El informe de febrero de 2020 de los investigadores de Check Point advierte contra Mirai y Emotet

20160817_chkp_graphic

Resumen del editor: El brazo de investigación del proveedor de ciberseguridad Check Point Software publica un "malware más buscado" mensual y, en febrero de 2020, advierte contra la botnet Mirai, que se dirige a dispositivos IoT y lanza ataques DDoS. El equipo de investigación también advierte contra Emotet, otra botnet, que utiliza el phishing por SMS como técnica. El comunicado de prensa del proveedor se encuentra a continuación.

El malware más buscado de febrero de 2020: aumento de exploits que propagan la botnet Mirai a los dispositivos de IoT

SINGAPUR, @mcgallen #microwireinfo, 12 de marzo de 2020 - Check Point Research, el brazo de inteligencia de amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de seguridad cibernética a nivel mundial, ha publicado su último Índice de amenazas globales para febrero de 2020.

En febrero se produjo un gran aumento en los exploits dirigidos a una vulnerabilidad para propagar la botnet Mirai, que es conocida por infectar dispositivos IoT y realizar ataques DDoS masivos. La vulnerabilidad, conocida como el exploit “PHP php-cgi Query String Parameter Code Execution”, ocupó el sexto lugar entre las principales vulnerabilidades explotadas y afectó al 6% de las organizaciones en todo el mundo, en comparación con solo el 20% en enero de 2.

El equipo de investigación también advierte a las organizaciones que Emotet, el segundo malware más popular de este mes y la botnet más extendida que opera actualmente, se ha propagado utilizando dos nuevos vectores durante febrero. El primer vector fue una campaña de SMS Phishing (smishing) dirigida a usuarios en los EE. UU.: El SMS se hace pasar por mensajes de bancos populares, lo que atrae a las víctimas a hacer clic en un enlace malicioso que descarga Emotet en su dispositivo. El segundo vector es que Emotet detecta y aprovecha las redes Wi-Fi cercanas para propagarse a través de ataques de fuerza bruta utilizando una variedad de contraseñas Wi-Fi de uso común. Emotet se utiliza principalmente como distribuidor de ransomware u otras campañas maliciosas.

Emotet impactó al 7% de las organizaciones a nivel mundial en febrero, frente al 13% en enero, cuando se difundía a través de campañas de spam, incluidas campañas con temas de Coronavirus. Esto destaca la rapidez con que los ciberdelincuentes cambian los temas de sus ataques para intentar maximizar las tasas de infección.

“Como vimos en enero, las amenazas y exploits más impactantes durante febrero fueron malware versátil como XMRig y Emotet. Los delincuentes parecen tener como objetivo construir las mayores redes posibles de dispositivos infectados, que luego pueden explotar y monetizar de diferentes formas, desde la entrega de ransomware hasta el lanzamiento de ataques DDoS ”, dijo Maya Horowitz, directora de Inteligencia e Investigación de Amenazas, Productos. en Check Point. "Dado que los principales vectores de infección son los correos electrónicos y los mensajes SMS, las organizaciones deben asegurarse de que sus empleados estén informados sobre cómo identificar los diferentes tipos de spam malicioso e implementar seguridad que evite activamente que estas amenazas infecten sus redes".

Principales familias de malware

* Las flechas se refieren al cambio de rango en comparación con el mes anterior.

Este mes, XMRig subió al primer lugar, impactando al 7% de las organizaciones a nivel mundial, seguido por Emotet y Jsecoin impactando al 6% y 5% de las organizaciones en todo el mundo, respectivamente.

