El troyano Remcos vinculado a operaciones de ciberespionaje contra el gobierno ucraniano

La historia del joven bahiense que empezó una consultora sin inversión y hoy factura millones
13 marzo, 2023
Vertiv lanza aplicación de realidad aumentada para una exploración inmersiva de los productos
14 marzo, 2023

Los investigadores informan que los actores de amenazas utilizaron el troyano Remcos para apuntar a entidades gubernamentales ucranianas a través de ataques de phishing como parte de operaciones de ciberespionaje más amplias. Mientras tanto, Formbook y Emotet regresaron a las tres familias de malware más prevalentes, y Educación/Investigación siguió siendo la industria más atacada

DESCARGAR GACETILLA EN FORMATO WORD + IMÁGENES

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, publicó su Índice de amenazas globales para febrero de 2023. El mes pasado, el troyano Remcos regresó a la lista de los diez principales por primera vez desde diciembre de 2022 después de que se informara que los actores de amenazas lo usaban para atacar a las entidades gubernamentales de Ucrania a través de ataques de phishing. Mientras tanto, Emotet Trojan y Formbook Infostealer subieron en el ranking ocupando el segundo y tercer lugar respectivamente, mientras que Educación/Investigación siguió siendo la industria objetivo a nivel mundial.

A pesar de que los investigadores identificaron una disminución del 44 % en la cantidad promedio de ataques semanales por organización entre octubre de 2022 y febrero de 2023, Ucrania sigue siendo un objetivo popular para los ciberdelincuentes, luego de la invasión rusa. En la campaña más reciente, los atacantes se hicieron pasar por Ukrtelecom JSC en una distribución masiva de correo electrónico, utilizando un archivo adjunto RAR malicioso para propagar el troyano Remcos, que ha vuelto a la lista principal de malware por primera vez desde octubre de 2022. Una vez instalada, la herramienta abre una puerta trasera en el sistema comprometido, lo que permite el acceso completo al usuario remoto para actividades como la filtración de datos y la ejecución de comandos. Se cree que los ataques en curso están relacionados con operaciones de ciberespionaje debido a los patrones de comportamiento y las capacidades ofensivas de los incidentes.

“Si bien ha habido una disminución en el número de ataques por motivos políticos en Ucrania, siguen siendo un campo de batalla para los ciberdelincuentes. El hacktivismo generalmente ha ocupado un lugar destacado en la agenda de los actores de amenazas desde que comenzó la guerra ruso-ucraniana y la mayoría ha favorecido métodos de ataque disruptivos como DDoS para obtener la mayor publicidad. Sin embargo, la última campaña utilizó una ruta de ataque más tradicional, utilizando estafas de phishing para obtener información del usuario y extraer datos. Es importante que todas las organizaciones y organismos gubernamentales sigan prácticas de seguridad al recibir y abrir correos electrónicos. No descargue archivos adjuntos sin escanear primero las propiedades. Evite hacer clic en los enlaces dentro del cuerpo del correo electrónico y verifique la dirección del remitente en busca de anomalías, como caracteres adicionales o faltas de ortografía”. dijo Maya Horowitz, vicepresidenta de investigación de Check Point Software.

Los 3 malware más buscados en Argentina en febrero:

  1. Qbot: Qbot, también conocido como Qakbot, es un troyano bancario que apareció por primera vez en 2008. Fue diseñado para robar las credenciales bancarias de los usuarios y las pulsaciones de teclas. A menudo distribuido a través de correo electrónico no deseado, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección. Su impacto a nivel local es del 17.24% 
  2. Nanocore: NanoCore es un troyano de acceso remoto que se dirige a los usuarios del sistema operativo Windows y se observó por primera vez en estado salvaje en 2013. Todas las versiones de RAT contienen complementos y funcionalidades básicas, como captura de pantalla, minería de criptomonedas, control remoto del escritorio y robo de sesión de cámara web. Su incidencia  en el país es del  11.72%.
  3. XMRig: XMRig es un software de minería de CPU de código abierto que se utiliza para extraer la criptomoneda Monero. Los actores de amenazas a menudo abusan de este software de código abierto integrándolo en su malware para realizar minería ilegal en los dispositivos de las víctimas.. Su impacto a nivel local es del 4.83%.

