El ransomware y los troyanos de acceso remoto lideran el entorno de amenazas

Recomendados:  Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento El papel de la ciberinteligencia en la seguridad empresarial Webinar La hoja de ruta de DevOps en materia de seguridad Leer

Avast ha publicado su Informe de amenazas correspondiente al tercer trimestre del año, e el que ha visto un mayor riesgo de que las empresas y los consumidores sean atacados por ransomware y troyanos de acceso remoto (RATs). Los RAT se pueden usar para espionaje de la industria, robo de credenciales, acecho e incluso ataques distribuidos de denegación de servicio (DDoS). Los investigadores de amenazas también observaron innovación en el espacio de la ciberdelincuencia en constante evolución, con nuevos mecanismos utilizados por los kits de explotación y por el troyano de banca móvil Flubot.

A principios del tercer trimestre, el mundo fue testigo de un ataque masivo en la cadena de suministro contra el proveedor de software de gestión de TI Kaseya y sus clientes, con el ransomware sodinokibi / REvil. En general, en el trimestre, Avast Threat Labs vio aumentar la relación de riesgo de los ataques de ransomware en un 5% en comparación con el segundo trimestre, e incluso en un 22% en comparación con el primer trimestre.

Los RATs también fueron una amenaza peligrosa para las empresas y los consumidores, que se extendieron aún más que en los trimestres anteriores. Avast detectó tres nuevas variantes de RAT, incluida FatalRAT con capacidades anti-VM; VBA RAT, que explota la vulnerabilidad de Internet Explorer CVE-2021-26411; y una nueva versión de Reverse RAT con número de compilación 2.0 que agrega toma de fotos de cámara web, robo de archivos y capacidades anti-AV. "Los RATs pueden ser una amenaza fundamental para las empresas, ya que pueden utilizarse para el espionaje ", apunta Jakub Kroustek, director de Investigación de Malware de Avast. "Sin embargo, los RATs también se pueden usar contra los consumidores, por ejemplo, para robar sus credenciales, para agregar sus PCs a una botnet para impulsar ataques DDoS y, desafortunadamente, para el acoso cibernético, que puede hacer un daño masivo a la privacidad y el bienestar de un individuo".

Avast Threat Labs también registró un aumento significativo en la actividad de rootkits. Un rootkit es un software malicioso diseñado para dar acceso no autorizado a los ciberdelincuentes, con los más altos privilegios del sistema. Los rootkits comúnmente proporcionan servicios a otro malware en el modo de usuario.

Otra categoría de malware que parece estar regresando son los kits de exploits, con nuevas innovaciones notables. El kit de exploits más activo fue PurpleFox, contra el cual Avast protegió a más de 6.000 usuarios diarios de media. Algunos kits de explotación, especialmente PurpleFox y Magnitude, están bajo un gran desarrollo, recibiendo regularmente nuevas características y capacidades de explotación.

Avast Threat Labs también monitoreó nuevas tácticas en el frente móvil, con FluBot, una amenaza bancaria de SMS de Android, cambiando su enfoque de ingeniería social. Un ejemplo es hacerse pasar por grabadoras de correo de voz. Otra son las afirmaciones falsas de fotos personales filtradas. La más extrema de estas variantes incluso atraería a la víctima a una página falsa que afirmaría que la víctima ya ha sido infectada por FluBot cuando probablemente aún no lo estaban y los engañaría para que instalen una "cura" para la "infección". Esta "cura" sería, de hecho, el propio malware FluBot.

Flubot continuó expandiéndose desde donde inicialmente se dirigía a Europa en el segundo trimestre: España, Italia, Alemania, para luego extenderse por el resto de Europa y otros países como Australia y Nueva Zelanda.