El ransomware se duplicó en la segunda mitad de 2016, dice Check Point

20160817_chkp_graphic

El informe de tendencias de inteligencia de amenazas globales H2 2016 de Check Point destaca las tendencias clave en el malware de red y móvil

Singapur, @mcgallen #microwireinfo, 23 de febrero de 2017 - Check Point® Software Technologies Ltd. (Nasdaq: CHKP), lanzó hoy sus Tendencias de inteligencia de amenazas globales H2 2016, revelando que los ataques de ransomware se duplicaron durante el período. De todos los incidentes de malware reconocidos a nivel mundial, el porcentaje de ataques de ransomware aumentó del 5.5% al ​​10.5% entre julio y diciembre de 2016.

El Informe de tendencias de inteligencia de amenazas globales H2 2016 destaca las tácticas clave que los ciberdelincuentes están utilizando para atacar empresas y ofrece una descripción detallada del panorama de amenazas cibernéticas en las principales categorías de malware: ransomware, banca y dispositivos móviles. Se basa en datos de inteligencia de amenazas extraídos de ThreatCloud World Cyber ​​de Check Point. Mapa de amenazas entre julio y diciembre de 2016.

Tendencias clave

Los investigadores de Check Point detectaron una serie de tendencias clave durante el período:

* El monopolio en el mercado de ransomware - Se observaron miles de nuevas variantes de ransomware en 2016, y en los últimos meses fuimos testigos de un cambio en el panorama del ransomware a medida que se volvía cada vez más centralizado, con algunas familias de malware importantes dominando el mercado y afectando a organizaciones de todos los tamaños.

* Ataques DDoS a través de dispositivos IoT - En agosto de 2016, se descubrió la infame Mirai Botnet, la primera de su tipo, la Botnet de Internet de las cosas (IoT), que ataca dispositivos digitales vulnerables habilitados para Internet, como grabadoras de video (DVR) y cámaras de vigilancia (CCTV). Los convierte en bots, utilizando los dispositivos comprometidos para lanzar múltiples ataques de denegación de servicio distribuido (DDoS) de alto volumen. Ahora está claro que los dispositivos IoT vulnerables se utilizan en casi todos los hogares, y los ataques DDoS masivos que se basan en ellos persistirán.

* Nuevas extensiones de archivo utilizadas en campañas de spam - el vector de infección más frecuente utilizado en campañas de spam malicioso durante la segunda mitad de 2016 fueron los descargadores basados ​​en el motor de Windows Script (WScript). Los descargadores escritos en Javascript (JS) y VBScript (VBS) dominaron el campo de distribución de correo no deseado, junto con formatos similares pero menos familiares como JSE, WSF y VBE.

Principal malware durante la segunda mitad de 2:

1. Conficker (14.5%) - Gusano que permite operaciones remotas y descarga de malware. La máquina infectada está controlada por una botnet, que se pone en contacto con su servidor de Command & Control para recibir instrucciones.

2. Salidad (6.1%) - Virus que permite operaciones remotas y descargas de malware adicional a los sistemas infectados por parte de su operador. Su principal objetivo es persistir en un sistema y proporcionar medios para el control remoto y la instalación de más malware.

3. Cutwail (4.6%) - Botnet involucrado principalmente en el envío de correos electrónicos no deseados, así como en algunos ataques DDOS. Una vez instalados, los bots se conectan directamente al servidor de comando y control y reciben instrucciones sobre los correos electrónicos que deben enviar. Una vez que han terminado con su tarea, los bots informan al spammer las estadísticas exactas con respecto a su operación.

4. JBossjmx (4.5%) - Gusano que se dirige a sistemas que tienen instalada una versión vulnerable de JBoss Application Server. El malware crea una página JSP maliciosa en sistemas vulnerables que ejecuta comandos arbitrarios. Además, se crea otro Backdoor que acepta comandos de un servidor IRC remoto.

5. Locky (4.3%) - Ransomware, que comenzó a distribuirse en febrero de 2016, y se propaga principalmente a través de correos electrónicos no deseados que contienen un descargador disfrazado de archivo adjunto Word o Zip, que luego descarga e instala el malware que cifra los archivos del usuario.

Top ransomware durante la segunda mitad de 2:

El porcentaje de ataques de ransomware de todos los ataques reconocidos a nivel mundial casi se duplicó en la segunda mitad de 2016, del 5.5% al ​​10.5%. Las variantes más comunes detectadas fueron:

1. Locky 41% - El tercer ransomware más común en el primer semestre, que aumentó drásticamente en la segunda mitad del año.

