El malware más buscado de febrero de 2019: Coinhive se retira mientras aún está en la cima

20160817_chkp_graphic

Singapur, @mcgallen #microwireinfo, 12 de marzo de 2019 - Check Point Research, el brazo de inteligencia de amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de seguridad cibernética a nivel mundial, ha publicado su último Índice de amenazas globales para febrero de 2019. El índice revela que, a pesar de cerrar el 8 de marzo de 2019, Coinhive ha vuelto a liderar el Índice de amenazas globales, marcando el decimoquinto mes consecutivo en la parte superior de la lista.

Los investigadores de Check Point también han descubierto varias campañas generalizadas que distribuyen el ransomware GandCrab que se han dirigido a Japón, Alemania, Canadá y Australia, entre otros. Estas operaciones han surgido en los últimos dos meses, y los investigadores de Check Point notaron que se distribuía una nueva versión del ransomware en una de las últimas campañas. La nueva versión, Gandcrab V5.2, incluye la mayoría de las características de la última, pero con un cambio en el método de cifrado que hace que la herramienta de descifrado sea ineficaz.

En febrero, las variantes de malware más frecuentes fueron los criptomineros. Coinhive sigue siendo el principal malware y afecta al 10% de las organizaciones en todo el mundo. Esto sigue una tendencia a la baja en el impacto global de Coinhive, del 18% en octubre de 2018 al 12% en enero de 2019, y ahora con una caída del 2% este mes. Esta disminución ha sido causada por el aumento del costo de la minería junto con la disminución del valor de Monero. Cryptoloot subió al segundo lugar en febrero reemplazando a XMRig, y fue seguido por Emotet, un troyano avanzado, autopropagado y modular, que reemplazó a Jsecoin en el tercer lugar del índice.

Maya Horowitz, Directora de Investigación e Inteligencia de Amenazas en Check Point comentó: “Como vimos en enero, los actores de amenazas continúan explotando nuevas formas de distribuir malware, mientras crean variantes nuevas y más peligrosas de formas de malware existentes. La nueva versión de GandCrab demuestra una vez más que, aunque hay familias de malware aparentemente estáticas que permanecen en la lista de malware superior durante varios meses, en realidad están evolucionando y desarrollándose para evadir la detección. Para combatir esto de manera efectiva, nuestros investigadores los rastrean continuamente según el ADN de su familia de malware, por lo que es esencial que las organizaciones mantengan sus soluciones de seguridad completamente actualizadas ".

Los 2019 programas maliciosos más buscados de febrero de 3:
* Las flechas se refieren al cambio de rango en comparación con el mes anterior.

  1. ↔ Colmena - Crypto Miner diseñado para realizar minería en línea de la criptomoneda Monero cuando un usuario visita una página web sin el conocimiento del usuario o la aprobación de las ganancias con el usuario. El JavaScript implantado utiliza una gran cantidad de recursos computacionales de las máquinas de los usuarios finales para extraer monedas y puede bloquear el sistema.
  2. ↑ Criptón - Crypto-Miner que utiliza la potencia de la CPU o GPU de la víctima y los recursos existentes para la minería criptográfica: agrega transacciones a la cadena de bloques y libera nueva moneda. Es un competidor de Coinhive, que intenta tirar de la alfombra al pedir un porcentaje menor de ingresos de los sitios web.
  3. ↑ Emote - Troyano avanzado, autopropagado y modular. Emotet solía emplearse como troyano bancario y recientemente se utiliza como distribuidor de otros programas maliciosos o campañas maliciosas. Utiliza múltiples métodos para mantener las técnicas de persistencia y evasión para evitar la detección. Además, se puede propagar a través de correos electrónicos no deseados de phishing que contienen adjuntos o enlaces maliciosos.

Este mes, Lotoor es el malware móvil más prevalente, reemplazando a Hiddad en el primer lugar en la lista de malware móvil superior. Triada se mantiene en tercer lugar.

