Un reciente informe de Check Point Software pone de manifiesto una transformación en el escenario del ransomware como servicio (RaaS). Según el Índice Global de Amenazas de la empresa para el mes de agosto de 2024, el ransomware continúa siendo una fuerza dominante, con RansomHub emergiendo como el grupo más significativo. Este grupo ha experimentado una rápida expansión tras cambiar su nombre desde el conocido ransomware Knight, logrando atacar a más de 210 víctimas globales. Al mismo tiempo, surge una nueva amenaza llamada Meow, que ha evolucionado del simple cifrado de datos a la venta de información robada en mercados de filtración.
El informe subraya que RansomHub mantuvo su posición como la principal amenaza de ransomware en agosto, hecho respaldado por un aviso conjunto del FBI, CISA, MS-ISAC y HHS. Esta organización ha dirigido ataques agresivos contra sistemas Windows, macOS, Linux y, especialmente, entornos VMware ESXi, utilizando técnicas de cifrado altamente sofisticadas.
“La aparición de RansomHub como la principal amenaza de ransomware en agosto subraya la creciente sofisticación de las operaciones de Ransomware-as-a-Service”, comentó Maya Horowitz, VP de Investigación de Check Point Software. “El auge de Meow pone de relieve el cambio hacia el mercado de filtración de datos, lo que indica un nuevo método de monetización para los operadores de ransomware, donde cada vez más la información robada se vende a terceros, en lugar de simplemente publicarse online. A medida que evolucionan estas amenazas, las empresas deben mantenerse alerta, adoptar medidas de seguridad proactivas y mejorar continuamente sus defensas contra ataques cada vez más sofisticados”.
En cuanto a las principales familias de malware en España, FakeUpdates dominó el mes con un impacto del 7% en organizaciones globales, seguido por Qbot y Androxgh0st, ambas con un impacto del 5,3%. FakeUpdates, también conocido como SocGholish, está diseñado en JavaScript y ha sido responsable de introducir numerosos programas maliciosos como GootLoader y Dridex. Qbot, un malware multifuncional, continúa su trayectoria desde 2008, y Androxgh0st, una botnet que afecta a varias plataformas, sigue explotando vulnerabilidades específicas.
Las vulnerabilidades más explotadas en agosto incluyeron la Inyección de Comandos a través de HTTP (CVE-2021-43936, CVE-2022-24086), la Inyección de Comandos en Zyxel ZyWALL (CVE-2023-28771) y la Ejecución Remota de Código a través de Cabeceras HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375).
En el ámbito de los dispositivos móviles, el spyware Joker ocupó el primer lugar, seguido por los troyanos bancarios Anubis y Hydra. Joker, conocido por robar mensajes SMS y datos del dispositivo, ha registrado a víctimas en servicios premium sin su conocimiento. Anubis y Hydra están diseñados para robar credenciales bancarias, empleando funciones avanzadas como keyloggers y capacidades de acceso remoto.
Los sectores más atacados en España incluyeron los medios de comunicación, el gobierno y el sector militar, y servicios públicos. Estos se mantuvieron como los principales objetivos de los ciberataques a nivel mundial.
Finalmente, RansomHub lideró como el grupo de ransomware más prevalente, responsable del 15% de los ataques, seguido de Meow con un 9% y LockBit con un 8%. RansomHub, una versión renovada del ransomware Knight, ha ganado notoriedad por sus campañas agresivas contra varios sistemas. Meow, basado en el ransomware Conti, se distingue por cifrar archivos y exigir rescates mediante notas dejadas en los sistemas comprometidos.
Con la creciente sofisticación y diversificación de las amenazas cibernéticas, el informe subraya la necesidad imperiosa de que las organizaciones adopten medidas de seguridad proactivas y refuercen sus defensas ante el incesante avance de los ciberatacantes.
