Los ciberdelincuentes lanzaron 76 nuevas versiones de malware por minuto en 2020

  • Endpoint

El número de ciberataques evitados aumentó en más de un 85% entre el primer y el segundo semestre del año. Los criminales explotaron la pandemia para lanzar ataques. Vulnerabilidades de seguridad como Shitrix y Sunburst también sirvieron a los atacantes en sus actividades maliciosas.

Recomendados: 

Crowdstrike Falcon Complete, detección y respuesta gestionada Leer

Threat Hunting Report 2020: así son las campañas de intrusiones hoy en día Leer 

La amenaza de los ciberataques ha seguido aumentando significativamente en el último año. El último análisis de amenazas de G DATA CyberDefense muestra que el número de intentos de ataque evitados aumentó en más de un 85% en seis meses, al comparar el primer semestre de 2020 con el segundo. Si bien el número de ataques evitados casi se duplicó del segundo al tercer trimestres, el número de ataques disminuyó ligeramente en el cuarto trimestre.

“Creemos que numerosas empresas fueron víctimas de un ataque el año pasado debido al apresurado traslado a trabajar desde casa, pero aún no lo han notado. Los ciberdelincuentes continúan explotando sin piedad cualquier debilidad en la seguridad de TI. Las brechas de seguridad críticas, la falta de actualizaciones o los empleados descuidados suelen ser la causa de un ataque exitoso. Y la inseguridad actual de la gente está acelerando significativamente este desarrollo”, apunta Tim Berghoff, evangelista de seguridad en G DATA CyberDefense.

Los atacantes se basaron en malware probado y en uso durante varios años, pero está siendo constantemente rediseñado. Más de 16,1 millones de muestras de malware diferentes fueron descubiertas por expertos en ciberdefensa de G DATA, lo que representa un incremento del 228,6% respecto al año anterior. De media, los ciberdelincuentes publicaron 76 nuevas versiones de malware cada minuto.

Emotet, el arma multiusos de la delincuencia cibernética, no sólo estuvo por delante en términos de peligrosidad, sino también en el número de muestras distribuidas, con un total de 888.793 versiones diferentes en 2020. En el conjunto del año anterior, sólo había 70.833 muestras, lo que supone un incremento del 1.154,8%. Emotet estuvo gran parte inactivo en el primer semestre del año, por lo que sólo aparecieron 27.804 nuevas muestras en este período. Esto significa que más de 860.000 versiones aparecieron en el segundo semestre del año, o, lo que es los mismo, se liberaron tres nuevas variantes cada minuto. Emotet actúa como un abridor de puertas y proporciona a los ciberdelincuentes acceso a redes de TI. El malware descarga automáticamente otro software malicioso como Trickbot y Ryuk para espiar otros datos de acceso y cifrar el sistema.

Muy por detrás de Emotet están QBot y Urelas. Originalmente un troyano bancario, Qbot tiene elementos de gusano adicionales y actúa como un ladrón de credenciales para copiar los datos de inicio de sesión de los usuarios. Por lo tanto, Qbot es otra arma multiusos para los delincuentes. Por su parte, Urelas es un descargador que los atacantes utilizan para descargar más malware una vez que se han infiltrado en un sistema.

Pero no sólo el malware bien disfrazado abrió la puerta a los atacantes. Como cada año, numerosos agujeros de seguridad en aplicaciones y sistemas operativos también facilitan a los atacantes infiltrarse en los sistemas de TI. Dos de los más grandes fueron Shitrix y Sunburst. Shitrix hizo posible ejecutar aplicaciones arbitrarias de forma remota en Citrix ADC y, por lo tanto, se clasifica como altamente crítico. Sólo en Alemania, más de 5.000 empresas se pusieron en riesgo, incluidos operadores de infraestructuras críticas como hospitales, proveedores de energía y autoridades públicas.

En cuanto a Sunburst, a finales de año, agencias gubernamentales y empresas privadas descubrieron que sus redes habían sido comprometidas. El origen de este compromiso fue el software de gestión de red de Solarwinds. Durante un período de meses, los criminales siguieron ensamblando nuevos componentes individuales en el software espía que estaba estrechamente integrado en el proceso de desarrollo del sistema de gestión de red, todo sin que nunca se notara. Las actualizaciones de software contaminado no levantaron banderas rojas y se instalaron en numerosas empresas de todo el mundo.