El reciente Índice Global de Amenazas de Check Point Software revela un preocupante cambio en el panorama del ransomware como servicio (RaaS), destacando el ascenso de nuevas y más sofisticadas amenazas. De acuerdo con el informe publicado por Check Point® Software Technologies Ltd., el ransomware sigue siendo una fuerza dominante en el ámbito de la ciberseguridad, con RansomHub liderando el camino.
RansomHub, una operación RaaS que ha evolucionado del ransomware Knight, ha consolidado su posición como el grupo de ataque más activo en el mes de agosto de 2024. Este grupo ha lanzado ataques masivos afectando a más de 210 víctimas a nivel global. RansomHub ha sido particularmente agresivo en la explotación de sistemas operativos variados, incluyendo Windows, macOS, Linux y entornos VMware ESXi, utilizando avanzadas técnicas de cifrado para comprometer los sistemas.
El informe también señala la aparición de una nueva amenaza llamada Meow. Este ciberataque de ransomware introduce un cambio notable en las tácticas comunes, pasando del simple cifrado de datos a la venta de información robada en mercados de filtración. Según Maya Horowitz, VP de Investigación de Check Point Software, «El auge de Meow resalta el cambio hacia el mercado negro de datos filtrados, indicando un nuevo método de monetización donde la información robada se vende a terceros».
En el ámbito específico de España, el malware más prevalente fue FakeUpdates, seguido por Qbot y Androxgh0st. FakeUpdates, conocido también como SocGholish, afectó al 7% de las organizaciones españolas, facilitando la entrada de otros programas maliciosos como GootLoader y Dridex. Qbot, por su parte, se mantuvo como una amenaza significativa, afectando al 5,3% de las empresas en el país. Este malware tiene una historia de más de una década, conocido por su capacidad de robar credenciales y espiar actividades bancarias. Androxgh0st, un botnet que explota múltiples vulnerabilidades en diferentes plataformas, también impactó al 5,3% de las organizaciones en España.
En cuanto a vulnerabilidades, las más explotadas en agosto incluyen la Inyección de Comandos a través de HTTP (CVE-2021-43936 y CVE-2022-24086), la Inyección de Comandos en Zyxel ZyWALL (CVE-2023-28771) y la Ejecución Remota de Código a través de Cabeceras HTTP (CVE-2020-10826, entre otros). Estas vulnerabilidades permitieron a los atacantes ejecutar código arbitrario en los sistemas afectados, exacerbando el impacto de los ciberataques.
El malware móvil no quedó exento de amenazas. Joker se mantuvo como la herramienta maliciosa más usada en dispositivos móviles, diseñado para robar mensajes SMS y registrar a las víctimas en servicios premium sin su conocimiento. Anubis y Hydra también formaron parte del trío más agresivo en este ámbito, con capacidades que van desde la grabación de audio hasta el robo de credenciales bancarias.
En términos de sectores afectados, los medios de comunicación encabezaron la lista de los más atacados en España, seguidos por el sector gubernamental/militar y los servicios públicos. Estos sectores han sido blanco de constantes ciberataques, reflejando la necesidad de reforzar las defensas en infraestructuras críticas.
Finalmente, los grupos de ransomware más activos a nivel global durante agosto fueron RansomHub, Meow y LockBit3. RansomHub destacó por su uso de métodos de cifrado avanzados y su rápida expansión, mientras que Meow tomó relevancia por su novedoso enfoque en la venta de datos robados. LockBit3, conocido por dirigirse a grandes entidades y operar bajo el modelo de RaaS, continuó su actividad sin apuntar a individuos en Rusia o la Comunidad de Estados Independientes.
El Índice Global de Amenazas de Check Point Software subraya la necesidad imperiosa de adoptar medidas de seguridad proactivas y mejorar continuamente las defensas cibernéticas para contrarrestar estas amenazas cada vez más sofisticadas.
