El troyano bancario Trickbot encabeza el ranking del malware más buscado del mes mayo

Los gigantes de los medios globales que usan tecnología desarrollada en Tandil
14 junio, 2021
El futuro de las ciudades post-pandemia: inteligencia artificial y aprendizaje automático para planificar el emplazamiento urbano y el transporte
15 junio, 2021

Check Point Research informa que el troyano Dridex, que se usa a menudo en las etapas iniciales de los ataques de ransomware, ahora ha caído del índice después de ser uno de los malwares más prevalentes en los últimos meses.

 

DESCARGAR GACETILLA EN FORMATO WORD + IMÁGENES

 

Check Point Research (CPR), la división de inteligencia de amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de seguridad cibernética a nivel mundial, ha publicado su último índice de amenazas globales para mayo de 2021. CPR informa que Trickbot, que entró por primera vez en la lista en abril de 2019, ahora ha ocupado el primer lugar, mientras que el troyano Dridex establecido ha caído por completo después de ser uno de los malwares más populares en los últimos meses en medio de un aumento global de ransomware. Si bien aún no se sabe por qué Dridex ha caído de la lista, informes recientes indican que la pandilla Evil Corp, que es bien conocida por distribuir Dridex, ha cambiado de nombre y cambiado su enfoque para evadir las sanciones del Departamento del Tesoro de EE. UU.

El primer lugar en el índice es Trickbot, que es un botnet y un troyano bancario que puede robar detalles financieros, credenciales de cuenta e información de identificación personal, así como propagarse dentro de una red y eliminar ransomware, particularmente Ryuk. Se actualiza constantemente con nuevas capacidades, características y vectores de distribución, lo que le permite ser un malware flexible y personalizable que se puede distribuir como parte de campañas multipropósito. Trickbot ganó popularidad después de la eliminación de la botnet Emotet en enero, y fue noticia esta semana cuando el Departamento de Justicia de EE. UU. Acusó a una mujer letona por su papel en la creación y despliegue del malware Trickbot.

Desde principios de 2021, CPR ha experimentado un aumento significativo en el volumen de ciberataques a empresas. En comparación con mayo de 2020, la CPR ha experimentado un aumento del 70% en el número de ciberataques en las Américas, mientras que EMEA presenta un aumento del 97% en comparación con mayo de 2020, y APAC ve un asombroso aumento interanual del 168%.

“Se ha hablado mucho sobre el reciente aumento de los ataques de ransomware, pero en realidad estamos viendo un gran aumento en el número de ciberataques en general. Es una tendencia significativa y preocupante ”, dijo Maya Horowitz, directora de Inteligencia e Investigación de Amenazas, Productos de Check Point. “Es reconfortante ver que se han presentado cargos en la lucha contra Trickbot, el malware más común de este mes, pero claramente todavía queda un largo camino por recorrer. Las organizaciones deben ser conscientes de los riesgos y asegurarse de que existan soluciones adecuadas, pero también recordar que los ataques no solo pueden detectarse, también pueden prevenirse, incluidos los ataques de día cero y el malware desconocido. Con las tecnologías adecuadas implementadas, la mayoría de los ataques, incluso los más avanzados, se pueden prevenir sin interrumpir el flujo comercial normal ”.

CPR también reveló que la «divulgación de información del repositorio Git expuesto al servidor web» sigue siendo la vulnerabilidad explotada más común, que afecta al 48% de las organizaciones a nivel mundial, seguida de la «ejecución remota de código de encabezados HTTP (CVE-2020-13756)», que afecta al 47,5% de las organizaciones. Mundial. “MVPower DVR Remote Code Execution” ocupa el tercer lugar en la lista de vulnerabilidades más explotadas, con un impacto global del 46%.

Principal Malware en Argentina

Top Malware Argentina
Malware Descripción Impacto Global Impacto local
Trickbot Trickbot es una botnet modular y un troyano bancario que se dirige a la plataforma Windows, principalmente a través de campañas de spam u otras familias de malware como Emotet. Trickbot envía información sobre el sistema infectado y también puede descargar y ejecutar módulos arbitrarios de una gran variedad de módulos disponibles: desde un módulo VNC para control remoto, hasta un módulo SMB para propagarse dentro de una red comprometida. Una vez que una máquina está infectada, la banda Trickbot, los actores de amenazas detrás de este malware, utilizan esta amplia gama de módulos no solo para robar las credenciales bancarias de la PC de destino, sino también para el movimiento lateral y el reconocimiento en la propia organización de destino, antes de entregar un ataque de ransomware dirigido a toda la empresa. 8.28% 9.40%
AgentTesla AgentTesla es un RAT (troyano de acceso remoto) avanzado que funciona como un registrador de teclas y un ladrón de contraseñas. Activo desde 2014, AgentTesla puede monitorear y recopilar la entrada del teclado de la víctima y el portapapeles del sistema, y ​​puede grabar capturas de pantalla y extraer las credenciales ingresadas para una variedad de software instalado en la máquina de la víctima (incluidos Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook). AgentTesla se vende abiertamente como una RAT legítima y los clientes pagan entre $ 15 y $ 69 por licencias de usuario. 2.49% 8.05%
Lokibot Identificado por primera vez en febrero de 2016, LokiBot es un infostealer con versiones para el sistema operativo Windows y Android. Recopila credenciales de una variedad de aplicaciones, navegadores web, clientes de correo electrónico, herramientas de administración de TI como PuTTY y más. LokiBot se vende en foros de piratería y se cree que su código fuente se filtró, lo que permite que aparezcan numerosas variantes. Desde finales de 2017, algunas versiones de Android de LokiBot incluyen la funcionalidad de ransomware además de sus capacidades de robo de información. 1.91% 5.37%
Formbook FormBook, que se detectó por primera vez en 2016, es un InfoStealer que se dirige al sistema operativo Windows. Se comercializa como MaaS en foros de piratería clandestinos por sus sólidas técnicas de evasión y su precio relativamente bajo. FormBook recopila credenciales de varios navegadores web, recopila capturas de pantalla, monitorea y registra las pulsaciones de teclas, y puede descargar y ejecutar archivos de acuerdo con las órdenes de su C&C 2.59% 4.70%
Glupteba Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019, incluía un mecanismo de actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y un explorador de enrutadores 1.71% 4.70%

