Publicado el

Resumen del editor: según el brazo de investigación del proveedor de ciberseguridad Check Point Software, el desmantelamiento de la botnet Emotet por parte de equipos policiales internacionales en enero de 2021, los actores de amenazas han vuelto a utilizar el troyano Trickbot como herramienta para intentar infiltrarse y explotar redes y dispositivos. La versión del proveedor se encuentra a continuación.

El malware más buscado de febrero de 2021: Trickbot asume el control tras el cierre de Emotet

Check Point Research informa que tras la operación policial internacional que tomó el control de Emotet en enero, los ciberdelincuentes recurrieron a Trickbot para mantener sus actividades maliciosas.

SINGAPUR, @mcgallen #microwireinfo, 12 de marzo de 2021 - Check Point Research, el brazo de inteligencia de amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de seguridad cibernética a nivel mundial, ha publicado su último Índice Global de Amenazas para febrero de 2021. Los investigadores informaron que el troyano Trickbot ha encabezado el Índice por primera vez, subiendo desde la tercera posición en enero.

Tras el eliminación de la botnet Emotet En enero, los investigadores de Check Point informaron que los grupos de delincuentes cibernéticos ahora están utilizando nuevas técnicas con malwares como Trickbot para continuar con sus actividades maliciosas. Durante febrero, Trickbot se distribuyó a través de una campaña de spam maliciosa diseñada para engañar a los usuarios de los sectores legal y de seguros para que descarguen un archivo .zip con un archivo JavaScript malicioso en sus PC. Una vez que se abre este archivo, intenta descargar una carga útil maliciosa adicional desde un servidor remoto.

Trickbot fue el cuarto malware más prevalente a nivel mundial durante 4, afectando al 2020% de las organizaciones. Desempeñó un papel clave en uno de los ciberataques costosos y de más alto perfil de 8, que afectó a Universal Health Services (UHS), un proveedor de atención médica líder en el UHS de EE. UU. fue golpeado por Ryuk ransomware y Dicho el ataque le costó 67 millones de dólares en ingresos y costos perdidos. Los atacantes utilizaron Trickbot para detectar y recopilar datos de los sistemas de UHS y luego entregar la carga útil del ransomware.

“Los delincuentes seguirán usando las amenazas y herramientas existentes que tienen disponibles, y Trickbot es popular debido a su versatilidad y su historial de éxito en ataques anteriores”, dijo Maya Horowitz, directora de Inteligencia e Investigación de Amenazas, Productos de Check Point. “Como sospechábamos, incluso cuando se elimina una amenaza importante, hay muchas otras que continúan representando un alto riesgo en las redes de todo el mundo, por lo que las organizaciones deben asegurarse de contar con sistemas de seguridad sólidos para evitar que sus redes se vean comprometidas y minimizar los riesgos. La capacitación integral para todos los empleados es crucial, por lo que están equipados con las habilidades necesarias para identificar los tipos de correos electrónicos maliciosos que propagan Trickbot y otro malware ".

Check Point Research también advierte que la "Divulgación de información del repositorio Git expuesta al servidor web" es la vulnerabilidad explotada más común, que afecta al 48% de las organizaciones a nivel mundial, seguida de la "Ejecución remota de código de encabezados HTTP (CVE-2020-13756)", que afecta al 46% de organizaciones en todo el mundo. “MVPower DVR Remote Code Execution” ocupa el tercer lugar en la lista de vulnerabilidades más explotadas, con un impacto global del 45%.

Principales familias de malware

* Las flechas se refieren al cambio de rango en comparación con el mes anterior

Este mes, Trickbot se ubica como el malware más popular que afecta al 3% de las organizaciones a nivel mundial, seguido de cerca por XMRig y Qbot, que también afectaron al 3% de las organizaciones en todo el mundo, respectivamente.