Los 3 programas maliciosos más buscados para dispositivos móviles de febrero:

  1. Lotoor - Herramienta de pirateo que aprovecha las vulnerabilidades del sistema operativo Android para obtener privilegios de root en dispositivos móviles comprometidos.
  2. Hiddad - Malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las envía a una tienda de terceros. Su función principal es mostrar anuncios, sin embargo, también puede obtener acceso a detalles de seguridad clave integrados en el sistema operativo, lo que permite a un atacante obtener datos confidenciales del usuario.
  3. Triada - Puerta trasera modular para Android que otorga privilegios de superusuario al malware descargado, ya que lo ayuda a integrarse en los procesos del sistema. También se ha visto a Triada falsificando URL cargadas en el navegador.

Los investigadores de Check Point también analizaron las vulnerabilidades cibernéticas más explotadas. CVE-2017-7269 sigue liderando las principales vulnerabilidades explotadas con un 45%. OpenSSL TLS DTLS Heartbeat Information Disclosure es la segunda vulnerabilidad más prevalente con un impacto global del 40%, seguida por el exploit de inyección de código de configuración incorrecta PHPMyAdmin de servidores web, que afecta al 34% de las organizaciones en todo el mundo.

Las 3 principales vulnerabilidades 'más explotadas' de febrero:

  1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Desbordamiento de búfer (CVE-2017-7269) - Al enviar una solicitud diseñada a través de una red a Microsoft Windows Server 2003 R2 a través de Microsoft Internet Information Services 6.0, un atacante remoto podría ejecutar código arbitrario o causar condiciones de denegación de servicio en el servidor de destino. Esto se debe principalmente a una vulnerabilidad de desbordamiento del búfer resultante de la validación incorrecta de un encabezado largo en una solicitud HTTP.
  2. ↑ OpenSSL TLS DTLS Divulgación de información de latido (CVE-2014-0160; CVE-2014-0346) - Existe una vulnerabilidad de divulgación de información en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes de latido TLS / DTLS. Un atacante puede aprovechar esta vulnerabilidad para revelar el contenido de la memoria de un cliente o servidor conectado.
  3. ↑ Inyección de código de configuración incorrecta de servidores web PHPMyAdmin - Se ha informado de una vulnerabilidad de inyección de código en PHPMyAdmin. La vulnerabilidad se debe a una mala configuración de PHPMyAdmin. Un atacante remoto puede aprovechar esta vulnerabilidad enviando una solicitud HTTP especialmente diseñada al objetivo.

El índice de impacto global de amenazas de Check Point y su mapa de ThreatCloud funcionan con la inteligencia de ThreatCloud de Check Point, la red colaborativa más grande para combatir el ciberdelito que ofrece datos de amenazas y tendencias de ataques desde una red global de sensores de amenazas. La base de datos ThreatCloud contiene más de 250 millones de direcciones analizadas para el descubrimiento de bots, más de 11 millones de firmas de malware y más de 5.5 millones de sitios web infectados, e identifica millones de tipos de malware a diario.

* La lista completa de las 10 familias de malware más importantes de junio se puede encontrar en el Blog de Check Point:http://blog.checkpoint.com/2019/03/11/february-2019s-most-wanted-malware-coinhive-quits-gandcrab-cryptomining-ransomware/

Los recursos de prevención de amenazas de Check Point están disponibles en: //www.checkpoint.com/threat-prevention-resources/index.html

Siga Check Point a través de:
Blog de Check Point: http://blog.checkpoint.com/
Twitter http://www.twitter.com/checkpointsw
Facebook: http://www.facebook.com/checkpointsoftware
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
YouTube: http://www.youtube.com/user/CPGlobal

Acerca de Check Point Research
Check Point Research proporciona inteligencia líder sobre amenazas cibernéticas a los clientes de Check Point Software y a la comunidad de inteligencia en general. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas del orden y varios CERT.

Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de soluciones de seguridad cibernética para gobiernos y empresas corporativas a nivel mundial. Sus soluciones protegen a los clientes de los ciberataques con una tasa de captura de malware, ransomware y otros tipos de ataques líder en la industria. Check Point ofrece una arquitectura de seguridad multinivel que defiende la información almacenada en la nube, la red y los dispositivos móviles de las empresas, además del sistema de gestión de seguridad de un punto de control más completo e intuitivo. Check Point protege a más de 100,000 organizaciones de todos los tamaños.

###