Publicado el

Resumen del editor: La avalancha de malware sigue siendo alta incluso cuando partes del mundo se derrumban bajo la pandemia en curso. En el último informe Global Threat Index de abril de 2021 del proveedor líder de ciberseguridad Check Point Software, el troyano Dridex utilizado en algunos ataques de ransomware, es algo que debe pasar desapercibido para cualquier CISO o profesional y líder de ciberseguridad. El comunicado del proveedor se encuentra a continuación.

El malware más buscado de abril de 2021: Dridex permanece en la primera posición en medio del aumento global de ataques de ransomware

Check Point Research informa que el troyano Dridex, que se usa a menudo en las etapas iniciales de los ataques de ransomware, es el malware más frecuente por segundo mes consecutivo.

SINGAPUR, @mcgallen #microwireinfo, 14 de mayo de 2021- Check Point Research (CPR), el brazo de inteligencia de amenazas deCheck Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de seguridad cibernética a nivel mundial, ha publicado su último Índice de amenazas globales para abril de 2021. Los investigadores informan que, por primera vez, AgentTesla ocupó el segundo lugar en el Índice, mientras que el troyano Dridex establecido sigue siendo el malware más prevalente, habiendo subido al primer puesto en marzo después de haber sido séptimo en febrero.

Este mes, Dridex, un troyano que apunta a la plataforma Windows, se propagó a través de la campaña QuickBooks Malspam. Los correos electrónicos de phishing utilizaban la marca de QuickBooks e intentaban atraer al usuario con notificaciones de pago y facturas falsas. El contenido del correo electrónico solicitó descargar un archivo adjunto malicioso de Microsoft Excel que podría causar que el sistema se infecte con Dridex.

Este malware se utiliza a menudo como la etapa de infección inicial en operaciones de ransomware donde los piratas informáticos cifrarán los datos de una organización y exigirán un rescate para descifrarlos. Cada vez más, estos piratas informáticos utilizan métodos de doble extorsión, en los que robarán datos confidenciales de una organización y amenazarán con divulgarlos públicamente a menos que se realice un pago. Resucitación cardiopulmonar reportado en marzo que los ataques de ransomware habían experimentado un aumento del 57% a principios de 2021, pero esta tendencia ha continuado aumentando y ha completado un aumento del 107% con respecto al período equivalente el año pasado. Más reciente, Oleoducto colonial, una importante empresa de combustibles de EE. UU., fue víctima de un ataque de este tipo y en 2020, estimó que ransomware cuesta a las empresas de todo el mundo alrededor de 20 millones de dólares, una cifra que es casi un 75% más alta que en 2019.

Por primera vez, AgentTesla ocupó el segundo lugar en la lista de malware más importante. AgentTesla es un RAT (troyano de acceso remoto) avanzado que ha estado activo desde 2 y funciona como keylogger y ladrón de contraseñas. Este RAT puede monitorear y recopilar la entrada del teclado de la víctima y el portapapeles del sistema, y ​​puede grabar capturas de pantalla y extraer las credenciales ingresadas para una variedad de software instalado en la máquina de la víctima (incluidos Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook). Este mes hay un aumento de las campañas de AgentTesla, que se propagan a través de malspam. El contenido del correo electrónico solicita descargar un archivo (puede ser de cualquier tipo) que podría hacer que el sistema se infecte con el Agente Tesla.

“Si bien somos testigos de un enorme aumento de los ataques de ransomware en todo el mundo, no es de extrañar que el principal malware de este mes esté relacionado con la tendencia. En promedio, cada 10 segundos a nivel mundial, una organización se convierte en víctima de ransomware ”, dijo Maya Horowitz, directora de Inteligencia e Investigación de Amenazas, Productos de Check Point. “Recientemente ha habido llamados a los gobiernos para que hagan más frente a esta creciente amenaza, pero no muestra signos de desaceleración. Todas las organizaciones deben ser conscientes de los riesgos y asegurarse de que existan soluciones adecuadas contra el ransomware. La capacitación integral para todos los empleados también es crucial, por lo que están equipados con las habilidades necesarias para identificar los tipos de correos electrónicos maliciosos que propagan Dridex y otros malwares, ya que así es como comienzan muchos ataques de ransomware ".

CPR también reveló que la "Divulgación de información del repositorio Git expuesto al servidor web" es la vulnerabilidad explotada más común, que afecta al 46% de las organizaciones a nivel mundial, seguida de la "Ejecución remota de código de encabezados HTTP (CVE-2020-13756)", que afecta al 45.5% de las organizaciones en todo el mundo. . “MVPower DVR Remote Code Execution” ocupa el tercer lugar en la lista de vulnerabilidades más explotadas, con un impacto global del 44%.

Principales familias de malware

* Las flechas se refieren al cambio de rango en comparación con el mes anterior.

