En su informe más reciente, Check Point Software Technologies Ltd., líder en soluciones de ciberseguridad basadas en IA, ha revelado resultados alarmantes sobre el estado del ransomware y otras amenazas tecnológicas a nivel mundial. Publicado en junio de 2024, el Índice Global de Amenazas de la compañía destaca un cambio significativo dentro del panorama del Ransomware-as-a-Service (RaaS). Los investigadores han identificado que el nuevo grupo RansomHub ha superado al previamente dominante LockBit3, convirtiéndose en la mayor amenaza de ransomware.
RansomHub a la cabeza
La campaña de RansomHub se consolidó en febrero de 2024, y ha sido reconocida como una versión renovada del ransomware Knight. Este nuevo grupo ha impactado severamente en junio, con casi 80 víctimas nuevas reportadas, lo que representa una notable diversificación regional. Mientras que solo el 25% de las víctimas fueron de Estados Unidos, otros países como Brasil, Italia, España y el Reino Unido también han registrado un número significativo de afectaciones. El impacto en LockBit3, tras las acciones de las fuerzas de seguridad en febrero, ha sido notable, reduciéndose a un mínimo histórico de víctimas y reflejando un claro declive.
Proliferación del malware BadSpace
Paralelamente, la investigación de Check Point ha detectado una preocupante campaña de malware propagado a través de falsas actualizaciones de navegador. La campaña conocida como FakeUpdates (SocGholish) ha difundido una nueva puerta trasera apodada BadSpace. Este malware se disemina mediante sitios web de WordPress infectados, que redirigen a los usuarios a descargar lo que parece ser una actualización del navegador pero que en realidad es un cargador basado en JScript. BadSpace utiliza sofisticadas técnicas de ofuscación y antisandbox, lo cual dificulta su detección y mantiene persistencia mediante tareas programadas. Además, su comunicación de mando y control está cifrada, complicando su interceptación.
Principales familias de malware
FakeUpdates ha sido identificado como el malware más prevalente del mes, afectando a un 7% de las organizaciones a nivel global. Le siguen Androxgh0st y AgentTesla. En España, en particular, FakeUpdates ha impactado en el 9,8% de las empresas, seguido de Androxgh0st con un 6% y AgentTesla con un 4%.
Vulnerabilidades más explotadas
Check Point informa que la vulnerabilidad ‘Check Point VPN Information Disclosure’ (CVE-2024-24919) ha sido la más explotada mundialmente, afectando al 51% de las organizaciones. Le siguen ‘Web Servers Malicious URL Directory Traversal’ y ‘HTTP Headers Remote Code Execution’.
Amenazas móviles
En el ámbito de las amenazas para móviles, el spyware Joker ha sido el malware más extendido, seguido del troyano bancario Anubis y el RAT AhMyth. Estos malware están diseñados para robar información sensible y, en algunos casos, registrar a las víctimas en servicios premium sin su consentimiento.
Sectores más atacados
La industria de la Educación e Investigación continúa siendo el sector más atacado a nivel mundial, seguido por el Gobierno/Militar y el sector de la Sanidad.
Grupos de ransomware
RansomHub ha emergido como el grupo de ransomware más prevalente, responsable del 21% de los ataques publicados. Le siguen Play con un 8% y Akira con un 5%.
La dinámica del ransomware y la creciente sofisticación de las amenazas cibernéticas refuerzan la necesidad de que organizaciones de todo tipo mantengan y fortalezcan continuamente sus estrategias de ciberseguridad. Las acciones recientes contra LockBit3 han mostrado ser efectivas, pero también destacan la persistente adaptabilidad y resiliencia de los ciberdelincuentes, lo que demanda una vigilancia constante y mejoras en las defensas tecnológicas globales.