Check Point Research, la división de Inteligencia de Amenazas Check Point Software, ha publicado su último Índice Global de Amenazas de diciembre de 2020. Los investigadores de la compañía destacan que el troyano Emotet, que afectó al 7% de las empresas de todo el mundo, vuelve a ocupar la primera posición del ranking debido a su uso en una campaña de spam que se enviaba a 100.000 usuarios al día durante las vacaciones navideñas. En España, Emotet también ha sido el malware más buscado y ha afectado a más del 12% de las compañías.
Durante los meses de septiembre y octubre, Emotet ocupó la primera plaza debido a su vinculación con una campaña de ataques ransomware, aunque en noviembre su uso disminuyó y cayó hasta el quinto lugar. Desde Check Point afirman que este virus informático ha sido actualizado con nuevas cargas maliciosas y funcionalidades mejoradas de evasión frente a sistemas de seguridad. De hecho, la última versión crea un cuadro de diálogo que le ayuda a que los usuarios no puedan detectarlo. Por otra parte, la nueva campaña de difusión de Emotet a través de spam utiliza diferentes técnicas como enlaces, archivos adjuntos o documentos Zip protegidos por contraseña para propagarse.
Visto por primera vez en 2014, Emotet ha recibido actualizaciones de forma habitual para mantener su eficacia. En este sentido, el Departamento de Seguridad Nacional estima que cada incidente de seguridad en el que Emotet participa genera en las empresas afectadas más de un millón de dólares en gastos para resolver la incidencia.
“En un principio, Emotet se desarrolló como un malware bancario diseñado para infectar ordenadores y robar información privada y sensible de los usuarios. Sin embargo, con el tiempo ha evolucionado y ahora es una de las variantes de software malicioso más costosas y destructivas”, explica Maya Horowitz, directora de Inteligencia e Investigación de Amenazas y Productos en Check Point. “Por este motivo, es fundamental que las empresas sean conscientes de la amenaza que representa y cuenten con sistemas de seguridad robustos para evitar brechas de seguridad masivas. También deben proporcionar una formación completa a los empleados, para que sean capaces de identificar los tipos de correos electrónicos maliciosos que difunden Emotet”, añade Horowitz.
Asimismo, los expertos de la compañía advierten de que “Ejecución de Código en Remoto MVPower DVR” es la vulnerabilidad explotada más común- afectó al 42% de las compañías en todo el mundo-, seguida de “Ejecución de Código Remoto en encabezados HTTP (CVE-2020-13756)”, que impactó a más del 40%.
Los tres malwares más buscados en España en diciembre:
*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.
1. Emotet – Troyano avanzado, autopropagable y modular. Emotet funcionaba como un troyano bancario, pero ha evolucionado para emplearse como distribuidor de otros programas o campañas maliciosas. Además, destaca por utilizar múltiples métodos y técnicas de evasión para evitar ser detectado. Además, puede difundirse a través de campañas de spam en archivos adjuntos o enlaces maliciosos en correos electrónicos. Este malware ha afectado a un 12,74% de las empresas españolas.
2. Qbot – Qbot también conocido como Qakbot, es un troyano bancario que apareció por primera vez en 2008 diseñado para robar las credenciales bancarias y las claves del usuario. A menudo se distribuye a través de correo electrónico spam. Qbot emplea varias técnicas anti-VM, anti-debugging y anti-sandbox para obstaculizar el análisis y evadir ser detectado. Este troyano atacó a más del 7% de las empresas en España.
3. Hiddad – Malware para Android, su función principal es mostrar anuncios. Sin embargo, también puede obtener acceso a los detalles de seguridad clave incorporados en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario. Ha atacado a casi un 6% de las empresas españolas.
Top tres vulnerabilidades más explotadas en diciembre
1. Ejecución de código en remoto de MVPower DVR – Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Un atacante en remoto puede explotar esta vulnerabilidad para ejecutar código arbitrario en el router objetivo a través de una petición hecha a medida.
2. Ejecución remota de código en encabezados HTTP (CVE-2020-13756) – Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. El ciberdelincuente puede remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en remoto en el equipo infectado.
3. Revelación de información del servidor web Git –La explotación exitosa de la vulnerabilidad de divulgación de información en el Repositorio Git. permite compartir de forma involuntaria información de la cuenta.
Top 3 del malware móvil mundial en diciembre
1. Hiddad – Es un malware para Android que tiene como función principal mostrar anuncios. Sin embargo, también puede obtener acceso a las claves seguridad incorporadas en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario.
2. xHelper – Aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
3. Triada – Backdoor modular para Android que garantiza privilegios de superusuario para descargar malware.
El Índice de Impacto Global de las Amenazas de Check Point y su Mapa de ThreatCloud se basan en la inteligencia ThreatCloud de Check Point, la red de colaboración más grande para combatir la ciberdelincuencia que ofrece datos de amenazas y tendencias de ataque desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 3.000 millones de sitios web y 600 millones de archivos diariamente e identifica más de 250 millones de actividades de malware cada día.