El último informe del Índice Global de Amenazas de Check Point Software revela un cambio significativo en el panorama del ransomware como servicio (RaaS). Los investigadores han detectado un ascenso preocupante de una nueva amenaza llamada Meow, que emplea tácticas innovadoras y está teniendo un impacto notable en el ámbito cibernético.
Check Point Software Technologies Ltd., una empresa líder en soluciones de ciberseguridad en la nube impulsadas por inteligencia artificial, ha publicado su Índice Global de Amenazas correspondiente al mes de agosto de 2024. El informe destaca que el ransomware sigue siendo una fuerza dominante en el ciberespacio, con RansomHub consolidándose como el grupo principal de ransomware. Tras un cambio de nombre desde el ransomware Knight, RansomHub ha expandido rápidamente su alcance, atacando a más de 210 víctimas a nivel global. Esta organización RaaS ha enfocado sus ataques en sistemas Windows, macOS, Linux y especialmente en entornos VMware ESXi, utilizando técnicas altamente sofisticadas de cifrado.
En paralelo, ha surgido otra amenaza considerable en forma del ransomware Meow, el cual ha evolucionado del tradicional cifrado de datos a la venta de información robada en mercados de filtración. Este cambio de tácticas ha generado un nuevo método de monetización para los operadores de ransomware, ya que la información robada se vende a terceros en lugar de ser publicada en línea. Maya Horowitz, Vicepresidenta de Investigación de Check Point Software, subraya esta evolución afirmando que las empresas deben mantenerse alerta y adoptar medidas de seguridad proactivas ante estos ataques cada vez más complejos.
En el contexto español, las principales familias de malware que han afectado a las organizaciones incluyen a FakeUpdates (con un 7% de impacto), Qbot (5,3%) y Androxgh0st (5,3%). FakeUpdates, también conocido como SocGholish, es un downloader hecho en JavaScript que ha servido como puerta de entrada para otros malware peligrosos. Qbot es un malware multifuncional diseñado para robar credenciales y realizar otras actividades maliciosas. Androxgh0st, por su parte, es un botnet que afecta a varias plataformas y roba información sensible aprovechando vulnerabilidades específicas.
En cuanto a las vulnerabilidades más explotadas, destacan las inyecciones de comandos a través de HTTP y en Zyxel ZyWALL, así como la ejecución remota de código a través de cabeceras HTTP vulnerables. Estas debilidades permiten a los atacantes ejecutar código arbitrario en los sistemas afectados.
El malware móvil también ha visto una notable actividad, con Joker liderando la lista, seguido de Anubis y Hydra. Joker, un spyware de Android, está diseñado para robar mensajes SMS y suscribir a las víctimas a servicios premium. Anubis, principalmente un troyano bancario, ha añadido múltiples funcionalidades maliciosas a lo largo del tiempo. Hydra se centra en robar credenciales bancarias mediante la solicitud de permisos peligrosos en aplicaciones bancarias.
Los sectores más atacados en España el mes pasado fueron los medios de comunicación, el gobierno/militar y los servicios públicos. RansomHub fue el grupo de ransomware más prevalente, responsable del 15% de los ataques, seguido de Meow con un 9% y LockBit con un 8%.
Este informe subraya la necesidad imperante de que las organizaciones fortalezcan sus defensas cibernéticas y permanezcan vigilantes frente a un panorama de amenazas que continúa evolucionando rápidamente.
