Check Point, ha publicado su último Índice Global de Amenazas de julio de 2019. Este informe señala que Emotet (la Botnet en funcionamiento más grande) ha estado inoperativa durante la mayor parte del mes de junio. Emotet ha estado presente entre los 5 malware más buscados a nivel mundial durante los seis primeros meses del año, propagándose a través de campañas masivas de spam. Los investigadores de Check Point creen que este malware ha estado inoperativo durante el último mes para realizar tareas de mantenimiento y actualización de su infraestructura, por lo que prevén que tan pronto como los servidores estén en funcionamiento otra vez, Emotet estará nuevamente activo con funcionalidad mejorada.
“Emotet apareció en 2014 como troyano bancario. Sin embargo, desde 2018 hemos visto como se ha utilizado como una botnet en campañas de malspam de gran calado, así como para distribuir otros elementos de malware. A pesar de que su infraestructura ha estado inactiva durante gran parte de junio, Emotet sigue siendo uno de los 5 malware más buscados a nivel mundial, lo que pone de manifiesto el alto nivel de infección de esta amenaza y la alta probabilidad de que vuelva con nuevas características”, señala Maya Horowitz, directora del Grupo de Inteligencia de Amenazas de Check Point.
“Una vez Emotet se instala en el dispositivo de su víctima, puede utilizarse para expandirse a través de campañas de spam, descargar otros malware (como Trickbot, que a su vez infecta toda la red del huésped con el ransomware Ryuk), y propagarse a otros activos de la red”, añaden desde Check Point.
En España, nuevamente se produce un cambio en las tres primeras posiciones del ranking de los malware más buscados. XMRig sube a la primera posición en el mes de junio y desbanca a Darkgate, que desciende un puesto. Emotet, por su parte, asciende al tercer lugar dentro de los malware más buscados en España.
Índice de temas
Los 3 malware más buscados en España en junio
*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.
(Sube) XMRig – Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 12,74% de las empresas en España.
(Baja) Darkgate – Es una amenaza compleja que se instala de manera sigilosa. Este troyano, que ha afectado al 9,26% de las empresas españolas, provoca problemas operativos e incapacidad para ejecutar ciertos servicios o aplicaciones.
(Sube) Emotet – Troyano avanzado, autopropagable y modular. Emotet funcionaba como un troyano bancario, pero ha evolucionado para emplearse como distribuidor de otros programas o campañas maliciosas. Además, destaca por utilizar múltiples métodos y técnicas de evasión para evitar ser detectado. Este malware ha afectado a un 7,09% de las empresas españolas.
Top 3 del malware móvil mundial en junio
Lotoor: Herramienta de hacking que explota vulnerabilidades en el sistema operativo Android para obtener privilegios de root.
Triada (Backdoor modular para Android): Este malware confiere privilegios de superusuario a otros elementos de malware descargados, al mismo tiempo que les ayuda a integrarse en los procesos del sistema. Asimismo, Triada también tiene la capacidad de falsificar URLs cargadas en el navegador.
Ztorg: Los troyanos de la familia Ztorg obtienen privilegios escalados en dispositivos Android y se auto instalan en el directorio del sistema. Asimismo, el malware puede instalar cualquier otra aplicación en el dispositivo
Top 3 vulnerabilidades más explotadas en abril
1. (Sube) Inyección SQL (varias técnicas) – Insertar una inyección de consulta SQL en la entrada del cliente a la aplicación, mientras se explota una vulnerabilidad de seguridad en el software de una aplicación.
2. (Sube) Revelación de información a través de Heartbeat en OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) – Existe un fallo en la divulgación de información en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes TLS/DTLS Heartbeat. Un ciberdelincuente puede aprovechar este error para robar contenidos de la memoria o del servidor de un cliente conectado.
3. (Sube) Inyección de Objetos y Ejecución de Comandos Remotos en Joomla (CVE-2015-8562)- Se ha reportado una vulnerabilidad de ejecución de comandos remotos en plataformas Joomla. La vulnerabilidad se debe a la falta de validación sobre los objetos de entrada que pueden llevar a la ejecución remota del código. Un atacante remoto podría explotar esta vulnerabilidad enviando una solicitud maliciosa a la víctima. La explotación exitosa de esta vulnerabilidad puede resultar en la ejecución de código arbitrario en el contexto del usuario objetivo.
El Índice de Impacto Global de Amenazas de Check Point y su Mapa de ThreatCloud se basan en la inteligencia ThreatCloud de Check Point, la red de colaboración más grande para combatir la ciberdelincuencia que ofrece datos de amenazas y tendencias de ataque desde una red global de sensores de amenazas. La base de datos ThreatCloud contiene más de 250 millones de direcciones analizadas para descubrir bots, más de 11 millones de firmas de malware y más de 5.5 millones de sitios web infectados, e identifica millones de tipos de malware diariamente.