Tenga cuidado con el malware Valak Variant: consejos de los investigadores de Check Point

shahadat-rahman-BfrQnKBulYQ-unsplash

Resumen del editor: los investigadores de Check Point han informado que ha surgido una variante del malware Valak en su informe de malware principal de septiembre de 2020. La nueva variante de Valak puede potencialmente robar información de individuos y empresas, y puede afectar potencialmente a los servidores de correo basados ​​en Microsoft Exchange, y también afectar las credenciales de los usuarios y los certificados de dominio. El comunicado de prensa del proveedor se encuentra a continuación.

El malware más buscado de septiembre de 2020: la nueva variante de Valak que roba información ingresa a la lista de los 10 principales malware por primera vez

Los investigadores de Check Point encuentran un fuerte aumento en los ataques con el nuevo malware Valak, mientras que el troyano Emotet permanece en el primer lugar por tercer mes consecutivo

SINGAPUR, @mcgallen #microwireinfo, 8 de octubre de 2020 - Check Point Research, el brazo de inteligencia de amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de seguridad cibernética a nivel mundial, ha publicado su último Índice de amenazas globales para septiembre de 2020. Los investigadores encontraron que una versión actualizada del malware Valak ingresó al Índice por primera vez, clasificándose como la novena más prevalente malware en septiembre.

Observado por primera vez a fines de 2019, Valak es una amenaza sofisticada que anteriormente se clasificó como un cargador de malware. En los últimos meses, se descubrieron nuevas variantes con importantes cambios funcionales que permiten a Valak operar como un ladrón de información capaz de apuntar tanto a personas como a empresas. Esta nueva versión de Valak puede robar información confidencial de los sistemas de correo de Microsoft Exchange, así como las credenciales de los usuarios y los certificados de dominio. Durante septiembre, Valak se difundió ampliamente mediante campañas de malspam que contenían archivos .doc maliciosos.

El troyano Emotet permanece en el primer lugar del Índice por tercer mes consecutivo, impactando al 1% de las organizaciones a nivel mundial. El troyano Qbot, que entró en la lista por primera vez en agosto, también fue ampliamente utilizado en septiembre, pasando del décimo al sexto lugar en el índice.

“Estas nuevas campañas que difunden Valak son otro ejemplo de cómo los actores de amenazas buscan maximizar sus inversiones en formas de malware establecidas y probadas. Junto con las versiones actualizadas de Qbot que surgieron en agosto, Valak está destinado a permitir el robo de datos y credenciales a escala de organizaciones e individuos. Las empresas deben considerar la implementación de soluciones anti-malware que puedan evitar que dicho contenido llegue a los usuarios finales y aconsejar a sus empleados que sean cautelosos al abrir correos electrónicos, incluso cuando parezcan provenir de una fuente confiable ”, dijo Maya Horowitz, directora de Threat Intelligence. E investigación, productos en Check Point.

El equipo de investigación también advierte que "MVPower DVR Remote Code Execution" es la vulnerabilidad explotada más común, que afecta al 46% de las organizaciones a nivel mundial, seguida de "Dasan GPON Router Authentication Bypass" que afectó al 42% de las organizaciones en todo el mundo. La “Divulgación de información de latidos del corazón de OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346)” tuvo un impacto global del 36%.

Principales familias de malware

* Las flechas se refieren al cambio de rango en comparación con el mes anterior.

Este mes Emotet sigue siendo el malware más popular con un impacto global del 14% de las organizaciones, seguido por Trickbot y Dridex que impactan al 4% y al 3% de las organizaciones de todo el mundo, respectivamente.

  1. ↔ Emotet - Emotet es un troyano avanzado, autopropagable y modular. Emotet era originalmente un troyano bancario, pero recientemente se utiliza como distribuidor de otro malware o campañas maliciosas. Utiliza múltiples métodos para mantener las técnicas de persistencia y evasión para evitar la detección. Además, se puede propagar a través de correos electrónicos no deseados de phishing que contienen adjuntos o enlaces maliciosos.
  2. ↑ Trickbot - Trickbot es un troyano bancario dominante que se actualiza constantemente con nuevas capacidades, características y vectores de distribución. Esto permite que Trickbot sea un malware flexible y personalizable que se puede distribuir como parte de campañas multipropósito.
  3. ↑ Dridex - Dridex es un troyano que se dirige a la plataforma Windows y, según se informa, se descarga a través de un archivo adjunto de correo electrónico no deseado. Dridex contacta a un servidor remoto y envía información sobre el sistema infectado. También puede descargar y ejecutar módulos arbitrarios recibidos del servidor remoto.

