El último índice de amenazas de Check Point Software destaca el auge de Androxgh0st, una botnet integrada en Mozi, y las amenazas constantes de Joker y Anubis, lo que muestra la evolución de las tácticas de los cibercriminales.

El índice de amenazas globales de Check Point para noviembre de 2024 destaca la creciente sofisticación de los cibercriminales. El informe afirma el rápido ascenso de Androxgh0st, ahora integrado con la botnet Mozi, mientras continúa apuntando a infraestructuras críticas en todo el mundo.

Las infraestructuras críticas (que abarcan redes de energía, sistemas de transporte, redes de atención médica y más) siguen siendo un objetivo principal para los cibercriminales debido a su papel indispensable en la vida diaria y sus vulnerabilidades. Interrumpir estos sistemas puede provocar un caos generalizado, pérdidas financieras e incluso amenazas a la seguridad pública.

Los investigadores descubrieron que Androxgh0st, ahora encabeza la lista de malware, está explotando vulnerabilidades en múltiples plataformas, incluidos dispositivos IoT y servidores web, componentes clave de infraestructuras críticas. Al adoptar tácticas de Mozi, ataca sistemas que utilizan la ejecución remota de código y métodos de robo de credenciales para mantener un acceso persistente que permite actividades maliciosas como ataques DDoS y robo de datos. La botnet se infiltra en infraestructuras críticas a través de vulnerabilidades sin parches, y la integración de las capacidades de Mozi ha ampliado significativamente el alcance de Androxgh0st, lo que le permite infectar más dispositivos IoT y controlar una gama más amplia de objetivos. Estos ataques crean efectos en cascada en todas las industrias, lo que pone de relieve los altos riesgos para los gobiernos, las empresas y las personas que dependen de estas infraestructuras.

Entre las principales amenazas de malware móvil, Joker sigue siendo la más frecuente, seguida de Anubis y Necro. Joker sigue robando mensajes SMS, contactos e información del dispositivo mientras suscribe silenciosamente a las víctimas a servicios premium. Mientras tanto, Anubis, un troyano bancario, ha incorporado nuevas funciones, como acceso remoto, registro de pulsaciones de teclas y ransomware.

El auge de Androxgh0st y la integración de Mozi ilustran cómo los cibercriminales evolucionan constantemente sus tácticas. Las organizaciones deben adaptarse rápidamente e implementar medidas de seguridad sólidas que puedan identificar y neutralizar estas amenazas avanzadas antes de que puedan causar daños significativos.

Principales familias de malware

*Las flechas se relacionan con el cambio de clasificación en comparación con el mes anterior.

Androxgh0st es el malware más frecuente este mes con un impacto del 5% de las organizaciones en todo el mundo, seguido de cerca por FakeUpdates con un impacto del 5% y AgentTesla con un 3%.

↑ Androxgh0st – es una botnet que apunta a las plataformas Windows, Mac y Linux. Para la infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente apuntando a PHPUnit, Laravel Framework y Apache Web Server. El malware roba información confidencial como información de la cuenta de Twilio, credenciales SMTP, clave de AWS, etc. Utiliza archivos de Laravel para recopilar la información requerida. Tiene diferentes variantes que escanean en busca de información diferente.

↓ FakeUpdates – (también conocido como SocGholish) es un descargador escrito en JavaScript. Escribe las cargas útiles en el disco antes de ejecutarlas. FakeUpdates provocó más ataques a través de muchos otros programas maliciosos, incluidos GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult.

↔ AgentTesla: es un RAT avanzado que funciona como un keylogger y un ladrón de información, capaz de monitorear y recopilar la entrada del teclado de la víctima, el teclado del sistema, tomar capturas de pantalla y exfiltrar credenciales a una variedad de software instalado en la máquina de la víctima (incluidos Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook).

↑ Formbook: es un Infostealer que apunta al sistema operativo Windows y se detectó por primera vez en 2016. Se comercializa como Malware as a Service (MaaS) en foros de piratería clandestinos por sus fuertes técnicas de evasión y precio relativamente bajo. FormBook recopila credenciales de varios navegadores web, recopila capturas de pantalla, monitorea y registra las pulsaciones de teclas y puede descargar y ejecutar archivos de acuerdo con las órdenes de su C&C.

↑ Remcos – es un RAT que apareció por primera vez en 2016. Remcos se distribuye a través de documentos maliciosos de Microsoft Office, que se adjuntan a correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar malware con privilegios de alto nivel.

↔ AsyncRat – es un troyano que ataca a la plataforma Windows. Este malware envía información del sistema sobre el sistema atacado a un servidor remoto. Recibe comandos del servidor para descargar y ejecutar complementos, matar procesos, desinstalarse/actualizarse y capturar capturas de pantalla del sistema infectado.

↓ NJRat – es un troyano de acceso remoto, que ataca principalmente a agencias gubernamentales y organizaciones en Oriente Medio. El troyano apareció por primera vez en 2012 y tiene múltiples capacidades: capturar pulsaciones de teclas, acceder a la cámara de la víctima, robar credenciales almacenadas en navegadores, cargar y descargar archivos, realizar manipulaciones de procesos y archivos y ver el escritorio de la víctima. NJRat infecta a las víctimas mediante ataques de phishing y descargas automáticas, y se propaga a través de memorias USB infectadas o unidades en red, con el apoyo del software del servidor Command & Control.

