Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder en soluciones de ciberseguridad en la nube basadas en IA, ha publicado su Índice Global de Amenazas del mes de julio de 2024. En este reporte, se destaca el resurgimiento del ransomware LockBit, que tras una caída significativa en junio, ha vuelto a ser el segundo grupo de ransomware más prevalente este mes, con RansomHub conservando el primer puesto. Además, se han identificado campañas distribuyendo el malware Remcos y nuevas tácticas de FakeUpdates, que también ha vuelto a ser uno de los programas maliciosos más activos.
Un problema reciente en el sensor CrowdStrike Falcon para Windows ha permitido a los ciberdelincuentes distribuir un archivo ZIP malicioso llamado crowdstrike-hotfix.zip, que contenía HijackLoader y activaba el malware Remcos, ahora clasificado como el séptimo más buscado en julio. Esta campaña se centró en empresas hispanohablantes e utilizó dominios falsos para ataques de phishing.
Simultáneamente, los investigadores descubrieron nuevas tácticas de FakeUpdates que infectaban a los usuarios que visitaban sitios web comprometidos con avisos falsos de actualización del navegador, conduciendo a la instalación de troyanos de acceso remoto (RAT) como AsyncRAT. Es preocupante que los ciberdelincuentes también hayan comenzado a explotar BOINC, una plataforma de informática voluntaria, para obtener control remoto de los sistemas infectados.
«La continua persistencia y resurgimiento de grupos de ransomware como LockBit y RansomHub subraya que los ciberdelincuentes siguen centrados en el ransomware, presentando un desafío significativo para las empresas con implicaciones de gran alcance para su continuidad operativa y la seguridad de los datos. La reciente explotación de una actualización de software de seguridad para distribuir el malware Remcos subraya aún más la naturaleza oportunista de los ciberdelincuentes, comprometiendo aún más las defensas de las empresas. Para combatir estas amenazas, las compañías deben adoptar una estrategia de seguridad multicapa que incluya una sólida protección de endpoints, una monitorización continua y la educación de los usuarios para reducir el impacto de estos ciberataques cada vez más coordinados», afirmó Maya Horowitz, VP de Investigación de Check Point Software.
Entre las principales familias de malware en España, FakeUpdates encabezó la lista con un impacto global del 9.45%, seguido de Androxgh0st con un 5.87% y Qbot con un 4.26%. FakeUpdates es un downloader en JavaScript que ha distribuido otros programas maliciosos, mientras que Androxgh0st es un botnet que explota múltiples vulnerabilidades para robar información sensible. Qbot, conocido por robar credenciales de usuarios y espiar actividades bancarias, también tuvo un impacto significativo.
Las vulnerabilidades más explotadas incluyen la inyección de comandos a través de HTTP y las vulnerabilidades de Zyxel ZyWALL, que permiten a los atacantes ejecutar código arbitrario. En cuanto a programas maliciosos para móviles, Joker fue el spyware más extendido, seguido de Anubis y AhMyth, que están diseñados para robar información y ejecutar comandos remotos en dispositivos Android.
Los sectores más atacados a nivel mundial fueron Educación/Investigación, Gobierno/Militar y Comunicación, mientras que RansomHub, LockBit3 y Akira fueron los grupos de ransomware más activos, responsables del 11%, 8% y 6% de los ataques publicados, respectivamente. Estos datos reflejan un panorama de ciberseguridad en el que las empresas deben estar continuamente alerta y aplicar estrategias avanzadas para protegerse contra amenazas cada vez más sofisticadas y persistentes.