El malware más buscado en abril: el criptojacking aprovecha vulnerabilidades de servidores no actualizados, según Check Point

checkpoint_criptomonedasEl último Índice de Impacto Global de Amenazas de Check Point® Software Technologies Ltd., el mayor proveedor mundial especializado en ciberseguridad, muestra que los ciberdelincuentes se dirigen cada vez más a vulnerabilidades de servidores no actualizados para infectar equipos con malware de criptojacking.

El mes de abril de 2018 marcó el cuarto mes consecutivo en el que el criptojacking dominó el Top Ten del malware más buscado de Check Point. Su variante Coinhive sigue ocupando el primer puesto del ranking como el malware más frecuente, con un alcance global del 16%. Cryptoloot -otro malware de criptografía- le sigue de cerca, con un 14% de empresas afectadas. El tercer lugar lo ocupa el malware de publicidad engañosa Roughted (11%).

Los investigadores de Check Point también identificaron un aumento significativo en una tendencia que comenzó a principios de este año: Los ciberdelincuentes están apuntando a vulnerabilidades de servidores no parcheados con el fin de extraer ilegalmente criptomonedas. El 46% de las organizaciones del mundo se vieron afectadas por una vulnerabilidad de Microsoft Windows Server 2003. Otra de Oracle Web Logic llegó al 40% de las empresas a nivel global.

“Los ciberdelincuentes están innovando sus técnicas de criptojacking para encontrar nuevas formas de explotar los terminales de sus víctimas y obtener mayores ingresos.” explica Maya Horowitz, directora del grupo de inteligencia de amenazas de Check Point. “Ahora intentan infiltrarse en las redes utilizando vulnerabilidades de servidores sin actualizar. Este es un claro recordatorio para las empresas de que los aspectos básicos de la seguridad, como la aplicación de parches, son fundamentales para garantizar la protección”.

“Es preocupante que tantas organizaciones se hayan visto afectadas por estos problemas, especialmente porque los parches que los solucionan están disponibles desde hace al menos seis meses. Más del 40% de las compañías de todo el mundo han sido blanco de estos ataques. Por lo tanto, es fundamental que las empresas empleen una estrategia de ciberseguridad multicapa. Debe proteger tanto contra los ciberataques de las familias de malware conocidas como contra las nuevas amenazas”.

Top 3 del malware en España durante el mes de abril de 2018
(Las flechas indican el cambio respecto al mes anterior)
1. ↔ Coinhive – Criptojacker diseñado para minar la criptomoneda Monero. Se activa cuando un usuario visita una página web. El JavaScript implantado utiliza muchos de los recursos del ordenador de la víctima para generar monedas, lo que impacta en el rendimiento del sistema. Ha afectado al 24% de las empresas españolas

2. ↔ RoughTed – Malvertising a gran escala utilizado para lanzar varias websites maliciosas y poner en marcha estafas, adware, exploit kits y ransomware. También se usa para atacar cualquier tipo de plataforma y sistema operativo, y aprovecha los bloqueadores de anuncios y los sensores de huella digital para enviar el ataque más adecuado. El 23,9% de todas las compañías de España han tenido que enfrentarse a ella.

3. ↔ Cryptoloot – Criptojacker que utiliza la potencia y los recursos del ordenador de la víctima para minar criptomonedas. Compite directamente con Coinhive. Ha atacado al 16,31% de las organizaciones españolas.

Top 3 del malware móvil mundial:
1. ↑ Lokibot – Troyano bancario y ladrón de información para Android. Puede convertirse en un ransomware que bloquea el teléfono.

2. ↓ Triada – Backdoor modular para Android. Confiere privilegios de superusuario para descargar malware.

3. ↔ Hiddad – Malware para Android que reempaqueta aplicaciones legítimas y las publica en tiendas de terceros.

Los investigadores de Check Point también han analizado las vulnerabilidades cibernéticas más explotadas.

Las vulnerabilidades más explotadas en abril:
1. ↑WebDAV ScStoragePathFromUrl Buffer Overflow en Microsoft ISS: Al enviar una solicitud creada por una red a Microsoft Windows Server 2003 R2 a través de Microsoft Internet Information Services 6.0, un atacante remoto podría ejecutar código malicioso o provocar una denegación de servicio en el servidor de destino. Esto se debe principalmente a una vulnerabilidad de overflow del búfer causada por la validación incorrecta de una cabecera larga en una petición HTTP. Un parche que la corrige está disponible desde marzo de 2017 Ha impactado al 46% de las compañías en abril.

2. ↓Ejecución de código remoto en el componente WebLogic WLS de Oracle (CVE-2017-10271): existe una vulnerabilidad de ejecución remota de código en Oracle WebLogic WLS. Esto se debe a la forma en que Oracle WebLogic decodifica los archivos xml. Un ataque exitoso podría originar una ejecución remota del código. Esta vulnerabilidad ha afectado al 40% de las organizaciones.

3. ↓Inyección SQL: Insertar una inyección de consulta SQL en la entrada del cliente a la aplicación, mientras se explota una vulnerabilidad de seguridad en el software de una aplicación. El 16% de las empresas se han visto afectadas.

El Índice de Impacto Global de Amenazas de Check Point y su Mapa Mundial de Ciberamenazas ThreatCloud se nutren de la información de Check Point ThreatCloudTM. ThreatCloud se basa en una amplia variedad de fuentes de inteligencia procedentes de la investigación interna avanzada sobre malware y amenazas, algoritmos de inteligencia artificial y procesos automatizados, asociaciones y fuentes públicas para proporcionar datos sobre amenazas y tendencias de ataques. Como la red de información sobre amenazas más grande del mundo, ThreatCloud detecta cientos de millones de eventos maliciosos al día, recopilando información de más de cien mil gateways y millones de endpoints en todo el mundo.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s