Informe mensual de Check Point sobre peligros de ciberseguridad para mayo de 2020

Foto de Philipp Katzenberger en Unsplash

Resumen del editor: El incondicional de la ciberseguridad Check Point Software publica su informe mensual sobre los peligros de la ciberseguridad a los que debe prestar atención, para el mes de mayo de 2020. Lea el comunicado de prensa del proveedor a continuación.

El malware más buscado de mayo de 2020: el troyano bancario Ursnif se ubica en la lista de los 10 principales programas maliciosos por primera vez, duplicando con creces su impacto en las organizaciones

Los investigadores de Check Point encuentran un fuerte aumento en los ataques que utilizan el troyano bancario Ursnif de larga ejecución capaz de robar correo electrónico y credenciales bancarias

SINGAPUR, @mcgallen #microwireinfo, 16 de junio de 2020 - Check Point Research, el brazo de inteligencia de amenazas deCheck Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de seguridad cibernética a nivel mundial, ha publicado su último Índice de amenazas globales para mayo de 2020. Los investigadores encontraron varias campañas de spam maliciosas que distribuían el troyano bancario Ursnif, lo que hizo que subiera 19 lugares hasta el quinto en el Lista de malware superior, duplicando su impacto en organizaciones de todo el mundo.

El troyano bancario Ursnif se dirige a PC con Windows y es capaz de robar información financiera vital, credenciales de correo electrónico y otros datos confidenciales. El malware se distribuye en campañas de spam maliciosas a través de archivos adjuntos de Word o Excel. La nueva ola de ataques de troyanos Ursnif, que lo vieron ingresar al top 10 del índice Top Malware por primera vez, coincide con informes sobre la desaparición de una de sus variantes populares, Dreambot. Dreambot se vio por primera vez en 2014 y se basa en el código fuente filtrado de Ursnif. Como se informó desde marzo de 2020, el servidor backend de Dreambot se ha caído y no se han visto nuevas muestras de Dreambot en la naturaleza.

Mientras tanto, el conocido troyano bancario Dridex, que entró en el top 10 de malware por primera vez en marzo, continuó teniendo un impacto significativo a lo largo de mayo, permaneciendo en el 1er lugar por segundo mes consecutivo. Las familias de malware móvil más prevalentes también cambiaron por completo en mayo, con el malware de Android que genera ingresos fraudulentos al hacer clic en anuncios móviles que dominan el índice móvil, lo que muestra cómo los delincuentes están tratando de monetizar los ataques contra dispositivos móviles. “Dado que los troyanos bancarios Dridex, Agent Tesla y Ursnif se ubicaron entre los 5 principales de malware en mayo, está claro que los ciberdelincuentes se están enfocando en usar malware que les permita monetizar los datos y las credenciales de sus víctimas”, dijo Maya Horowitz, Directora de Amenazas Inteligencia e investigación, productos en Check Point. "Mientras COVID-19-Ataques relacionados han disminuido, hemos visto un aumento del 16% en los ciberataques generales en mayo en comparación con marzo y abril, por lo que las organizaciones deben permanecer atentas mediante el uso de ciertas herramientas y técnicas, especialmente con el cambio masivo al trabajo remoto, que son los atacantes aprovechando."

Principales familias de malware
* Las flechas se refieren al cambio de rango en comparación con el mes anterior.<

Este mes Dridex permanece en el 1er lugar, impactando al 4% de las organizaciones a nivel mundial, seguido por Agente Tesla y la XMRig, ambos impactan al 3% de las organizaciones en todo el mundo.

