Índice de amenazas globales de Checkpoint: festival de malware en mayo
Checkpoint, una de las empresas de ciberseguridad más importantes del mundo, acaba de divulgar los datos finales correspondientes a mayo de 2024, los que muestran un incremento exponencial de ataques de phishing y malware en todo el mundo.
Para Checkpoint, las amenazas más importantes de mayo fueron dos. Primero, una campaña de malspam (malware que llega como spam) masiva, efectuada mediante el botnet Phorpiex, y que se utilizó para distribuir ransomware a través de millones de mails de phishing. Segundo, el resurgimiento con fuerza del grupo de ransomware LockBit3, que representó un tercio de todos los ataques de ransomware de mayo. Veamos ambos eventos con un poco más de detalle.
El botnet Phorpiex, que había sido destruido pero cuyo código fuente se vendió en agosto de 2021, resurgió como una variante llamada "Twizt" en diciembre de 2021. En abril de este año, sin embargo, se descubrió que estaba enviando millones de mails de phishing como parte de una campaña de ransomware LockBit3. Estos mails adjuntaban archivos ZIP que contenían otros archivos (principalmente .doc) que, al ser ejecutados, iniciaban el proceso de encriptación del ransomware. La campaña utilizó más de 1,500 direcciones IP únicas, principalmente de Kazajistán, Uzbekistán, Irán, Rusia y China.
En paralelo, LockBit3 reanudó sus actividades en mayo tras una breve pausa y representó el 33% de los ataques de ransomware totales recopilados por Checkpoint. Pero no fueron los únicos: Inc. Ransom y Play le siguieron con un 7% y 5% de los ataques, respectivamente.
En mayo hubo tres familias principales de malware. La más importante fue FakeUpdates, que tuvo un impacto en el 7% de las organizaciones globalmente y actuó como un descargador falso de payloads. Androxgh0st, la segunda, afectó al 5% de las organizaciones, robando información sensible y explotando vulnerabilidades. La tercera fue Qbot, un malware multipropósito que apareció en 2008 y está diseñado para robar credenciales y espiar actividades bancarias: impactó en el 3% de las organizaciones.
La vulnerabilidad más explotada (es decir, la puerta de acceso menos protegida y más efectiva para lanzar un ataque exitoso) fue la inyección de comandos sobre HTTP, que sirvió como entrada en el 50% de los casos que evaluó globalmente Checkpoint. La segunda vía de entrada fueron urls maliciosas en servidores web (47%) y la tercera la ejecución remota de código en Apache Log4j (46%). Estos ataques durante mayo tuvieron como objetivo principal a tres industrias: educación e investigación; gobierno y defensa; y comunicaciones.
Detrás de estos ataques se encuentran viejos conocidos. LockBit3, responsable del 33% de los ataques publicados por Checkpoint, fue con diferencia el grupo más activo y también el más resonante: hace un mes se atribuyó la responsabilidad por un ataque a las oficinas corporativas de la cadena canadiense London Drugs y exigió un pago de 25 millones de dólares que la empresa se negó a efectuar. Debido al ataque, todas sus sucursales permanecieron cerradas una semana. En un porcentaje sensiblemente menor que LockBit3 se ubicaron Inc. Ransom, con el 7% de los ataques globales, y Play, que afectó al 5% de las organizaciones.
Por último, en cuanto a malware para celulares (un problema que ya nos afecta a todos), los más prevalentes fueron tres: Anubis, un troyano bancario diseñado para teléfonos Android que tiene la capacidad de operar de forma remota y grabar audio; AhMyth, otro troyano de acceso remoto que distribuye a través de aplicaciones de Android; e Hydra, también de la familia de los troyanos bancarios, que roba credenciales al solicitar permisos peligrosos.