Check Point Research ha publicado su último Índice Global de Amenazas de julio de 2020. En esta nueva entrega, los investigadores de la compañía han descubierto que, tras 5 meses de ausencia, el troyano Emotet vuelve a ocupar el primer lugar del ranking, afectando a un 5% de las empresas a nivel mundial. En España, el porcentaje de compañías que han sido impactadas con este virus informático asciende hasta el 14,15%, casi 3 veces por encima de la media global.
Desde febrero de 2020, las actividades maliciosas de Emotet (principalmente el envío de campañas masivas de malspam) comenzaron a disminuir en número e intensidad hasta que finalmente se detuvieron. Sin embargo, los expertos de Check Point han detectado nuevas campañas de difusión de Emotet en julio. Ya el año pasado se observó un patrón de comportamiento parecido, puesto que este malware cesó su actividad durante los meses de verano, pero se reanudó en septiembre.
Durante el mes de julio, los cibercriminales han estado utilizando Emotet para difundir campañas de malspam e infectar a las víctimas con virus informáticos como Trickbot y Qbot, que se emplean para robar credenciales bancarias y difundirlas a través de las redes. Algunas de estas campañas contenían archivos .doc maliciosos con nombres como “form.doc” o “invoice.doc”. Según los investigadores de la compañía, estos archivos infectados lanzan un PowerShell para extraer el binario de Emotet de las páginas web en remoto para infectar a los equipos, haciendo que pasen a formar parte de la botnet. La vuelta a la actividad de Emotet pone de manifiesto su capacidad para infectar redes a nivel mundial.
“Es interesante que Emotet estuviera inactivo durante varios meses a principios de este año, repitiendo un patrón que observamos por primera vez en 2019. Como consecuencia, es posible asumir que los desarrolladores detrás de esta botnet estaban actualizando sus características y capacidades”, explica Maya Horowitz, directora del Grupo de Inteligencia e Investigación de Amenazas y Productos de Check Point. “El hecho de que vuelva a estar activa implica que las empresas deben enseñar a sus empleados las claves para detectar los tipos de malspam que conllevan estas amenazas, así como advertirles sobre los riesgos de abrir los archivos adjuntos de los correos electrónicos o hacer clic en los enlaces de fuentes externas. Todo esto, además, debe ir acompañado del despliegue de soluciones antimalware que puedan evitar que este tipo de contenido llegue a los usuarios”, añade Horowitz.
Por otra parte, el equipo de investigadores de la compañía apunta que “Ejecución de código en remoto de MVPower DVR” (44% de empresas afectadas) es la vulnerabilidad más frecuentemente explotada por los cibercriminales, seguida de “Revelación de información a través de Heartbeat en OpenSSL TLS DTLS” (42%) e “Inyección de comandos sobre HTTP” (38%).
Índice de temas
Los 3 malwares más buscados en España en julio:
- ?Emotet – Troyano avanzado, autopropagable y modular. Emotet funcionaba como un troyano bancario, pero ha evolucionado para emplearse como distribuidor de otros programas o campañas maliciosas. Además, destaca por utilizar múltiples métodos y técnicas de evasión para evitar ser detectado. Además, puede difundirse a través de campañas de spam en archivos adjuntos o enlace maliciosos en correos electrónicos. Este malware ha afectado a un 14,15% de las empresas españolas.
- ?Agent Tesla – Es un RAT avanzad que funciona como un keylogger y un usurpador de contraseñas que ha estado infectando ordenadores desde 2014. AgentTesla es capaz de monitorizar y registrar las teclas marcadas pulsadas por la víctima, el portapapeles del sistema, toma capturas de pantalla y extrae credenciales pertenecientes a una variedad de software instalado en la unidad de la víctima (incluyendo Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook). Esta RAT ha atacado al 6,31% de las empresas en España.
- ?XMRIg – Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 5,23% de las empresas en España.
Top 3 vulnerabilidades más explotadas en julio
- Ejecución de código en remoto de MVPower DVR – Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Un atacante remoto puede explotar esta debilidad para ejecutar código arbitrario en el router afectado a través de una petición hecha a medida.
- Revelación de información a través de Heartbeat en OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) – Existe un fallo en la divulgación de información en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes TLS/DTLS Heartbeat. Un ciberdelincuente puede aprovechar este error para robar contenidos de la memoria o del servidor de un cliente conectado.
- Inyección de comandos sobre HTTP – Un atacante remoto puede explotar una vulnerabilidad de Inyección de comandos sobre HTTP enviando a la víctima una petición especialmente diseñada. En caso de tener éxito, esta explotación permitiría a un atacante ejecutar código arbitrario en el equipo de un usuario.
Top 3 del malware móvil mundial en julio
- xHelper –Aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. La aplicación es capaz de evadir los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
- Necro – Necro es un troyano para Android con goteo. Puede descargar otro malware, mostrar anuncios intrusivos y robar dinero cobrando suscripciones de pago.
- PreAmo – Es un malware que imita al usuario haciendo clic en los banners recuperados de tres agencias: Presage, Admob y Mopub.