  1. ↔ Dridex - Dridex es un troyano que se dirige a la plataforma Windows y, según se informa, se descarga a través de un archivo adjunto de correo electrónico no deseado. Dridex contacta a un servidor remoto y envía información sobre el sistema infectado. También puede descargar y ejecutar módulos arbitrarios recibidos del servidor remoto.
  2. ↑ Agente Tesla - El agente Tesla es un RAT avanzado que funciona como un registrador de teclas y un ladrón de información, que es capaz de monitorear y recopilar la entrada del teclado de la víctima, el portapapeles del sistema, tomar capturas de pantalla y extraer credenciales pertenecientes a una variedad de software instalado en la máquina de la víctima (incluido Google Cliente de correo electrónico Chrome, Mozilla Firefox y Microsoft Outlook).
  3. ↓ XMRig - XMRig es un software de minería de CPU de código abierto que se utiliza para el proceso de minería de la criptomoneda Monero y que se vio por primera vez en la naturaleza en mayo de 2017.

Principales vulnerabilidades explotadas

Este mes "Ejecución remota de código de MVPower DVR" sigue ocupando el primer lugar como la vulnerabilidad explotada más común, afectando al 1% de las organizaciones a nivel mundial. La segunda vulnerabilidad explotada más popular es “Divulgación de información de latido de OpenSSL TLS DTLS”, seguido de cerca por "Divulgación de información del repositorio Git expuesto al servidor web" impactando al 40% y 39% de las organizaciones respectivamente.

  1. Ejecución de código remoto MVPower DVR - Una vulnerabilidad de ejecución remota de código que existe en los dispositivos MVPower DVR. Un atacante remoto puede aprovechar esta debilidad para ejecutar código arbitrario en el enrutador afectado mediante una solicitud diseñada.
  2. ↑ OpenSSL TLS DTLS Divulgación de información de latido (CVE-2014-0160; CVE-2014-0346) - Una vulnerabilidad de divulgación de información que existe en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes de latido TLS / DTLS. Un atacante puede aprovechar esta vulnerabilidad para revelar el contenido de la memoria de un cliente o servidor conectado.
  3. Divulgación de información del repositorio Git expuesto del servidor web - Se ha informado de una vulnerabilidad de divulgación de información en el repositorio de Git. La explotación exitosa de esta vulnerabilidad podría permitir la divulgación involuntaria de información de la cuenta.

Principales familias de malware: móvil

Este mes, las tres principales familias de malware cambiaron por completo, con PreAmo en primer lugar como el malware móvil más prevalente, seguido por necro y la Hiddad.

  1. PreAmo - PreAmo es un malware para Android que imita al usuario al hacer clic en los banners recuperados de tres agencias de publicidad: Presage, Admob y Mopub.
  2. necro - Necro es un Trojan Dropper de Android. Puede descargar otro malware, mostrar anuncios intrusivos y robar dinero cobrando suscripciones pagas.
  3. Hiddad - Hiddad es un malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.

El índice de impacto global de amenazas de Check Point y su mapa de ThreatCloud funcionan con la inteligencia de ThreatCloud de Check Point, la red colaborativa más grande para combatir el ciberdelito que ofrece datos de amenazas y tendencias de ataques desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 2.5 millones de sitios web y 500 millones de archivos a diario e identifica más de 250 millones de actividades de malware todos los días.

La lista completa de las 10 principales familias de malware de mayo se puede encontrar en el Blog de Check Point.

Acerca de Check Point Research
Check Point Research proporciona inteligencia sobre amenazas cibernéticas líder a los clientes de Check Point Software y a la comunidad de inteligencia en general. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas del orden y varios CERT.

Siga Check Point Research a través de:

Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de soluciones de seguridad cibernética para gobiernos y empresas corporativas a nivel mundial. Las soluciones de Check Point protegen a los clientes de los ciberataques de quinta generación con una tasa de captura líder en la industria de malware, ransomware y amenazas dirigidas avanzadas. Check Point ofrece una arquitectura de seguridad multinivel, "Infinity Total Protection con prevención de amenazas avanzada Gen V", esta arquitectura de producto combinada defiende la nube, la red y los dispositivos móviles de una empresa. Check Point proporciona el sistema de gestión de seguridad de un solo punto de control más completo e intuitivo. Check Point protege a más de 5 organizaciones de todos los tamaños.

###