El impacto global del criptojacking se duplica en la primera mitad de 2018

El informe de Check Point “Cyber Attack Trends: 2018 Mid-Year Report” desvela que el 42% de las empresas son víctimas del criptojacking en el mundo. Además, los ciberataques avanzados Gen V son cada vez más frecuentes en la nube.

Check Point, proveedor especializado en ciberseguridad, ha publicado hoy su informe «Cyber Attack Trends: 2018 Mid-Year Report«, en el que explica las tendencias en ciberataques de los seis primeros meses del año. Este estudio revela que los ciberdelincuentes están atacando de manera agresiva a las organizaciones a través de malware de criptojacking. Además, demuestra que las infraestructuras cloud son un objetivo cada vez más común entre los creadores de ciberamenazas.   

Entre enero y junio de 2018 el número de empresas afectadas por criptojacking alcanzó el 42%, el doble que en la segunda mitad de 2017. Este tipo de ataque permite a los ciberdelincuentes utilizar la potencia y los recursos del terminal de la víctima para generar criptomonedas, usando hasta un 65% del CPU del usuario.  Las tres variantes de malware más comunes vistas en el primer semestre de 2018 eran todas de este tipo.

Check Point también ha descubierto otra nueva tendencia: un número creciente de ataques contra infraestructuras de nube. A medida que las organizaciones trasladan más datos y propiedades de TI a entornos cloud, los delincuentes recurren a ellos para multiplicar sus beneficios.

El informe «Cyber Attack Trends: 2018 Mid-Year Report” ofrece una visión detallada del panorama de las ciberamenazas en las principales categorías de malware: criptojackers, ransomware, troyanos bancarios y malware móvil. Sus conclusiones se basan en los datos extraídos de la inteligencia ThreatCloud de Check Point entre enero y junio de 2018.

Maya Horowitz, directora del Grupo de Inteligencia de Amenazas de Check Point, explica: «en el primer semestre de este año, los delincuentes han seguido la misma tendencia que a finales de 2017: aprovechar al máximo el criptojacking para maximizar sus ingresos. También hemos sido testigos de la aparición de amenazas cada vez más sofisticadas contra infraestructuras en la nube y entornos multiplataforma. Estos ataques Gen V a gran escala, multivectoriales y de rápido movimiento, son cada vez más frecuentes, y las empresas necesitan adoptar una estrategia de ciberseguridad multicapa que impida que estos ataques se apoderen de sus redes y datos».

Principales tendencias del malware en el primer semestre de 2018

Los investigadores de Check Point detectaron una serie de tendencias clave de malware durante el periodo:

  • El criptojacking evoluciona – En 2018, el malware de criptominería ha sido mejorado con nuevas capacidades para ser más rentable y destructivo. Los criptojackers también pueden ahora aprovechar vulnerabilidades y evadir las tecnologías de sandboxing y los productos de seguridad con el fin de aumentar sus tasas de infección.

 

  • Los ciberdelincuentes se mudan a la nube – En lo que va del año, ha habido un número elevado de herramientas y técnicas de exploit contra los servicios de almacenamiento cloud. Estos ataques han causado la extracción de datos y la divulgación de información, y han sido posibles gracias a prácticas de seguridad ineficaces, como credenciales poco protegidas o contraseñas débiles. El criptojacking también está apuntando a las infraestructuras cloud para aprovechar su potencia y multiplicar sus ganancias.
  • Ataques multiplataforma en aumento – Hasta finales de 2017, el malware multiplataforma era poco común. Sin embargo, el aumento del número de dispositivos conectados y la creciente cuota de mercado de los sistemas operativos que no son de Windows ha provocado un aumento del malware multiplataforma. Ante este nuevo escenario, los creadores de ciberamenazas implementan varias técnicas combinadas para tomar control sobre las diferentes plataformas.  

 

  • Malware móvil de fábrica – En la primera mitad de este año, ha habido varias incidencias en las que el malware en smartphones y tablets no se había descargado desde URL maliciosas, sino que llegaba instalado en el dispositivo. Además, hubo un aumento en las aplicaciones disponibles en tiendas de aplicaciones que en realidad eran ciberamenazas camufladas, incluyendo troyanos bancarios y adware.

Criptojackers más populares del primer semestre de 2018

  • Coinhive (30%) – Un criptojacker diseñado para minar la criptomoneda Monero online sin la aprobación del usuario cuando visita una página web. A pesar de haber surgido en septiembre de 2017, ya ha afectado al 12% de las organizaciones en todo el mundo.

 

  • Cryptoloot (23%) – Un JavaScript, también diseñado para realizar minería de Monero cuando la víctima navega en un website.

 

  • JSEcoin (17%) – Otro criptojacker web diseñado para extraer Monero durante las visitas a webs.

Top Ransomware durante el primer semestre de 2018

  • Locky (40%) – Ransomware que se propaga principalmente a través de correos electrónicos de spam. Contiene un archivo adjunto que instala malware que encripta los archivos del usuario.

