El último Índice Global de Amenazas de Check Point revela que los ciberdelincuentes utilizan cada vez más este tipo de criptojacking, que funciona incluso cuando no se está navegando en internet

El último Índice de Impacto Global de Amenazas de Check Point Software Technologies,  proveedor mundial especializado en ciberseguridad, muestra que durante marzo de 2018 ha habido una oleada de ataques de criptojacking. Muchos de estos impactos han utilizado el malware XMRig, que afecta a los endpoints, en lugar de solo a los navegadores web.

Descubierto en mayo de 2017, XMRig entró por primera vez en el octavo puesto del Top 10 del malware más buscado de Check Point en marzo de 2018, cuando su impacto global aumentó un 70%. Al contrario que otras amenazas similares, XMRig afecta al equipo en lugar de a su navegador web. Así, puede minar la criptomoneda Monero sin necesidad de que exista sesión activa de internet en el ordenador de la víctima.

“El auge de XMRig indica que los ciberdelincuentes están invirtiendo activamente en la modificación y mejora de sus métodos de ataque para estar a la vanguardia” explica Maya Horowitz, directora del grupo de inteligencia de amenazas de Check Point. “Además de ralentizar los ordenadores y servidores de la empresa, el criptojacking puede propagarse lateralmente dentro de la red, lo que supone una importante amenaza para sus víctimas. Por lo tanto, es fundamental que las empresas empleen una estrategia de ciberseguridad multicapa que proteja tanto contra las familias de malware conocidas como contra las nuevas amenazas».

Durante el mes de marzo, Coinhive continuó siendo el malware más utilizado a nivel mundial por cuarto mes consecutivo, impactando al 18% de las organizaciones. En segundo lugar, Rig EK afectó al 17% de las empresas, mientras que el criptojacker Cryptoloot fue el tercero (el 15% de las compañías tuvo que enfrentarse a él). XMRig ocupa el octavo puesto del podio, y ha atacado al 5% de los negocios.

Top 3 del malware en España durante el mes de marzo de 2018

(Las flechas indican el cambio respecto al mes anterior)

• ↔ Coinhive – Criptojacker diseñado para minar la criptomoneda Monero. Se activa cuando un usuario visita una página web. El JavaScript implantado utiliza muchos de los recursos del ordenador de la víctima para generar monedas, lo que impacta en el rendimiento del sistema.
• ↔ RoughTed – Malvertising a gran escala utilizado para lanzar varias websites maliciosas y poner en marcha estafas, adware, exploit kits y ransomware. También se usa para atacar cualquier tipo de plataforma y sistema operativo, y aprovecha los bloqueadores de anuncios y los sensores de huella digital para enviar el ataque más adecuado.
• ↑ Cryptoloot – Criptojacker que utiliza la potencia y los recursos del ordenador de la víctima para minar criptomonedas. Compite directamente con Coinhive.

Top 3 del malware móvil mundial:

1. ↑ Lokibot – Troyano bancario y ladrón de información para Android. Puede convertirse en un ransomware que bloquea el teléfono.
2. ↓ Triada – Backdoor modular para Android. Confiere privilegios de superusuario para descargar malware.
3. ↔ Hiddad – Malware para Android que reempaqueta aplicaciones legítimas y las publica en tiendas de terceros.

Por primera vez, los investigadores de Check Point también han analizado las vulnerabilidades cibernéticas más explotadas.

Las vulnerabilidades más explotadas en marzo

1. Ejecución de código remoto en el componente WebLogic WLS de Oracle (CVE-2017-10271): existe una vulnerabilidad de ejecución remota de código en Oracle WebLogic WLS. Esto se debe a la forma en que Oracle WebLogic decodifica los archivos xml. Un ataque exitoso podría originar una ejecución remota del código. Esta vulnerabilidad ha afectado al 26% de las organizaciones.
2. Inyección SQL: Insertar una inyección de consulta SQL en la entrada del cliente a la aplicación, mientras se explota una vulnerabilidad de seguridad en el software de una aplicación. El 19% de las empresas se han visto afectadas.
3. Ejecución Remota de Código en Microsoft Windows HTTP.sys (MS15-034: CVE-2015-1635): Se ha reportado una vulnerabilidad de ejecución remota de código en Windows. La vulnerabilidad se debe a un error en la forma en que HTTP.sys maneja una cabecera HTTP maliciosa. Un exploit podría causar una ejecución remota del código. Ha impactado al 12% de las compañías en marzo.

El Índice de Impacto Global de Amenazas de Check Point y su Mapa Mundial de Ciberamenazas ThreatCloud se nutren de la información de Check Point ThreatCloudTM. ThreatCloud se basa en una amplia variedad de fuentes de inteligencia procedentes de la investigación interna avanzada sobre malware y amenazas, algoritmos de inteligencia artificial y procesos automatizados, asociaciones y fuentes públicas para proporcionar datos sobre amenazas y tendencias de ataques. Como la red de información sobre amenazas más grande del mundo, ThreatCloud detecta cientos de millones de eventos maliciosos al día, recopilando información de más de cien mil gateways y millones de endpoints en todo el mundo.