El Índice Global de Amenazas de Check Point Software destaca un cambio en el panorama del ransomware como servicio (RaaS). Los investigadores han identificado el ascenso de Meow con tácticas novedosas y un impacto significativo.
Check Point Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder en soluciones de ciberseguridad en la nube basadas en IA, publica su Índice Global de Amenazas del mes de agosto de 2024. El ransomware se ha mantenido como fuerza dominante, con RansomHub como el principal grupo. Esta operación RaaS se ha expandido rápidamente desde su cambio de marca del ransomware Knight, que ha atacado a más de 210 víctimas en todo el mundo. Mientras tanto, ha surgido una nueva amenaza llamada Meow, otro ciberataque de ransomware que ha pasado del cifrado a la venta de datos robados en mercados de filtración.
El mes pasado, RansomHub consolidó su posición como la principal amenaza de ransomware, como se detalla en un aviso conjunto del FBI, CISA, MS-ISAC y HHS. Esta organización RaaS ha atacado de forma agresiva sistemas Windows, macOS, Linux y, especialmente, entornos VMware ESXi, mediante técnicas sofisticadas de cifrado.
«La aparición de RansomHub como la principal amenaza de ransomware en agosto subraya la creciente sofisticación de las operaciones de Ransomware-as-a-Service», afirma Maya Horowitz, VP de Investigación de Check Point Software. «El auge de Meow pone de relieve el cambio hacia el mercado de filtración de datos, lo que indica un nuevo método de monetización para los operadores de ransomware, donde cada vez más la información robada se vende a terceros, en lugar de simplemente publicarse online. A medida que evolucionan estas amenazas, las empresas deben mantenerse alerta, adoptar medidas de seguridad proactivas y mejorar continuamente sus defensas contra ataques cada vez más sofisticados».
FakeUpdates fue el malware más prevalente este mes, con un impacto del 7% en organizaciones de todo el mundo, seguido de Qbot, con un impacto global del 5,3%, y Androxgh0st, con un impacto global del 5,3%.
1. FakeUpdates (AKA SocGholish) – Un downloader hecho en JavaScript que ha impactado en el 7% de las empresas en España, responsable de instalar numerosos otros programas maliciosos como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult.
2. Qbot – Un malware multifunción que volvió a afectar al 5,3% de empresas en España. Este malware, activo desde 2008, está diseñado para robar credenciales de usuario y registrar pulsaciones de teclas, entre otras cosas.
3. Androxgh0st – Un botnet que ha impactado al 5,3% de las empresas en España, conocido por explotar múltiples vulnerabilidades y robar información sensible como cuentas de Twilio, credenciales SMTP y llaves AWS.
En cuanto a las vulnerabilidades más explotadas, Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) lidera la lista, seguida por Zyxel ZyWALL Command Injection (CVE-2023-28771) y HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375).
Los tres malware móviles más usados en agosto fueron Joker, Anubis y Hydra. Joker, un spyware Android, permaneció en el primer puesto. Anubis, conocido por sus capacidades de troyano de acceso remoto (RAT) y ransomware, se mantuvo en segunda posición, seguido de Hydra, un troyano bancario.
Los sectores más atacados en España el mes pasado fueron medios de comunicación, gobierno/militar y servicios públicos, con medios de comunicación manteniéndose en el primer puesto.
Los principales grupos de ransomware fueron RansomHub, responsable del 15% de los ataques, seguido de Meow con un 9% y LockBit con un 8%. RansomHub, una versión renovada del ransomware Knight, ha ganado notoriedad por sus agresivas campañas y sofisticados métodos de cifrado. Meow Ransomware, basado en el ransomware Conti, es conocido por cifrar una amplia gama de archivos y vender datos robados. LockBit3, activo desde 2019, continúa siendo una amenaza significativa, apuntando a grandes empresas y entidades gubernamentales.