2. Criptopared 27% - Ransomware que comenzó como un doppelgänger de Cryptolocker, pero que finalmente lo superó. Después del derribo de Cryptolocker, Cryptowall se convirtió en uno de los ransomwares más destacados hasta la fecha. Cryptowall es conocido por su uso del cifrado AES y por realizar sus comunicaciones C&C a través de la red anónima Tor. Se distribuye ampliamente a través de exploit kits, publicidad maliciosa y campañas de phishing.

3. Cerber 23% - el esquema de ransomware como servicio más grande del mundo. Cerber es un esquema de franquicia, en el que su desarrollador recluta afiliados que propagan el malware por una parte de las ganancias.

Principal malware móvil durante la segunda mitad de 2:

1. Hummingbad 60% - El malware de Android revelado por primera vez por el equipo de investigación de Check Point que establece un rootkit persistente en el dispositivo, instala aplicaciones fraudulentas y, con ligeras modificaciones, podría permitir una actividad maliciosa adicional como instalar un registrador de claves, robar credenciales y eludir los contenedores de correo electrónico cifrados utilizados por las empresas.

2. Triada 9% - Puerta trasera modular para Android que otorga privilegios de superusuario al malware descargado y lo ayuda a integrarse en los procesos del sistema. También se ha visto a Triada falsificando URL cargadas en el navegador.

3. Ztorg 7% - Troyano que utiliza privilegios de root para descargar e instalar aplicaciones en el teléfono móvil sin el conocimiento del usuario.

Malware bancario superior:

1. Zeus 33% - Troyano que se dirige a las plataformas Windows y que a menudo se utiliza para robar información bancaria mediante el registro de pulsaciones de teclas del navegador y la captura de formularios.

2. Tinba 21% - Troyano bancario que roba las credenciales de la víctima mediante inyecciones web, que se activa cuando los usuarios intentan iniciar sesión en el sitio web de su banco.

3. Ramnit 16% - Troyano bancario que roba credenciales bancarias, contraseñas FTP, cookies de sesión y datos personales.

Maya Horowitz, Gerente del Grupo de Inteligencia de Amenazas en Check Point comentó: “El informe demuestra la naturaleza del ambiente cibernético actual, con ataques de ransomware que crecen rápidamente. Esto se debe simplemente a que funcionan y generan importantes ingresos para los atacantes. Las organizaciones están luchando para contrarrestar la amenaza de manera efectiva: muchas no tienen las defensas adecuadas y es posible que no hayan educado a su personal sobre cómo reconocer los signos de un posible ataque de ransomware en los correos electrónicos entrantes ".

“Además, nuestros datos demuestran que un pequeño número de familias son responsables de la mayoría de los ataques, mientras que rara vez se ven miles de otras familias de malware”, continuó Horowitz. "La mayoría de las amenazas cibernéticas son globales e interregionales, sin embargo, la región APAC se destaca porque su tabla de familias de malware principales incluye 5 familias que no aparecen en las otras tablas regionales".

Las estadísticas de este informe se basan en datos extraídos del Mapa mundial de amenazas cibernéticas de ThreatCloud. ThreatCloud de Check Point es la red colaborativa más grande para luchar contra el ciberdelito, que ofrece los datos de amenazas más actualizados y las tendencias de ciberataques de una red global de sensores de amenazas. La base de datos ThreatCloud identifica millones de tipos de malware a diario y contiene más de 250 millones de direcciones analizadas para el descubrimiento de bots, así como más de 11 millones de firmas de malware y 5.5 millones de sitios web infectados.

Se puede encontrar una copia completa del informe. aquí.

Siga Check Point a través de:

Blog de Check Point: http://blog.checkpoint.com/
Twitter http://www.twitter.com/checkpointsw

Facebook: http://www.facebook.com/checkpointsoftware
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) es el proveedor de seguridad cibernética de red más grande a nivel mundial, brinda soluciones líderes en la industria y protege a los clientes de ataques cibernéticos con una tasa de captura inigualable de malware y otros tipos de amenazas. Check Point ofrece una arquitectura de seguridad completa que protege a las empresas, desde redes hasta dispositivos móviles, además de la gestión de seguridad más completa e intuitiva. Check Point protege a más de 100,000 organizaciones de todos los tamaños.

###