El año que vivimos ha sido uno donde las ciberamenazas han estado a la orden del día. Y junto con las fiestas, y desde antes, los ciberdelincuentes tratan de hacerte la vida imposible.
Check Point Software publicó su Índice Global de Amenazas del mes de noviembre de 2022. Este mes regresó Emotet, un ambicioso malware troyano que estuvo ausente por un tiempo. Qbot ocupó el tercer lugar por primera vez desde julio de 2021, con un impacto global del 4 %, y hubo un aumento notable en los ataques de Raspberry Robin, un gusano sofisticado que generalmente usa unidades USB maliciosas para infectar máquinas.
En julio de 2022, Check Point Research (CPR) informó una disminución significativa en el impacto y la actividad global de Emotet, sospechando que su ausencia solo sería temporal. Como se predijo, el malware troyano auto propagable ahora está escalando nuevamente en el índice, alcanzando el segundo lugar como el malware más extendido en noviembre. Su impacto en las organizaciones a nivel mundial es del 4%. Si bien Emotet comenzó como un troyano bancario, su diseño modular le permitió evolucionar hasta convertirse en un distribuidor de otros tipos de malware y, por lo general, se propaga a través de campañas de phishing. El aumento de la prevalencia de Emotet podría contribuir parcialmente a una serie de nuevas campañas de malspam lanzadas en noviembre, que están diseñadas para distribuir las cargas útiles del troyano bancario IcedID.
Además, por primera vez desde julio de 2021, Qbot, un troyano que roba credenciales bancarias y pulsaciones de teclas, alcanzó el tercer lugar en la lista de malware principal, con un impacto global del 4 %. Los actores de amenazas detrás del malware son ciberdelincuentes motivados financieramente, que roban datos financieros, credenciales bancarias e información del navegador web de sistemas infectados y comprometidos. Una vez que los actores de amenazas de Qbot logran infectar un sistema, instalan una puerta trasera para otorgar acceso a los operadores de ransomware, lo que lleva a ataques de doble extorsión. En noviembre, Qbot aprovechó una vulnerabilidad de Windows Zero-Day para proporcionar a los actores de amenazas acceso completo a las redes infectadas.
Este mes también se vio un aumento en Raspberry Robin, un gusano sofisticado que usa unidades USB maliciosas que contienen archivos de acceso directo de Windows que parecen legítimos pero que de hecho infectan las máquinas de la víctima. Microsoft descubrió que evolucionó de un gusano ampliamente distribuido a una plataforma de infección para distribuir malware, vinculado a otras familias de malware y métodos de infección alternativos más allá de su propagación original en unidades USB.
"Si bien estos malwares sofisticados pueden permanecer inactivos durante los períodos más tranquilos, las últimas semanas actúan como un claro recordatorio de que no permanecerán en silencio por mucho tiempo. No podemos darnos el lujo de volvernos complacientes, por lo que es importante que todos permanezcan atentos al abrir correos electrónicos, hacer clic en enlaces, visitar sitios web o compartir información personal", dijo Maya Horowitz, vicepresidenta de investigación de Check Point Software.
CPR también reveló que «Web Servers Malicious URL Directory Traversal» es la vulnerabilidad explotada más común, que afecta al 46% de las organizaciones a nivel mundial, seguida de cerca por «Web Server Exposed Git Repository Information Disclosure» con un impacto del 45%. En noviembre también vio a Educación/Investigación mantenerse en primer lugar como la industria más atacada a nivel mundial.
Este mes, Educación/Investigación sigue siendo la industria más atacada a nivel mundial, seguida por Gobierno/Militar y luego Salud.
*Las flechas se relacionan con el cambio de rango en comparación con el mes anterior.
Este mes, «Web Servers Malicious URL Directory Traversal» es la vulnerabilidad más explotada y afecta al 46 % de las organizaciones a nivel mundial, seguida de «Web Server Exposed Git Repository Information Disclosure» con un impacto del 45 %. La "ejecución remota de código de encabezados HTTP" sigue siendo la tercera vulnerabilidad más utilizada con un impacto global del 42 %.
↑ Servidores web Malicioso URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no desinfecta adecuadamente el URI para los patrones transversales de directorio. La explotación exitosa permite a atacantes remotos no autenticados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
↓ Divulgación de información del repositorio Git expuesto al servidor web: se informó una vulnerabilidad de divulgación de información en el repositorio Git. La explotación exitosa de esta vulnerabilidad podría permitir una divulgación no intencional de la información de la cuenta.
↔ Ejecución remota de código de encabezados HTTP (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756): los encabezados HTTP permiten que el cliente y el servidor pasen información adicional con una solicitud HTTP. Un atacante remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en la máquina de la víctima.
Este mes, Anubis sigue siendo el malware móvil más frecuente, seguido de Hydra y AlienBot.