Investigación Check Point: Cibercriminales han aprovechado la pandemia de la COVID-19 para lanzar ataques políticos y criminales en redes, nube y dispositivos móviles en el primer semestre de 2020
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder especializado en ciberseguridad a nivel mundial ha publicado hoy su “Cyber Attack Trends: 2020 Mid-Year Report”, que muestra cómo los cibercriminales se han aprovechado de la pandemia de la COVID-19 y temas relativos al virus para lanzar campañas de ciberamenazas contra las empresas de todo el mundo y todos los sectores, entre los que se incluyen gobiernos, infraestructuras críticas, instituciones sanitarias, proveedores de servicios, usuarios finales, entre otros.
Los ataques de phishing y malware relacionados con COVID-19 aumentaron drásticamente, pasando de menos de 5.000 mil por semana en febrero a superar los 200.000 por semana a finales de abril. Además, en mayo y junio, y coincidiendo con el hecho de que se iba iniciando la desescalada en varios países, los cibercriminales intensificaron su actividad con otro tipo de explotaciones de vulnerabilidad no relacionadas con la temática del COVID-19. Esto se tradujo en un aumento del 34% de todos los tipos de ciberataques a nivel mundial a finales de junio en comparación con marzo y abril.
Las principales conclusiones del informe son:
• Crece la intensidad de la ciberguerra: los ciberataques entre países aumentaron en intensidad y severidad en el primer semestre del año, puesto que buscaban reunir información o interrumpir el control de la situación de la pandemia por parte de sus rivales. Estos ataques se expandieron también contra objetivos como las organizaciones sanitarias y humanitarias como la OMS, que informó de un aumento del 500% en el número de ciberataques sufridos.
• Ataques de doble extorsión: a lo largo del primer semestre de 2020, se ha generalizado una nueva variante de ransomware en la que los atacantes extraen grandes cantidades de datos antes de cifrarlos. Tras esto, los cibercriminales amenazaban a sus víctimas con filtrar los datos si se negaban a pagar un rescate económico para recuperar esa información, lo que supone una presión adicional para que cumplan con sus exigencias.
• Explotaciones de vulnerabilidades en dispositivos móviles: los cibercriminales han buscado nuevos vectores para infectar dispositivos móviles, han mejorado sus técnicas para eludir las medidas de seguridad y colocar aplicaciones maliciosas en las tiendas de aplicaciones oficiales. Otro de los ataques más innovadores en este primer semestre permitía a los cibercriminales utilizar el sistema de gestión de dispositivos móviles (MDM) de una gran corporación internacional para distribuir malware a más del 75% de sus dispositivos móviles gestionados.
• Exposición de peligros en la nube: la rápida migración hacia la nube pública que se ha producido durante la pandemia ha provocado un aumento de los ataques dirigidos a datos sensibles almacenados en este tipo de plataformas. Los cibercriminales están utilizando la infraestructura cloud de las empresas para almacenar las cargas útiles maliciosas que utilizan en sus ataques de malware. En enero, los investigadores de Check Point descubrieron una vulnerabilidad crítica en Microsoft Azure que había puesto en riesgo la seguridad de los datos y aplicaciones de otros usuarios de Azure, lo que demuestra que las nubes públicas no son totalmente seguras.
"La respuesta mundial a la pandemia ha transformado y acelerado los modelos de ataques de los cibercriminales durante la primera mitad de este año, aprovechándose de los temores en torno a COVID-19 como gancho para sus campañas de ataque. También hemos visto surgir nuevas e importantes vulnerabilidades y vectores de ataque que amenazan la seguridad de las empresas de todos los sectores", señala Maya Horowitz, directora del Grupo de Inteligencia de Amenazas de Check Point Research. "Los expertos en seguridad tienen que tomar conciencia de estas amenazas, que destacan por evolucionar a gran velocidad, para poder garantizar el mayor nivel de protección posible durante el resto de 2020 para a sus empresas", añade Horowitz.
