Resumen del editor: Es esa época del mes nuevamente, cuando el proveedor de ciberseguridad Check Point publica su informe mensual de malware, para noviembre de 2020. El informe mencionó un aumento en los ataques utilizando la botnet Phorpiex, que luego entrega ransomware en campañas maliciosas de spam. El comunicado del proveedor se encuentra a continuación.

El malware más buscado de noviembre de 2020: la notoria botnet Phorpiex regresa como la infección más impactante

Check Point Research informa sobre un nuevo aumento en los ataques utilizando la botnet Phorpiex que entrega el ransomware Avaddon en campañas maliciosas de spam

SINGAPUR, @mcgallen #microwireinfo, 10 de diciembre de 2020 - Check Point Research, el brazo de inteligencia de amenazas deCheck Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de seguridad cibernética a nivel mundial, ha publicado su último Índice global de amenazas para noviembre de 2020, que muestra un nuevo aumento en las infecciones por la conocida botnet Phorpiex que lo ha convertido en el malware más prevalente del mes, afectando al 4% de las organizaciones a nivel mundial. Phorpiex fue visto por última vez en el top 10 del índice de amenazas en junio de este año.

La botnet Phorpiex se informó por primera vez en 2010 y en su apogeo controlaba más de un millón de hosts infectados. Conocido por distribuir otras familias de malware a través del correo no deseado y por alimentar a gran escala Campañas de spam de "sextorsión" y criptominería, Phorpiex ha vuelto a distribuir el ransomware Avaddon, como los investigadores de Check Point originalmente informó a principios de este año. Avaddon es una variante relativamente nueva de Ransomware-as-a-Service (RaaS), y sus operadores han estado nuevamente reclutando afiliados para distribuir el ransomware por una parte de las ganancias. Avaddon se ha distribuido a través de archivos JS y Excel como parte de campañas de malspam y puede cifrar una amplia gama de tipos de archivos.

“Phorpiex es una de las botnets más antiguas y persistentes, y sus creadores la han utilizado durante muchos años para distribuir otras cargas útiles de malware, como el ransomware GandCrab y Avaddon, o para estafas de sextortion. Esta nueva ola de infecciones ahora está difundiendo otra campaña de ransomware, que muestra cuán efectiva es la herramienta Phorpiex ”, dijo Maya Horowitz, directora de Inteligencia e Investigación de Amenazas, Productos de Check Point. “Las organizaciones deben educar a los empleados sobre cómo identificar posibles malspam y tener cuidado de no abrir archivos adjuntos desconocidos en los correos electrónicos, incluso si parecen provenir de una fuente confiable. También deben asegurarse de implementar una seguridad que les impida activamente infectar sus redes ".

El equipo de investigación también advierte que la "ejecución remota de código de encabezados HTTP (CVE-2020-13756)" es la vulnerabilidad explotada más común, que afecta al 54% de las organizaciones a nivel mundial, seguida de "MVPower DVR Remote Code Execution" que afectó al 48% de las organizaciones en todo el mundo y “La omisión de autenticación de enrutador GPON de Dasan (CVE-2018-10561) afectó al 44% de las organizaciones a nivel mundial.

Principales familias de malware

* Las flechas se refieren al cambio de rango en comparación con el mes anterior

Este mes, Phorpiex es el malware más popular con un impacto global del 4% de las organizaciones, seguido de cerca por Dridex e Hiddad, que afectaron al 3% de las organizaciones en todo el mundo.

  1. ↑ Phorpiex - Phorpiex es una botnet conocida por distribuir otras familias de malware a través de campañas de spam, así como por impulsar campañas de Sextortion a gran escala.
  2. ↑ Dridex - Dridex es un troyano que se dirige a la plataforma Windows y, según se informa, se descarga a través de un archivo adjunto de correo electrónico no deseado. Dridex contacta a un servidor remoto y envía información sobre el sistema infectado. También puede descargar y ejecutar módulos arbitrarios recibidos del servidor remoto.
  3. ↔ Hiddad - Hiddad es una infección de malware de Android que vuelve a empaquetar aplicaciones móviles legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.

Principales vulnerabilidades explotadas

Este mes, la "ejecución remota de código de encabezados HTTP (CVE-2020-13756)" es la vulnerabilidad explotada más común, que afecta al 54% de las organizaciones a nivel mundial, seguida de "MVPower DVR Remote Code Execution" que afectó al 48% de las organizaciones en todo el mundo y "Dasan GPON Router La omisión de autenticación (CVE-2018-10561) afectó al 44% de las organizaciones a nivel mundial.

  1. ↑ Ejecución remota de código de encabezados HTTP (CVE-2020-13756) - Los encabezados HTTP permiten al cliente y al servidor pasar información adicional con una solicitud HTTP. Un atacante remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en la máquina víctima.
  2. Ejecución de código remoto MVPower DVR - Existe una vulnerabilidad de ejecución remota de código en los dispositivos MVPower DVR. Un atacante remoto puede aprovechar esta debilidad para ejecutar código arbitrario en el enrutador afectado mediante una solicitud diseñada.
  3. Omisión de autenticación del enrutador Dasan GPON (CVE-2018-10561) - Una vulnerabilidad de omisión de autenticación que existe en los enrutadores Dasan GPON. La explotación exitosa de esta vulnerabilidad permitiría a atacantes remotos obtener información sensible y obtener acceso no autorizado al sistema afectado.

Top Malwares móviles

Este mes, Hiddad sigue siendo el malware móvil más frecuente, seguido de xHelper y Lotoor.

  1. Hiddad - Hiddad es una infección de malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.
  2. xHelper - xHelper es una aplicación maliciosa vista en estado salvaje desde marzo de 2019, que se utiliza para descargar otras aplicaciones maliciosas y mostrar publicidad. La aplicación es capaz de esconderse del usuario y reinstalarse en caso de ser desinstalada.
  3. Lotoor - Lotoor es una herramienta de pirateo que aprovecha las vulnerabilidades del sistema operativo Android para obtener privilegios de root en dispositivos móviles comprometidos.

El índice de impacto global de amenazas de Check Point y su mapa de ThreatCloud funcionan con la inteligencia de ThreatCloud de Check Point, la red colaborativa más grande para combatir el ciberdelito que ofrece datos de amenazas y tendencias de ataques desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 2.5 millones de sitios web y 500 millones de archivos a diario e identifica más de 250 millones de actividades de malware todos los días.

La lista completa de las 10 principales familias de malware de noviembre se puede encontrar en el Blog de Check Point.

Acerca de Check Point Research 

Check Point Research proporciona inteligencia de ciberamenazas líder a Check Point Software clientes y la mayor comunidad de inteligencia. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas del orden y varios CERT.

Siga Check Point Research a través de:

Acerca Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de soluciones de seguridad cibernética para gobiernos y empresas corporativas a nivel mundial. Las soluciones de Check Point protegen a los clientes de los ciberataques de quinta generación con una tasa de captura de malware, ransomware y amenazas avanzadas dirigidas líder en la industria. Check Point ofrece una arquitectura de seguridad multinivel, “Infinity Total Protection con prevención de amenazas avanzada Gen V”, esta arquitectura de producto combinada defiende la nube, la red y los dispositivos móviles de una empresa. Check Point proporciona el sistema de gestión de seguridad de un solo punto de control más completo e intuitivo. Check Point protege a más de 5 organizaciones de todos los tamaños.

###