Desde abril, España ha sido testigo de un aumento del 5% en los ataques de malware, según el último informe de Check Point Research. La entidad ha descubierto una campaña agresiva liderada por la botnet Phorpiex, que está siendo utilizada para propagar ransomware a través de millones de correos electrónicos de phishing. El resurgimiento del grupo LockBit3, ahora responsable de un tercio de los ataques de ransomware, marca un preocupante cambio en el panorama de la ciberseguridad.
El reciente Índice Global de Amenazas de Check Point® Software Technologies Ltd. muestra que, durante mayo de 2024, los investigadores identificaron una fuerte ofensiva de malspam dirigida por Phorpiex. La botnet ha estado enviando millones de correos electrónicos que contienen el ransomware LockBit Black, una versión derivada de LockBit3. Aunque LockBit Black no está directamente asociado con el grupo original, su impacto es significativo.
La reaparición de LockBit3, tras un breve periodo de inactividad debido a acciones policiales que intentaron desmantelar sus operaciones, se ha traducido en un 33% de los ataques de ransomware. Otros grupos como Inc. Ransom y Play también están activos, con un 7% y un 5% de los ataques, respectivamente. Destaca el ataque reivindicado por Inc. Ransom contra el Ayuntamiento de Leicester, en el Reino Unido, donde presuntamente sustrajeron más de 3 terabytes de datos y causaron interrupciones sistémicas significativas.
Cabe recordar que los operadores originales de Phorpiex cerraron su red y vendieron el código fuente en agosto de 2021. No obstante, en diciembre de ese mismo año, Check Point Research descubrió su reaparición bajo el nombre de «Twizt», con un modelo de operación descentralizado peer-to-peer. En abril, la New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) encontró pruebas de que Phorpiex estaba enviando millones de correos electrónicos con archivos ZIP adjuntos, los cuales activaban LockBit3 al ser ejecutados. Esta campaña empleaba más de 1.500 direcciones IP únicas, principalmente de Kazajistán, Uzbekistán, Irán, Rusia y China.
Maya Horowitz, vicepresidenta de investigación de Check Point Software, subraya la persistencia de estas amenazas: “A pesar de que las fuerzas de seguridad han conseguido temporalmente desarticular al grupo de LockBit3 al descubrir a uno de sus líderes y liberar más de 7.000 claves de descifrado, no ha sido suficiente para eliminar completamente la amenaza. Los ciberdelincuentes se reagrupan y despliegan nuevas tácticas para continuar con sus ataques». Horowitz enfatiza la necesidad de una vigilancia constante y la implementación de medidas preventivas por parte de las empresas.
En cuanto a los malware más prevalentes en España durante mayo, se destaca FakeUpdates, Androxgh0st y Qbot. FakeUpdates, un downloader escrito en JavaScript, afectó al 10% de las empresas; Androxgh0st, una botnet que ataca múltiples sistemas operativos, impactó al 4% de las organizaciones; y Qbot, un malware multifuncional, afectó al 3%.
En el ámbito mundial, las industrias más atacadas fueron Educación/Investigación, Gobierno/Militar y Comunicación. Las vulnerabilidades más explotadas incluyeron «Command Injection Over HTTP», «Web Servers Malicious URL Directory Traversal», y «Apache Log4j Remote Code Execution».
En cuanto a malware móvil, Anubis, AhMyth y Hydra fueron los más utilizados, mientras que LockBit3, Inc. Ransom y Play se destacaron como los grupos de ransomware predominantes. Para más detalles sobre las familias de malware más destacadas en mayo, Check Point Software ofrece un análisis exhaustivo en su blog.
