El informe también habla sobre las bandas de ransomware que están innovando para obtener mejores resultados, las empresas y los gobiernos que son objeto de ataques DDoS, y el estado del malware móvil
Avast ha publicado su Informe de Amenazas Q3/2022 que resume el panorama de las ciberamenazas basándose en los datos de telemetría de Avast y en las opiniones de los expertos. Los resultados de Avast muestran un aumento de la actividad de adware en el PC a finales de septiembre. Avast también protegió a un 370% más de usuarios de Raccoon Stealer, un ladrón de información, en el tercer trimestre de 2022 que en el trimestre anterior. Los ataques de ransomware aumentaron en algunos mercados como España, Canadá y Alemania, pero disminuyeron ligeramente a nivel global. Las posibilidades de que los usuarios de móviles se encuentren con un troyano bancario aumentaron un 7% en el trimestre, a pesar de que la Europol desmanteló el grupo Flubot. La mayoría de las actividades maliciosas se mantuvieron estables o disminuyeron en el tercer trimestre de 2022.
«Una tendencia interesante que observamos este trimestre ha sido que las bandas de ciberdelincuentes recurren activamente al crowdsourcing y pagan a personas para que apoyen sus actividades delictivas, incluyendo la mejora, comercialización y distribución de su malware» dijo Jakub Kroustek, director de investigación de malware de Avast. «En cuanto a los ataques, observamos un aumento del adware DealPly hacia el final del tercer trimestre de 2022, un pico masivo de intentos de infección de Raccoon Stealer, un aumento de la actividad de la red de bots MyKings y una nueva red de bots llamada Pitraix, escrita en Go, que está ganando algo de terreno. En general, el volumen de ciberataques siguió siendo elevado, a pesar de que los ciberdelincuentes parecieron relajarse un poco durante los meses de verano“.
Los ataques de ransomware se centran en la exfiltración de datos
Sin embargo, el riesgo de que los usuarios de España se encuentren con ransomware en el 3T/2022 aumentó un 12% en comparación con el 2T/2022. Sin embargo, a nivel global, los usuarios se enfrentaron a un riesgo ligeramente menor de ataques de ransomware trimestre a trimestre.
«Las bandas de ransomware utilizan cada vez más métodos complicados de cifrado parcial, por ejemplo, cifrando sólo el principio o el final de un archivo, o bloques de archivos, para que se cifren rápidamente y así evitar que el usuario los detecte», explicó Jakub Kroustek. «Además, las bandas de ransomware están ahora exfiltrando datos de las empresas, amenazando con publicar archivos sensibles, y luego borrando o corrompiendo los archivos en lugar de cifrarlos. También hemos observado una interesante serie de incidencias relacionadas con el grupo de ransomware LockBit. Entre ellos, el grupo ofrecía recompensas a quienes descubrieran vulnerabilidades o aportaran ideas al grupo, compensaciones a quienes se tatuaran su logotipo en el cuerpo, miembros del grupo que se vengaban y filtraban código, y un tira y afloja entre la banda y una empresa de seguridad llamada Entrust».
Empresas y gobiernos en el punto de mira de los grupos de hacking y APT
El grupo prorruso NoName057(16) atacó a empresas, como bancos y agencias de noticias, y a gobiernos que apoyan a Ucrania durante el tercer trimestre de 2022. El grupo utiliza una red de bots de ordenadores infectados con el malware Bobik para realizar ataques DDoS de represalia. Según las observaciones de Avast, el grupo tiene una tasa de éxito del 40%, y alrededor del 20% de los ataques de los que se atribuyen la responsabilidad no se pueden contabilizar en sus archivos de configuración. En agosto, el grupo anunció un nuevo proyecto llamado DDOSIA, y creó un nuevo grupo privado de Telegram con más de 700 miembros. El proyecto DDOSIA permite a cualquier persona en Internet descargar un binario a través del cual puede llevar a cabo ataques DDoS en sitios determinados por NoName057(16). A cambio, se les recompensa con criptomonedas.
El grupo APT Gamaredon también se centró en Ucrania en el tercer trimestre de 2022, atacando instituciones militares y gubernamentales, y embajadas extranjeras en Ucrania. El grupo introdujo nuevas herramientas a su conjunto de recursos, incluyendo herramientas de exfiltración de archivos, varios droppers y nuevas formas de distribuir cargas útiles e IPs de servidores de C&C.
