Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder en soluciones de ciberseguridad en la nube basadas en IA, ha publicado su Índice Global de Amenazas correspondiente al mes de junio de 2024. De acuerdo con los investigadores, se ha observado un cambio significativo en el panorama del Ransomware-as-a-Service (RaaS). El relativamente nuevo grupo RansomHub ha desbancado a LockBit3 y ha emergido como el grupo más prevalente.
El análisis revela que la intervención de las fuerzas de seguridad contra LockBit3 en febrero debilitó la lealtad entre sus afiliados, resultando en un mínimo histórico de sólo 27 víctimas en abril, una cifra inexplicablemente alta de más de 170 en mayo, y menos de 20 en junio. Este descenso sugiere un posible declive de LockBit3. Muchos de sus afiliados han comenzado a utilizar cifradores de otros grupos RaaS, lo cual ha incrementado las denuncias de víctimas de otros ciberdelincuentes. RansomHub, en particular, ha reportado casi 80 nuevas víctimas en junio, con una mayoría situada en países como Brasil, Italia, España y Reino Unido, y solo el 25% en Estados Unidos.
En otro hallazgo, los investigadores han destacado una campaña reciente de FakeUpdates, también conocida como SocGholish, que ha emergido como el malware más prevalente. Ahora, ofrece un nuevo backdoor denominado BadSpace. Esta amenaza se propaga a través de una red de afiliados que redirigen el tráfico de sitios web comprometidos a páginas de destino de FakeUpdates, las cuales invitan a los usuarios a descargar lo que parece ser una actualización del navegador. Sin embargo, contiene un cargador basado en JScript que descarga y ejecuta BadSpace. Este backdoor emplea técnicas avanzadas de ofuscación y antisandbox para evitar su detección, y mantiene su persistencia mediante tareas programadas, con comunicaciones de mando y control cifradas.
«Parece que las acciones contra LockBit3 han tenido el impacto deseado. Sin embargo, como se sugirió anteriormente, su declive solo abre paso a otros grupos para tomar el control y continuar sus campañas de ransomware contra organizaciones a nivel mundial», afirmó Maya Horowitz, VP de Investigación de Check Point Software.
En cuanto a las principales familias de malware, FakeUpdates fue el más prevalente con un impacto del 7% en organizaciones globales, seguido de Androxgh0st con un 6% y AgentTesla con un 3%.
Las vulnerabilidades más explotadas en junio incluyen la vulnerabilidad de revelación de información en Check Point VPN, afectando al 51% de las organizaciones a nivel global; la vulnerabilidad de traspaso de directorios en servidores web, con un impacto del 49%; y la ejecución remota de código en cabeceras HTTP, afectando al 44%.
Respecto a los programas maliciosos para móviles, Joker ocupó el primer puesto, seguido de Anubis y AhMyth. En términos sectoriales, el sector de Educación/Investigación fue el más atacado a nivel mundial, seguido por el sector Gobierno/Militar y el sector Sanidad.
Finalmente, entre los grupos de ransomware más prevalentes, RansomHub lideró con el 21% de los ataques publicados, seguido de Play con un 8% y Akira con un 5%. RansomHub, conocido por emplear métodos de cifrado sofisticados, ha ganado notoriedad rápidamente desde su aparición en febrero de 2024.
Esta información refleja el panorama en constante evolución del cibercrimen y destaca la importancia de medidas de ciberseguridad robustas para proteger a las organizaciones de amenazas cada vez más sofisticadas.