El uso del ransomware Locky se dispara a nivel mundial
Check Point Software Technologies recoge en su último Índice de Impacto Global de Amenazas el incremento masivo de ciberataques de Locky durante septiembre. El ransomware impactó al 11,5 por ciento de las empresas a nivel mundial durante el mes pasado.
Locky no había aparecido en el ranking de las diez familias de malware más buscadas por la compañía desde noviembre de 2016, pero el ransomware ha alcanzado el segundo puesto en septiembre, impulsado por la botnet Necurs, la décima amenaza de la lista a nivel mundial. Estos ciberataques han ayudado a Locky a escalar veinticinco posiciones en el Índice, solo superado por la campaña de malvertising RoughTed.
La distribución de Locky comenzó en febrero de 2016, y enseguida se convirtió en una de las familias de malware más comunes del mundo. Se propaga principalmente a través de correos electrónicos con spam que contienen un ejecutable disfrazado de archivo adjunto Word o Zip con macros maliciosas. Cuando los usuarios las activan – casi siempre a través de un engaño con ingeniería social - el fichero descarga e instala el malware que cifra los archivos del usuario. Un mensaje pide a la víctima que descargue el navegador Tor y visite una página web que exige un pago en bitcoins. En junio de 2016, la botnet Necurs publicó una versión actualizada de Locky que contenía nuevas técnicas para burlar las soluciones de seguridad.
El resurgimiento de Locky muestra que las empresas nunca pueden bajar la guardia en lo que respecta al malware. Los ciberdelincuentes continúan buscando maneras de modificar las amenazas para que vuelvan a ser efectivas, y las botnets pueden dar a las viejas variantes una nueva vida para un ataque. El hecho de que una sola familia de malware haya conseguido infectar al 11,5% de las empresas en todo el mundo demuestra que las amenazas conocidas pueden ser tan peligrosas como los nuevos ciberataques.
Top 3 del malware en España durante el mes de septiembre de 2017 (Las flechas indican el cambio respecto al mes anterior)
1. ↔ RoughTed – Malvertising a gran escala utilizado para lanzar varias websites maliciosas y poner en marcha estafas, adware, exploit kits y ransomware. También se usa para atacar cualquier tipo de plataforma y sistema operativo y cuenta con funcionalidades que evitan el bloqueo y el rastro.
2. ↑ Locky – Ransomware que afecta a Windows. Envía información del sistema a un servidor remoto y encripta los archivos del terminal infectado. El malware exige que el pago se haga en forma de Bitcoins.
3. ↑ Pushdo – Troyano que permite el acceso y el control no autorizados de un equipo infectado, lo que permite a un atacante realizar diferentes acciones. Algunas de las que pueden llevar a cabo:
- Borrar archivos
- Descargar y ejecutar archivos en el ordenador
- Detectar teclas pulsadas
- Modificar la configuración del equipo
- Ejecutar o cerrar aplicaciones
- Expandirse a otros ordenadores usando varios métodos de propagación
- Robar datos confidenciales
- Subir archivos a internet
Top 3 del malware móvil mundial
1. Triada – Backdoor modular para Android. Confiere privilegios de superusuario al malware descargado y lo ayuda a penetrar en los procesos del sistema. Triada también redirecciona hacia webs maliciosas.
2. Hiddad – Malware de Android que reempaqueta aplicaciones y las envía a tiendas de terceros. Su función principal es enviar anuncios, pero también puede obtener acceso a las medidas de seguridad incorporadas en el sistema operativo. Esto permite al ciberdelincuente obtener información sensible del usuario.
3. Lotoor – Herramienta de hacking que explota vulnerabilidades en el sistema operativo Android para obtener privilegios de root en los dispositivos infectados.
"Si alguna empresa sigue dudando de la gravedad de la amenaza del ransomware, estas estadísticas deberían ayudarle a tener una idea clara del panorama al que se enfrenta“, explica Maya Horowitz, directora del Grupo de Inteligencia de Amenazas de Check Point. "En septiembre, los secuestros virtuales ocupan dos de los tres primeros lugares del podio del malware a nivel mundial - una variante relativamente nueva que acaba de surgir este año, y el otro una familia consolidada que ha vuelto de forma masiva. Todo lo que necesitan los ciberdelincuentes es engañar a un solo empleado a través de la ingeniería social para que la empresa tenga un problema serio”.
Check Point recomienda implementar una estrategia de ciberseguridad multicapa que proteja contra las familias de malware establecidas y las nuevas amenazas de día cero. Las herramientas más eficaces como SandBlast Zero-Day Protection y Mobile Threat Prevention. No sólo se limitan a las amenazas conocidas, sino que buscan comportamientos sospechosos o características potencialmente peligrosas.
El Índice de Impacto Global de Amenazas de Check Point y su Mapa Mundial de Ciberamenazas ThreatCloud se nutren de la información de Check Point ThreatCloudTM, la mayor red colaborativa de lucha contra el cibercrimen que ofrece información y tendencias sobre ciberataques a través de una red global de sensores de amenazas. La base de datos incluye 250 millones de direcciones que se analizan para descubrir bots, alrededor de 11 millones de firmas y 5,5 millones de webs infectadas. Además, identifica millones de tipos de malware cada día.