Síguenos en las Redes

Header Ad

Últimos artículos

Categories

  • viernes, junio 13, 2025
  • Berlin
    Weather
    14°C
  • Header Ad

SafePay se posiciona como uno de los principales grupos de ransomware, según Check Point Research

  • 1655
  • 0

El Índice Global de Amenazas de mayo de 2025 revela que FakeUpdates sigue siendo el malware más extendido a nivel mundial, mientras que el sector educativo continúa como objetivo principal para los ciberdelincuentes

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, publica su Índice Global de Amenazas del mes de mayo de 2025, en el que destaca SafePay, un grupo de ransomware relativamente nuevo pero en rápido crecimiento, que ha superado a otras amenazas este mes para posicionarse como el actor más prevalente en la lista de principales grupos de ransomware, empleando una estrategia de doble extorsión. Mientras tanto, FakeUpdates continúa dominando como el malware más extendido, afectando a empresas en todo el mundo. El sector educativo sigue siendo la industria más atacada, lo que refleja vulnerabilidades persistentes en estas instituciones.

En mayo, Europol, el FBI, Microsoft y otros socios lanzaron una operación importante dirigida contra Lumma, una destacada plataforma de malware como servicio. Esta acción ha permitido la incautación de miles de dominios, interrumpiendo significativamente la operación. Sin embargo, se afirma que los servidores principales de Lumma, ubicados en Rusia, permanecieron operativos, y sus desarrolladores restauraron rápidamente la infraestructura. A pesar de ello, la operación ha causado un daño reputacional mediante tácticas psicológicas como el phishing y la generación de desconfianza entre sus usuarios. Aunque la interrupción técnica fue considerable, los datos relacionados con Lumma continúan circulando, lo que genera preocupación sobre el impacto a largo plazo de la operación.

«Los datos del Índice Global de Amenazas de mayo subrayan la creciente sofisticación de las tácticas cibercriminales. Con el ascenso de grupos como SafePay y la persistente amenaza de FakeUpdates, las compañías deben adoptar medidas de seguridad proactivas y de múltiples capas», ha explicado Lotem Finkelstein, director de Inteligencia de Amenazas en Check Point Software. «A medida que aumentan las ciberamenazas, es fundamental anticiparse a la evolución de los ataques con información sobre riesgos en tiempo real y defensas sólidas».

Principales familias de malware en España en mayo
*Las flechas se refieren al cambio de rango en comparación con el mes anterior.

  1. FakeUpdates (AKA SocGholish) – Downloader hecho en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en el 8,8% de las empresas en España.
  2. Remcos – Remcos es un RAT que apareció por primera vez en la naturaleza en 2016 y que se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a correos electrónicos no deseados y está diseñado para eludir la seguridad de CCU (Control de Cuentas de Usuario) de Microsoft Windows y ejecutar malware con privilegios de alto nivel. Este RAT ha impactado en un 3,2% de los negocios en España.
  3. ↓ Androxgh0st – Androxgh0st es un botnet que afecta a plataformas Windows, Mac y Linux. Para la infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente dirigidas al PHPUnit, el Marco de Trabajo de Laravel y el Servidor Web Apache. El malware roba información sensible como cuentas de Twilio, credenciales SMTP, llave AWS, etc. Utiliza archivos de Laravel para recolectar la información. Tiene diferentes variantes que escanean información. Este botnet ha impactado al 2,8% de las compañías españolas.

Los tres malware móviles más usados en mayo
El mes pasado, Anubis ha ocupado el primer puesto como malware para móviles más extendido, seguido de AhMyth y Necro.

