Los troyanos Trickbot y Emotet no solo continúan siendo los dos programas maliciosos predominantes en el mercado, también han sido los responsables del fuerte aumento de los ataques de ransomware contra hospitales y proveedores de servicios de salud a nivel mundial. Lo confirma el último Índice Global de Amenazas del pasado mes de octubre de la División de Inteligencia de Amenazas de Check Point Research.
Los investigadores de la compañía recuerdan que el FBI y otras agencias del gobierno de Estados Unidos han advertido sobre la multiplicación de ataques de ransomware dirigidos al sector de la salud, donde se registraron más de un millón de infecciones de Trickbot para descargar y difundir programas de ransomware que encriptan archivos, como Ryuk. Ryuk, que también se distribuye a través del troyano Emotet, en el primer puesto del Índice de Malware por cuarto mes consecutivo.
Los datos de la investigación de amenazas de Check Point son más que preocupantes, demuestran que durante el mes pasado de octubre el sector de la salud fue el más afectado por los ataques de ransomware en Estados Unidos, con un incremento del 71% en comparación con el de septiembre. Del mismo modo, los ataques de ransomware contra empresas del sector de la salud y contra hospitales aumentaron un 36% en EMEA y un 33% en APAC.

«Hemos visto aumentar los ataques de ransomware desde el inicio de la pandemia para tratar de aprovechar las brechas de seguridad de las empresas en su adaptación al teletrabajo. Estos ataques han aumentado de forma alarmante en los últimos tres meses, especialmente contra el sector de la salud, y son impulsados por infecciones preexistentes de TrickBot y Emotet. Por ello, recomendamos al sector sanitario de todo el mundo que se mantengan alerta sobre estas posibles infecciones que pueden convertirse en la puerta de entrada de un ataque de ransomware», insiste Maya Horowitz, Directora de Inteligencia e Investigación de Amenazas de Productos de Check Point.
El equipo de investigación alerta que «MVPower DVR Remote Code Execution» (afectó al 43% de las empresas en todo el mundo) es la vulnerabilidad explotada más común, seguida de «Dasan GPON Router Authentication Bypass» y «HTTP Headers Remote Code Execution (CVE-2020-13756)», ambas con un impacto en el 42% de las empresas a nivel mundial.
Los 3 malwares más buscados en España durante el pasado septiembre:
-
-
- Troyano avanzado, autopropagable y modular (Se mantiene en comparación con el mes anterior). Troyano avanzado, autopropagable y modular. Emotet funcionaba como un troyano bancario, pero ha evolucionado para emplearse como distribuidor de otros programas o campañas maliciosas. Además, destaca por utilizar múltiples métodos y técnicas de evasión para evitar la detección. Además, puede difundirse a través de campañas de spam en archivos adjuntos o enlace maliciosos en correos electrónicos. Este malware ha afectado a un 17% de las empresas españolas.
- Malware para Android (Sube), su función principal es mostrar anuncios. Sin embargo, también puede obtener acceso a los detalles de seguridad clave incorporados en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario. Ha atacado a un 9% de las empresas españolas.
- Zloader (Sube). Es un descendiente del omnipresente malware bancario Zeus, que utiliza aplicaciones web para robar credenciales, contraseñas, almacenamiento de cookies en los navegadores web, y otra información sensible de los clientes de los bancos e instituciones financieras. El malware permite a los cibercriminales conectarse al sistema infectado a través de un programa informático de la red, de modo que pueden realizar transacciones fraudulentas desde el dispositivo del cliente. Este malware atacó al 7 % de las empresas en España.
-
Top 3 vulnerabilidades más explotadas en septiembre
-
-
- Ejecución de código en remoto de MVPower DVR – Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Esta vulnerabilidad puede explotarse en remoto para ejecutar código arbitrario en el router.
- Bypass de autentificación del router Dasan GPON – Una vulnerabilidad de autenticación de bypass que existe en los routers Dasan GPON. La explotación de esta vulnerabilidad permite a los ciberdelincuentes obtener información sensible y acceder sin autorización al sistema afectado en remoto.
- Inyección de comandos sobre HTTP – Un atacante remoto puede explotar una vulnerabilidad de Inyección de comandos sobre HTTP enviando a la víctima una petición especialmente diseñada. En caso de tener éxito, esta explotación permitiría a un atacante ejecutar código arbitrario en el equipo de un usuario.
-