  1. ↑ XMRig - XMRig es un software de minería de CPU de código abierto que se utiliza para minar la criptomoneda Monero, y se vio por primera vez en la naturaleza en mayo de 2017.
  2. ↓ Emotet - Emotet es un troyano avanzado, autopropagable y modular. Emotet solía ser principalmente un troyano bancario, pero recientemente se ha utilizado como distribuidor de otros programas maliciosos o campañas maliciosas. Utiliza múltiples métodos para mantener la persistencia y técnicas de evasión para evitar la detección. Además, se puede propagar a través de correos electrónicos no deseados de phishing que contienen adjuntos o enlaces maliciosos.
  3. ↑ Jsecoin - Jsecoin es un cripto-minero basado en la web diseñado para realizar minería en línea de la criptomoneda Monero cuando un usuario visita una página web en particular. El JavaScript implantado utiliza una gran cantidad de recursos computacionales de las máquinas del usuario final para extraer monedas, lo que afecta el rendimiento del sistema.

Principales vulnerabilidades explotadas

Este mes, la "ejecución remota de código MVPower DVR" siguió siendo la vulnerabilidad explotada más común, afectando al 31% de las organizaciones a nivel mundial, seguida de cerca por la "divulgación de información de latidos del corazón de OpenSSL TLS DTLS" con un impacto global del 28%. En el 3er lugar, vulnerabilidad de “divulgación de información PHP DIESCAN” que afecta al 27% de las organizaciones en todo el mundo.

  1. ↔ MVPower DVR Ejecución remota de código - Existe una vulnerabilidad de ejecución remota de código en los dispositivos MVPower DVR. Un atacante remoto puede aprovechar esta debilidad para ejecutar código arbitrario en el enrutador afectado mediante una solicitud diseñada.
  2. ↑ OpenSSL TLS DTLS Divulgación de información de latido (CVE-2014-0160; CVE-2014-0346) - Existe una vulnerabilidad de divulgación de información en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes de latido TLS / DTLS. Un atacante puede aprovechar esta vulnerabilidad para revelar el contenido de la memoria de un cliente o servidor conectado.
  3. Divulgación de información PHP DIESCAN - Se ha informado de una vulnerabilidad de divulgación de información en las páginas PHP. La explotación exitosa podría conducir a la divulgación de información sensible del servidor.

Principales familias de malware: móvil

Este mes xHelper mantuvo el primer lugar en el malware móvil más prevalente, seguido por Hiddad y Guerrilla.

  1. xHelper- Una aplicación maliciosa vista en estado salvaje desde marzo de 2019, utilizada para descargar otras aplicaciones maliciosas y mostrar publicidad. La aplicación es capaz de esconderse del usuario y reinstalarse en caso de ser desinstalada.
  2. Hiddad - Hiddad es un malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.
  3. Guerrilla- Guerrilla es un troyano de Android que se encuentra integrado en múltiples aplicaciones legítimas y es capaz de descargar cargas útiles maliciosas adicionales. Guerrilla genera ingresos publicitarios fraudulentos para los desarrolladores de aplicaciones.

El índice de impacto global de amenazas de Check Point y su mapa de ThreatCloud funcionan con la inteligencia de ThreatCloud de Check Point, la red colaborativa más grande para combatir el ciberdelito que ofrece datos de amenazas y tendencias de ataques desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 2.5 millones de sitios web y 500 millones de archivos a diario e identifica más de 250 millones de actividades de malware todos los días.

La lista completa de las 10 principales familias de malware de febrero se puede encontrar en el Blog de Check Point.

Acerca de Check Point Research

Check Point Research proporciona inteligencia sobre amenazas cibernéticas líder a los clientes de Check Point Software y a la comunidad de inteligencia en general. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas del orden y varios CERT.

Siga Check Point Research a través de:

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de soluciones de seguridad cibernética para gobiernos y empresas corporativas a nivel mundial. Las soluciones de Check Point protegen a los clientes de los ciberataques de quinta generación con una tasa de captura líder en la industria de malware, ransomware y amenazas dirigidas avanzadas. Check Point ofrece una arquitectura de seguridad multinivel, "Infinity Total Protection con prevención de amenazas avanzada Gen V", esta arquitectura de producto combinada defiende la nube, la red y los dispositivos móviles de una empresa. Check Point proporciona el sistema de gestión de seguridad de un solo punto de control más completo e intuitivo. Check Point protege a más de 5 organizaciones de todos los tamaños.

###