  • ↔ Anubis – nubis es un troyano bancario versátil que surgió en dispositivos Android y ha evolucionado para incluir funciones avanzadas como eludir autenticación multifactor (MFA) interceptando contraseñas de un solo uso (OTP) por SMS, keylogging, grabación de audio y funciones de ransomware. Se distribuye principalmente a través de aplicaciones maliciosas en Google Play Store e incluye capacidades de acceso remoto (RAT).
  • ↔ AhMyth – AhMyth es un troyano de acceso remoto (RAT) que ataca dispositivos Android, generalmente camuflado como aplicaciones legítimas (grabadoras de pantalla, juegos o herramientas de criptomonedas). Una vez instalado, obtiene amplios permisos, permitiéndole persistir tras reinicios y exfiltrar información sensible como credenciales bancarias, claves de criptomonedas, códigos MFA y contraseñas. También permite keylogging, capturas de pantalla, acceso a cámara y micrófono, e interceptación de SMS.
  • NecroNecro es un descargador malicioso para Android que recupera y ejecuta componentes dañinos en dispositivos infectados según órdenes de sus creadores. Se ha descubierto en varias aplicaciones populares en Google Play, así como en versiones modificadas de apps en plataformas no oficiales como Spotify, WhatsApp y Minecraft. Puede descargar módulos peligrosos, mostrar anuncios invisibles, descargar archivos ejecutables, instalar apps de terceros, y ejecutar JavaScript oculto que puede suscribir a los usuarios a servicios pagos no deseados. También puede redirigir el tráfico de internet a través de dispositivos comprometidos, convirtiéndolos en parte de una red de bots proxy para ciberdelincuentes.

Principales grupos de ransomware en mayo
El ransomware sigue dominando el panorama del cibercrimen. Este mes, SafePay se posiciona como la amenaza de ransomware más significativa, con una nueva generación de operadores que atacan tanto a grandes empresas como a negocios pequeños. Las tácticas empleadas por estos grupos son cada vez más sofisticadas, y la competencia entre ellos se intensifica.

  • SafePay – SafePay es un grupo de ransomware detectado por primera vez en noviembre de 2024, con indicios que sugieren una posible afiliación rusa. Opera bajo un modelo de doble extorsión: cifra los archivos de las víctimas mientras exfiltra datos sensibles para aumentar la presión del pago. Aunque no funciona como un servicio de ransomware (RaaS), SafePay ha listado un número inusualmente alto de víctimas. Su estructura centralizada e internamente dirigida permite tácticas, técnicas y procedimientos (TTPs) consistentes, con objetivos bien definidos.
  • Qilin – También conocido como Agenda, es una operación criminal de ransomware como servicio (RaaS) que colabora con afiliados para cifrar y exfiltrar datos de organizaciones comprometidas, exigiendo luego un rescate. Este ransomware, que fue detectado por primera vez en julio de 2022 y está desarrollado en Golang Agenda, se enfoca en grandes empresas y organizaciones de alto valor, especialmente en los sectores de salud y educación. Habitualmente infiltra a sus víctimas mediante correos de phishing con enlaces maliciosos, para luego moverse lateralmente dentro de las infraestructuras y cifrar datos críticos.
  • Play – Play Ransomware, también conocido como PlayCrypt, apareció por primera vez en junio de 2022. Ha atacado un amplio espectro de empresas e infraestructuras críticas en América del Norte, del Sur y Europa, afectando a unas 300 entidades para octubre de 2023. Suele acceder a las redes a través de cuentas válidas comprometidas o explotando vulnerabilidades sin parches, como las de Fortinet SSL VPNs. Dentro del sistema, emplea técnicas como el uso de binarios legítimos del sistema (LOLBins) para exfiltrar datos y robar credenciales.

Los sectores más atacados en España en mayo
El mes pasado, Gobierno/Militar se mantuvo en el primer puesto de los sectores más atacados en España, seguido de Bienes y servicios de consumo y Telecomunicaciones.

  1. Gobierno/Militar
  2. Bienes y servicios de consumo
  3. Telecomunicaciones

Los datos de mayo reflejan el crecimiento continuo de campañas de malware sofisticadas y en múltiples fases, con SafePay emergiendo como una amenaza destacada de ransomware. Mientras FakeUpdates mantiene su posición como el malware más extendido, nuevos actores como SafePay y las operaciones en curso contra Lumma infostealer demuestran la creciente complejidad de los ciberataques. El sector educativo sigue siendo un objetivo clave, lo que enfatiza aún más la necesidad de que las empresas adopten medidas de seguridad proactivas y en capas para defenderse de estas amenazas cada vez más avanzadas.

Valora este artículo. Gracias!

Artículos relacionados

Loader..

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies