"Apache HTTP Server Directory Traversal", entra en Top Ten de principales vulnerabilidades. La investigación de Check Point revela que Trickbot es el malware más frecuente y que una nueva vulnerabilidad en Apache es una de las más explotadas en todo el mundo. La educación y la investigación encabezan la lista de objetivos de los ciberdelincuentes. Los malware Remcos, Glupteba y XMRig son los más buscados en Colombia. Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de octubre. Los investigadores informan que el botnet y troyano bancario, Trickbot, sigue encabezando la lista de los programas maliciosos más frecuentes, afectando al 4% de las empresas de todo el mundo, mientras que "Apache HTTP Server Directory Traversal" ha entrado en la lista de las diez vulnerabilidades más explotadas. CPR también revela que el sector más atacado es el de la educación/investigación.

Trickbot es capaz de robar datos financieros, credenciales de cuentas e información personal identificable, así como de propagarse lateralmente dentro de una red y lanzar ransomware. Desde el desmantelamiento de Emotet en enero, Trickbot ha figurado cinco veces en el primer puesto de la lista de malware más frecuentes. Se actualiza constantemente con nuevas capacidades, características y vectores de distribución, lo que le permite ser un malware flexible y personalizable que puede distribuirse como parte de campañas con múltiples propósitos.

Una nueva vulnerabilidad, "Apache HTTP Server Directory Traversal", ha entrado en la lista de las diez principales vulnerabilidades explotadas en octubre, en el décimo lugar. Cuando se descubrió por primera vez, los desarrolladores de Apache publicaron correcciones para CVE-2021-41773 en Apache HTTP Server 2.4.50. Sin embargo, se descubrió que el parche era insuficiente y que seguía existiendo una brecha en el acceso a directorios en Apache HTTP Server. La explotación exitosa podría permitir a un ciberdelincuentes acceder a archivos arbitrarios en el sistema afectado.

"La vulnerabilidad de Apache apareció a principios de octubre y ya es una de las diez vulnerabilidades más explotadas en todo el mundo, lo que demuestra la rapidez con la que se mueven los ciberdelincuentes. Esta vulnerabilidad puede llevar a los ciberdelincuentes a mapear URLs a archivos fuera de la raíz del documento esperada, lanzando un ataque path transversal", afirma Maya Horowitz, vicepresidenta de investigación de Check Point Software. "Es imperativo que sus usuarios cuenten con las tecnologías de protección adecuadas". Este mes, Trickbot, que a menudo se utiliza para lanzar ransomware, vuelve a ser el malware más frecuente. A nivel mundial, una de cada 61 empresas sufre ransomware cada semana. Es una cifra impactante y las empresas deben hacer más. Muchos ataques comienzan con un simple correo electrónico, por lo que educar a los usuarios sobre cómo identificar una amenaza potencial es una de las defensas más importantes que una empresa puede desplegar."

Check Point Research también ha revelado este mes que el sector de la educación/investigación es el más atacado a nivel mundial, seguido por el de las comunicaciones y el gubernamental/militar.
Asimismo, los expertos de la compañía señalan que “Servidores web con URL maliciosas de directorio transversal”, es la vulnerabilidad explotada más común - que ha afectado 60% de las empresas a nivel mundial-, seguida de “La revelación de información del servidor web Git” que impactó a más del 55%. "La ejecución de código remoto en encabezados HTTP" se sitúa en tercer lugar, afectando al 54% de los negocios en el mundo.

Colombia: Los 3 malware más buscados en octubre:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. ↑Remcos - Es un RAT que apareció por primera vez en 2016. Se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a los correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar el malware con privilegios de alto nivel. En Colombia en octubre tuvo un impacto en las empresas del 17.43% y a nivel global del 2.39%.
2. ↔ Glupteba – Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019 incluía una actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y router exploiter. Ha atacado al 16.18% de las organizaciones en Colombia en este periodo. Su impacto global en octubre fue del 2.19%.
3. ↓ XMRig - Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 13,69% de las organizaciones en Colombia en octubre. Su impacto global fue del 2.56%.

Los sectores más atacados a nivel mundial
Este mes, la educación/investigación es la industria más atacada a nivel mundial, seguida de las comunicaciones y el gobierno/militar.

1. Educación/investigación
2. Comunicaciones
3. Gobierno/Militar

Top 3 vulnerabilidades más explotadas en octubre:

1. ↑ Servidores web con URL maliciosas con directorio transversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La debilidad se debe a un error de validación de entrada en un servidor web que no sanea adecuadamente la URL para los patrones de recorrido de directorios. El éxito de la explotación permite a los ciberdelincuentes remotos no autentificados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
2. ↓ Revelación de información del servidor web Git - La explotación exitosa de la vulnerabilidad de divulgación de información en el Repositorio Git. permite compartir de forma involuntaria información de la cuenta.

3. ↔ Ejecución remota de código en encabezados HTTP – Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. Un ciberdelincuente remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en el equipo infectado.
Top 3 del malware móvil mundial en octubre:

1. xHelper - aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
2. AlienBot - Esta familia de malware es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
3. XLoader – es un troyano espía y bancario para Android desarrollado por Yanbian Gang, un grupo de hackers chinos. Este malware utiliza la suplantación de DNS para distribuir aplicaciones Android infectadascon el fin de recopilar información personal y financiera.

El Índice Global de Impacto de Amenazas de Check Point y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.