FakeUpdates y RansomHub principales protagonistas de las ciberamenazas de marzo, según Check Point Research

El último Índice Global de Amenazas revela que FakeUpdates ha impactado al 15% de las empresas españolas

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, publica su Índice Global de Amenazas del mes de marzo de 2025, en el que destaca FakeUpdates como downloader malware que más ciberamenazas ha protagonizado a nivel mundial.

En marzo, los investigadores descubrieron una nueva campaña de intrusión que distribuye FakeUpdates, el malware más prevalente, y que perpetra ataques con el ransomware RansomHub. FakeUpdates continúa siendo el malware más común, con una tendencia de crecimiento que se apoya en técnicas evolucionadas por las que los ciberdelincuentes cada vez utilizan más plataformas legítimas como Dropbox y TryCloudflare para evadir la detección y mantener la persistencia.

Además, Check Point Research ha detectado una gran campaña de phishing con Lumma Stealer, que comprometió a más de 1.150 empresas y 7.000 usuarios en América del Norte, el sur de Europa y Asia. Los atacantes distribuyeron cerca de 5.000 archivos PDF maliciosos alojados en la CDN de Webflow, utilizando imágenes falsas de CAPTCHA para activar la ejecución de PowerShell e instalar el malware. Los investigadores vinculan Lumma Stealer con juegos falsos de Roblox y una herramienta pirateada y troyanizada de Windows Total Commander, promocionada a través de cuentas de YouTube secuestradas.

Maya Horowitz, vicepresidenta de investigación en Check Point Software explica que «los ciberdelincuentes continúan adaptando sus tácticas, confiando cada vez más en plataformas legítimas para distribuir malware y evadir la detección. Las organizaciones deben mantenerse alerta e implementar medidas de seguridad proactivas para mitigar los riesgos de estas amenazas en evolución».

Principales familias de malware en España en marzo
*Las flechas se refieren al cambio de rango en comparación con el mes anterior.

1. ↑ FakeUpdates  – Downloader hecho en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en el 15% de las empresas en España.
2. ↑ AsyncRat – Troyano de acceso remoto (RAT) dirigido a sistemas Windows, identificado por primera vez en 2019. Extrae información del sistema hacia un servidor de comando y control y puede ejecutar diversas acciones, como descargar complementos, terminar procesos, capturar capturas de pantalla y actualizarse automáticamente. Se distribuye comúnmente a través de campañas de phishing para el robo de datos y la toma de control de sistemas. Ha impactado al 3,2% de los negocios en España.
3. ↓ Androxgh0st – Androxgh0st es un botnet que afecta a plataformas Windows, Mac y Linux. Para la infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente dirigidas al PHPUnit, el Marco de Trabajo de Laravel y el Servidor Web Apache. El malware roba información sensible como cuentas de Twilio, credenciales SMTP, llave AWS, etc. Utiliza archivos de Laravel para recolectar la información. Tiene diferentes variantes que escanean información. Este botnet ha impactado al 3,2% de las compañías españolas.

Los tres malware móviles más destacados de marzo
El mes pasado, Anubis ha ocupado el primer puesto como malware para móviles más extendido, seguido de Necro y AhMyth.

1. ↔ Anubis – continúa siendo el principal troyano bancario en dispositivos móviles. Puede evadir la autenticación multifactor (MFA), registrar pulsaciones de teclado y realizar funciones de ransomware.
2. ↔ Necro – es un troyano dropper de Android, que ha escalado posiciones. Permite a los atacantes ejecutar componentes maliciosos según comandos de sus creadores, facilitando una amplia gama de acciones dañinas en dispositivos infectados.
3. ↔ AhMyth – un troyano de acceso remoto (RAT) dirigido a dispositivos Android, cuya prevalencia ha disminuido ligeramente. Sin embargo, sigue representando una amenaza significativa debido a su capacidad para extraer información sensible, como credenciales bancarias y códigos de autenticación multifactor (MFA).

Los sectores más atacados a nivel global
Educación continua en el primer puesto de los sectores más atacados a nivel europeo, seguido de Telecomunicaciones y Gobierno/Militar.

1. Educación
2. Telecomunicaciones
3. Gobierno/Militar

Principales grupos de ransomware
RansomHub es el grupo de ransomware más prevalente, responsable del 12% de los ataques publicados. Le siguen Qilin y Akira, ambos con un 6%.

1. RansomHub – Operación de Ransomware-as-a-Service (RaaS) que se ha consolidado rápidamente tras el rebranding del ransomware Knight. Se ha destacado por sus campañas sofisticadas dirigidas a Windows, macOS y Linux.
2. Qilin también conocido como Agenda, es un ransomware como servicio (RaaS) detectado por primera vez en julio de 2022 y se enfoca en empresas de alto valor, con un énfasis particular en los sectores de salud y educación. Qilin suele infiltrarse en las víctimas mediante correos electrónicos de phishing y vez dentro, se mueve de forma lateral a través de la infraestructura de la víctima, buscando datos críticos para cifrar.
3. Akira – Un grupo de ransomware más reciente que se enfoca en Windows y Linux. Ha sido vinculado a campañas de phishing y explotación de vulnerabilidades en VPNs, convirtiéndose en una seria amenaza para las empresas.