Principales vulnerabilidades explotadas

Este mes, “MVPower DVR Remote Code Execution” es la vulnerabilidad explotada más común, que afecta al 46% de las organizaciones a nivel mundial, seguida de “Dasan GPON Router Authentication Bypass” que afectó al 42% de las organizaciones en todo el mundo. “Divulgación de información sobre latidos del corazón de OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346)” ocupa el tercer lugar, con un impacto global del 36%.

  1. ↑ Ejecución de código remoto MVPower DVR - Una vulnerabilidad de ejecución remota de código que existe en los dispositivos MVPower DVR. Un atacante remoto puede aprovechar esta debilidad para ejecutar código arbitrario en el enrutador afectado mediante una solicitud diseñada.
  2. Omisión de autenticación del enrutador Dasan GPON (CVE-2018-10561) - Una vulnerabilidad de omisión de autenticación que existe en los enrutadores Dasan GPON. La explotación exitosa de esta vulnerabilidad permitiría a atacantes remotos obtener información sensible y obtener acceso no autorizado al sistema afectado.
  3. ↑ OpenSSL TLS DTLS Divulgación de información de latido (CVE-2014-0160; CVE-2014-0346) - Existe una vulnerabilidad de divulgación de información en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes de latido TLS / DTLS. Un atacante puede aprovechar esta vulnerabilidad para revelar el contenido de la memoria de un cliente o servidor conectado.

Principales familias de malware para dispositivos móviles

Este mes xHelper es el malware móvil más popular, seguido de Xafecopy e Hiddad.

  1. xHelper - Una aplicación maliciosa vista en estado salvaje desde marzo de 2019, utilizada para descargar otras aplicaciones maliciosas y mostrar anuncios. La aplicación puede ocultarse del usuario y reinstalarse en caso de que se desinstale.
  2. Xafekopy - Xafecopy Trojan se disfraza de aplicaciones útiles como Battery Master. El troyano carga secretamente código malicioso en el dispositivo. Una vez que se activa la aplicación, el malware Xafecopy hace clic en las páginas web con facturación del Protocolo de aplicación inalámbrica (WAP), una forma de pago móvil que cobra los costos directamente a la factura del teléfono móvil del usuario.
  3. Hiddad Hiddad es un malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.

El índice de impacto global de amenazas de Check Point y su mapa de ThreatCloud funcionan con la inteligencia de ThreatCloud de Check Point, la red colaborativa más grande para combatir el ciberdelito que ofrece datos de amenazas y tendencias de ataques desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 2.5 millones de sitios web y 500 millones de archivos a diario e identifica más de 250 millones de actividades de malware todos los días.

La lista completa de las 10 principales familias de malware de septiembre se puede encontrar en el Blog de Check Point. Los recursos de prevención de amenazas de Check Point están disponibles en http://www.checkpoint.com/threat-prevention-resources/index.html.

Acerca de Check Point Research
Check Point Research proporciona inteligencia sobre amenazas cibernéticas líder a los clientes de Check Point Software y a la comunidad de inteligencia en general. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas del orden y varios CERT.

Siga Check Point Research a través de:

Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de soluciones de seguridad cibernética para gobiernos y empresas corporativas a nivel mundial. Las soluciones de Check Point protegen a los clientes de los ciberataques de quinta generación con una tasa de captura de malware, ransomware y amenazas avanzadas dirigidas líder en la industria. Check Point ofrece una arquitectura de seguridad multinivel, “Infinity Total Protection con prevención de amenazas avanzada Gen V”, esta arquitectura de producto combinada defiende la nube, la red y los dispositivos móviles de una empresa. Check Point proporciona el sistema de gestión de seguridad de un punto de control más completo e intuitivo. Check Point protege a más de 5 organizaciones de todos los tamaños.

###