Este mes, Dridex sigue siendo el malware más popular con un impacto global del 15% de las organizaciones, seguido por Agent Tesla y Trickbot que impactan al 12% y 8% de las organizaciones en todo el mundo, respectivamente.

  1. Dridex - Dridex es un troyano que se dirige a la plataforma Windows, distribuido principalmente a través de archivos adjuntos de spam maliciosos. Dridex se pone en contacto con un servidor remoto, envía información sobre el sistema infectado y también puede descargar y ejecutar módulos arbitrarios a pedido. Las infecciones por Dridex a menudo sirven como puntos de apoyo iniciales en los ataques de ransomware en toda la empresa.
  2. ↑ Agente Tesla - El Agente Tesla es un RAT avanzado que funciona como un registrador de teclas y un ladrón de información, que es capaz de monitorear y recopilar la entrada del teclado de la víctima, el teclado del sistema, tomar capturas de pantalla y extraer credenciales a una variedad de software instalado en la máquina de la víctima, incluido Google Chrome, Mozilla Firefox y el cliente de correo electrónico de Microsoft Outlook.
  3. ↑ Trickbot - Trickbot es una botnet modular y un troyano bancario que se actualiza constantemente con nuevas capacidades, características y vectores de distribución. Esto permite que Trickbot sea un malware flexible y personalizable que se puede distribuir como parte de campañas multipropósito.

Principales vulnerabilidades explotadas

Este mes, la "divulgación de información del repositorio Git expuesto al servidor web" es la vulnerabilidad explotada más común, que afecta al 46% de las organizaciones a nivel mundial, seguida de la "ejecución remota de código de encabezados HTTP (CVE-2020-13756)", que afecta al 45.5% de las organizaciones en todo el mundo. “MVPower DVR Remote Code Execution” ocupa el tercer lugar en la lista de vulnerabilidades más explotadas, con un impacto global del 44%.

  1. Divulgación de información del repositorio Git expuesto del servidor web - Se ha informado de una vulnerabilidad de divulgación de información en el repositorio de Git. La explotación exitosa de esta vulnerabilidad podría permitir la divulgación involuntaria de información de la cuenta.
  2. Ejecución remota de código de encabezados HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) - Los encabezados HTTP permiten al cliente y al servidor pasar información adicional con una solicitud HTTP. Un atacante remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en la máquina víctima.
  3. Ejecución de código remoto MVPower DVR - Existe una vulnerabilidad de ejecución remota de código en los dispositivos MVPower DVR. Un atacante remoto puede aprovechar esta debilidad para ejecutar código arbitrario en el enrutador afectado mediante una solicitud diseñada.

Principales malwares móviles

Este mes xHelper ocupa el primer lugar en el malware móvil más prevalente, seguido de Triada e Hiddad.

  1. xHelper - Una aplicación maliciosa vista en estado salvaje desde marzo de 2019, utilizada para descargar otras aplicaciones maliciosas y mostrar publicidad. La aplicación es capaz de ocultarse del usuario y puede reinstalarse en caso de que se desinstale.
  2. Triada - Puerta trasera modular para Android que otorga privilegios de superusuario al malware descargado.
  3. Hiddad - Hiddad es un malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.

El índice de impacto global de amenazas de Check Point y su mapa de ThreatCloud funcionan con la inteligencia de ThreatCloud de Check Point, la red colaborativa más grande para combatir el ciberdelito que ofrece datos de amenazas y tendencias de ataques desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 3 millones de sitios web y 600 millones de archivos a diario e identifica más de 250 millones de actividades de malware todos los días.

La lista completa de las 10 principales familias de malware de abril se puede encontrar en el Blog de Check Point.

Acerca de Check Point Research 

Check Point Research (CPR) proporciona inteligencia de ciberamenazas líder a Check Point Software clientes y la mayor comunidad de inteligencia. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que se asegura de que todas las soluciones de Check Point estén actualizadas con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas del orden y varios CERT.

Siga Check Point Research a través de:

Nosotros Check Point Software Technologies Ltd.  

Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de soluciones de seguridad cibernética para gobiernos y empresas corporativas a nivel mundial. La cartera de soluciones de Check Point Infinity protege a las empresas y organizaciones públicas de los ciberataques de quinta generación con una tasa de captura de malware, ransomware y otras amenazas líder en la industria. Infinity comprende tres pilares centrales que brindan seguridad sin concesiones y prevención de amenazas de generación V en entornos empresariales: Check Point Harmony, para usuarios remotos; Check Point CloudGuard, para proteger automáticamente las nubes; y Check Point Quantum, para proteger los perímetros de la red y los centros de datos, todo controlado por la administración de seguridad unificada más completa e intuitiva de la industria. Check Point protege a más de 5 organizaciones de todos los tamaños.

###