En el Índice Global de Amenazas de Check Point Software, correspondiente a junio de 2024, se ha reflejado un significativo cambio en el panorama del ransomware-as-a-service (RaaS). Los investigadores han identificado un incremento en la actividad del grupo RansomHub, el cual ha desbancado a LockBit3 como el grupo de RaaS más prevalente. Paralelamente, se ha descubierto una nueva campaña de malware, identificada como BadSpace, distribuida a través de falsas actualizaciones del navegador.
Check Point® Software Technologies Ltd., reconocido proveedor de soluciones de ciberseguridad basadas en IA y en la nube, ha destacado en su informe mensual un notable declive en la actividad de LockBit3 desde febrero de 2024, atribuido a la acción de las fuerzas de seguridad. Consecuentemente, el número de víctimas reportadas por LockBit3 ha mostrado fluctuaciones, alcanzando un mínimo histórico en abril con solo 27 víctimas, y un inesperado pico en mayo con más de 170, antes de descender nuevamente en junio.
Como resultado, muchos afiliados a LockBit3 han trasladado sus operaciones a otros cifradores RaaS, propiciando un incremento en las denuncias de víctimas asociadas a nuevos actores. RansomHub, surgido en febrero de 2024 y considerado una reencarnación del ransomware Knight, ha escalado dramáticamente en su actividad, registrando casi 80 nuevas víctimas en junio. Este grupo ha mostrado una influencia diversificada, con solo el 25% de sus víctimas en EE.UU. y un considerable número de afectados en Brasil, Italia, España y Reino Unido.
Además de las maniobras de RansomHub, se ha detectado una campaña de malware FakeUpdates (también conocido como SocGholish) que ha logrado posicionarse como el malware más prevalente del mes. FakeUpdates ahora ofrece una novedosa puerta trasera para Windows, apodada BadSpace, propagada mediante actualizaciones fraudulentas del navegador en sitios web de WordPress comprometidos. La técnica involucra un cargador basado en JScript para descargar y ejecutar BadSpace, el cual utiliza sofisticadas técnicas de ofuscación y antisandbox, además de comunicar con servidores de mando y control mediante canales cifrados, dificultando así su detección.
Maya Horowitz, VP de Investigación de Check Point Software, comentó al respecto: «Parece que las acciones contra LockBit3 han tenido el impacto deseado. Sin embargo, como se sugirió anteriormente, su declive solo abre paso a otros grupos para tomar el control y continuar sus campañas de ransomware contra organizaciones a nivel mundial».
En cuanto a malware, FakeUpdates ha impactado en el 7% de las organizaciones globalmente, seguido por Androxgh0st con un 6%, y AgentTesla con un 3%. En España, FakeUpdates ha afectado al 9,8% de las empresas, Androxgh0st al 6% y AgentTesla al 4%.
En términos de vulnerabilidades explotadas, la más relevante ha sido ‘Check Point VPN Information Disclosure’, afectando al 51% de las organizaciones globalmente, seguida por ‘Web Servers Malicious URL Directory Traversal’ con un 49%, y ‘HTTP Headers Remote Code Execution’ con un 44%.
Los programas maliciosos para móviles más dominantes han sido Joker, seguido por Anubis y AhMyth. Joker ha sido identificado como un spyware en Google Play, mientras que Anubis, conocido por sus capacidades como troyano bancario y de acceso remoto, y AhMyth, un RAT descubierto en 2017, continúan representando amenazas significativas.
Respecto a los sectores más atacados, Educación/Investigación sigue liderando, seguido por Gobierno/Militar y Sanidad.
Finalmente, en el ámbito de grupos de ransomware, RansomHub lidera con un 21% de los ataques publicados, seguido de Play con un 8% y Akira con un 5%. Estos datos reflejan una dinámica cambiante en la ciberdelincuencia, donde nuevos actores buscan oportunidades para explotar vulnerabilidades y expandir su alcance en el panorama global.
