Aumento en el uso de la botnet Phorpiex, que distribuye el ransomware Avaddon en campañas de spam malicioso

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ha publicado su último Índice Global de Amenazas de noviembre de 2020. En este nuevo informe, los investigadores de la compañía señalan que el malware más buscado en España es Hiddad, un adware enfocado en dispositivos Android que ha afectado al 4,41% de las empresas. Entre sus funciones se encuentra la de obtener acceso a los detalles de seguridad clave incorporados en el sistema operativo, lo que permite a un ciberdelincuente recabar datos confidenciales del usuario.

Por otro lado, los expertos de la compañía advierten del auge en el uso de Phorpiex, que ha afectado al 4% de las empresas a nivel mundial. Este ciberataque fue detectado por primera vez en 2010, y en su momento de mayor actividad llegó a controlar más de un millón de hosts infectados. Conocido por distribuir otras familias de malware, así como por fomentar campañas de «sextorsión» y de criptominería a gran escala a través de spam, Phorpiex ha vuelto a distribuir el ransomware Avaddon (una variante relativamente nueva de Ransomware-as-a-Service), tal y como informaron los investigadores de Check Point a principios de este año. Este virus informático se ha distribuido a través de archivos JS y Excel como parte de campañas de spam a través de correo electrónico, y es capaz de cifrar una amplia gama de tipos de archivos. 

«Phorpiex es una de las botnets más antiguas y persistentes, y sus creadores la han utilizado durante muchos años para distribuir otras cargas maliciosas como GandCrab y Avaddon, pero también para llevar a cabo campañas de sextorsión. Esta nueva ola de infecciones está propagando ahora otra campaña de ransomware, lo que demuestra la eficacia de Phorpiex», indica Maya Horowitz, directora de Inteligencia e Investigación de Amenazas y Productos en Check Point. «Las empresas deben formar a sus empleados para que sepan identificar el posible malspam y eviten abrir archivos adjuntos desconocidos en los correos electrónicos, aunque parezca que puedan proceder de una fuente de confianza. Asimismo, deben asegurarse de que cuentan con medidas de seguridad que impidan que sus redes se infecten», concluye Horowitz.

El equipo de investigación de la compañía alerta que «HTTP Headers Remote Code Execution (CVE-2020-13756)» (afectó al 54% de las empresas a nivel mundial) es la vulnerabilidad explotada más común, seguida de «MVPower DVR Remote Code Execution» (48%) y «Dasan GPON Router Authentication Bypass» (44%).

Los 3 malwares más buscados en España en noviembre:

1. ↑Hiddad – Malware para Android, su función principal es mostrar anuncios. Sin embargo, también puede obtener acceso a los detalles de seguridad clave incorporados en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario. Ha atacado a un 4,41% de las empresas españolas.
2. ↑ XMRig – Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 4,26% de las empresas españolas.
3. ↑ Phorpiex – Phorpiex es una red de bots (alias Trik) que ha operado desde 2010 y que en su momento de máxima actividad controló más de un millón de hosts infectados. Conocido por distribuir otras familias de malware a través de campañas de spam, así como por alimentar campañas de spam y sextorsión a gran escala. Ha afectado a un 4,26% de las empresas en España.

Top 3 vulnerabilidades más explotadas en noviembre:

1. Inyección de comandos sobre HTTP – Un atacante en remoto puede explotar una vulnerabilidad de inyección de comandos sobre HTTP enviando a la víctima una petición especialmente diseñada. En caso de tener éxito, esta explotación permitiría a un atacante ejecutar código arbitrario en el equipo de un usuario.
2. Ejecución de código en remoto de MVPower DVR – Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Esta vulnerabilidad puede explotarse en remoto para ejecutar código arbitrario en el router.
3. Bypass de autentificación del router Dasan GPON – Una vulnerabilidad de autenticación de bypass que existe en los routers Dasan GPON. La explotación de esta vulnerabilidad permite a los ciberdelincuentes obtener información sensible y acceder sin autorización al sistema afectado en remoto.

Top 3 del malware móvil mundial en noviembre

1. Hiddad – Malware para Android, su función principal es mostrar anuncios. Sin embargo, también puede obtener acceso a las claves seguridad incorporadas en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario.
2. xHelper –Aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
3. Lotoor – Herramienta de hacking que explota vulnerabilidades en el sistema operativo Android para obtener privilegios de root.

El Índice de Impacto Global de Amenazas de Check Point y su Mapa de ThreatCloud se basan en la inteligencia ThreatCloud de Check Point, la red de colaboración más grande para combatir la ciberdelincuencia que ofrece datos de amenazas y tendencias de ataque desde una red global de sensores de amenazas. La base de datos ThreatCloud contiene más de 250 millones de direcciones analizadas para descubrir bots, más de 11 millones de firmas de malware y más de 5,5 millones de sitios web infectados, e identifica millones de tipos de malware diariamente.