El malware más buscado de abril: malware de criptominería dirigido a vulnerabilidades de servidor sin parche, dice Check Point

20160817_chkp_graphic

El último índice de amenazas globales de Check Point revela que los piratas informáticos atacaron las vulnerabilidades del servidor sin parchear para infectar máquinas y minar criptomonedas en abril de 2018

Singapur, @mcgallen #microwireinfo, 16 de mayo de 2018 - Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de seguridad cibernética a nivel mundial, publicó su último Índice de Amenazas Global para abril de 2018, revelando que los ciberdelincuentes están apuntando cada vez más a vulnerabilidades de servidores sin parche para infectar esas máquinas con malware de criptominería.

Abril de 2018 marcó el cuarto mes consecutivo en el que el malware de criptominería dominó el índice de malware más buscado de Check Point, y la variante Coinhive mantuvo el primer lugar como el malware más frecuente con un alcance global del 16%. Cryptoloot, otro malware de minería criptográfica, le siguió de cerca con un alcance global del 14%, mientras que el malware de publicidad maliciosa Roughted ocupó el tercer lugar (11%).

Los investigadores de Check Point también identificaron un aumento significativo en una tendencia que comenzó a principios de este año, en la que los ciberdelincuentes están apuntando a vulnerabilidades de servidor no parcheadas en Microsoft Windows Server 2003 (CVE-2017-7269) y Oracle Web Logic (CVE-2017-10271). para minar ilícitamente criptomonedas. A nivel mundial, el 46% de las organizaciones del mundo fueron blanco de la vulnerabilidad de Microsoft Windows Server 2003, mientras que la vulnerabilidad de Oracle Web Logic estuvo muy cerca, dirigida al 40% de las organizaciones en todo el mundo.

"Con el crecimiento constante del malware de minería criptográfica, los ciberdelincuentes están innovando sus técnicas para encontrar nuevas formas de explotar las máquinas de las víctimas y obtener más ingresos". Maya Horowitz, Gerente del Grupo de Inteligencia de Amenazas en Check Point comentó. “Ahora que buscan infiltrarse en redes utilizando vulnerabilidades de servidor sin parche, este es un claro recordatorio para las organizaciones de que los aspectos básicos de seguridad, como el parche, son fundamentales para garantizar que las redes permanezcan seguras”.

Horowitz continuó: “Es preocupante que tantas organizaciones se hayan visto afectadas por estas vulnerabilidades conocidas, especialmente porque los parches para ambas han estado disponibles durante al menos 6 meses. Teniendo en cuenta que más del 40% de las organizaciones en todo el mundo fueron blanco de estos ataques, es fundamental que las empresas empleen una estrategia de ciberseguridad de varios niveles que proteja tanto contra los ciberataques de familias de malware establecidas como contra las nuevas amenazas ".

Los 2018 'más buscados' de abril de 3:

* Las flechas se refieren al cambio de rango en comparación con el mes anterior.

  1. Coinhive - Crypto-Miner diseñado para realizar minería en línea de la criptomoneda Monero cuando un usuario visita una página web sin el conocimiento o aprobación del usuario
  2. Cryptoloot - Crypto-Miner que usa la potencia de la CPU o GPU de la víctima y los recursos existentes para agregar transacciones a la cadena de bloques y liberar nueva moneda.
  3. Áspero - Malvertising a gran escala utilizado para entregar varios sitios web maliciosos y cargas útiles, como estafas, adware, exploit kits y ransomware. Se puede utilizar para atacar cualquier tipo de plataforma y sistema operativo, y utiliza la omisión de bloqueadores de anuncios y la toma de huellas digitales para asegurarse de que ofrece el ataque más relevante.

Lokibot, un troyano bancario de Android que otorga privilegios de superusuario para descargar malware, fue el malware más popular utilizado para atacar las propiedades móviles de las organizaciones, seguido por Triada e Hiddad.

Los 3 principales programas maliciosos para dispositivos móviles 'más buscados' de abril:

  1. Lokibot - Troyano bancario Android y ladrón de información, que también puede convertirse en un ransomware que bloquea el teléfono.
  2. Triada - Puerta trasera modular para Android que otorga privilegios de superusuario al malware descargado.
  3. Hiddad - Malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las libera en una tienda de terceros.

Los investigadores de Check Point también analizaron las vulnerabilidades cibernéticas más explotadas. En primer lugar fue CVE-2017-7269, con un impacto global del 46%, seguido por CVE-2017-10271 que afecta al 40% de las organizaciones en todo el mundo. En tercer lugar, la inyección de SQL impactó al 16% de las organizaciones a nivel mundial.

Las 3 principales vulnerabilidades 'más buscadas' de abril:

  1. Desbordamiento de búfer de Microsoft IIS WebDAV ScStoragePathFromUrl (CVE-2017-7269) - Al enviar una solicitud diseñada a través de una red a Microsoft Windows Server 2003 R2 a través de Microsoft Internet Information Services 6.0, un atacante remoto podría ejecutar código arbitrario o provocar condiciones de denegación de servicio en el servidor de destino. Esto se debe principalmente a una vulnerabilidad de desbordamiento del búfer resultante de la validación incorrecta de un encabezado largo en la solicitud HTTP. Hay un parche disponible desde marzo de 2017.
  2. Ejecución remota de código del componente de seguridad de Oracle WebLogic WLS (CVE-2017-10271): existe una vulnerabilidad de ejecución remota de código dentro de Oracle WebLogic WLS. Esto se debe a la forma en que Oracle WebLogic maneja las descodificaciones xml. Un ataque exitoso podría llevar a la ejecución remota de código. Hay un parche disponible desde octubre de 2017.
  3. SQL Injection - Insertar una inyección de consulta SQL en la entrada del cliente a la aplicación, mientras se aprovecha una vulnerabilidad de seguridad en el software de una aplicación.
    Esta lista demuestra perfectamente cómo los actores de amenazas utilizan tanto técnicas modernas (dos vulnerabilidades publicadas en 2017) como vectores de ataque clásicos como la inyección SQL.

El índice de impacto global de amenazas de Check Point y su mapa de ThreatCloud funcionan con la inteligencia de ThreatCloud de Check Point, la red colaborativa más grande para combatir el ciberdelito que ofrece datos de amenazas y tendencias de ataques desde una red global de sensores de amenazas. La base de datos ThreatCloud contiene más de 250 millones de direcciones analizadas para el descubrimiento de bots, más de 11 millones de firmas de malware y más de 5.5 millones de sitios web infectados, e identifica millones de tipos de malware a diario.

* La lista completa de las 10 principales familias de malware de abril se puede encontrar en el Blog de Check Point: http://blog.checkpoint.com/2018/05/14/aprils-wanted-malware-cryptomining-malware-targeting-unpatched-server-vulnerabilities

Los recursos de prevención de amenazas de Check Point están disponibles en: https://www.checkpoint.com/threat-prevention-resources/index.html

Siga Check Point a través de:
Twitter http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal

Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de soluciones de seguridad cibernética para gobiernos y empresas corporativas a nivel mundial. Sus soluciones protegen a los clientes de los ciberataques con una tasa de captura de malware, ransomware y otros tipos de ataques líder en la industria. Check Point ofrece una arquitectura de seguridad multinivel que defiende la información almacenada en la nube, la red y los dispositivos móviles de las empresas, además del sistema de gestión de seguridad de un solo punto de control más completo e intuitivo. Check Point protege a más de 100,000 organizaciones de todos los tamaños.

###