Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su último Índice Global de Amenazas de febrero. Los investigadores de la compañía destacan que el troyano Trickbot ha liderado el informe por primera vez, escalando desde la tercera posición en enero.

Tras el desmantelamiento de la red de bots Emotet en enero, los investigadores de Check Point advierten que ahora los ciberdelincuentes están recurriendo a nuevas técnicas de distribución de malware como Trickbot para continuar con sus actividades maliciosas. Durante el pasado mes de febrero, Trickbot se distribuyó a través de una campaña de spam maliciosa diseñada para engañar a los usuarios del sector legal y de seguros con el principal objetivo de que se descarguen en sus ordenadores un archivo .zip con un fichero JavaScript malicioso. Una vez abierto este archivo, trataba de descargar otro payload malicioso desde un servidor remoto.

Trickbot fue el cuarto malware más presente a nivel mundial durante 2020, afectando al 8% de las empresas. Desempeñó un papel clave en uno de los ciberataques más destacados y caros del pasado año, que llegó a atacar a Universal Health Services (UHS), uno de los principales proveedores de servicios sanitarios de Estados Unidos. UHS sufrió el ataque del ransomware Ryuk, y señaló que el ataque le costó 67 millones de dólares en pérdidas de ingresos y costes. Los cibercriminales utilizaron Trickbot para detectar y recopilar datos de los sistemas de UHS, y luego distribuir la payload del ransomware.

"Los ciberdelincuentes no van a dejar de utilizar las amenazas existentes y las herramientas de las que disponen. Trickbot destaca por su versatilidad y su historial de éxito en ciberataques anteriores", afirma Maya Horowitz, directora de Inteligencia e Investigación de Amenazas y Productos en Check Point. "Como ya sospechábamos, incluso cuando se elimina una amenaza importante, hay muchas otras que siguen suponiendo un alto riesgo en las distintas de las redes de todo el mundo, por lo que las empresas deben asegurarse de que cuentan con sistemas de seguridad robustos para evitar que sus sistemas se vean comprometidos y minimizar los riesgos. Es crucial impartir una formación exhaustiva a todos los empleados, para que estén equipados con las habilidades necesarias para identificar los distintos correos electrónicos maliciosos que propagan Trickbot y otros programas de este tipo", concluye Horowitz.

Asimismo, los expertos de la compañía advierten de que "Revelación de información del servidor web Git" es la vulnerabilidad explotada más común- afectó al 48% de las compañías en todo el mundo-, seguida de "Ejecución de Código Remoto en encabezados HTTP (CVE-2020-13756)", que impactó a más del 46%. "Dasan "MVPower DVR Remote Code Execution" ocupa el tercer lugar en la lista, con un impacto global del 45%.

Los 3 malwares más buscados en Colombia en febrero:

1. XMRig – Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 9.81% de las empresas colombianas
2. Phorpiex – Es una red de bots (alias Trik) que ha operado desde 2010 y que en su momento de máxima actividad controló más de un millón de hosts infectados. Conocido por distribuir otras familias de malware a través de campañas de spam, así como por alimentar campañas de spam y sextorsión a gran escala. Ha afectado a un 8.41% de las empresas en Colombia
3. Floxif – Es un ladrón de información y una puerta trasera, diseñado para el sistema operativo Windows. Se utilizó en 2017 como parte de una gran campaña a gran escala en la que los atacantes insertaron (Floxif) (y Nyetya) en la versión gratuita de CCleaner (una utilidad de limpieza) infectando así a más de dos millones de usuarios, entre ellos grandes empresas tecnológicas como Microsoft, Cisco e Intel. Ha afectado a un 7.01% de las empresas en Colombia

Top 3 vulnerabilidades más explotadas en febrero
1. Revelación de información del servidor web Git – Se ha informado acerca de una vulnerabilidad de divulgación de información en el Repositorio Git. La explotación exitosa de esta vulnerabilidad podría permitir una divulgación involuntaria de la información de la cuenta.
2. Inyección de comandos sobre HTTP - Un atacante en remoto puede explotar una vulnerabilidad de inyección de comandos sobre HTTP enviando a la víctima una petición especialmente diseñada. En caso de tener éxito, esta explotación permitiría a un atacante ejecutar código arbitrario en el equipo de un usuario.
3. Ejecución de código en remoto de MVPower DVR – Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Esta vulnerabilidad puede explotarse en remoto para ejecutar código arbitrario en el router.

Top 3 del malware móvil mundial en febrero
1. Hiddad – Es un malware para Android que tiene como función principal mostrar anuncios. Sin embargo, también puede obtener acceso a las claves de seguridad incorporadas en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario.
2. xHelper - Aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
3. FurBall - es un MRAT (troyano de acceso remoto móvil) para Android que es desplegado por APT-C-50, un grupo APT iraní conectado al Gobierno de Irán. Este malware fue utilizado en múltiples campañas que comenzaron en 2017, y sigue activo en la actualidad. Las capacidades de FurBall incluyen el robo de mensajes SMS, registros de llamadas, grabación de sonido, grabación de llamadas, recopilación de archivos multimedia, seguimiento de la ubicación de los usuarios y mucho más.

El Índice de Impacto Global de las Amenazas de Check Point y su Mapa de ThreatCloud se basan en la inteligencia ThreatCloud de Check Point, la red de colaboración más grande para combatir la ciberdelincuencia que ofrece datos de amenazas y tendencias de ataque desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 3.000 millones de sitios web y 600 millones de archivos diariamente e identifica más de 250 millones de actividades de malware cada día.