 

Principales familias de malware

* Las flechas se refieren al cambio de rango en comparación con el mes anterior.

Este mes, Trickbot se convierte en el malware más popular con un impacto global del 8% de las organizaciones, seguido por XMRig y Formbook que impactan al 3% de las organizaciones en todo el mundo cada uno.

↑ Trickbot: Trickbot es una botnet modular y un troyano bancario que se actualiza constantemente con nuevas capacidades, características y vectores de distribución. Esto permite que Trickbot sea un malware flexible y personalizable que se puede distribuir como parte de campañas multipropósito.

↑ XMRig: XMRig es un software de minería de CPU de código abierto que se utiliza para el proceso de minería de la criptomoneda Monero y que se vio por primera vez en estado salvaje en mayo de 2017.

  1. ↑ Formbook: Formbook es un Infostealer que recopila credenciales de varios navegadores web, recopila capturas de pantalla, monitorea y registra las pulsaciones de teclas, y puede descargar y ejecutar archivos de acuerdo con sus órdenes de C&C.

Principales vulnerabilidades explotadas

Este mes, la “Divulgación de información del repositorio Git expuesto al servidor web” es la vulnerabilidad explotada más común, que afecta al 48% de las organizaciones a nivel mundial, seguida de la “Ejecución remota de código de encabezados HTTP (CVE-2020-13756)” que afecta al 47,5% de las organizaciones en todo el mundo. “MVPower DVR Remote Code Execution” ocupa el tercer lugar en la lista de vulnerabilidades más explotadas, con un impacto global del 46%.

↔ Web Server Exposed Git Repository Information Disclosure: se ha informado de una vulnerabilidad de divulgación de información en Git Repository. La explotación exitosa de esta vulnerabilidad podría permitir la divulgación involuntaria de información de la cuenta.

  1. ↔ Ejecución remota de código de encabezados HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756): los encabezados HTTP permiten que el cliente y el servidor pasen información adicional con una solicitud HTTP. Un atacante remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en la máquina víctima.
  2. ↔ MVPower DVR Remote Code Execution: existe una vulnerabilidad de ejecución remota de código en los dispositivos MVPower DVR. Un atacante remoto puede aprovechar esta debilidad para ejecutar código arbitrario en el enrutador afectado a través de una solicitud diseñada.

Este mes xHelper ocupa el primer lugar en el malware móvil más prevalente, seguido por Triada e Hiddad.

xHelper: una aplicación maliciosa vista en estado salvaje desde marzo de 2019, utilizada para descargar otras aplicaciones maliciosas y mostrar publicidad. La aplicación es capaz de ocultarse del usuario y puede reinstalarse en caso de que se desinstale.

Triada: puerta trasera modular para Android que otorga privilegios de superusuario al malware descargado.

Hiddad: Hiddad es un malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.

El índice de impacto global de amenazas de Check Point y su mapa de ThreatCloud funcionan con la inteligencia de ThreatCloud de Check Point, la red colaborativa más grande para combatir el ciberdelito que ofrece datos de amenazas y tendencias de ataques desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 3000 millones de sitios web y 600 millones de archivos a diario e identifica más de 250 millones de actividades de malware todos los días.

 

 


Acerca de la investigación de Check Point 

Check Point Research proporciona inteligencia sobre amenazas ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recoge y analiza los datos de ciberataques globales almacenados en ThreatCloud para mantener a los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point están actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, con las fuerzas del orden y con varios CERTs.

Siga Check Point a través de:

Twitter: https://www.twitter.com/checkpointsw 

Facebook: https://www.facebook.com/checkpointsoftware 

Blog: https://blog.checkpoint.com 

YouTube: https://www.youtube.com/user/CPGlobal 

LinkedIn: https://www.linkedin.com/company/check-point-software-technologies 

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de seguridad cibernética soluciones para gobiernos y empresas corporativas a nivel mundial. Portafolio de soluciones de Check Point Infinity protege a las empresas y organizaciones públicas de los ciberataques de quinta generación con una tasa de captura de malware, ransomware y otras amenazas. Infinity consta de tres pilares centrales que ofrecen seguridad sin concesiones y prevención de amenazas de generación V en entornos empresariales: Check Point Harmony, para usuarios remotos; Check Point CloudGuard, para proteger automáticamente las nubes; y Check Point Quantum, para proteger los perímetros de la red y los centros de datos, todo controlado por los más gestión de seguridad unificada, intuitiva e integral. Check Point protege a más de 100.000 organizaciones de todos los tamaños.

©2021 Check Point Software Technologies Ltd. Todos los derechos reservados