Las variantes de malware más predominantes durante el primer semestre de 2020 han sido:
Top malware
1. Emotet (que ha afectado al 9% de las empresas a nivel mundial) – se trata de un troyano avanzado, autopropagable y modular. Originalmente era un troyano bancario, pero recientemente se ha utilizado para distribuir otros programas o campañas maliciosas, y utiliza múltiples métodos para evitar ser detectado. Además, también se puede propagar a través de correos electrónicos de spam que contienen archivos adjuntos o enlaces maliciosos.
2. XMRig (8%) - XMRig es un software malicioso de código abierto utilizado para minar ilegalmente la criptomoneda Monero. Los cibercriminales a menudo emplean este programa para integrarlo en su malware con el objetivo de realizar actividades de minería ilegal en los dispositivos de las víctimas.
3. Agent Tesla (7%) - es un troyano avanzado de acceso remoto (RAT) que funciona como un registrador de teclas y ladrón de contraseñas que está activo desde 2014. AgentTesla es capaz de monitorizar y registrar la entrada de teclado de la víctima, el portapapeles del sistema toma capturas de pantalla y extrae credenciales pertenecientes a una variedad de software instalado en la unidad de la víctima (incluyendo Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook). AgentTesla se vende en varios mercados online y foros de piratería informática.
Top cryptojackers
1. XMRig (responsable del 46% de toda la actividad de criptominería a nivel mundial) - XMRig es un cryptpjacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017.
2. Jsecoin (28%) - criptojacker basado en la web diseñado para realizar la extracción no autorizada en línea de la cripto moneda Monero cuando un usuario visita una página web en particular. El JavaScript implantado utiliza una gran cantidad de los recursos de los equipos del usuario final para extraer monedas, lo que afecta al rendimiento del sistema. Jsecoin detuvo su actividad en abril de 2020.
3. Wannamine (6%) - WannaMine es un sofisticado gusano criptominero de Monero que difunde la vulnerabilidad de EternalBlue. Este software implementa un mecanismo de propagación aprovechando las suscripciones a eventos permanentes de Windows Management Instrumentation (WMI).
Top malware móvil
1. xHelper (responsable del 24% de todos los ataques de malware móvil) - es un malware para Android que principalmente muestra anuncios emergentes intrusivos y spam. Es muy difícil de eliminar una vez instalado debido a su capacidad de reinstalación. Descubierto por primera vez en marzo de 2019, xHelper ha infectado más de 45.000 dispositivos.
2. PreAMo (19%) - PreAMo es un adclicker para dispositivos Android descubierto por primera vez en abril de 2019. Este software malicioso genera ingresos imitando al usuario y haciendo clic en los anuncios sin su conocimiento. Este malware se ha descargado más de 90 millones de veces a través de seis aplicaciones móviles diferentes.
3. Necro (14%) - Necro es un troyano para Android que descarga otros malware, muestra anuncios intrusivos y cobra fraudulentamente por suscripciones pagadas.
Top malware bancario
1. Dridex (responsible del 27% del total de los ataques por malware bancario) - Dridex es un troyano bancario que afecta al sistema operativo Windows y que se envía mediante una campaña de spam y kits de vulnerabilidad para interceptar y redirigir las credenciales bancarias a un servidor controlado por el cibercriminal. Dridex se pone en contacto con un servidor remoto y envía información sobre el sistema infectado, y además es capaz de descargar y ejecutar módulos adicionales para el control remoto.
2. Trickbot (20%) - Trickbot es un troyano bancario modular dirigido contra el sistema Windows, y se entrega principalmente a través de campañas de spam u otras familias de malware como Emotet.
3. Ramnit (15%) - Ramnit es un troyano bancario modular fue descubierto por primera vez en 2010. Este software malicioso roba la información de las sesiones web, dando a sus operadores la posibilidad de robar las credenciales de las cuentas de todos los servicios utilizados por la víctima, incluyendo cuentas bancarias y cuentas corporativas y de redes sociales.
El 'Cyber Attack Trends': Annual Report 2020 H1' da una visión detallada del panorama de ciberamenazas. Estos hallazgos se basan en datos extraídos de ThreatCloud Intelligence de Check Point entre enero y junio de 2020, destacando las tácticas clave que los ciberdelincuentes están utilizando para atacar a las empresas.