Investigadores de seguridad han descubierto un nuevo método para propagar el troyano de acceso remoto (RAT) Remcos, el malware número uno en Alemania. Elude las medidas de seguridad comunes para obtener acceso no autorizado a los dispositivos de las víctimas. Mientras tanto, Blackbasta se ha convertido en uno de los tres grupos de ransomware más buscados del mundo.
Un proveedor de una plataforma de seguridad cibernética basada en la nube e impulsada por IA ha publicado su Índice de amenazas globales. El mes pasado, investigadores de seguridad revelaron que los piratas informáticos estaban utilizando archivos VHD (Disco duro virtual) para instalar Remcos, un RAT (troyano de acceso remoto). Mientras tanto, a pesar de la medida de cumplimiento de febrero, Lockbit3 siguió siendo el grupo de ransomware más extendido del mundo.
Remcos es un malware muy conocido que ha estado causando problemas desde 2016. La última campaña elude las medidas de seguridad comunes para permitir a los ciberdelincuentes el acceso no autorizado a los dispositivos de las víctimas. A pesar de sus orígenes legales para administrar sistemas Windows de forma remota, los piratas informáticos pronto comenzaron a abusar de la herramienta para infectar dispositivos, realizar capturas de pantalla, registrar pulsaciones de teclas y transmitir los datos recopilados a servidores host específicos. Además, derRAT cuenta con una función de envío masivo que puede utilizarse para realizar campañas de distribución. Sus diversas funciones se pueden utilizar para crear redes de bots.
Maya Horowitz, vicepresidenta de investigación de Check Point, comenta: “La evolución de las tácticas de ataque muestra que las estrategias de los piratas informáticos avanzan inexorablemente. Esto pone de relieve la necesidad de que las empresas prioricen las medidas de seguridad. Al permanecer alerta, implementar una sólida protección de endpoints y fomentar una cultura de concienciación sobre la ciberseguridad, pueden fortalecer las defensas contra las ciberamenazas”.
Check Points Ransomware Index destaca los hallazgos de los llamados sitios vergonzosos de ransomware. Estos son operados por grupos de ransomware que utilizan la doble extorsión para publicar información sobre las víctimas. Lockbit3 vuelve a liderar el ranking con un doce por ciento de ataques publicados, seguida de Play con un diez por ciento y Blackbasta con un nueve por ciento, que por primera vez se sitúa entre los tres primeros puestos, reivindicó el reciente ciberataque a la ley escocesa. firma Scullion Law.
Top malware en Alemania
Las flechas se refieren al cambio en la clasificación en comparación con el mes anterior.
↑ Remcos – Remcos es una RAT que ha estado haciendo travesuras desde 2016. Remcos se distribuye a través de documentos contaminados de Microsoft Office adjuntos a correos electrónicos SPAM. El malware está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar malware con altos privilegios.
↓CloudEyE: CloudEye es un programa de descarga dirigido a la plataforma Windows y se utiliza para descargar e instalar programas maliciosos en las computadoras de las víctimas.
↑ FakeUpdates – Fakeupdates (también conocido como SocGholish) es un programa de descarga escrito en JavaScript. Escribe la carga útil en el disco duro antes de iniciarlo. Las actualizaciones falsas provocan una mayor infiltración en el sistema por parte de muchos programas maliciosos adicionales, incluidos GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult.
Vulnerabilidades de seguridad más peligrosas
Hasta el mes pasado, el “Traspaso de directorio de URL malicioso del servidor web” seguía siendo la vulnerabilidad más explotada y afectaba al 50 por ciento de las organizaciones en todo el mundo. A esto le siguió la “Inyección de comandos a través de HTTP” con un 48 por ciento y la “Ejecución remota de código de encabezados HTTP” con un 43 por ciento.