 

  • WannaCry (35%) – Protagonista de un ataque a gran escala en mayo de 2017, utilizando un exploit de Windows SMB llamado EternalBlue, para propagarse entre redes.

 

  • Globeimposter (8%) – Distribuido mediante campañas de spam, malvertising y exploit kits. Una vez encriptado, el software de rescate añade la extensión.crypt a cada archivo secuestrado.

Top malware móvil durante el primer semestre de 2018

  • Triada (51%) – Backdoor modular para Android que concede privilegios de superusuario a los programas maliciosos descargados y les ayuda a integrarse en los procesos del sistema. También falsificando URLs.

 

  • Lokibot (19%) – Un troyano de banca móvil que apunta a smartphones Android y se convierte en un ransomware cuando la víctima trata de quitarle permisos.

 

  • Hidad (10%) – Malware para Android que reempaqueta aplicaciones legítimas y luego las publica en una tienda de terceros. Es capaz de obtener acceso a detalles clave de seguridad incorporados en el sistema operativo, lo que permite a un atacante obtener datos de usuario confidenciales.

Top Malware Bancario Durante H1 2018

  • Ramnit (29%) – Un troyano bancario que roba credenciales bancarias, contraseñas FTP, cookies de sesión y datos personales.

 

  • Dorkbot (22%) – Troyano que se hace con las claves de la víctima mediante inyecciones web, activadas cuando el usuario intenta acceder a su sitio web bancario.

 

  • Zeus (14%) – Un troyano que apunta a plataformas Windows y a menudo las utiliza para robar información bancaria mediante el registro de pulsaciones de teclado y la captura de formularios.

Además, Check Point también ha hecho públicos los datos de su último Índice de Impacto Global de junio, en el que se destaca el auge de los troyanos bancarios. Dorkbot, que roba información confidencial y lanza ataques de denegación de servicio, afectó al 7% de todas las organizaciones de todo el mundo, alcanzando el tercer puesto del ranking. El mismo mes también surgió Emotet, que hurta las credenciales de las cuentas bancarias de sus víctimas mientras utiliza la máquina infectada para propagarse. Ramnit, que extrae datos bancarios y contraseñas FTP, también entró en el Top 10.  

Top 3 del malware en España durante el mes de junio de 2018

(Las flechas indican el cambio respecto al mes anterior)

 

  • ↔ Coinhive – Criptojacker diseñado para minar la criptomoneda Monero. Se activa cuando un usuario visita una página web. El JavaScript implantado utiliza muchos de los recursos del ordenador de la víctima para generar monedas, lo que impacta en el rendimiento del sistema. Ha afectado al 30% de las empresas españolas

 

  • ↔ RoughTed – Malvertising a gran escala utilizado para lanzar varias websites maliciosas y poner en marcha estafas, adware, exploit kits y ransomware. También se usa para atacar cualquier tipo de plataforma y sistema operativo, y aprovecha los bloqueadores de anuncios y los sensores de huella digital para enviar el ataque más adecuado. El 12% de todas las compañías de España han tenido que enfrentarse a ella.

 

  • ↑ XMRig –. Criptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware descubierto en mayo de 2017 ha atacado en junio al 8% de las organizaciones españolas.

Las vulnerabilidades más explotadas en junio:

  • WebDAV ScStoragePathFromUrl Buffer Overflow en Microsoft ISS (CVE-2017-7269): al enviar una solicitud creada por una red a Microsoft Windows Server 2003 R2 a través de Microsoft Internet Information Services 6.0, un atacante remoto podría ejecutar código malicioso o provocar una denegación de servicio en el servidor de destino. Esto se debe principalmente a una vulnerabilidad de overflow del búfer causada por la validación incorrecta de una cabecera larga en una petición HTTP. Un parche que la corrige está disponible desde marzo de 2017. Ha impactado al 46% de las compañías en mayo.

 

  • Ejecución de código remoto en el componente WebLogic WLS de Oracle (CVE-2017-10271): existe una vulnerabilidad de ejecución remota de código en Oracle WebLogic WLS. Esto se debe a la forma en que Oracle WebLogic decodifica los archivos xml. Un ataque exitoso podría originar una ejecución remota del código. Esta vulnerabilidad ha afectado al 40% de las organizaciones.

 

  • Inyección SQL: Esta vulnerabilidad consiste en insertar una inyección de consulta SQL en la entrada del cliente a la aplicación, mientras se explota una vulnerabilidad de seguridad en el software de una aplicación. El 16% de las empresas se han visto afectadas.

Esta lista demuestra perfectamente cómo los actores de amenazas utilizan tanto técnicas modernas (las vulnerabilidades publicadas en 2017) como vectores de ataque clásicos como la inyección SQL.

La inteligencia ThreatCloud de Check Point es la mayor red de colaboración para luchar contra la ciberdelincuencia y proporciona datos sobre amenazas y tendencias de ataques desde una red global de sensores de amenazas. La base de datos ThreatCloud contiene más de 250 millones de direcciones analizadas para la detección de bots, más de 11 millones de firmas de malware y más de 5,5 millones de sitios web infectados, e identifica millones de tipos de malware diariamente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio