El malware más buscado en agosto
Check Point Software Technologies, proveedor líder mundial de soluciones de ciberseguridad, ha publicado el informe con las principales amenazas de agosto de 2018, donde se puede ver un aumento significativo en los ataques del troyano bancario Ramnit.
Éste ha duplicado su impacto global tras una campaña a gran escala que ha convertido los ordenadores de las víctimas en servidores proxy maliciosos (más información en el blog de Check Point Research).
En agosto, Ramnit se ha colocado en la 6ª posición según el Índice de amenazas de Check Point, convirtiéndose en el troyano bancario que más ha crecido.
"Este es el segundo verano que vemos a ciberdelincuentes utilizando troyanos bancarios para atacar a las víctimas y obtener ganancias rápidamente", comenta Maya Horowitz, directora del Grupo de Inteligencia de Amenazas en Check Point. "Estas tendencias no deben ignorarse ya que los ciberdelincuentes saben qué vectores de ataque tienen más probabilidades de tener éxito en un momento concreto, por lo que los usuarios son más susceptibles de sufrir ataques de troyanos en verano por sus hábitos de navegación en esta época".
Para evitar los troyanos bancarios y otros tipos de ataques, es fundamental que las empresas empleen una estrategia de ciberseguridad de múltiples capas que les proteja tanto de los ciberataques ya conocidos como de las nuevas amenazas.
Criptomer de Coinhive ha sido, en agosto, el malware más utilizado, afectando al 17% de las organizaciones en todo el mundo. Por su parte, Dorkbot y Andrómeda se ubicaron en el segundo y tercer lugar respectivamente, cada uno con un impacto global del 6%.
Top 3 del malware en España durante el mes de agosto de 2018
(Las flechas indican el cambio respecto al mes anterior)
1. ↔ Coinhive – Criptojacker diseñado para minar la criptomoneda Monero. Se activa cuando un usuario visita una página web. El JavaScript implantado utiliza muchos de los recursos del ordenador de la víctima para generar monedas, lo que impacta en el rendimiento del sistema. Ha afectado al 20% de las empresas españolas.
2. ↔ RoughTed – Malvertising a gran escala utilizado para lanzar varias websites maliciosas y poner en marcha estafas, adware, exploit kits y ransomware. También se usa para atacar cualquier tipo de plataforma y sistema operativo, y aprovecha los bloqueadores de anuncios y los sensores de huella digital para enviar el ataque más adecuado. El 10% de todas las compañías de España han tenido que enfrentarse a este ataque.
3. ↔ XMRig – Criptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware descubierto en mayo de 2017 ha atacado en agosto al 7% de las organizaciones españolas.
Top 3 del malware móvil mundial
1. Lokibot: Troyano y ladrón de información de Android, también se puede convertir en un ransomware que bloquea el teléfono en caso de que se eliminen los derechos del administrador.
2. Lootor: Herramienta de hack que aprovecha las vulnerabilidades en el sistema operativo Android para obtener información de root en dispositivos móviles comprometidos.
3. Triada: Backdoor modular para Android que otorga privilegios de superusuario al malware descargado, ayudándolo a integrarse en los procesos del sistema. También se ha detectado que falsifica URLs cargadas en el navegador.
Los investigadores de Check Point también han analizado las principales vulnerabilidades de agosto.
Top 3 vulnerabilidades de agosto
1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269): Al enviar una solicitud a través de una red a Microsoft Windows Server 2003 R2 desde Microsoft Internet Information Services 6.0, un atacante podría ejecutar de forma remota un código arbitrario o causar una denegación de servicio en el servidor de destino. Esto se debe, principalmente, a una vulnerabilidad de desbordamiento del búfer como resultado de una validación incorrecta de un encabezado largo en una solicitud HTTP.
2. ↑ Revelación de información a través de Heartbeat en OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346): Existe un fallo en la divulgación de información en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes TLS/DTLS Heartbeat. Un atacante puede aprovechar este error para robar contenidos de la memoria o del servidor de un cliente conectado.
3. ↑ Ejecución de código remoto D-Link DSL-2750B: Se ha informado de una vulnerabilidad de ejecución remota de código en los routers D-Link DSL-2750B. Esto podría llevar a la ejecución de código arbitrario en el dispositivo vulnerable.