El impacto de Emotet en las empresas españolas, muy por encima de la media global
- Actualidad
En su informe global de amenazas de julio, Check Point destaca un fuerte aumento en el uso de Emotet después de un periodo de inactividad de cinco meses. En España, el porcentaje de compañías que han sido impactadas con este troyano se situó, según sus datos, en el 14,15%, casi tres veces por encima de la media global.
Las ausencias y regresos de los ataques de Emotet son siempre noticia, y esto es lo que ha ocurrido en julio. Tras cinco meses de ausencia, el virus ha vuelto a hacer de las suyas, y ha vuelto al primer lugar del ranking de malware de esta compañía.
El troyano ha afectado al 5% de las empresas a nivel mundial, de acuerdo con la base de datos ThreatCloud de la firma, que contiene más de 250 millones de direcciones analizadas para descubrir bots, más de 11 millones de firmas de malware y más de 5,5 millones de sitios web infectados, e identifica millones de tipos de malware diariamente.
En España, su impacto en las organizaciones ha sido casi tres veces superior a la media global y ha afectado al 14,15% de las empresas. Según explican sus investigadores, desde febrero de 2020, las actividades maliciosas de Emotet (principalmente el envío de campañas masivas de malspam) comenzaron a disminuir en número e intensidad hasta que finalmente se detuvieron.
Sin embargo, se han detectado nuevas campañas de difusión de Emotet en julio. Ya el año pasado se observó un patrón de comportamiento parecido, puesto que este malware cesó su actividad durante los meses de verano, pero se reanudó en septiembre.
Durante el mes de julio, los cibercriminales han estado utilizando Emotet para difundir campañas de malspam e infectar a las víctimas con virus informáticos como Trickbot y Qbot, que se emplean para robar credenciales bancarias y difundirlas a través de las redes. Algunas de estas campañas contenían archivos .doc maliciosos con nombres como "form.doc" o "invoice.doc". Según los investigadores de la compañía, estos archivos infectados lanzan un PowerShell para extraer el binario de Emotet de las páginas web en remoto para infectar a los equipos, haciendo que pasen a formar parte de la botnet. La vuelta a la actividad de Emotet pone de manifiesto su capacidad para infectar redes a nivel mundial.
Junto a este troyano avanzado, el informe de Check Point destaca la actividad en España del RAT avanzado Agent Tesla, que funciona como un keylogger y un usurpador de contraseñas que ha estado infectando ordenadores desde 2014. Ocupa el segundo lugar del ranking y le sigue XMRIg, cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware, descubierto por primera vez en mayo de 2017, ha atacado a un 5,23% de las empresas en España.
Por otra parte, el equipo de investigadores de la compañía apunta que "Ejecución de código en remoto de MVPower DVR" (44% de empresas afectadas) es la vulnerabilidad más frecuentemente explotada por los cibercriminales, seguida de "Revelación de información a través de Heartbeat en OpenSSL TLS DTLS" (42%) e "Inyección de comandos sobre HTTP" (38%).
