El criptojacking acapara los focos del malware

El último Índice Global de Amenazas de Check Point revela que los ciberdelincuentes utilizan cada vez más este tipo de criptojacking, que funciona incluso cuando no se está navegando en Internet.

Publicado el 25 Abr 2018

12376_32

El Índice de Impacto Global de Amenazas de Check Point muestra que durante marzo de 2018 ha habido una oleada de ataques de criptojacking. Muchos de estos impactos han utilizado el malware XMRig, que afecta a los endpoints, en lugar de solo a los navegadores web.

Descubierto en mayo de 2017, XMRig entró por primera vez en el octavo puesto del Top 10 del malware más buscado de Check Point en marzo de 2018, cuando su impacto global aumentó un 70%. Al contrario que otras amenazas similares, XMRig afecta al equipo en lugar de a su navegador web. Así, puede minar la criptomoneda Monero sin necesidad de que exista sesión activa de internet en el ordenador de la víctima.

XMRig entró por primera vez en el octavo puesto del Top 10 del malware más buscado de Check Point en marzo de 2018

“El auge de XMRig indica que los ciberdelincuentes están invirtiendo activamente en la modificación y mejora de sus métodos de ataque para estar a la vanguardia” explica Maya Horowitz, directora del grupo de inteligencia de amenazas de Check Point. “Además de ralentizar los ordenadores y servidores de la empresa, el criptojacking puede propagarse lateralmente dentro de la red, lo que supone una importante amenaza para sus víctimas. Por lo tanto, es fundamental que las empresas empleen una estrategia de ciberseguridad multicapa que proteja tanto contra las familias de malware conocidas como contra las nuevas amenazas”.

Durante el mes de marzo, Coinhive continuó siendo el malware más utilizado a nivel mundial por cuarto mes consecutivo, impactando al 18% de las organizaciones. En segundo lugar, Rig EK afectó al 17% de las empresas, mientras que el criptojacker Cryptoloot fue el tercero (el 15% de las compañías tuvo que enfrentarse a él). XMRig ocupa el octavo puesto del podio, y ha atacado al 5% de los negocios.

Top 3 del malware en España durante el mes de marzo de 2018

  1. Coinhive – Criptojacker diseñado para minar la criptomoneda Monero. Se activa cuando un usuario visita una página web. El JavaScript implantado utiliza muchos de los recursos del ordenador de la víctima para generar monedas, lo que impacta en el rendimiento del sistema.
  1. RoughTed – Malvertising a gran escala utilizado para lanzar varias websites maliciosas y poner en marcha estafas, adware, exploit kits y ransomware. También se usa para atacar cualquier tipo de plataforma y sistema operativo, y aprovecha los bloqueadores de anuncios y los sensores de huella digital para enviar el ataque más adecuado.
  1. Cryptoloot – Criptojacker que utiliza la potencia y los recursos del ordenador de la víctima para minar criptomonedas. Compite directamente con Coinhive.

Top 3 del malware móvil mundial

  1. Lokibot – Troyano bancario y ladrón de información para Android. Puede convertirse en un ransomware que bloquea el teléfono.
  1. Triada – Backdoor modular para Android. Confiere privilegios de superusuario para descargar malware.
  1. Hiddad – Malware para Android que reempaqueta aplicaciones legítimas y las publica en tiendas de terceros.

Las vulnerabilidades más explotadas en marzo

  • Ejecución de código remoto en el componente WebLogic WLS de Oracle (CVE-2017-10271): existe una vulnerabilidad de ejecución remota de código en Oracle WebLogic WLS. Esto se debe a la forma en que Oracle WebLogic decodifica los archivos xml. Un ataque exitoso podría originar una ejecución remota del código. Esta vulnerabilidad ha afectado al 26% de las organizaciones.
  • Inyección SQL: Insertar una inyección de consulta SQL en la entrada del cliente a la aplicación, mientras se explota una vulnerabilidad de seguridad en el software de una aplicación. El 19% de las empresas se han visto afectadas.
  • Ejecución Remota de Código en Microsoft Windows HTTP.sys (MS15-034: CVE-2015-1635): Se ha reportado una vulnerabilidad de ejecución remota de código en Windows. La vulnerabilidad se debe a un error en la forma en que HTTP.sys maneja una cabecera HTTP maliciosa. Un exploit podría causar una ejecución remota del código. Ha impactado al 12% de las compañías en marzo.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

C
Redacción Computing

Artículos relacionados