Check Point ha revelado un aumento masivo en el uso de exploit kits por parte de ciberdelincuentes en todo el mundo. Estos exploit kits sirven para descubrir y explotar vulnerabilidades en los dispositivos infectados, con el fin de descargar y ejecutar más códigos maliciosos, y están evolucionando a una velocidad alarmante, aumentando su sigilo y mejorando sus habilidades para cambiar de forma, con el fin de mantenerse un paso delante de los sistemas de seguridad.

Nathan Shuchami, vicepresidente de productos emergentes de Check Point explica: El renacer de los exploit kits en marzo demuestra que las amenazas antiguas no desaparecen para siempre, sino que se ocultan durante unos meses y pueden volver al ataque rápidamente”.

BLOG_MalwareEste tipo de herramientas han estado en desuso desde mayo de 2016, tras la desaparición de sus principales variantes, Angler y Nuclear. Sin embargo, en marzo, los ataques con Rig EK se multiplicaron, convirtiéndolo en el segundo malware más utilizado en todo el mundo. En España, ha sido la sexta amenaza más común del mes. En este sentido, la variante Rig EK, alcanza el segundo lugar en la edición de marzo del ranking de amenazas a nivel mundial Global Threat Impact Index, elaborado por Check Point. 

 

No olvidemos que, ya en 2015, el abrumador número de exploit kits dio a los atacantes un torrente de oportunidades para explotar las más recientes vulnerabilidades, incluyendo aquellas que aparecen en Adobe Flash, Adobe Reader y Microsoft Silverlight. Rig EK afecta precisamente a algunas de estas plataformas: Flash, Java, Silverlight e Internet Explorer.

Su cadena de infección comienza enviando a la víctima a una landing page que contiene un JavaScript. Este fichero comprueba los plugins vulnerables y los ataca. Terror, por su parte, contiene ocho exploits operacionales diferentes. Ambos han sido la puerta de entrada de una amplia variedad de amenazas en los equipo infectados, desde ransomware y troyanos bancarios hasta spambots y BitCoin miners.

Al igual que en febrero, las tres principales familias de malware utilizan una amplia gama de vectores y objetivos de ataque, que afectan a todas las etapas de la cadena de infección. El ransomware ha demostrado ser una de las herramientas más rentables a disposición de los ciberdelincuentes durante 2016. Además, en muchas ocasiones acceden a los terminales infectados a través de un exploit kit, por lo que seguirán siendo una amenaza muy presente en la red.

El malware más común en marzo, tanto a nivel mundial como en España, fue HackerDefender. Al igual que Rig EK, ha impactado al 5% de las empresas de todo el mundo. Conficker y Cryptowall, las siguientes variantes más comunes, han atacado cada una al 4% de las organizaciones de todo el globo.

Top 3 de amenazas en España

En España, las tres familias de malware más populares durante marzo han sido:

  1. HackerDefender – Rootkit para Windows 2000 y Windows XP. También puede funcionar en sistemas basados en Windows NT más modernos. Modifica varias funciones de Windows y de su API para que no sean detectadas por los softwares de seguridad. HackerDefender se difunde de forma masiva, ya que está públicamente disponible en línea y es fácil de instalar.
  2. Conficker – Gusano que ataca a Windows. Explora vulnerabilidades en el sistema operativo y lanza ataques de diccionario contra las contraseñas del usuario para permitir su propagación mientras forma una botnet. La infección permite al atacante acceder a los datos personales de los usuarios, como su información bancaria, los números de sus tarjetas de crédito o sus contraseñas. Se propraga a través de redes como Facebook, de Skype y de sitios web de correo electrónico.
  3. Nivdort – Familia de troyanos que ataca a Windows. Reúne contraseñas, información del sistema y configuraciones como la versión de Windows, la dirección IP, la configuración del software y la localización aproximada del equipo. Algunas versiones de este malware detectan las teclas pulsadas y modifican configuraciones DNS. Se distribuye a través de archivos adjuntos en correos de spam y de sitios web maliciosos.

Nathan Shuchami, asegura que Para los ciberdelincuentes es más fácil revisar y modificar las familias de malware y los tipos de ataque existentes en lugar de desarrollar nuevos, y los exploit kits son particularmente flexibles y adaptables”. Es por ello que, para hacer frente a Rig EK, Terror y otros exploit kits, “las organizaciones necesitan implementar sistemas de seguridad avanzados en toda la red”.

El Mapa Mundial de Ciberamenazas ThreatCloud utiliza la tecnología Check Point ThreatCloudTM, la mayor red colaborativa de lucha contra el cibercrimen que ofrece información y tendencias sobre ciberasaltos a través de una red global de sensores de amenazas. La base de datos incluye 250 millones de direcciones que se analizan para descubrir bots, alrededor de 11 millones de firmas y 5,5 millones de webs infectadas. Además, identifica millones de tipos de malware cada día.

Como vemos, los atacantes buscan cada vez más descubrir y explotar las vulnerabilidades de exploit kits ya conocidos. Por lo que es de esperar que se den intentos activos para hacer operativos tales ataques con kits que ya estaban en desuso.

About Author

Globb Security

Globb Security, la web de referencia del sector de la seguridad informática.

Deja un comentario