Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de diciembre 2023. Vuelve Qbot cuatro meses después de que las fuerzas del orden de EE. UU. desmantelaran la infraestructura en la Operación Duck Hunt en agosto de 2023. Entretanto, el descargador de JavaScript FakeUpdates se ha situado en primer puesto y el sector de la educación continúa siendo el más afectado a nivel mundial.

El mes pasado, el malware Qbot fue utilizado por ciberdelincuentes como parte de un ataque de phishing a pequeña escala dirigido a empresas del sector de la hostelería. En la campaña, los investigadores han descubierto que los ciberdelincuentes se hacían pasar por IRS y enviaban correos electrónicos maliciosos que contenían archivos PDF con enlaces URL que conducían a un instalador de Microsoft. Una vez activado, desencadenaba una versión invisible de Qbot que aprovechaba una biblioteca de vínculos dinámicos (DLL). Antes de su desmantelamiento en agosto, Qbot dominaba el índice de amenazas, posicionado como uno de los tres malwares más predominantes durante diez meses consecutivos. Aunque no ha vuelto a la lista, los próximos meses determinarán si recuperará la notoriedad que tenía previamente.

Mientras tanto, FakeUpdates sigue creciendo después de reaparecer a finales de 2023, situándose en primer lugar con un impacto global del 2%. Nanocore se mantiene entre los cinco primeros durante seis meses consecutivos, tomando el tercer puesto en diciembre, y ha habido nuevas entradas de Ramnit y Glupteba.

“Ver a Qbot circulando de nuevo en menos de cuatro meses después de haber desmantelado su infraestructura de distribución es un recordatorio de que, aunque podemos interrumpir las campañas de malware, los agentes detrás de ellas se adaptarán con nuevas tecnologías”, afirma Maya Horowitz, VP de investigación en Check Point Software. “Por esto se anima a las empresas a adoptar un enfoque preventivo para la seguridad del endpoint, además de llevar a cabo la diligencia debida sobre el origen y la intención de un email”.

 CPR también ha revelado que “Apache Log4j Remote Code Execution (CVE-2021-44228)” y “Web Servers Malicious URL Directory Traversal” fueron las vulnerabilidades más explotadas, afectando a un 46% de las empresas a nivel mundial. “Zyxel ZyWALL Command Injection (CVE-2023-28771)” le siguió de cerca con un impacto global del 43%.

Los tres malware más buscados en España en diciembre

*Las flechas indican el cambio en el ranking en comparación con el mes pasado.

  1. Formbook – Infostealer (ladrón de información) que tiene como objetivo el sistema operativo de Windows y fue el primero detectado en 2016. Se comercializa como ‘Malware como servicio’ en foros de hacking clandestinos debido a sus sólidas técnicas de evasión y a su precio relativamente bajo. FormBook recopila credenciales de varios buscadores webs, realiza capturas de pantallas, supervisa y registra las pulsaciones del teclado, y puede descargar y ejecutar archivos según las órdenes de su centro de control. Este infostealer ha impactado en un 2,24% de las empresas españolas.
  2. ↑ Pandora – Pandora es un agente bot para sistemas de Windows. Este malware obtiene instrucciones de un servidor remoto diseñado para inciar ataques DDoS contra objetivos específicos. Además, crea un servicio en el ordenador infectado para comenzar después de reiniciar el sistema. Este bot ha afectado al 1,9% de las compañías españolas.
  3. Fakeupdates – Downloader escrito en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en el 1,64% de las empresas en España.

Las tres industrias más atacadas en España en diciembre

El mes pasado, Sanidad se situó como la industria más atacada en España, seguida de Comunicaciones y Finanzas/banca.

  1. Sanidad
  2. Comunicaciones
  3. Finanzas/banca

Las tres vulnerabilidades más explotadas en diciembre

Por otra parte, Check Point Software señala que el mes pasado las vulnerabilidades más explotadas fueron  “Apache Log4j Remote Code Execution (CVE-2021-44228)” y “Web Servers Malicious URL Directory Traversal”, impactando en un 42% de las empresas en todo el mundo, seguido de “Zyxel ZyWALL Command Injection (CVE-2023-28771)” con un impacto global del 43%.

  1. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – La explotación de esta vulnerabilidad puede permitir que un atacante remoto ejecute un código arbitrario en el dispositivo afectado.
  2. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe una vulnerabilidad de travesía de directorios en diferentes servidores. Esta vulnerabilidad se debe a un error de validación de la entrada en servidores web que no ha desinfectado adecuadamente la URL. Una explotación exitosa permite a los atacantes remotos sin autentificar revelar o acceder a cualquier archivo del servidor atacado.
  3. ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771 – Existe una vulnerabilidad de inyección de comandos en Zyxel ZyWALL. La explotación de esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios de forma remota en el sistema operativo en el dispositivo afectado.

Los tres malware móviles más usados en diciembre

El mes pasado Anubis se mantuvo en el primer lugar como el malware móvil más usado, seguido de AhMyth y Hiddad.

  1. Anubis – Malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto (RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
  2. AhMyth – Troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como el registro de teclas, capturas de pantalla, el envío de mensajes SMS y la activación de la cámara, lo que se suele usar para robar información sensible.
  3. Hiddad – Hiddad es un malware para Android que re empaqueta aplicaciones legítimas y las coloca en la tienda de un tercero. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles de seguridad clave integrados en el sistema operativo.

El Índice Global de Impacto de Amenazas de Check Point Software y su mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.