por APT-C-50, un grupo APT iraní conectado al Gobierno de Irán. Este malware fue utilizado en múltiples campañas que comenzaron en 2017, y sigue activo en la actualidad. Las capacidades de FurBall incluyen el robo de mensajes SMS, registros de llamadas, grabación de sonido, grabación de llamadas, recopilación de archivos multimedia, seguimiento de la ubicación de los usuarios y mucho más.