En el último Índice Global de Amenazas publicado por Check Point Software Technologies Ltd., se detalla un cambio significativo en el panorama del ransomware como servicio (RaaS), con el surgimiento de nuevas y sofisticadas tácticas. Durante el mes de agosto de 2024, el ransomware continuó dominando el escenario de las amenazas cibernéticas, con RansomHub consolidándose como el grupo más activo. Esta operación RaaS, que evolucionó del anterior ransomware conocido como Knight, ha atacado a más de 210 víctimas a nivel mundial, empleando técnicas avanzadas de cifrado para comprometer sistemas Windows, macOS, Linux y entornos VMware ESXi.
A la par, los investigadores han identificado el ascenso de una nueva amenaza llamada Meow, la cual se ha desviado del enfoque tradicional de cifrado de datos para centrarse en la venta de información robada en mercados clandestinos. Maya Horowitz, VP de Investigación de Check Point Software, destaca que «la aparición de RansomHub subraya la creciente sofisticación de las operaciones de RaaS. El auge de Meow pone de relieve el cambio hacia el mercado de filtración de datos, indicando un nuevo método de monetización para los operadores de ransomware».
En el territorio español, las familias de malware más predominantes también reflejan este panorama cambiante. FakeUpdates (SocGholish) fue el malware más prevalente del mes, impactando a un 7% de las organizaciones. Le siguen Qbot y Androxgh0st, ambos con un 5,3% de impacto. FakeUpdates actúa como un downloader en JavaScript que instala varios programas maliciosos, mientras que Qbot es un malware multifuncional conocido por robar credenciales y evitar la detección mediante técnicas avanzadas. Por su parte, Androxgh0st afecta tanto a plataformas Windows como Mac y Linux, explotando varias vulnerabilidades para robar información sensible.
El informe también identifica las vulnerabilidades más explotadas durante el mes, siendo la inyección de comandos a través de HTTP y Zyxel ZyWALL algunas de las más críticas. Estas vulnerabilidades permiten a los atacantes ejecutar código arbitrario en los sistemas afectados, subrayando la necesidad de mantenerse alerta y proteger adecuadamente los entornos digitales.
En cuanto al malware móvil, Joker sigue siendo el más extendido, especializado en el robo de mensajes SMS e información del dispositivo, además de registrar silenciosamente a las víctimas en servicios premium. Le siguen Anubis, un troyano bancario con capacidades de ransomware, y Hydra, otro troyano bancario diseñado para robar credenciales mediante engaños para habilitar permisos peligrosos.
Los sectores más atacados en España el mes pasado fueron los medios de comunicación, seguido del gobierno/militar y los servicios públicos. Este dato subraya la importancia de implementar medidas de ciberseguridad robustas en sectores críticos para evitar ataques devastadores.
Entre los grupos de ransomware más activos, RansomHub lidera la lista con un 15% de los ataques publicados, seguido de Meow con un 9% y LockBit con un 8%. RansomHub ha ganado notoriedad por sus campañas agresivas y su sofisticado método de cifrado, mientras que Meow, basado en el ransomware Conti, se propaga a través de vectores como configuraciones RDP desprotegidas y spam de correo electrónico.
En resumen, el panorama de amenazas sigue evolucionando, y la aparición de nuevos métodos y actores subraya la necesidad de que las empresas mantengan medidas de seguridad proactivas y mejoren continuamente sus defensas ante ataques cada vez más sofisticados.
