En el mes de enero, el sector de Medios de comunicación y Entretenimiento ha ascendido al primer puesto de los más atacados en España, seguido de Gobierno y Bienes de consumo y Servicios
Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha publicado su Índice Global de Amenazas correspondiente a enero de 2025, en el que FakeUpdates sigue representando un peligro significativo en el panorama de la ciberseguridad, ya que desempeña un papel crucial a la hora de facilitar los ataques de ransomware.
Una investigación reciente de Gruide Point Security ha revelado que un afiliado de RansomHub utilizaba un backdoor basado en Python para mantener un acceso persistente y desplegar ransomware en varias redes. Se instaló poco después de que FakeUpdates obtuviera el acceso inicial y este backdoor mostraba técnicas avanzadas de ofuscación junto con patrones de codificación asistidos por IA.
«La IA está transformando el panorama de las amenazas. Los ciberdelincuentes están mejorando rápidamente sus métodos, aprovechando la IA para automatizar y escalar sus tácticas. Para combatir eficazmente estos ataques, las empresas deben ir más allá de las defensas tradicionales y adoptar medidas de seguridad proactivas y adaptativas impulsadas por IA que anticipen los riesgos emergentes», destaca Maya Horowitz, VP de investigación de Check Point Software.
Principales familias de malware en España en enero
*Las flechas se refieren al cambio de rango en comparación con el mes anterior.
- ↔ FakeUpdates (AKA SocGholish) – Downloader hecho en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en el 4,5% de las empresas en España.
- ↔ Androxgh0st – Androxgh0st es un botnet que afecta a plataformas Windows, Mac y Linux. Para la infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente dirigidas al PHPUnit, el Marco de Trabajo de Laravel y el Servidor Web Apache. El malware roba información sensible como cuentas de Twilio, credenciales SMTP, llave AWS, etc. Utiliza archivos de Laravel para recolectar la información. Tiene diferentes variantes que escanean información. Este botnet ha impactado al 2,8% de las compañías españolas.
- ↔ Remcos – Remcos es un RAT que apareció por primera vez en la naturaleza en 2016 y que se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a correos electrónicos no deseados y está diseñado para eludir la seguridad de CCU (Control de Cuentas de Usuario) de Microsoft Windows y ejecutar malware con privilegios de alto nivel. Este RAT ha impactado en un 2,5% de los negocios en España.
Los tres malware móviles más usados en enero
El mes pasado, Anubis ha ocupado el primer puesto como malware para móviles más extendido, seguido de AhMyth y Necro.
- ↔ Anubis – Es un troyano bancario diseñado para atacar a teléfonos móviles Android. Desde que se detectó ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto (RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
- ↑ AhMyth – Troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como el registro de teclas, capturas de pantalla, el envío de mensajes SMS y la activación de la cámara, lo que se suele usar para robar información sensible.
- ↓ Necro – Es un troyano dropper de Android. Es capaz de descargar otro malware, mostrar anuncios intrusivos y robar dinero mediante el cobro de suscripciones.
Los sectores más atacados en España en enero
El mes pasado, Medios de comunicación y Entretenimiento ha ascendido al primer puesto de los sectores más atacados en España, seguido de Gobierno y Bienes de consumo y Servicios.
Principales grupos de ransomware en enero
Los datos se basan en los «shame sites» de ransomware gestionados por grupos de ransomware de doble extorsión que han publicado información sobre las víctimas. Este mes, Clop es el grupo de ransomware más frecuente, responsable del 10% de los ataques publicados, seguido de FunkSec con un 8% y RansomHub con un 7%.
- Clop – Clop es una cepa de ransomware, activa desde 2019, que se dirige a industrias de todo el mundo, incluidas las de salud, finanzas y fabricación. Derivado de CryptoMix, Clop cifra los archivos de las víctimas utilizando la extensión .clop y emplea la «doble extorsión», y amenaza con filtrar los datos robados a menos que se pague un rescate. Basado en un modelo de ransomware como servicio (RaaS), Clop aprovecha vulnerabilidades, phishing y otros métodos para infiltrarse en los sistemas, desactiva defensas de seguridad como Windows Defender y se ha vinculado a ataques de gran repercusión, como el de MOVEit en 2023.
- FunkSec – FunkSec es un grupo emergente de ransomware que apareció por primera vez en diciembre de 2024, conocido por utilizar tácticas de doble extorsión. Algunos informes sugieren que comenzó a operar en septiembre de 2024. En particular, su DLS (Data Leak Site) combina informes de incidentes de ransomware con los de violaciones de datos, lo que contribuye a un número inusualmente alto de víctimas.
- RansomHub – Es una operación de ransomware como servicio (RaaS) que surgió como una versión renovada de Knight. RansomHub, que apareció a principios de 2024 en foros clandestinos de ciberdelincuencia. Ha ganado notoriedad rápidamente por sus agresivas campañas dirigidas a varios sistemas, como Windows, macOS, Linux y, en particular, entornos VMware ESXi. Este malware es conocido por emplear sofisticados métodos de cifrado.
Para consultar el Índice Global de Amenazas de enero de 2025 y otros datos, se puede visitar el blog de Check Point Software.
