Avast publicó su Informe de Amenazas Q3/2022 que resume el panorama de las ciberamenazas derivado de los datos de telemetría de la empresa y de las opiniones de los expertos.
Los datos de Avast muestran un aumento de la actividad de adware en el PC a finales de septiembre de este año. Avast también protegió a un 370% más de usuarios de Raccoon Stealer, un ladrón de información, en el tercer trimestre de 2022 que en el trimestre anterior. Los ataques de ransomware aumentaron en algunos mercados como Canadá, España y Alemania, pero disminuyeron ligeramente a nivel global. Las posibilidades de que los usuarios de móviles se encuentren con un troyano bancario aumentaron un 7% en el trimestre, a pesar de que Europol desmanteló el grupo Flubot. La mayoría de las actividades maliciosas se mantuvieron estables o disminuyeron.
"Una tendencia interesante que observamos este trimestre fue la de las bandas cibernéticas que recurren activamente al crowdsourcing y pagan a personas para que apoyen sus actividades delictivas, incluyendo la mejora, comercialización y distribución de su malware", dijo Jakub Kroustek, Director de Investigación de Malware de Avast. "En términos de ataques, notamos un aumento del adware DealPly hacia el final del tercer trimestre de 2022, un pico masivo de intentos de infección de Raccoon Stealer, un aumento de la actividad de la red de bots MyKings, y una nueva red de bots llamada Pitraix, escrita en Go, ganando un poco de tracción. En general, el volumen de ciberataques se mantuvo alto, a pesar de que los ciberdelincuentes parecieron relajarse un poco durante los meses de verano."
Los argentinos corren un mayor riesgo de encontrarse con coinminers
El valor de las criptomonedas se está estancando en mínimos desde hace mucho tiempo, pero los mineros de monedas siguen siendo uno de los tipos de malware más frecuentes que bloquea Avast en la naturaleza. Los argentinos tenían un 12 % más de posibilidades de encontrarse con un coinminer en el tercer trimestre de 2022 en comparación con el segundo trimestre de 2022, mientras que a nivel mundial la probabilidad disminuyó ligeramente (-4 %).Los ataques de ransomware se centran en la exfiltración de datos
El riesgo de que los canadienses se encuentren con un ransomware este trimestre ha aumentado un 16% en comparación con el segundo trimestre de 2022. En Alemania y España, las personas tenían un 12% más de probabilidades de encontrarse con un ransomware. Sin embargo, a nivel mundial, el riesgo de ataques de ransomware fue ligeramente inferior en el trimestre.
"Las bandas de ransomware utilizan cada vez más métodos complicados de cifrado parcial, por ejemplo, cifrando sólo el principio o el final de un archivo, o bloques de archivos, para cifrar rápidamente los archivos, con el fin de evitar la detección del usuario", explicó Kroustek. "Además, las bandas de ransomware están ahora exfiltrando datos de las empresas, amenazando con publicar archivos sensibles, y luego borrando o corrompiendo los archivos en lugar de cifrarlos. También hemos observado una interesante serie de acontecimientos relacionados con el grupo de ransomware LockBit. Los acontecimientos incluyen que el grupo ofrece recompensas por bugs a quienes descubran vulnerabilidades o entreguen ideas al grupo, recompensas por personas que se tatúen su logotipo en el cuerpo, miembros del grupo que toman represalias y filtran código, y un ida y vuelta entre la banda y una empresa de seguridad llamada Entrust."
Empresas y gobiernos en el punto de mira de los grupos de hacking y APT
El grupo prorruso NoName057(16) atacó a empresas como bancos y agencias de noticias, y a gobiernos que apoyan a Ucrania durante el tercer trimestre de 2022. El grupo utiliza una red de bots de ordenadores infectados con el malware Bobik para realizar ataques DDoS de represalia. Según las observaciones de Avast, el grupo tiene una tasa de éxito del 40%, y alrededor del 20% de los ataques de los que se atribuyen la responsabilidad no se pueden contabilizar en sus archivos de configuración. En agosto, el grupo anunció un nuevo proyecto llamado DDOSIA, y creó un nuevo grupo privado de Telegram con más de 700 miembros. El proyecto DDOSIA permite a cualquier persona en Internet descargar un binario a través del cual puede llevar a cabo ataques DDoS en sitios determinados por NoName057(16). A cambio, se les recompensa con criptomonedas.