Los sectores más atacados a nivel mundial:

El mes pasado, Educación/Investigación siguió siendo la industria más atacada a nivel mundial, seguida por Gobierno/Militar y luego Salud.  

  1. Educación/Investigación
  2. Gobierno/Militar
  3. Cuidado de la salud

Top 3 vulnerabilidades más explotadas en febrero:

El mes pasado, “Web Servers Malicious URL Directory Traversal” fue la vulnerabilidad más explotada y afectó al 47% de las organizaciones a nivel mundial. A esto le siguió la «Divulgación de información del repositorio Git expuesto del servidor web», que afectó al 46 % de las organizaciones en todo el mundo, mientras que «Apache Log4j Remote Code Execution» es la tercera vulnerabilidad más utilizada, con un impacto global del 45 %.

  1. ↑ Web Servers Malicious URL Directory Traversal – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no desinfecta correctamente el URI para los patrones de recorrido del directorio. La explotación exitosa permite a atacantes remotos no autenticados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
  2. ↓  Divulgación de información del repositorio Git expuesto del servidor web– Se ha informado de una vulnerabilidad de divulgación de información en Git Repository. La explotación exitosa de esta vulnerabilidad podría permitir una divulgación no intencional de la información de la cuenta.
  3. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe una vulnerabilidad de ejecución remota de código en Apache Log4j. La explotación exitosa de esta vulnerabilidad podría permitir que un atacante remoto ejecute código arbitrario en el sistema afectado.

Top 3 del malware móvil mundial en febrero:

El mes pasado, Anubis siguió siendo el malware móvil más frecuente, seguido de Hiddad y AhMyth. 

  1. Anubis – Anubis es un malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó inicialmente, ha adquirido funciones adicionales, incluida la funcionalidad de troyano de acceso remoto (RAT), registrador de teclas, capacidades de grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
  2. Hiddad – Hiddad es un malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las envía a una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles de seguridad clave integrados en el sistema operativo.
  3. AhMyth – AhMyth es un troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como registrar teclas, tomar capturas de pantalla, enviar mensajes SMS y activar la cámara, que generalmente se usa para robar información confidencial.

El Índice de Impacto de Amenazas Globales de Check Point y su ThreatCloud Map funcionan con la inteligencia de ThreatCloud de Check Point. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, a través de redes, puntos finales y móviles. La inteligencia se enriquece con motores basados ​​en IA y datos de investigación exclusivos de Check Point Research, el brazo de inteligencia e investigación de Check Point Software Technologies.

 La lista completa de las diez principales familias de malware de febrero se puede encontrar en el blog de Check Point.


 

Acerca de Check Point Research

Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recopila y analiza datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas 

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. es un proveedor líder de soluciones de ciberseguridad para empresas y gobiernos de todo el mundo.  La cartera de soluciones de Check Point Infinity protege a las empresas y organizaciones públicas de los ciberataques de 5ª generación con una tasa de captura líder en la industria de malware, ransomware y otras amenazas. Infinity se compone de cuatro pilares fundamentales que ofrecen una seguridad sin compromisos y una prevención de amenazas de quinta generación en todos los entornos empresariales: Check Point Harmony, para usuarios remotos; Check Point CloudGuard, para proteger automáticamente los entornos cloud; y Check Point Quantum, para proteger los perímetros de la red y los centros de datos, todo ello controlado por la gestión de seguridad unificada más completa e intuitiva de la industria; Check Point Horizon, una suite de operaciones de seguridad que da prioridad a la prevención. Check Point Software protege a más de 100.000 organizaciones de todos los tamaños.

 

©2022 Check Point Software Technologies Ltd. Todos los derechos reservados.