Check Point Research también informa de un aumento de las vulnerabilidades propagan la botnet Mirai a los dispositivos IoT 

Check Point Research ha publicado su último Índice Global de Amenazas de febrero de 2020. En esta entrega, el equipo de investigadores de la compañía señala que en febrero se produjo un gran aumento de ataques dirigidos a explotar una vulnerabilidad y difundir la botnet Mirai, que permite infectar dispositivos loT y llevar a cabo ataques masivos de DDoS. La vulnerabilidad, conocida como “PHP php-cgi Query String Parameter Code Execution”, ha afectado a un 20% de las empresas a nivel mundial, 10 veces más que en enero de este mismo año.  

El equipo de investigación de la compañía alerta a las compañías que los cibercriminales han difundido Emotet, que en febrero se mantiene como el malware más buscado afectando a un 15,51% de las empresas españolas, mediante dos nuevos vectores de ataque. El primero fue una campaña de phishing SMS (smishing) dirigido a los usuarios en Estados Unidos. Este mensaje suplanta la identidad de las comunicaciones que los bancos envían, e invita a las víctimas a hacer clic en un enlace malicioso que descarga Emotet en su dispositivo. Por otra parte, los cibercriminales han utilizado las redes Wi-Fi cercanas como segundo vector para propagar este malware a través de ataques de fuerza bruta (probar todas las combinaciones posibles de contraseñas de uso común hasta acertar con la correcta y poder acceder). 

Emotet, que normalmente se emplea como medio para distribuir ransomware y otras compañas maliciosas, impactó a un 7% de las empresas a nivel mundial en febrero (el segundo malware más buscado este mes y el botnet más extendido actualmente), en comparación con el 13% que alcanzó en enero, cuando estaba propagándose principalmente como una campaña falsa sobre el coronavirus. Este hecho pone de manifiesto la rapidez con la que los cibercriminales cambian la temática de sus ataques para maximizar la tasa de infección

«Como ya vimos en enero, las amenazas que más impacto han tenido durante el mes de febrero fueron malware versátiles como XMRig y Emotet.  Los cibercriminales están intentando atacar al mayor número de dispositivos posibles con la intención de sacar el máximo rédito económico a dichos ataques, desde el pago de rescates hasta el lanzamiento de ataques DDoS», indica Maya Horowitz, directora del Grupo de Inteligencia e Investigación de Amenazas y Productos en Check Point. «Dado que su principal vector de ataque son los correos electrónicos y los SMS, las empresas deben asegurarse de que sus empleados están informados sobre cómo identificar los diferentes tipos de spam malicioso y desplegar así una estrategia de seguridad que impida que estas amenazas infecten sus redes», añade Horowitz.  

Los 3 malwares más buscados en España en febrero:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

• ↔ Emotet – Troyano avanzado, autopropagable y modular. Emotet funcionaba como un troyano bancario, pero ha evolucionado para emplearse como distribuidor de otros programas o campañas maliciosas. Además, destaca por utilizar múltiples métodos y técnicas de evasión para evitar ser detectado. Este malware ha afectado a un 15.51%de las empresas españolas.

• ↔ XMRig – Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 11.23% de las empresas en España.

• ↑Jsecoin – Criptojacker de JavaScript que se puede incrustar en sitios web. Jsecoin permite ejecutar al minero directamente en su navegador a cambio de una experiencia de navegación sin anuncios, monedas para juegos y otros incentivos. Ha afectado a un 7.31% de las organizaciones españolas.

Top 3 del malware móvil mundial en febrero

1. ↔ xHelper- Aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. La aplicación es capaz de evadir los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
2. ↑ Hiddad – Malware para Android, su función principal es mostrar anuncios. Sin embargo, también puede obtener acceso a los detalles de seguridad clave incorporados en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario. 
3. ↓ Guerrilla- Un troyano Android incrustado en múltiples aplicaciones legítimas capaz de descargar cargas útiles maliciosas adicionales. Guerrilla genera ingresos publicitarios fraudulentos para los desarrolladores de aplicaciones.

Top 3 vulnerabilidades más explotadas en febrero:

• MVPower DVR Remote Code Execution – Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Un atacante remoto puede explotar esta debilidad para ejecutar código arbitrario en el router afectado a través de una petición hecha a medida.

• Revelación de información a través de Heartbeat en OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) – Existe un fallo en la divulgación de información en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes TLS/DTLS Heartbeat. Un ciberdelincuente puede aprovechar este error para robar contenidos de la memoria o del servidor de un cliente conectado.

• Revelación de información PHP DIESCAN – Se ha descubierto una brecha de seguridad en las páginas PHP, la cual podría tener éxito divulgando información sensible del servidor.

El Índice de Impacto Global de Amenazas de Check Point y su Mapa de ThreatCloud se basan en la inteligencia ThreatCloud de Check Point, la red de colaboración más grande para combatir la ciberdelincuencia que ofrece datos de amenazas y tendencias de ataque desde una red global de sensores de amenazas. La base de datos ThreatCloud contiene más de 250 millones de direcciones analizadas para descubrir bots, más de 11 millones de firmas de malware y más de 5,5 millones de sitios web infectados, e identifica millones de tipos de malware diariamente.