Check Point Research, la división de Inteligencia de Amenazas de Check Point Software Technologies Ltd., ha publicado su Índice Global de Amenazas correspondiente al mes de noviembre de 2024. El informe destaca la creciente complejidad de las tácticas empleadas por los ciberdelincuentes, poniendo especial atención en el botnet Androxgh0st, que se ha integrado en Mozi y continúa atacando infraestructuras críticas a nivel mundial, incluyendo sectores esenciales como la energía, el transporte y la sanidad.
Androxgh0st ha escalado a la cima de la clasificación de malware gracias a su capacidad de aprovechar vulnerabilidades en diversas plataformas, entre ellas dispositivos IoT y servidores web, que son componentes vitales para las infraestructuras críticas. Este botnet utiliza métodos de ejecución remota de código y el robo de credenciales para llevar a cabo ataques DDoS y el robo de datos. Su forma de infiltrarse incluye la explotación de brechas de seguridad no parcheadas, lo que ha ampliado notablemente su alcance e impacto, afectando a gobiernos, empresas y ciudadanos que dependen de estos sistemas.
En el ámbito del malware móvil, Joker sigue siendo el más frecuente, seguido de Anubis y Necro. Joker se especializa en el robo de mensajes SMS y contactos, mientras que Anubis ha sumado nuevas funcionalidades que incluyen acceso remoto y keylogging, convirtiéndose en un troyano bancario cada vez más sofisticado.
Maya Horowitz, VP de Investigación de Check Point Software, enfatiza que “el auge de Androxgh0st y su integración en Mozi demuestran que los ciberdelincuentes evolucionan constantemente en sus tácticas. Las empresas necesitan adaptarse rápidamente e implementar medidas de seguridad robustas que les permitan identificar y neutralizar estas amenazas avanzadas antes de que causen daños significativos”.
En España, FakeUpdates ha sido el malware más prevalente en noviembre, afectando al 6,4% de las organizaciones, seguido de Androxgh0st con un impacto del 5,4% y Remcos con un 3,6%. FakeUpdates actúa como un downloader que puede introducir otros programas maliciosos, mientras que Androxgh0st se dirige específicamente a plataformas Windows, Mac y Linux, explotando vulnerabilidades en sistemas como PHPUnit y el servidor web Apache.
Entre las vulnerabilidades más explotadas este mes, se destacan la inyección de comandos por HTTP, que permite a los atacantes ejecutar código arbitrario, y la divulgación de información en repositorios de Git, que podría conducir a la exposición indebida de datos sensibles.
En el ámbito del ransomware, RansomHub ha surgido como el grupo más activo, responsable del 16% de los ataques reportados, seguido de Akira y KillSec3, ambos también con estrategias innovadoras que intensifican el riesgo para diversos sectores, especialmente para el gobierno y el sanitario.
El informe revela que los ciberataques continúan en aumento, y hace un llamado a la acción urgente para que las organizaciones fortalezcan sus sistemas de seguridad y se preparen para mitigar el impacto de estas amenazas en constante evolución.