En el Índice Global de Amenazas de agosto de 2023, Formbook fue el malware más extendido en Alemania, seguido de CloudEyE y Qbot.
Al otro lado del Atlántico, el FBI anunció en agosto una victoria significativa en su operación global contra el Qbot (también conocido como Qakbot). En la “Operación Duck Hunt”, el FBI tomó el control de la botnet, eliminó el malware de los dispositivos infectados e identificó un número significativo de dispositivos afectados.
Qbot está disminuyendo significativamente
Qbot evolucionó hasta convertirse en un servicio de entrega de malware utilizado para diversas actividades cibercriminales, incluidos ataques de ransomware. Por lo general, se propaga a través de campañas de phishing y colabora con otros actores de amenazas. Aunque Qbot siguió siendo el malware más extendido a nivel mundial en agosto, Check Point observó una disminución significativa en su impacto después de la operación. Los servidores del malware también quedaron paralizados en Alemania, como anunció la BKA.
Maya Horowitz, vicepresidenta de investigación de Check Point Software, sobre el ataque contra Qbot: “La eliminación de QBot fue un avance significativo en la lucha contra el cibercrimen. Sin embargo, no debemos volvernos complacientes porque cuando uno cae, otro se levantará y ocupará su lugar. Todos debemos permanecer alerta, trabajar juntos y seguir practicando una buena higiene de seguridad en todos los vectores de ataque”.
Top malware en Alemania
Formbook fue el malware más extendido el mes pasado con un impacto ligeramente decreciente del 11,88 por ciento en las organizaciones alemanas, seguido de CloudEyE con un impacto nacional del 11,72 por ciento y Qbot con un 4,82 por ciento.
↔ Formbook – Formbook es un ladrón de información dirigido al sistema operativo Windows y fue descubierto por primera vez en 2016. Se comercializa como Malware as a Service (MaaS) en foros clandestinos de piratería debido a sus sólidas técnicas de evasión y su precio relativamente bajo. FormBook recopila credenciales de inicio de sesión de varios navegadores web, recopila capturas de pantalla, supervisa y registra las pulsaciones de teclas, y puede descargar y ejecutar archivos cuando se lo indique su C&C.
↑ NubeEyE–CloudEye, anteriormente llamado “GuLoader”, es un programa de descarga dirigido a la plataforma Windows y se utiliza para descargar e instalar programas maliciosos en las computadoras de las víctimas.
↔ qbot – Qbot AKA Qakbot es un malware multipropósito que apareció por primera vez en 2008. Está diseñado para robar las credenciales de inicio de sesión de un usuario, registrar las pulsaciones de teclas, robar cookies de los navegadores, espiar la actividad bancaria e instalar malware adicional. Distribuido comúnmente a través de correos electrónicos no deseados, Qbot utiliza múltiples técnicas anti-VM, anti-depuración y anti-sandbox para complicar el análisis y evadir la detección. A partir de 2022, es uno de los troyanos más extendidos.
Las 3 principales vulnerabilidades
El mes pasado, la “Ejecución remota de código de encabezados HTTP” fue la vulnerabilidad más explotada y afectó al 40 por ciento de las organizaciones en todo el mundo, seguida de la “Inyección de comandos a través de http”, que afectó al 38 por ciento de las organizaciones en todo el mundo. La “Ejecución remota de código de MVPower CCTV DVR” fue la tercera vulnerabilidad más explotada con un impacto global del 35 por ciento.
↑ Encabezado HTTP Ejecución remota de código (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756): los encabezados HTTP permiten que el cliente y el servidor transmitan información adicional con una solicitud HTTP. Un atacante remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en la computadora de la víctima.
↑ Inyección de comandos a través de HTTP (CVE-2021-43936, CVE-2022-24086): se ha informado de una vulnerabilidad de inyección de comandos a través de HTTP. Un atacante remoto puede aprovechar este problema enviando una solicitud especialmente diseñada a la víctima. Si se explota con éxito, un atacante podría ejecutar código arbitrario en la computadora de destino.
↑ Ejecución remota de código MVPower CCTV DVR (CVE-2016-20016) – Una vulnerabilidad de ejecución remota de código en MVPower CCTV DVR. La explotación exitosa de esta vulnerabilidad podría permitir que un atacante remoto ejecute código arbitrario en el sistema afectado.
Los 3 principales programas maliciosos para dispositivos móviles
El mes pasado, Anubis se mantuvo en la cima del malware móvil más común, seguido por AhMyth y SpinOk, que intercambiaron lugares.
↔ Anubis – Anubis es un malware troyano bancario diseñado para teléfonos móviles con Android. Desde su descubrimiento inicial, ha adquirido características adicionales que incluyen troyano de acceso remoto (RAT), registrador de pulsaciones de teclas, capacidades de grabación de audio y varias capacidades de ransomware. Se ha descubierto en cientos de aplicaciones diferentes en Google Store.
↑ AhMito – AhMyth es un troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como registrar teclas, tomar capturas de pantalla, enviar mensajes SMS y activar la cámara, que generalmente se utilizan para robar información confidencial.
↓ Girar bien – SpinOk es un módulo de software de Android que funciona como un programa espía. Recopila información sobre los archivos almacenados en los dispositivos y puede reenviarlos a actores de amenazas maliciosos. El módulo malicioso se encontró en más de 100 aplicaciones de Android y se había descargado más de 2023 de veces hasta mayo de 421.000.000.
Top 3 de los sectores y áreas atacados en Alemania
↑ SI/VAR/Distribuidores
↑ Sanidad
↑ ISP / MSP
El índice de impacto de amenazas globales y ThreatCloudMap de Check Point se basan en ThreatCloudIntelligence de Check Point. ThreatCloud proporciona inteligencia sobre amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo a través de redes, puntos finales y teléfonos móviles. Esta inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la división de investigación y desarrollo de Check Point Software Technologies.
Más en CheckPoint.com
Sobre el punto de control Check Point Software Technologies GmbH (www.checkpoint.com/de) es un proveedor líder de soluciones de ciberseguridad para administraciones públicas y empresas de todo el mundo. Las soluciones protegen a los clientes de los ataques cibernéticos con una tasa de detección de malware, ransomware y otros tipos de ataques líder en la industria. Check Point ofrece una arquitectura de seguridad de varias capas que protege la información corporativa en la nube, la red y los dispositivos móviles, y el sistema de administración de seguridad de "un punto de control" más completo e intuitivo. Check Point protege a más de 100.000 XNUMX empresas de todos los tamaños.
Artículos relacionados con el tema