Echobot, una nueva variante de la botnet Mirai, lanza un nuevo ataque masivo contra dispositivos IoT que ha afectado a 1 de cada 3 empresas a nivel global.

Check Point® Software Technologies Ltd. (NASDAQ: CHKP) ha publicado su último Índice Global de Amenazas de agosto de 2019. Este informe de la compañía alerta del bajo nivel de protección de España frente al malware, ya que es el cuarto país de la Unión Europea con mayor riesgo de infección con un coeficiente de 52,3, sólo por detrás de países como Grecia (77,9), Lituania (69,9) y Letonia (52,8,), y muy por encima de países punteros como Reino Unido (31,1), Alemania (32,8) o Francia (43,4).

Asimismo, el equipo de investigación de la compañía advierte a las empresas de una nueva variante del botnet Mirai IoT, Echobot, que ha lanzado ataques generalizados contra una serie de dispositivos del Internet de las Cosas. Visto por primera vez en mayo de 2019, Echobot ha explotado más de 50 vulnerabilidades diferentes, causando un fuerte aumento en la vulnerabilidad de la 'Inyección de Comando sobre HTTP', que ha impactado al 34% de las organizaciones a nivel mundial.

Por otra parte, durante el mes de agosto el equipo de investigadores de Check Point ha visto como la
infraestructura ofensiva de Emotet volvía a estar en activo dos meses después de que cesase su actividad.
Esta variante fue la botnet operativa más importante de la primera mitad de 2019. A pesar de que hasta la
fecha no se han descubierto campañas importantes, es probable que pronto comience a utilizarse para
propagar campañas de spam.

“La primera vez que vimos Echobot fue a mediados de mayo, y como nueva variante de la reconocida Botnet
IoT Mirai, es importante destacar el fuerte crecimiento en su uso, ya que ahora se dirige a más de 50
vulnerabilidades diferentes. Echobot ha afectado al 34% de las empresas de todo el mundo, lo que demuestra
lo importante que es para las organizaciones protegerse y asegurarse de que aplican todos los parches y
actualizaciones de sus redes, software y dispositivos de IoT«, comenta Maya Horowitz, directora del Grupo de
Inteligencia de Amenazas de Check Point.

Los 3 malwares más buscados en España en agosto:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.
1. ↔XMRig – Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 12,42% de las empresas en España.

2. ↑ Jsecoin – Criptojacker de JavaScript que se puede incrustar en sitios web. Jsecoin permite ejecutar al minero directamente en su navegador a cambio de una experiencia de navegación sin anuncios, monedas para juegos y otros incentivos. Ha afectado a un 9,11% de las organizaciones españolas.

1. ↓Darkgate – Es una amenaza compleja que se instala de manera sigilosa. Este troyano, que ha afectado al 8,07% de las empresas españolas, provoca problemas operativos e incapacidad para ejecutar ciertos servicios o aplicaciones.

Top 3 del malware móvil mundial en agosto:

1.     Lotoor – Herramienta de hacking que explota vulnerabilidades en el sistema operativo Android para obtener privilegios de root.

2.    AndroidBauts –Adware dirigido a usuarios de Android que extrae IMEI, IMSI, localización GPS y otra información de dispositivos y permite la instalación de aplicaciones y accesos directos de terceros en dispositivos móviles.

3.    Triada –Este malware confiere privilegios de superusuario a otros elementos de malware descargados, al mismo tiempo que les ayuda a integrarse en los procesos del sistema. Por último, Triada también tiene la capacidad de falsificar URLs cargadas en el navegador.

Top 3 vulnerabilidades más explotadas en agosto:

1.   ↔ Inyección SQL (varias técnicas) – Insertar una inyección de consulta SQL en la entrada del cliente a la
aplicación, mientras se explota una vulnerabilidad de seguridad en el software de una aplicación.

2.   ↔ Revelación de información a través de Heartbeat en OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014- 0346) – Existe un fallo en la divulgación de información en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes TLS/DTLS Heartbeat. Un ciberdelincuente puede aprovechar este error para robar contenidos de la memoria o del servidor de un cliente conectado.

3.   ↔ MVPower DVR Remote Code Execution – Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Un atacante remoto puede explotar esta debilidad para ejecutar código arbitrario en el router afectado a través de una petición hecha a medida.