↔ Servidor web Recorrido de directorio URL malicioso (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE- 2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) - En varias web servidores Existe una vulnerabilidad de cruce de directorios. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no desinfecta adecuadamente el URI para los patrones de recorrido del directorio. Una explotación exitosa permite a atacantes no autenticados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
↔Inyección de comandos a través de HTTP (CVE-2021-43936, CVE-2022-24086): se ha informado de una vulnerabilidad para la inyección de comandos a través de HTTP. Un atacante remoto puede aprovechar este problema enviando una solicitud especialmente diseñada a la víctima. Si se explota con éxito, un atacante podría ejecutar código arbitrario en la computadora de destino.
↑ Ejecución remota de código del encabezado HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375): los encabezados HTTP permiten al cliente y al servidor proporcionar información adicional con un HTTP para enviar la solicitud. Un atacante remoto puede utilizar un encabezado HTTP vulnerable para ejecutar código arbitrario en la máquina de su víctima.
Los 3 principales programas maliciosos para dispositivos móviles
El mes pasado, Anubis siguió siendo el principal malware móvil, seguido de AhMyth y Cerberus.
↔ Anubis: Anubis es un malware troyano bancario diseñado para teléfonos Android. Desde su descubrimiento inicial, ha adquirido características adicionales que incluyen troyano de acceso remoto (RAT), registrador de pulsaciones de teclas, capacidades de grabación de audio y varias capacidades de ransomware. Se ha descubierto en cientos de aplicaciones diferentes en Google Store.
↔ AhMyth: AhMyth es un troyano de acceso remoto (RAT) que se descubrió en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como registrar teclas, tomar capturas de pantalla, enviar mensajes SMS y activar la cámara, que generalmente se utilizan para robar información confidencial.
↔ Cerberus: Cerberus apareció por primera vez en junio de 2019. Es un troyano de acceso remoto (RAT) con funciones especiales para superponer pantallas bancarias en dispositivos Android. Cerberus opera en un modelo de malware como servicio (MaaS) y reemplaza a troyanos bancarios desaparecidos como Anubis y xobot. Sus características incluyen control de SMS, registro de claves, grabación de sonido y seguimiento de ubicación.
Top 3 de los sectores y áreas atacados en Alemania
↔Educación e investigación
↑ Salud
↓ Comunicación
Principales grupos de ransomware
Esta sección contiene información obtenida de sitios RansomwareShame. Son operados por grupos de ransomware que utilizan la doble extorsión para publicar información sobre las víctimas. Si bien los datos de estos sitios vergonzosos están sujetos a sesgos, aún brindan información valiosa sobre el ecosistema del ransomware. Lockbit3 fue el grupo de ransomware más extendido el mes pasado, representando el XNUMX por ciento de los ataques publicados, seguido por Play con el XNUMX por ciento y Blackbasta con el XNUMX por ciento.
- BloquearBit3 es un ransomware que funciona con un modelo RaaS y se informó por primera vez en septiembre de 2019. LockBit3 se dirige a grandes empresas y entidades gubernamentales de varios países, pero no a individuos de Rusia o la Comunidad de Estados Independientes (CEI).
- Jugar es el nombre de un tipo de ransomware. Cifra datos y exige un rescate por descifrarlos.
- El ransomware BlackBasta Se observó por primera vez en 2022 y funciona como ransomware como servicio (RaaS). Los actores de amenazas detrás de esto se dirigen principalmente a organizaciones e individuos mediante el uso de vulnerabilidades RDP y correos electrónicos de phishing para difundir el ransomware.
Sobre el punto de control Check Point Software Technologies GmbH (www.checkpoint.com/de) es un proveedor líder de soluciones de ciberseguridad para administraciones públicas y empresas de todo el mundo. Las soluciones protegen a los clientes de los ataques cibernéticos con una tasa de detección de malware, ransomware y otros tipos de ataques líder en la industria. Check Point ofrece una arquitectura de seguridad de varias capas que protege la información corporativa en la nube, la red y los dispositivos móviles, y el sistema de administración de seguridad de "un punto de control" más completo e intuitivo. Check Point protege a más de 100.000 XNUMX empresas de todos los tamaños.
Artículos relacionados con el tema