El grupo APT Gamaredon también tuvo como objetivo Ucrania en el tercer trimestre de 2022, atacando instituciones militares y gubernamentales y embajadas extranjeras. El grupo introdujo nuevas herramientas a su conjunto de herramientas, incluyendo herramientas de exfiltración de archivos, varios droppers y nuevas formas de distribuir cargas útiles e IPs de servidores de C&C.
LuckyMouse, un conocido grupo de amenazas de habla china, tuvo como objetivo varias agencias gubernamentales en los Emiratos Árabes Unidos, Taiwán y Filipinas. Avast encontró puertas traseras en los ordenadores infectados, ladrones de contraseñas para Chrome y herramientas de código abierto, como BadPotato, que se utiliza para la escalada de privilegios. Los atacantes probablemente infectaron los dispositivos a través de un servidor comprometido.
Otros grupos que los investigadores de Avast están rastreando son el Donot Team, también conocido como APT-C-35, y Transparent Tribe, también conocido como APT36. El Donot Team estuvo más activo en Pakistán en el tercer trimestre de 2022. Avast descubrió módulos DLL del marco de trabajo de yty en varios dispositivos infectados. Transparent Tribe, que se cree que es un grupo pakistaní, continuó atacando a víctimas en India y Afganistán, infectando PCs mediante spear-phishing y documentos de Office con macros VBA maliciosas. Los investigadores de Avast identificaron que los ejecutables pertenecen a la cepa CrimsonRAT, el malware personalizado de Transparent Tribe utilizado para acceder a las redes infectadas.
Aumento de DealPly, Racoon Stealer y MyKings
DealPly, adware instalado por otro malware, alcanzó su punto máximo a finales de septiembre de 2022. El adware es una extensión de Chrome capaz de modificar las nuevas páginas dentro del navegador y puede reemplazar las pestañas recién abiertas, leer el historial del navegador, cambiar los marcadores y gestionar las aplicaciones, extensiones y temas del navegador. Estas capacidades permiten a los ciberdelincuentes que están detrás de la extensión modificar los resultados de las búsquedas y sustituirlos por anuncios, leer las contraseñas y los datos de las tarjetas de crédito almacenados en el navegador y leer lo que los usuarios introducen en los formularios (así como lo que rellenaron en el pasado).
Raccoon Stealer, un ladrón de información capaz de robar datos y descargar y ejecutar malware adicional, hizo una gran reaparición en el Q3/2022. Avast protegió a un 370% más de usuarios de este ladrón durante este trimestre.
"Raccoon Stealer'' se propaga cuando los usuarios intentan descargar versiones 'crackeadas' de software como Adobe Photoshop, Filmora Video Editor y uTorrent Pro", explicó Kroustek. "La gente suele ignorar o desactivar los escudos antivirus cuando intenta descargar archivos como versiones de software crackeadas, poniéndose en riesgo de descargar malware como Raccoon Stealer. El malware suele ser capaz de descargar programas maliciosos adicionales, que es como se propaga DealPly, por ejemplo. Por lo tanto, los usuarios deben instalar un software antivirus y dejar las protecciones activadas en todo momento".
Mientras que la actividad de las redes de bots se estabilizó en el tercer trimestre de 2022, la actividad de la red de bots MyKings aumentó. MyKings es una botnet centrada en el robo de criptomonedas, activa desde 2016.
Malware móvil
El adware sigue siendo la amenaza móvil dominante, con adware como HiddenAds y FakeAdBlockers prevaleciendo. Avast protegió al mayor número de personas del adware en Brasil, India, Argentina y México.
A pesar de la reciente disolución de Flubot por parte de Europol, el riesgo global de ser víctima de un troyano bancario aumentó un 7% en el tercer trimestre de 2022 en comparación con el segundo. Los troyanos bancarios se propagan principalmente a través del phishing por SMS, pero también pueden propagarse a través de malware dropper.
Los TrojanSMS, o estafas de SMS premium, siguen dirigiéndose a los usuarios de móviles, con SMSFactory y Darkherring a la cabeza de la categoría, mientras que UltimaSMS y Grifthorse se retiraron. SMSFactory y Darkherring se distribuyen a través de ventanas emergentes, malvertising y falsas tiendas de aplicaciones. En cambio, UltimaSMS y Grifthorse se distribuían en la Google Play Store, pero no desde que Google los retiró de la misma.