FakeUpdates encabeza la lista del malware más buscado de noviembre de 2024, según Check Point Software

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, publica su Índice Global de Amenazas del mes de noviembre de 2024, en el que subraya la complejidad creciente de los ciberdelincuentes. El informe destaca a Androxgh0st, un botnet integrado en Mozi, que sigue atacando infraestructuras críticas en todo el mundo (energía, sistemas de transporte, redes sanitarias, etc.) debido a su papel indispensable en la vida cotidiana y a sus vulnerabilidades. La interrupción de estos sistemas puede provocar un caos generalizado, pérdidas económicas e incluso amenazas a la seguridad pública.

Este mes, los investigadores han descubierto que Androxgh0st, que ahora encabeza la clasificación de malware, aprovecha vulnerabilidades en múltiples plataformas, incluidos dispositivos IoT y servidores web, componentes clave de infraestructuras críticas. Al adoptar tácticas de Mozi, ataca sistemas utilizando métodos de ejecución remota de código y robo de credenciales para obtener un acceso que permita actividades maliciosas persistentes como ataques DDoS y robo de datos. La botnet se infiltra a través de brechas de seguridad no parcheadas, y la integración de las capacidades de Mozi ha ampliado significativamente su alcance, permitiéndole infectar más dispositivos IoT. Estos ataques crean el efecto cascada en todos los sectores, lo que subraya lo mucho que está en juego para los gobiernos, las empresas y las personas que dependen de estas infraestructuras.

En el ámbito del malware móvil, Joker sigue siendo la más frecuente, seguida de Anubis y Necro. Joker continúa robando SMS, contactos e información del dispositivo y suscribe a las víctimas a servicios premium. Mientras tanto, Anubis, un troyano bancario, ha sumado nuevas características, incluyendo acceso remoto, keylogging y funcionalidad ransomware.

"El auge de Androxgh0st y su integración en Mozi demuestran que los ciberdelincuentes evolucionan constantemente en sus tácticas. Las empresas deben adaptarse rápidamente e implementar medidas de seguridad robustas que puedan identificar y neutralizar estas amenazas avanzadas antes de que causen daños significativos", afirma Maya Horowitz, VP de Investigación de Check Point Software.

Principales familias de malware en España en noviembre
*Las flechas se refieren al cambio de rango en comparación con el mes anterior.

FakeUpdates fue el malware más prevalente este mes, con un impacto del 6,4% en organizaciones de todo el mundo, seguido de Androxgh0st, con un impacto global del 5,4% y Remcos, con un impacto global del 3,6%

1. ↓FakeUpdates (AKA SocGholish) – Downloader hecho en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en el 6,4% de las empresas en España.
2. ↑ Androxgh0st – Androxgh0st es un botnet que afecta a plataformas Windows, Mac y Linux. Para la infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente dirigidas al PHPUnit, el Marco de Trabajo de Laravel y el Servidor Web Apache. El malware roba información sensible como cuentas de Twilio, credenciales SMTP, llave AWS, etc. Utiliza archivos de Laravel para recolectar la información a. Tiene diferentes variantes que escanean información. Este botnet ha impactado al 5,4% de las compañías españolas.
3. ↑ Remcos – Remcos es un RAT que apareció por primera vez en la naturaleza en 2016 y que se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a correos electrónicos no deseados y está diseñado para eludir la seguridad de CCU (Control de Cuentas de Usuario) de Microsoft Windows y ejecutar malware con privilegios de alto nivel. Este RAT ha impactado en un 3,6% de los negocios en España.

Vulnerabilidades más explotadas en noviembre

1. ↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Se descubrió una vulnerabilidad de inyección de comandos a través de HTTP. Un atacante remoto puede explotar este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina objetivo.
2. ↑ Web Server Exposed Git Repository Information Disclosure - Se ha informado de una vulnerabilidad de filtración de información en Git Repository que podría permitir la publicación no intencionada de información de cuentas.
3. ↑ ZMap Security Scanner (CVE-2024-3378) - ZMap es un producto de detección de vulnerabilidades. Los ciberdelincuentes pueden utilizarlo para identificar debilidades en un servidor objetivo.

Los tres malware móviles más usados en noviembre
El mes pasado, Joker ocupó el primer puesto como malware para móviles más extendido, seguido de Anubis y Necro.

1. ↔ Joker - un spyware Android en Google Play, diseñado para robar mensajes SMS, listas de contactos e información del dispositivo. Además, el malware registra a la víctima en silencio para servicios premium en páginas web de publicidad.
2. ↑ Anubis – es un troyano bancario diseñado para atacar a teléfonos móviles Android. Desde que se detectó ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto (RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
3. ↓Necro - es un troyano dropper de Android. Es capaz de descargar otro malware, mostrar anuncios intrusivos y robar dinero mediante el cobro de suscripciones.

Los sectores más atacados en España en noviembre
El mes pasado, Gobierno/Militar se mantuvieron en el primer puesto de los sectores más atacados a escala mundial, seguido de Servicios Públicos y Medios de Comunicación.

1. Gobierno/Militar
2. Servicios Públicos
3. Medios de Comunicación

Principales grupos de ransomware en noviembre
Los datos se basan en los "shame sites" de grupos de ransomware de doble extorsión que publicaron información sobre las víctimas. RansomHub fue el grupo de ransomware más prevalente el mes pasado, responsable del 16% de los ataques publicados, seguido de Akira con un 6% y Killsec3con un 6%.

1. RansomHub - Es una operación de ransomware como servicio (RaaS) que surgió como una versión renovada de Knight. RansomHub, que apareció a principios de 2024 en foros clandestinos de ciberdelincuencia. Ha ganado notoriedad rápidamente por sus agresivas campañas dirigidas a varios sistemas, como Windows, macOS, Linux y, en particular, entornos VMware ESXi. Este malware es conocido por emplear sofisticados métodos de cifrado.
2. Akira – Se dio a conocer por primera vez a principios de 2023, se dirige tanto a sistemas Windows como Linux. Utiliza cifrado simétrico con CryptGenRandom y Chacha 2008 para cifrar archivos y es similar al ransomware Conti v2 filtrado. Akira se distribuye a través de varios medios, incluidos adjuntos de correo electrónico infectados y exploits en endpoints VPN. Una vez infectado, cifra los datos y añade la extensión ".akira" a los nombres de los archivos, tras lo cual presenta una nota de rescate exigiendo el pago por el descifrado.
3. KillSec3 - KillSec es un grupo de ciberamenazas de habla rusa que surgió en octubre de 2023. Opera a través de una plataforma de Ransomware-as-a-Service (RaaS), este grupo ofrece una gama de servicios cibercriminales ofensivos, incluyendo ataques DDoS y los llamados «servicios de pruebas de penetración» Sus principales objetivos son los sectores Sanitario y Gubernamental.