  1. ↑ Trickbot - Trickbot es una botnet dominante y un troyano bancario que se actualiza constantemente con nuevas capacidades, características y vectores de distribución. Esto permite que Trickbot sea un malware flexible y personalizable que se puede distribuir como parte de campañas multipropósito.
  2. ↑ XMRig - XMRig es un software de minería de CPU de código abierto que se utiliza para el proceso de minería de la criptomoneda Monero, y que se vio por primera vez en estado salvaje en mayo de 2017.
  3. ↑ Qbot - Qbot es un troyano bancario que apareció por primera vez en 2008, diseñado para robar a los usuarios credenciales bancarias y pulsaciones de teclas. A menudo distribuido a través de correo electrónico no deseado, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox, para dificultar el análisis y evadir la detección.

Principales vulnerabilidades explotadas

Este mes, la "divulgación de información del repositorio Git expuesto al servidor web" es la vulnerabilidad explotada más común, que afecta al 48% de las organizaciones a nivel mundial, seguida de la "ejecución remota de código de encabezados HTTP (CVE-2020-13756)", que afecta al 46% de las organizaciones en todo el mundo. “MVPower DVR Remote Code Execution” ocupa el tercer lugar en la lista de vulnerabilidades más explotadas, con un impacto global del 45%.

  1. Divulgación de información del repositorio Git expuesto del servidor web - Vulnerabilidad de divulgación de información que se ha informado en el repositorio de Git. La explotación exitosa de esta vulnerabilidad podría permitir la divulgación involuntaria de información de la cuenta.
  2. ↔ Ejecución remota de código de encabezados HTTP (CVE-2020-13756) - Los encabezados HTTP permiten al cliente y al servidor pasar información adicional con una solicitud HTTP. Un atacante remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en la máquina víctima.
  3. Ejecución de código remoto MVPower DVR - una vulnerabilidad de ejecución remota de código que existe en los dispositivos MVPower DVR. Un atacante remoto puede aprovechar esta debilidad para ejecutar código arbitrario en el enrutador afectado mediante una solicitud diseñada.

Principal malware móvil

Este mes, Hiddad ocupa el primer lugar en el malware móvil más prevalente, seguido por xHelper y FurBall.

  1. Hiddad - Hiddad es un malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.
  2. xHelper - Una aplicación maliciosa vista en estado salvaje desde marzo de 2019, utilizada para descargar otras aplicaciones maliciosas y mostrar publicidad. La aplicación es capaz de esconderse del usuario y reinstalarse en caso de ser desinstalada.
  3. FurBall - FurBall es un MRAT (troyano de acceso remoto móvil) de Android que es implementado por APT-C-50, un grupo APT iraní conectado con el gobierno iraní. Este malware se utilizó en varias campañas que se remontan a 2017 y todavía está activo en la actualidad. Las capacidades de FurBall incluyen el robo de mensajes SMS, registros de llamadas, grabación de sonido envolvente, grabación de llamadas, recopilación de archivos multimedia, rastreo de ubicación y más.

El índice de impacto global de amenazas de Check Point y su mapa de ThreatCloud funcionan con la inteligencia de ThreatCloud de Check Point, la red colaborativa más grande para combatir el ciberdelito que ofrece datos de amenazas y tendencias de ataques desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 3 millones de sitios web y 600 millones de archivos a diario e identifica más de 250 millones de actividades de malware todos los días.

La lista completa de las 10 principales familias de malware de febrero se puede encontrar en el Blog de Check Point.

Acerca de Check Point Research 

Check Point Research proporciona inteligencia de ciberamenazas líder a Check Point Software clientes y la mayor comunidad de inteligencia. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas del orden y varios CERT.

Siga Check Point Research a través de:

Quiénes Somos Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de soluciones de seguridad cibernética para gobiernos y empresas corporativas a nivel mundial. Las soluciones de Check Point protegen a los clientes de los ciberataques de quinta generación con una tasa de captura de malware, ransomware y amenazas avanzadas dirigidas líder en la industria. Check Point ofrece una arquitectura de seguridad multinivel, “Infinity Total Protection con prevención de amenazas avanzada Gen V”, esta arquitectura de producto combinada defiende la nube, la red y los dispositivos móviles de una empresa. Check Point proporciona el sistema de gestión de seguridad de un punto de control más completo e intuitivo. Check Point protege a más de 5 organizaciones de todos los tamaños.

###