El Índice Global de Amenazas de febrero, que elabora Check Point, refleja que el troyano Remcos regresa a la lista de los diez primeros por primera vez desde diciembre de 2022 después de que lo utilizaran los ciberdelincuentes para atacar a las entidades gubernamentales ucranianas a través phishing. Emotet Trojan y Formbook Infostealer subieron al segundo y tercer lugar respectivamente. Y educación/investigación continúan siendo las industrias más atacadas.

A pesar de que los investigadores de Check Point Research han identificado entre octubre de 2022 y febrero de 2023 una disminución del 44% en el número promedio de ataques semanales por empresa, Ucrania sigue siendo un objetivo para los ciberdelincuentes tras la invasión rusa.

En la campaña más reciente, los atacantes se hicieron pasar por Ukrtelecom JSC en una distribución masiva de correo electrónico, utilizando un archivo adjunto RAR malicioso para propagar el troyano Remcos, que ha regresado a la parte superior de la lista de malware por primera vez desde octubre de 2022. Una vez instalada, esta herramienta abría un backdoor en el sistema comprometido, permitiendo un acceso completo en remoto para llevar a cabo actividades como la filtración de datos y la ejecución de comandos. Por los patrones de comportamiento y las capacidades ofensivas de los incidentes. se cree que los ciberataques en curso están vinculados a operaciones de ciberespionaje

“Si bien ha habido una disminución en el número de ciberataques relacionados con motivos políticos en Ucrania, todavía sigue siendo un campo de batalla activo. El hacktivismo ha sido una prioridad en la agenda de los ciberatacantes desde que comenzó la guerra ruso-ucraniana, y la mayoría ha aprovechado de métodos como los ataques disruptivos de DDoS para obtener más publicidad. Sin embargo, la última campaña utilizó una ruta de ataque más tradicional, aprovechando las estafas de phishing para obtener información de los usuarios y extraer datos. Es importante que todas las organizaciones gubernamentales sigan unas prácticas de seguridad correctas al recibir y abrir correos electrónicos: no hay que descargar archivos adjuntos sin analizar primero las propiedades, evitar hacer clic en los enlaces dentro del cuerpo del correo electrónico y verificar la dirección del remitente para detectar anomalías, como caracteres adicionales o faltas de ortografía” asegura Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

Los 3 malware más buscados en España en febrero:

1. Qbot – AKA Qakbot, es un troyano bancario que apareció por primera vez en 2008. Fue diseñado para robar las credenciales bancarias y las pulsaciones de teclas de un usuario. A menudo distribuido a través de correo electrónico no deseado, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección. Ha sido responsable del 8% de los ataques en España.

2. Guloader – AgentTesla es una RAT avanzada que funciona como keylogger y ladrón de contraseñas y lleva activa desde 2014. AgentTesla puede monitorizar y recopilar las entradas del teclado y el portapapeles del sistema de la víctima, así como grabar capturas de pantalla y extraer credenciales de diversos programas instalados en el equipo de la víctima (como Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook). AgentTesla se vende online y en foros de hacking. Este malware ha subido su incidencia hasta llegar al 4,75%.

3. XMRig – XMRig es un software de minería de CPU de código abierto utilizado para minar la criptomoneda Monero. Los actores de amenazas a menudo abusan de este software de código abierto integrándolo en su malware para actividades de minado desde de los dispositivos de las víctimas. Ha impactado en un 3,88% de las empresas en España.

Las tres industrias más atacadas a nivel mundial

El mes pasado, la educación/investigación continuó siendo la industria más atacada a nivel mundial, seguida por gobierno/militar y sanidad.

1. Educación/investigación

2. Gobierno/militar

3. Sanidad

Las tres vulnerabilidades más explotadas en febrero:

Por otra parte, Check Point Research también reveló que «Web Servers Malicious URL Directory Traversal» fue la vulnerabilidad más explotada que afectó al 47% de las organizaciones a nivel mundial, seguida por «Web Server Exposed Git Repository Information Disclosure«, que afectó al 46%, y «Apache Log4j Remote Code Execution«, con un impacto global del 45%.

1. ↑ Web Servers Malicious URL Directory Traversal – La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no depura correctamente el URI para los patrones transversales. La explotación exitosa permite a los ciberatacantes remotos no autenticados acceder a archivos arbitrarios en el servidor vulnerado.

2. ↓ Web Server Exposed Git Repository Information Disclosure – Se ha detectado una vulnerabilidad de divulgación de información en Git Repository que permite una divulgación involuntaria de la información de la cuenta.

3. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe una vulnerabilidad de ejecución remota de código en Apache Log4j, mediante la cual un atacante remoto podría aprovechar para ejecutar código arbitrario en el sistema afectado.

Los tres malwares móviles más usados en enero:

1. Anubis – Anubis es un malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó inicialmente, ha ganado funcionalidades adicionales que incluyen troyano de acceso remoto (RAT), keylogger, capacidades de grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.

2. Hiddad – Hiddad es un malware de Android que reempaqueta aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.

3. AhMyth – AhMyth es un troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como el registro de teclas, la toma de capturas de pantalla, el envío de mensajes SMS y la activación de la cámara, que generalmente se usa para robar información confidencial.