Check Point ha revelado un aumento masivo en el uso de exploit kits por parte de ciberdelincuentes en todo el mundo. La variante Rig EK, alcanza el segundo lugar en la edición de marzo del ranking de amenazas a nivel mundial Global Threat Impact Index, elaborado por Check Point.
Los exploit kits sirven para descubrir y explotar vulnerabilidades en los dispositivos infectados, con el fin de descargar y ejecutar más códigos maliciosos. Han estado en desuso desde mayo de 2016, tras la desaparición de sus principales variantes, Angler y Nuclear. Sin embargo, en marzo, los ataques con Rig EK se multiplicaron, convirtiéndolo en el segundo malware más utilizado en todo el mundo. En España, ha sido la sexta amenaza más común del mes.
Terror, otro exploit kit, también aumentó su uso drásticamente en marzo, pero se quedo a las puertas de la lista mensual de las diez variantes de software malicioso “más buscadas”. Rig EK afecta a Flash, Java, Silverlight e Internet Explorer. Su cadena de infección comienza enviando a la víctima a una landing page que contiene un JavaScript. Este fichero comprueba los plugins vulnerables y los ataca.
Terror, por su parte, contiene ocho exploits operacionales diferentes. Ambos han sido la puerta de entrada de una amplia variedad de amenazas en los equipo infectados, desde ransomware y troyanos bancarios hasta spambots y BitCoin miners.
Al igual que en febrero, las tres principales familias de malware utilizan una amplia gama de vectores y objetivos de ataque, que afectan a todas las etapas de la cadena de infección. El ransomware ha demostrado ser una de las herramientas más rentables a disposición de los ciberdelincuentes durante 2016. Además, en muchas ocasiones acceden a los terminales infectados a través de un exploit kit, por lo que seguirán siendo una amenaza muy presente en la red.
El malware más común en marzo, tanto a nivel mundial como en España, fue HackerDefender. Al igual que Rig EK, ha impactado al 5% de las empresas de todo el mundo. Conficker y Cryptowall, las siguientes variantes más comunes, han atacado cada una al 4% de las organizaciones de todo el globo.
Top 3 de amenazas en España. En España, las tres familias de malware más populares durante marzo han sido:
1. HackerDefender – Rootkit para Windows 2000 y Windows XP. También puede funcionar en sistemas basados en Windows NT más modernos. Modifica varias funciones de Windows y de su API para que no sean detectadas por los softwares de seguridad. HackerDefender se difunde de forma masiva, ya que está públicamente disponible en línea y es fácil de instalar.
2. Conficker – Gusano que ataca a Windows. Explora vulnerabilidades en el sistema operativo y lanza ataques de diccionario contra las contraseñas del usuario para permitir su propagación mientras forma una botnet. La infección permite al atacante acceder a los datos personales de los usuarios, como su información bancaria, los números de sus tarjetas de crédito o sus contraseñas. Se propraga a través de redes como Facebook, de Skype y de sitios web de correo electrónico.
3. Nivdort – Familia de troyanos que ataca a Windows. Reúne contraseñas, información del sistema y configuraciones como la versión de Windows, la dirección IP, la configuración del software y la localización aproximada del equipo. Algunas versiones de este malware detectan las teclas pulsadas y modifican configuraciones DNS. Se distribuye a través de archivos adjuntos en correos de spam y de sitios web maliciosos.
Nathan Shuchami, vicepresidente de productos emergentes de Check Point explica: «El renacer de los exploit kits en marzo demuestra que las amenazas antiguas no desaparecen para siempre, sino que se ocultan durante unos meses y pueden volver al ataque rápidamente. Para los ciberdelincuentes es más fácil revisar y modificar las familias de malware y los tipos de ataque existentes en lugar de desarrollar nuevos, y los exploit kits son particularmente flexibles y adaptables. Para hacer frente a Rig EK, Terror y otros exploit kits, las organizaciones necesitan implementar sistemas de seguridad avanzados en toda la red, como Check Point SandBlast ™ Zero-Day
El Mapa Mundial de Ciberamenazas ThreatCloud utiliza la tecnología Check Point ThreatCloud TM , la mayor red colaborativa de lucha contra el cibercrimen que ofrece información y tendencias sobre ciberasaltos a través de una red global de sensores de amenazas. La base de datos incluye 250 millones de direcciones que se analizan para descubrir bots, alrededor de 11 millones de firmas y 5,5 millones de webs infectadas. Además, identifica millones de tipos de malware cada día.
