Raspberry Robin, el malware más peligroso para las empresas en Colombia

445

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de noviembre de 2022.

En este periodo ha vuelto Emotet, un ambicioso malware troyano que se tomó un breve descanso durante la época estival. Qbot ha alcanzado el tercer puesto por primera vez desde julio de 2021, con un impacto global del 4%, y se ha producido un notable aumento de los ataques de Raspberry Robin, un sofisticado gusano que suele utilizar unidades USB maliciosas para infectar equipos.

En julio de 2022 Check Point Research señaló un descenso significativo en el impacto y la actividad global de Emotet, con la sospecha de que su ausencia sólo sería temporal. Tal y como se predijo, el malware troyano autopropagable está escalando de nuevo en el índice, alcanzando el segundo puesto como malware más extendido en noviembre, con un impacto del 4% en las organizaciones a nivel mundial.

Aunque Emotet comenzó siendo un troyano bancario, su diseño modular le ha permitido evolucionar hasta convertirse en un distribuidor de otros tipos de malware, y se propaga habitualmente a través de campañas de phishing. El aumento de la prevalencia de Emotet podría deberse en parte a una serie de nuevas campañas de malspam lanzadas en noviembre, diseñadas para distribuir al troyano bancario IcedID.

Por primera vez desde julio de 2021, Qbot, un troyano que roba credenciales bancarias y pulsaciones de teclas, ha alcanzado el tercer puesto en la lista de los principales programas maliciosos, con un impacto global del 4%. Los ciberdelincuentes detrás del malware tienen motivaciones financieras, como robar datos, credenciales de cuentas de bancos e información del navegador web de sistemas infectados. Una vez que los atacantes de Qbot consiguen infectar un sistema, instalan una backdoor o puerta trasera, para conceder acceso a los operadores del ransomware, lo que da lugar a ataques de doble extorsión. En noviembre, Qbot aprovechó una vulnerabilidad de zero-day de Windows para proporcionar acceso completo a las redes infectadas.

Este mes también se ha producido un repunte de Raspberry Robin, un sofisticado gusano que utiliza unidades USB maliciosas que contienen archivos de acceso directo a Windows que parecen legítimos, pero que en realidad infectan el equipo de la víctima. Microsoft ha descubierto que ha pasado de ser un gusano a una plataforma de distribución de malware, vinculada a otras familias y a métodos de infección alternativos más allá de su propagación original en unidades USB.

“Aunque estos sofisticados programas maliciosos pueden permanecer latentes durante periodos más tranquilos, las últimas semanas nos recuerdan que no están inactivos durante mucho tiempo. No podemos permitirnos bajar la guardia, por lo que es importante mantenerse alerta al abrir correos electrónicos, hacer clic en enlaces, visitar sitios web o compartir información personal”, afirma Manuel Rodríguez, Gerente de Ingeniería de Seguridad para América Latina de Check Point Software.

“Web Servers Malicious URL Directory Traversal” vuelve al primer lugar de la lista, impactando en el 46% de las empresas a nivel mundial. ” La revelación de información del servidor web Git” se sitúa en el segundo puesto y afecta al 45% de las empresas de todo el mundo. En octubre, el sector de la Educación/Investigación sigue siendo el más atacado a nivel mundial. 

Los 3 malware más buscados en Colombia en noviembre de 2022:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1.         Rasberry Robin – Es un gusano descubierto por primera vez en septiembre de 2021, distribuido a través de dispositivos USB infectados. Este malware utiliza varias utilidades legítimas de Windows, para comunicarse con sus servidores C&C y ejecutar cargas maliciosas. En noviembre en Colombia tuvo un impacto en las empresas del 11.95% y a nivel global del 1.26%.

2.        ↑ Qbot AKA Qakbot– Es un troyano bancario que apareció por primera vez en 2008. A menudo distribuido a través de correo electrónico de spam, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección. Ha sido responsable del 11,50% de ataques en Colombia y su impacto global para el mismo mes fue del 4.34%.

3.        Remcos – Es un RAT que apareció por primera vez en 2016. Se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a los correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar el malware con privilegios de alto nivel. En   Colombia en noviembre tuvo un impacto en las empresas del 11.50% y a nivel global del 1.01%.

Los sectores más atacados a nivel mundial:

Este mes el sector Educación/Investigación se mantuvo en primer lugar como la industria más atacada a nivel mundial, seguido de Gobierno/Militar y Sanidad.

  1. Educación/Investigación
  2. Gobierno/Militar
  3. Salud

Top 3 vulnerabilidades más explotadas en noviembre:

  1.  Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no sanea adecuadamente el URI para los patrones de recorrido de directorios. Una explotación exitosa permite a los atacantes remotos no autentificados acceder a archivos arbitrarios en el servidor vulnerable.
  2.  “Revelación de información del servidor web Git” – Se ha informado de una vulnerabilidad de revelación de información en el repositorio Git. La explotación exitosa de esta vulnerabilidad podría permitir la divulgación involuntaria de información de la cuenta.
  3.  Inyección de comandos sobre HTTP (CVE-2021-43936, CVE-2022-24086) – Se ha informado de una vulnerabilidad de inyección de comandos sobre HTTP. Un atacante remoto puede aprovechar este problema enviando una solicitud especialmente diseñada a la víctima. Una explotación exitosa permitiría a un ciberdelincuente ejecutar código arbitrario en el equipo de destino

Top 3 del malware móvil mundial en noviembre:

  1. Anubis – Anubis es un troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó por primera vez, ha ganado funciones adicionales, incluyendo la capacidad de troyano de acceso remoto (RAT), keylogger, grabación de audio, entre otras. Se ha detectado en cientos de aplicaciones diferentes disponibles en la tienda de Google.
  2. Hydra – Hydra es un troyano bancario diseñado para robar credenciales financieras solicitando a las víctimas que habiliten permisos dañinos.
  3. AlienBot – Esta familia es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.

El Índice Global de Impacto de Amenazas de Check Point Software y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.

La lista completa de las 10 familias principales de malware en noviembre está disponible en el blog de Check Point Software.