El último Índice de Impacto Global de Amenazas de Check Point ha revelado que el criptojacker Coinhive ha impactado en mayo al 22% de las organizaciones a nivel mundial, frente al 16% en abril, un aumento de casi el 50%.El mes de mayo de 2018 ha sido el quinto mes consecutivo en el que el criptojacking dominó el Top Ten del malware más buscado de Check Point. Su variante Coinhive sigue ocupando el primer puesto del ranking como el malware más frecuente. Cryptoloot -otro malware de criptojacking- ocupa el segundo puesto, con un 11% de empresas afectadas. El tercer lugar lo vuelve a ocupar el malware de publicidad engañosa Roughted (8%) por segundo mes consecutivo.
Los investigadores de Check Point también identificaron que los ciberdelincuentes continúan apuntando a vulnerabilidades de servidores no parcheados en Microsoft Windows Server 2003 (que afecta al 43% de las empresas). Otra vulnerabilidad, esta de Oracle Web Logic, llegó al 40% de las compañías a nivel global. A su vez, otro 17% se ha visto afectada por inyecciones SQL.
“Es probable que los ciberdelincuentes investiguen las vulnerabilidades conocidas pensando que las empresas no las hayan parcheado, ya que es la forma más fácil de entrar en su red” explica Maya Horowitz, directora del grupo de inteligencia de amenazas de Check Point. “Es preocupante que tantas empresas sigan siendo vulnerables, a pesar de que ya exista solución. Que estas infecciones tengan éxito pone de relieve que los aspectos básicos de la seguridad, como la aplicación de actualizaciones, son fundamentales para garantizar la seguridad de las redes”.
“Con respecto al criptojacking, más del 40% de las compañías de todo el mundo han sido blanco de estos ataques, ya que es muy rentable” continúa Horowitz. “Es fundamental que las organizaciones empleen una estrategia de ciberseguridad multicapa, que proteja tanto contra las familias de malware establecidas como contra las desconocidas y las de día cero para evitar que sus redes sean explotadas por amenazas “.
Top 3 del malware en España durante el mes de mayo de 2018
(Las flechas indican el cambio respecto al mes anterior)
1. Coinhive – Criptojacker diseñado para minar la criptomoneda Monero. Se activa cuando un usuario visita una página web. El JavaScript implantado utiliza muchos de los recursos del ordenador de la víctima para generar monedas, lo que impacta en el rendimiento del sistema. Ha afectado al 24% de las empresas españolas
2. RoughTed – Malvertising a gran escala utilizado para lanzar varias websites maliciosas y poner en marcha estafas, adware, exploit kits y ransomware. También se usa para atacar cualquier tipo de plataforma y sistema operativo, y aprovecha los bloqueadores de anuncios y los sensores de huella digital para enviar el ataque más adecuado. El 23,9% de todas las compañías de España han tenido que enfrentarse a ella.
3. Cryptoloot – Criptojacker que utiliza la potencia y los recursos del ordenador de la víctima para minar criptomonedas. Compite directamente con Coinhive. Ha atacado al 16,31% de las organizaciones españolas.
Top 3 del malware móvil mundial
1. Lokibot – Troyano bancario y ladrón de información para Android. Puede convertirse en un ransomware que bloquea el teléfono.
2. Triada – Backdoor modular para Android. Confiere privilegios de superusuario para descargar malware.
3. Lotoor – Herramienta de hacking que explota vulnerabilidades en el sistema operativo Android para obtener privilegios de root.
Las vulnerabilidades más explotadas en mayo
1. WebDAV ScStoragePathFromUrl Buffer Overflow en Microsoft ISS: al enviar una solicitud creada por una red a Microsoft Windows Server 2003 R2 a través de Microsoft Internet Information Services 6.0, un atacante remoto podría ejecutar código malicioso o provocar una denegación de servicio en el servidor de destino. Esto se debe principalmente a una vulnerabilidad de overflow del búfer causada por la validación incorrecta de una cabecera larga en una petición HTTP. Un parche que la corrige está disponible desde marzo de 2017 Ha impactado al 46% de las compañías en mayo.
2. Ejecución de código remoto en el componente WebLogic WLS de Oracle (CVE-2017-10271): existe una vulnerabilidad de ejecución remota de código en Oracle WebLogic WLS. Esto se debe a la forma en que Oracle WebLogic decodifica los archivos xml. Un ataque exitoso podría originar una ejecución remota del código. Esta vulnerabilidad ha afectado al 40% de las organizaciones.
3. Inyección SQL: Esta vulnerabilidad consiste en insertar una inyección de consulta SQL en la entrada del cliente a la aplicación, mientras se explota una vulnerabilidad de seguridad en el software de una aplicación. El 16% de las empresas se han visto afectadas.