En el mes de febrero, a un año del comienzo del conflicto entre Rusia y Ucrania, investigadores de Check Point detectaron el regreso del troyano Remcos a la lista de los diez malware más utilizados. Éste fue aplicado para atacar entidades gubernamentales ucranianas a través de phishing como parte de operaciones de ciberespionaje más amplias, tal y como se recoge en el Índice Global de Amenazas que la compañía publica todos los meses.
En líneas generales, se ha registrado una disminución global de los ataques semanales por organización del 44%, entre octubre de 2022 y febrero de 2023. Sin embargo, después de un año del primer ataque, Ucrania sigue siendo blanco de los ciberdelincuentes.
En una de las últimas campañas los atacantes se hicieron pasar por la compañía telefónica ucraniana, Ukrtelecom JSC, y distribuyeron masivamente por email un archivo adjunto que contiene el troyano Remcos. “Una vez instalada, la herramienta abre una puerta trasera en el sistema comprometido, lo que permite un acceso completo al usuario remoto para actividades como la exfiltración de datos y la ejecución de comandos. Se cree que los ataques en curso están vinculados a operaciones de ciberespionaje debido a los patrones de comportamiento y las capacidades ofensivas de los incidentes”, señalan los expertos de Check Point.
En el top tres de las principales amenazas, el troyano bancario Qbot fue el malware más frecuente el mes pasado, afectando a más del 7% de las organizaciones en todo el mundo. Le sigue FormBook, un Infostealer dirigido al sistema operativo Windows, con un impacto global del 5% y con el 4%, Emotet, inicialmente un troyano bancario, que en el último tiempo se ha utilizado como distribuidor de otro malware o campañas maliciosas.
En el puesto 4 le sigue XMRig, un software de minería de CPU de código abierto utilizado para extraer la criptomoneda Monero. En el quinto lugar encontramos AgentTesla, un RAT (herramienta de administración remota) que roba información de todo tipo; luego Guloader, en el sexto puesto, que es un protector de ejecutables usado por muchas familias de malware para su distribución y ofuscación. En el séptimo lugar se encuentra Nanocore, también un malware perteneciente a la familia de los RAT utilizado para robar información. Octavo aparece Remcos, mencionado más arriba en estas líneas, utilizado para el ciberespionaje; en el puesto 9 está Tofsee, un troyano que es capaz de minar criptomonedas, realizar ataques de denegación de servicio, robar credenciales de cuentas, entre otras aplicaciones, y en el décimo lugar aparece Phorpiex, una botnet conocida por distribuir otras familias de malware a través de campañas de spam, así como por alimentar campañas de spam y sextorsión a gran escala.
Los sectores más afectados por los ataques, según el relevamiento de Check Point son, en primer lugar, la Educación e Investigación. Le siguen los Gobiernos y Fuerzas Armadas, y en tercer lugar, los servicios de atención sanitaria.
Por último, entre las vulnerabilidades más explotadas durante el mes de febrero se encuentra “Web Servers Malicious URL Directory Traversal”, que ha afectado al 47% de las organizaciones a nivel mundial. Le sigue “Web Server Exposed Git Repository Information Disclosure”, con un 46% de impacto, y “Apache Log4j Remote Code Execution” es la tercera vulnerabilidad más utilizada, con una afectación del 45%.