El Índice Global de Amenazas de Check Point Software destaca un cambio en el panorama del ransomware como servicio (RaaS). Los investigadores han identificado el ascenso de Meow con tácticas novedosas y un impacto significativo.
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder en soluciones de ciberseguridad en la nube basadas en IA, publica su Índice Global de Amenazas del mes de agosto de 2024. El ransomware se ha mantenido como fuerza dominante, con RansomHub como el principal grupo. Esta operación RaaS se ha expandido rápidamente desde su cambio de marca del ransomware Knight, que ha atacado a más de 210 víctimas en todo el mundo. Mientras tanto, ha surgido una nueva amenaza llamada Meow, otro ciberataque de ransomware que ha pasado del cifrado a la venta de datos robados en mercados de filtración.
El mes pasado, RansomHub consolidó su posición como la principal amenaza de ransomware, como se detalla en un aviso conjunto del FBI, CISA, MS-ISAC y HHS. Esta organización RaaS ha atacado de forma agresiva sistemas Windows, macOS, Linux y, especialmente, entornos VMware ESXi, mediante técnicas sofisticadas de cifrado.
«La aparición de RansomHub como la principal amenaza de ransomware en agosto subraya la creciente sofisticación de las operaciones de Ransomware-as-a-Service», afirma Maya Horowitz, VP de Investigación de Check Point Software. «El auge de Meow pone de relieve el cambio hacia el mercado de filtración de datos, lo que indica un nuevo método de monetización para los operadores de ransomware, donde cada vez más la información robada se vende a terceros, en lugar de simplemente publicarse online. A medida que evolucionan estas amenazas, las empresas deben mantenerse alerta, adoptar medidas de seguridad proactivas y mejorar continuamente sus defensas contra ataques cada vez más sofisticados», añade.
En España, FakeUpdates fue el malware más prevalente en agosto, con un impacto del 7% en las organizaciones, seguido de Qbot y Androxgh0st, cada uno con un impacto del 5,3%. FakeUpdates, también conocido como SocGholish, es un downloader desarrollado en JavaScript que ha sido responsable de distribuir otros programas maliciosos como GootLoader, Dridex y DoppelPaymer, entre otros.
Qbot, un malware multifuncional descubierto en 2008, ha vuelto a afectar a un 5,3% de las empresas españolas. Diseñado para robar credenciales, registrar pulsaciones de teclas y espiar actividades bancarias, Qbot se distribuye principalmente a través de correos electrónicos no deseados y utiliza diversas técnicas para eludir la detección.
Androxgh0st, un botnet que afecta a múltiples plataformas incluyendo Windows, Mac y Linux, también impactó en el 5,3% de las empresas en España. Este malware roba información sensible como cuentas de Twilio y credenciales SMTP, y utiliza archivos de Laravel para recolectar información.
En cuanto a las vulnerabilidades más explotadas, destacan la Inyección de Comandos mediante HTTP (CVE-2021-43936, CVE-2022-24086), la Inyección de Comandos de Zyxel ZyWALL (CVE-2023-28771) y la Ejecución Remota de Código en Cabeceras HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375).
En el ámbito móvil, Joker se mantiene como el malware más extendido, seguido de Anubis y Hydra. Joker es un spyware que roba mensajes SMS, listas de contactos y registra a las víctimas en servicios premium, mientras que Anubis y Hydra son troyanos bancarios que buscan robar credenciales y acceder a datos sensibles.
Durante agosto, los medios de comunicación fueron el sector más atacado en España, seguido de los sectores gubernamental/militar y los servicios públicos.
Finalmente, RansomHub fue el grupo de ransomware más prevalente, responsable del 15% de los ataques publicados en sitios de «shaming» de doble extorsión, seguido de Meow con un 9% y LockBit con un 8%. RansomHub, una operación RaaS que surgió de la renovación del ransomware Knight, se ha destacado por sus agresivas campañas y sofisticadas técnicas de cifrado. Meow, basado en el ransomware Conti, se ha especializado en cifrar archivos amplios y vender datos robados, mientras que LockBit3, operativo desde 2019, continúa siendo una amenaza significativa para grandes empresas y entidades gubernamentales.