Descubren troyano vinculado a ciberespionaje contra el gobierno ucraniano
Check Point Software Technologies proveedor de soluciones de ciberseguridad a nivel mundial, publicó su Índice de amenazas globales para febrero de 2023. El mes pasado, el troyano Remcos regresó a la lista de los diez principales por primera vez desde diciembre de 2022 después de que se informara que los actores de amenazas lo usaban para atacar a las entidades gubernamentales de Ucrania a través de ataques de phishing. Mientras tanto, Emotet Trojan y Formbook Infostealer subieron en el ranking ocupando el segundo y tercer lugar respectivamente, mientras que Educación/Investigación siguió siendo la industria objetivo a nivel mundial.
A pesar de que los investigadores identificaron una disminución del 44 % en la cantidad promedio de ataques semanales por organización entre octubre de 2022 y febrero de 2023, Ucrania sigue siendo un objetivo popular para los ciberdelincuentes, luego de la invasión rusa. En la campaña más reciente, los atacantes se hicieron pasar por Ukrtelecom JSC en una distribución masiva de correo electrónico, utilizando un archivo adjunto RAR malicioso para propagar el troyano Remcos, que ha vuelto a la lista principal de malware por primera vez desde octubre de 2022. Una vez instalada, la herramienta abre una puerta trasera en el sistema comprometido, lo que permite el acceso completo al usuario remoto para actividades como la filtración de datos y la ejecución de comandos. Se cree que los ataques en curso están relacionados con operaciones de ciberespionaje debido a los patrones de comportamiento y las capacidades ofensivas de los incidentes.
“Si bien ha habido una disminución en el número de ataques por motivos políticos en Ucrania, siguen siendo un campo de batalla para los ciberdelincuentes. El hacktivismo generalmente ha ocupado un lugar destacado en la agenda de los actores de amenazas desde que comenzó la guerra ruso-ucraniana y la mayoría ha favorecido métodos de ataque disruptivos como DDoS para obtener la mayor publicidad. Sin embargo, la última campaña utilizó una ruta de ataque más tradicional, utilizando estafas de phishing para obtener información del usuario y extraer datos. Es importante que todas las organizaciones y organismos gubernamentales sigan prácticas de seguridad al recibir y abrir correos electrónicos. No descargue archivos adjuntos sin escanear primero las propiedades. Evite hacer clic en los enlaces dentro del cuerpo del correo electrónico y verifique la dirección del remitente en busca de anomalías, como caracteres adicionales o faltas de ortografía”. dijo Maya Horowitz, vicepresidenta de investigación de Check Point Software.
Los 3 malware más buscados en Argentina en febrero:
- Qbot: Qbot, también conocido como Qakbot, es un troyano bancario que apareció por primera vez en 2008. Fue diseñado para robar las credenciales bancarias de los usuarios y las pulsaciones de teclas. A menudo distribuido a través de correo electrónico no deseado, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección. Su impacto a nivel local es del 17.24%
- Nanocore: NanoCore es un troyano de acceso remoto que se dirige a los usuarios del sistema operativo Windows y se observó por primera vez en estado salvaje en 2013. Todas las versiones de RAT contienen complementos y funcionalidades básicas, como captura de pantalla, minería de criptomonedas, control remoto del escritorio y robo de sesión de cámara web. Su incidencia en el país es del 11.72%.
- XMRig: XMRig es un software de minería de CPU de código abierto que se utiliza para extraer la criptomoneda Monero. Los actores de amenazas a menudo abusan de este software de código abierto integrándolo en su malware para realizar minería ilegal en los dispositivos de las víctimas.. Su impacto a nivel local es del 4.83%.
Ver más: Perfiles falsos y phishing, los retos para las apps de citas
Los sectores más atacados a nivel mundial:
El mes pasado, Educación/Investigación siguió siendo la industria más atacada a nivel mundial, seguida por Gobierno/Militar y luego Salud.
- Educación/Investigación
- Gobierno/Militar
- Cuidado de la salud
Top 3 vulnerabilidades más explotadas en febrero:
El mes pasado, “Web Servers Malicious URL Directory Traversal” fue la vulnerabilidad más explotada y afectó al 47% de las organizaciones a nivel mundial. A esto le siguió la «Divulgación de información del repositorio Git expuesto del servidor web», que afectó al 46 % de las organizaciones en todo el mundo, mientras que «Apache Log4j Remote Code Execution» es la tercera vulnerabilidad más utilizada, con un impacto global del 45 %.
- ↑ Web Servers Malicious URL Directory Traversal – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no desinfecta correctamente el URI para los patrones de recorrido del directorio. La explotación exitosa permite a atacantes remotos no autenticados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
- ↓ Divulgación de información del repositorio Git expuesto del servidor web– Se ha informado de una vulnerabilidad de divulgación de información en Git Repository. La explotación exitosa de esta vulnerabilidad podría permitir una divulgación no intencional de la información de la cuenta.
- ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe una vulnerabilidad de ejecución remota de código en Apache Log4j. La explotación exitosa de esta vulnerabilidad podría permitir que un atacante remoto ejecute código arbitrario en el sistema afectado.
Top 3 del malware móvil mundial en febrero:
El mes pasado, Anubis siguió siendo el malware móvil más frecuente, seguido de Hiddad y AhMyth.
- Anubis – Anubis es un malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó inicialmente, ha adquirido funciones adicionales, incluida la funcionalidad de troyano de acceso remoto (RAT), registrador de teclas, capacidades de grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
- Hiddad – Hiddad es un malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las envía a una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles de seguridad clave integrados en el sistema operativo.
- AhMyth – AhMyth es un troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como registrar teclas, tomar capturas de pantalla, enviar mensajes SMS y activar la cámara, que generalmente se usa para robar información confidencial.
El Índice de Impacto de Amenazas Globales de Check Point y su ThreatCloud Map funcionan con la inteligencia de ThreatCloud de Check Point. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, a través de redes, puntos finales y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, el brazo de inteligencia e investigación de Check Point Software Technologies.