Botnet Necurs, la última amenaza de ransomware
Según el último Índice de Impacto Global de Amenazas de Check Point Software, la botnet Necurs vuelve a la lista de las diez variantes de malware más frecuentes durante noviembre.
Los investigadores de Check Point han descubierto que los hackers estaban usando Necurs, considerada como la botnet de spam más grande del mundo, para distribuir el ransomware Scarab, detectado por primera vez en junio de 2017. La campaña de infección masiva empezó durante la fiesta de Acción de Gracias de Estados Unidos, cuando se enviaron más de 12 millones de correos electrónicos en una sola mañana. Necurs se ha utilizado anteriormente para distribuir algunas de las variantes de malware más peligrosas que han afectado a las redes empresariales en los últimos 12 meses, como Locky y Globeimposter.
Maya Horowitz, directora del Grupo de Inteligencia de Amenazas de Check Point, explicó: "la reaparición de esta botnet pone de relieve cómo las amenazas que parecen en peligro de extinción no siempre desaparecen ni se convierten en un problema menor. A pesar de que Necurs es muy conocida por la comunidad de seguridad, los ciberdelincuentes todavía lo utilizan para distribuir malware con una alta eficacia de infección".
Este hecho refuerza la necesidad de contar con tecnologías avanzadas de prevención de amenazas y una estrategia de ciberseguridad multicapa que proteja tanto contra las familias de malware ya existentes como contra los nuevos ataques de día cero. Al igual que en octubre, la enorme campaña de malvertising Roughted sigue siendo la amenaza más frecuente, por delante del exploit kit Rig EK, y Conficker, un gusano que permite la descarga remota de malware en tercer lugar.
Top 3 del malware en España durante el mes de noviembre de 2017
(Las flechas indican el cambio respecto al mes anterior)
1. ↔ RoughTed – Malvertising a gran escala utilizado para lanzar varias websites maliciosas y poner en marcha estafas, adware, exploit kits y ransomware. También se usa para atacar cualquier tipo de plataforma y sistema operativo, y aprovecha los bloqueadores de anuncios y los sensores de huella digital para enviar el ataque más adecuado.
2. ↑ Rig EK – Exploit kit que apareció por primera vez en abril de 2014. Desde entonces ha recibido varias actualizaciones importantes y sigue activo hasta el día de hoy. En 2015, como resultado de una disputa interna entre sus operadores, el código fuente fue filtrado y ha sido investigado exhaustivamente por investigadores. Rig instala exploits para Flash, Java, Silverlight e Internet Explorer.
La cadena de infección comienza con una redirección a una landing page que contiene JavaScript, busca plug-ins vulnerables y lanza el exploit.
3. ↔ Pushdo – Troyano que permite el acceso y el control no autorizados de un equipo infectado, lo que permite a un atacante realizar diferentes acciones. Algunas de las que pueden llevar a cabo:
- Borrar archivos
- Descargar y ejecutar archivos en el ordenador
- Detectar teclas pulsadas
- Modificar la configuración del equipo
- Ejecutar o cerrar aplicaciones
- Expandirse a otros ordenadores usando varios métodos de propagación
- Robar datos confidenciales
- Subir archivos a internet
Pushdo es el cuentagotas de la botnet de spam Cutwail
Top 3 del malware móvil mundial
1. Triada – Backdoor modular para Android. Confiere privilegios de superusuario al malware descargado y lo ayuda a penetrar en los procesos del sistema. Triada también redirecciona hacia webs maliciosas.
2. Lokibot – Herramienta de hacking que explota vulnerabilidades en el sistema operativo Android para obtener privilegios de root en los dispositivos infectados.
3. LeakerLocker – Ransomware que afecta a Android. Recoge información personal del usuario y le amenaza con filtrarla en la red si no paga un rescate.