↑ Phorpiex: es una botnet (también conocida como Trik) que ha estado activa desde 2010 y en su apogeo controló más de un millón de hosts infectados. Es conocida por distribuir otras familias de malware a través de campañas de spam, así como por impulsar campañas de spam y sextorsión a gran escala.

↑ Cloud Eye: es un descargador que apunta a la plataforma Windows y se utiliza para descargar e instalar programas maliciosos en las computadoras de las víctimas.

↑ Rilide: una extensión de navegador maliciosa que apunta a los navegadores basados ​​en Chromium, imitando software legítimo para infiltrarse en los sistemas. Explota las funcionalidades del navegador para ejecutar actividades dañinas como monitorear la navegación web, capturar capturas de pantalla e inyectar scripts para robar criptomonedas. Rilide funciona descargando otro malware, registrando las actividades del usuario e incluso puede manipular el contenido web para engañar a los usuarios y obligarlos a realizar acciones no autorizadas.

Principales vulnerabilidades explotadas

↑ Inyección de comandos a través de HTTP (CVE-2021-43936, CVE-2022-24086): se ha informado de una vulnerabilidad de inyección de comandos a través de HTTP. Un atacante remoto puede explotar este problema enviando una solicitud especialmente diseñada a la víctima. Una explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina de destino.

↑ Divulgación de información del repositorio Git expuesta en un servidor web: se ha informado de una vulnerabilidad de divulgación de información en el repositorio Git. La explotación exitosa de esta vulnerabilidad podría permitir una divulgación involuntaria de información de la cuenta.

↑ Escáner de seguridad ZMap (CVE-2024-3378): ZMap es un producto de escaneo de vulnerabilidades. Los atacantes remotos pueden usar ZMap para detectar vulnerabilidades en un servidor de destino.

Principales malwares para móviles

Este mes, Joker ocupa el primer puesto entre los malwares para móviles más frecuentes, seguido de Anubis y Necro.

↔ Joker: un spyware para Android en Google Play, diseñado para robar mensajes SMS, listas de contactos e información del dispositivo. Además, el malware registra a la víctima de forma silenciosa para servicios premium en sitios web de publicidad.

↑ Anubis:es un malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó inicialmente, ha adquirido funciones adicionales, incluida la funcionalidad de troyano de acceso remoto (RAT), keylogger, capacidades de grabación de audio y varias funciones de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.

↓ Necro: es un troyano para Android. Es capaz de descargar otro malware, mostrar anuncios intrusivos y robar dinero mediante el cobro de suscripciones pagas.

Industrias más afectadas a nivel mundial

Este mes, la educación y la investigación se mantuvieron en el primer puesto entre las industrias atacadas a nivel mundial, seguidas de las comunicaciones y el gobierno y el ejército.

Educación/Investigación

Comunicaciones

Gobierno/Ejército

Principales grupos de ransomware

Los datos se basan en información de «sitios de la vergüenza» de ransomware administrados por grupos de ransomware de doble extorsión que publicaron información sobre las víctimas. RansomHub es el grupo de ransomware más frecuente este mes, responsable del 16 % de los ataques publicados, seguido de Akira con el 6 % y Killsec3 con el 6 %.

RansomHub: Es una operación de ransomware como servicio (RaaS) que surgió como una versión renombrada del ransomware Knight, conocido anteriormente. RansomHub, que apareció de forma destacada a principios de 2024 en foros clandestinos sobre delitos cibernéticos, ha ganado notoriedad rápidamente por sus campañas agresivas dirigidas a varios sistemas, incluidos Windows, macOS, Linux y, en particular, entornos VMware ESXi. Este malware es conocido por emplear métodos de cifrado sofisticados.

Akira: Akira Ransomware, del que se informó por primera vez a principios de 2023, se dirige a sistemas Windows y Linux. Utiliza cifrado simétrico con CryptGenRandom() y Chacha 2008 para el cifrado de archivos y es similar al ransomware filtrado Conti v2. Akira se distribuye a través de varios medios, incluidos archivos adjuntos de correo electrónico infectados y exploits en puntos finales de VPN. Tras la infección, cifra los datos y añade una extensión «. akira» a los nombres de los archivos, luego presenta una nota de rescate que exige el pago para el descifrado.

KillSec3: es un grupo de ciberamenazas de habla rusa que surgió en octubre de 2023. El grupo, que opera una plataforma de ransomware como servicio (RaaS), también ofrece una variedad de otros servicios cibercriminales ofensivos, incluidos ataques DDoS y los llamados «servicios de pruebas de penetración». Una revisión de su lista de víctimas revela una cantidad desproporcionadamente alta de objetivos en la India y una proporción inusualmente baja de víctimas estadounidenses en comparación con grupos similares. Sus principales objetivos incluyen los sectores de la salud y el gobierno.