Gamers ahora disponen en Latam de SSD más fría
El troyano Qbot en campaña de malspam junto con el malware de IoT Mirai afectando enrutadores TP-Link son las más importantes alarmas actuales.
Los equipos de ciberseguridad deben, por tanto, incrementar sus defensas.
La relativa tregua de ataques masivos qué parecía estar ocurriendo en las semanas recientes se evapora. El más reciente reporte de Check Point Research, CPR muestra a Qbot y el retorno de Mirai como el top de los malwares de alta peligrosidad.
Así, los expertos de la Unidades de Inteligencia y Detección de Amenazas de Check Point Software Technologies ha encendido las alarmas luego de publicar su Índice Global de Amenazas del mes de abril.
La campaña de Qbot del mes pasado prueba que hay un nuevo método de entrega en el que los objetivos reciben un correo electrónico con un archivo adjunto que contiene archivos PDF protegidos. Una vez que se descargan, se instala en el dispositivo.
Los investigadores encontraron casos de malspam que se envían en varios idiomas, lo que significa que en el objetivo de ataque están organizaciones en todo el mundo.
Mientras tanto, el malware de Internet de las cosas (IoT) Mirai entra en la lista por primera vez en un año.
Los investigadores de CPR descubrieron que Mirai estaba explotando una nueva vulnerabilidad de zero-day CVE-2023-1380 para atacar los enrutadores TP-Link y agregarlos a su botnet, utilizado para facilitar algunos de los ataques DDoS más disruptivos.
Maya Horowitz, vicepresidenta de investigación de Check Point Software advirtió a los equipos de ciberseguridad sobre la necesidad de extremar las defensas frente a esta nueva arremetida.
“Los ciberdelincuentes trabajan constantemente en nuevos métodos para eludir las restricciones existentes, y estas campañas son una prueba más de cómo el malware se adapta para sobrevivir. Con Qbot a la ofensiva nuevamente es importante contar con una infraestructura de ciberseguridad integral”, recomendó.
El salón de la fama del mes de Abril
El Índice Global de Impacto de Amenazas de Check Point Software y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software.
Veamos ahora el Top 3 de las categorías más importantes del Índice de CPR.
Para empezar, durante el pasado mes, la industria de educación/investigación mantuvo el liderazgo del sector al qué se dirigieron mayor número de ataques, señal de que los ciberdelincuentes estiman que encontrarán menos defensas y resistencia.
Las tres principales industrias bajo ataque
1.- Educación/Investigación
2.- Sanidad
3.- Gobierno/militar
Malware más buscado del mes
1.- Qbot
Como señalamos, Qbot AKA Qakbot es el líder del mes paso. Éste es un troyano bancario que apareció por primera vez en 2008.
Fue diseñado para robar las credenciales bancarias y las pulsaciones de teclas de un usuario.
A menudo distribuido a través de correo electrónico no deseado, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección.
2.- Emotet
Otro troyano avanzado, autopropagable y modular de alta peligrosidad.
Emotet solía emplearse como un troyano bancario pero, en la actualidad, se utiliza como distribuidor de otro malware o campañas maliciosas.
Utiliza múltiples métodos para mantener la persistencia y técnicas de evasión para evitar la detección.
Además, se puede propagar a través de correos electrónicos de spam de phishing que contienen archivos adjuntos o enlaces maliciosos.
3.- Mirai
Luego de un año, nos reencontramos con este malware de Internet de las Cosas (IoT) que rastrea dispositivos IoT vulnerables, como cámaras web, módems enrutadores y los convierte en bots.
Es utilizada por sus operadores para llevar a cabo masivos ataques de Denegación de Servicio Distribuido (DDoS, por sus siglas en inglés).
Mirai surgió por primera vez en septiembre de 2016. Rápidamente cobro fama gracias a algunos ataques a gran escala incluidos:
- Un enorme ataque DDoS utilizado para dejar fuera de línea a todo el país de Liberia,
- Un ataque DDoS contra la empresa de infraestructura de Internet Dyn, parte significativa de la actual infraestructura de Internet de Estados Unidos.
Las tres vulnerabilidades más explotadas en abril
1.- ↑ Web Servers Malicious URL Directory Traversal –
Existe una vulnerabilidad de cruce de directorios en diferentes servidores web que fue la más explotada en el mes de abril, afectando al 48% de las empresas a nivel mundial,
La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no sanea correctamente el URI para los patrones de recorrido de directorios. La explotación exitosa permite a los atacantes remotos no autenticados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
2.- ↓ Ejecución remota de código Apache Log4j (CVE-2021-44228)
La segunda vulnerabilidad con más incidencias en el mes pasado, afectó, globalmente, al 44% de las organizaciones.
Consiste en una vulnerabilidad en de ejecución remota de código en Apache Log4j.
Si logran aprovecharla, un atacante remoto puede ejecutar código arbitrario en el sistema afectado.
3.- ↓ Ejecución remota de código de encabezados HTTP (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756)
Esta vulnerabilidad tuvo un impacto global del 43% durante el mes de abril.
En ella, los encabezados HTTP permiten al cliente y al servidor pasar información adicional con una solicitud HTTP.
Un atacante remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en el equipo víctima.
