Ransomware como Servicio: RansomHub y LockBit3 dominan el panorama de ciberataques tanto en España como a nivel global en julio de 2024

Madrid, España, 20 de agosto de 2024.— El Índice Global de Amenazas de julio de 2024 de Check Point Software revela cambios significativos en el panorama del ransomware como servicio (RaaS). A pesar de haber disminuido su actividad en junio, LockBit ha vuelto con fuerza en julio, posicionándose como el segundo grupo de ransomware más activo, mientras que RansomHub mantiene su liderazgo. Además, los investigadores han detectado una campaña de distribución del malware Remcos, aprovechando una vulnerabilidad en una actualización de CrowdStrike, así como nuevas tácticas empleadas por FakeUpdates, que ha recuperado su primer lugar en el ranking.

Un problema en el sensor Falcon para Windows de CrowdStrike fue explotado por ciberdelincuentes que distribuyeron un archivo ZIP malicioso bajo el nombre de «crowdstrike-hotfix.zip«. Este archivo contenía HijackLoader, el cual activaba el malware Remcos, que se ha clasificado como el séptimo malware más buscado de julio. Esta campaña estaba dirigida a empresas de habla hispana, utilizando dominios falsos para ataques de phishing.

Por otro lado, se han identificado nuevas tácticas de FakeUpdates, donde usuarios que visitaban sitios web comprometidos eran engañados con falsos avisos de actualización del navegador, que en realidad instalaban troyanos de acceso remoto (RAT) como AsyncRAT, que actualmente ocupa el noveno lugar en el índice de Check Point. Además, se ha observado que los ciberdelincuentes están explotando la plataforma BOINC para obtener control remoto de los sistemas infectados.

Maya Horowitz, vicepresidenta de Investigación en Check Point Software, señala que «la continua persistencia y resurgimiento de grupos de ransomware como Lockbit y RansomHub subraya que los ciberdelincuentes siguen centrándose en el ransomware, un importante desafío para las empresas con implicaciones de gran alcance para su continuidad operativa y la seguridad de los datos. La reciente explotación de una actualización de software de seguridad para distribuir el malware Remcos pone aún más de relieve la naturaleza oportunista de los ciberdelincuentes, lo que compromete aún más las defensas de las empresas. Para contrarrestar estas amenazas, las compañías tendrán que adoptar una estrategia de seguridad multicapa que incluya una sólida protección de los endpoints, una monitorización continua y la educación de los usuarios para reducir el impacto de estos ciberataques cada vez más masivos».

Principales familias de malware en España

FakeUpdates lideró como el malware más prevalente en julio, afectando al 9,45% de las organizaciones a nivel mundial. Le siguen Androxgh0st, con un impacto global del 5,87%, y Qbot, con un 4,26% de impacto global.

• FakeUpdates: Este downloader, desarrollado en JavaScript, instala otras cargas maliciosas en el sistema. Ha afectado al 9,45% de las empresas en España.
• Androxgh0st: Un botnet que afecta a Windows, Mac y Linux, dirigido a vulnerabilidades en plataformas como PHPUnit, Laravel y Apache, impactando al 5,87% de las empresas españolas.
• Qbot: Un malware multifuncional diseñado para robar credenciales y otros datos, afectando al 4,26% de las empresas en España.

Vulnerabilidades más explotadas

• Command Injection Over HTTP: Vulnerabilidad de inyección de comandos que permite a un atacante ejecutar código arbitrario en la máquina víctima.
• Zyxel ZyWALL Command Injection: Vulnerabilidad que permite a atacantes remotos ejecutar comandos arbitrarios.
• HTTP Headers Remote Code Execution: Explotación de cabeceras HTTP para ejecutar código arbitrario en la máquina objetivo.

Principales programas maliciosos para móviles

En el ámbito móvil, Joker fue el malware más extendido, seguido de Anubis y AhMyth.

• Joker: Un spyware en Android que roba SMS, contactos y registra a la víctima en servicios premium.
• Anubis: Troyano bancario para Android con funciones de RAT, keylogger y ransomware.
• AhMyth: RAT que recopila información sensible y realiza acciones como keylogging y captura de pantalla.

Sectores más atacados a escala mundial

En julio, los sectores de Educación/Investigación, Gobierno/Militar y Comunicación fueron los más afectados por ciberataques.

Principales grupos de ransomware

RansomHub fue el grupo de ransomware más prevalente, responsable del 11% de los ataques, seguido por LockBit3 con un 8% y Akira con un 6%.

• RansomHub: Un RaaS que ha ganado notoriedad por sus campañas agresivas, dirigido a sistemas como Windows, macOS, Linux y VMware ESXi.
• LockBit3: Un ransomware que apunta a grandes empresas y entidades gubernamentales, con un enfoque en evitar objetivos en Rusia y la Comunidad de Estados Independientes.
• Akira: Un ransomware que utiliza cifrado simétrico para bloquear archivos y exigir un rescate.

Para saber más acerca de CheckPoint Software, por favor visita este enlace

Tu Opinión Importa

¿Qué opinas sobre el resurgimiento de grupos de ransomware como LockBit3? ¿Qué medidas crees que deberían tomar las empresas para protegerse? Comparte tu perspectiva en los comentarios usando el hashtag #superfan. ¡Tu opinión cuenta! 😉

Apoya al Periodismo Independiente

¿Te sirvió en algo este contenido?, ayúdanos a combatir la Desinformación, dona desde S/ 1.00 a nuestro PLIN 943-438-457

Dona con PayPal (escanea este QR)