LuckyMouse, un conocido grupo de amenazas de habla china, tuvo como objetivo varias agencias gubernamentales de los Emiratos Árabes Unidos, Taiwán y Filipinas. Avast encontró backdoors en los ordenadores infectados, ladrones de contraseñas para Chrome y herramientas de código abierto, como BadPotato, que se utiliza para la escalada de privilegios. Probablemente los atacantes infectaron los dispositivos a través de un servidor comprometido.
Otros grupos que los investigadores de Avast están rastreando son el Donot Team, también conocido como APT-C-35, y Transparent Tribe, también conocido como APT36. El Donot Team estuvo más activo en Pakistán en el tercer trimestre de 2022. Avast descubrió módulos DLL del marco de trabajo de yty en varios dispositivos infectados. Transparent Tribe, considerado un grupo pakistaní, continuó atacando a víctimas en India y Afganistán, infectando PCs mediante spear-phishing y documentos de Office con macros VBA maliciosas. Los investigadores de Avast identificaron que los ejecutables pertenecen a la cepa CrimsonRAT, el malware personalizado de Transparent Tribe utilizado para acceder a las redes infectadas.
Aumento de DealPly, Racoon Stealer y MyKings
DealPly, adware instalado por otro malware, alcanzó su punto máximo a finales de septiembre de 2022. El adware es una extensión de Chrome capaz de modificar las páginas nuevas dentro del navegador y puede reemplazar las pestañas recién abiertas, leer el historial del navegador, cambiar los marcadores y gestionar las aplicaciones, extensiones y temas del navegador. Estas capacidades permiten a los ciberdelincuentes que están detrás de la extensión modificar los resultados de las búsquedas y sustituirlos por anuncios, leer las contraseñas y los datos de las tarjetas de crédito almacenados en el navegador así como leer lo que los usuarios introducen en los formularios (así como lo que rellenaron en el pasado).
Raccoon Stealer, un ladrón de información capaz de robar datos y descargar y ejecutar más malware, tuvo un importante repunte en el tercer trimestre de 2022. Avast protegió a un 370% más de usuarios de este ladrón en el tercer trimestre de 2022.
«Raccoon Stealer se propaga cuando los usuarios intentan descargar versiones ‘crackeadas’ de software como Adobe Photoshop, Filmora Video Editor y uTorrent Pro», explicó Jakub Kroustek. «La gente suele ignorar o desactivar los escudos antivirus cuando intenta descargar archivos como son las versiones de software crackeadas, poniéndose en riesgo de descargar malware como Raccoon Stealer. El malware suele ser capaz de descargar programas maliciosos adicionales, como es el caso de la propagación de DealPly, por ejemplo. Por lo tanto, los usuarios deben instalar un software antivirus y dejar las protecciones activadas en todo momento».
Mientras que la actividad de las redes de bots se estabilizó en el tercer trimestre de 2022, la actividad de la red de bots MyKings aumentó. MyKings es una botnet centrada en el robo de criptodivisas, activa desde 2016.
Malware para móviles
El adware sigue siendo la amenaza móvil dominante, con adware como HiddenAds y FakeAdBlockers predominando. Los países en los que Avast protegió más a los usuarios del adware fueron Brasil, India, Argentina y México.
A pesar de la reciente disolución de Flubot por parte de la Europol, el riesgo global de ser víctima de un troyano bancario aumentó un 7% en el tercer trimestre de 2022 en comparación con el segundo. Los troyanos bancarios se propagan principalmente a través del phishing por SMS, pero también pueden propagarse a través de malware dropper.
Los TrojanSMS, o estafas de SMS premium, siguen dirigiéndose a los usuarios de móviles, con SMSFactory y Darkherring a la cabeza de la categoría, mientras que UltimaSMS y Grifthorse se retiraron. SMSFactory y Darkherring se distribuyen a través de ventanas emergentes, malvertising y falsas tiendas de aplicaciones. En cambio, UltimaSMS y Grifthorse se distribuían en Google Play Store, pero ya no desde que Google los retiró de la tienda.