Los investigadores de Check Point informan de que esta conocida botnet está de nuevo en activo y difundiendo campañas de malware.

 Check Point , ha publicado su último Índice Global de Amenazas de septiembre de 2019. Según los datos de este estudio, el equipo de investigación de la compañía alerta a las organizaciones de que la Botnet Emotet vuelve a estar activa tras tres meses de parón y ha comenzado a difundir nuevas campañas de spam. En este sentido, el informe señala que Emotet encabeza la lista de malware más buscados en España, donde ha afectado a un 17,55% de las empresas durante el último mes.

Los investigadores de Check Point fueron los primeros en informar de que esta conocida botnet cesaba su actividad en junio de 2019, así como que su estructura ofensiva volvía a estar vigente en agosto. Algunas de las campañas de spam de Emotet, que fue el quinto malware más frecuente en todo el mundo en septiembre, incluían correos electrónicos que contenían un enlace para descargar un archivo de Word malicioso, mientras que otras contenían el propio documento malicioso. Al abrir el archivo, se incita a las víctimas a habilitar las macros del documento, que a su vez instalan el malware de Emotet en el ordenador de la víctima. 

«No está claro por qué Emotet, que comenzó como troyano bancario y evolucionó para utilizarse como botnet, estuvo inactiva durante 3 meses, pero podemos asumir que los desarrolladores detrás de esta red de bots estaban actualizando sus características y potencial. Por tanto, es esencial que las empresas adviertan a los empleados sobre los riesgos tanto de los correos electrónicos de phishing, como de abrir archivos adjuntos o hacer clic en enlaces que no proceden de una fuente o contacto de confianza. Asimismo, también es fundamental que implementen soluciones antimalware de última generación que puedan extraer automáticamente el contenido sospechoso de los correos electrónicos antes de que llegue a los usuarios finales», señala Maya Horowitz, directora del Grupo de Inteligencia de Amenazas de Check Point.

Los 3 malwares más buscados en España en septiembre:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. ↑ Emotet –Troyano avanzado, autopropagable y modular. Emotet funcionaba como un troyano bancario, pero ha evolucionado para emplearse como distribuidor de otros programas o campañas maliciosas. Además, destaca por utilizar múltiples métodos y técnicas de evasión para evitar ser detectado. Este malware ha afectado a un 17,55% de las empresas españolas.

1. ↓ XMRig- Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 14,99% de las empresas en España. 

1. ↑ Agentesla- AgentTesla es un RAT (Remote Administration Tool) o troyano avanzado que funciona como un keylogger y un ladrón de contraseñas. AgentTesla es capaz de monitorear y recolectar las entradas de teclado de la víctima, el portapapeles del sistema, tomar capturas de pantalla y extraer credenciales pertenecientes a una variedad de software instalado en la máquina de la víctima (incluyendo el cliente de correo electrónico Google Chrome, Mozilla Firefox y Microsoft Outlook).

Top 3 del malware móvil mundial en septiembre:

1. Lotoor – Herramienta de hacking que explota vulnerabilidades en el sistema operativo Android para obtener privilegios de root.

1. AndroidBauts – Adware dirigido a usuarios de Android que extrae IMEI, IMSI, localización GPS y otra información de dispositivos y permite la instalación de aplicaciones y accesos directos de terceros en dispositivos móviles.

1. Hiddad – Malware para Android, su función principal es mostrar anuncios. Sin embargo, también puede obtener acceso a los detalles de seguridad clave incorporados en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario. 

Top 3 vulnerabilidades más explotadas en agosto:

1. ↑ MVPower DVR Remote Code Execution – Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Un atacante remoto puede explotar esta debilidad para ejecutar código arbitrario en el router afectado a través de una petición hecha a medida.

1. ↑ Revelación de información a través de archivos del sistema Linux – El sistema operativo Linux contiene archivos de sistema con información sensible. Si no están configurados correctamente, los atacantes remotos pueden ver la información de dichos archivos.

1. ↑ Revelación de información del servidor web Git – Se ha informado acerca de una vulnerabilidad de divulgación de información en el Repositorio Git. La explotación exitosa de esta vulnerabilidad podría permitir una divulgación involuntaria de la información de la cuenta.

El Índice de Impacto Global de Amenazas de Check Point y su Mapa de ThreatCloud se basan en la inteligencia ThreatCloud de Check Point, la red de colaboración más grande para combatir la ciberdelincuencia que ofrece datos de amenazas y tendencias de ataque desde una red global de sensores de amenazas. La base de datos ThreatCloud contiene más de 250 millones de direcciones analizadas para descubrir bots, más de 11 millones de firmas de malware y más de 5,5 millones de sitios web infectados, e identifica millones de tipos de malware diariamente.

La lista completa de las 10 familias principales de malware en julio está disponible en el blog de Check Point.