Los troyanos Emotet y Qbot regresan con fuerza al panorama de ciberamenazas español

Recomendados.... » Tendencias TI 2023 y factores que influirán en su despliegue  Webinar » Administración Pública Digital: progreso y vanguardia On Demand » Digitalización y seguridad, motor de innovación del sector financiero  Informe

Check Point Research ha publicado su Índice Global de Amenazas del mes de noviembre, en el que destaca el regreso de Emotet y el repunte de Qbot. También se ha producido un notable aumento de los ataques de Raspberry Robin, un sofisticado gusano que suele utilizar unidades USB maliciosas para infectar equipos. En España, el ranking sigue liderado por el troyano bancario Qbot, responsable del 5,59% de ataques a empresas, seguido de Emotet, que ha bajado su incidencia hasta el 3,9%. Por su parte, el cryptojacker XMRig ha impactado en un 3,1% de las organizaciones en España.

En julio de 2022 Check Point Research señaló un descenso significativo en el impacto y la actividad global de Emotet, con la sospecha de que su ausencia sólo sería temporal. Efectivamente, el malware troyano autopropagable está escalando de nuevo en el índice, alcanzando el segundo puesto como malware más extendido en noviembre, con un impacto del 4% en las organizaciones a nivel mundial. Aunque Emotet comenzó siendo un troyano bancario, su diseño modular le ha permitido evolucionar hasta convertirse en un distribuidor de otros tipos de malware, y se propaga habitualmente a través de campañas de phishing. El aumento de la prevalencia de Emotet podría deberse en parte a una serie de nuevas campañas de malspam lanzadas en noviembre, diseñadas para distribuir al troyano bancario IcedID.

Además, Qbot, un troyano que roba credenciales bancarias y pulsaciones de teclas, ha alcanzado el tercer puesto en la lista de los principales programas maliciosos, con un impacto global del 4%. Los ciberdelincuentes detrás del malware tienen motivaciones financieras, roban datos financieros, credenciales bancarias e información del navegador web de sistemas infectados. Una vez que los atacantes de Qbot consiguen infectar un sistema, instalan una backdoor para conceder acceso a los operadores del ransomware, lo que da lugar a ataques de doble extorsión. En noviembre, Qbot aprovechó una vulnerabilidad de zero-day de Windows para proporcionar acceso completo a las redes infectadas.

En cuanto a Raspberry Robin, es un sofisticado gusano que utiliza unidades USB maliciosas que contienen archivos de acceso directo a Windows que parecen legítimos, pero que en realidad infectan el equipo de la víctima. Microsoft ha descubierto que ha pasado de ser un gusano a una plataforma de distribución de malware, vinculada a otras familias y a métodos de infección alternativos más allá de su propagación original en unidades USB.

“Aunque estos sofisticados programas maliciosos pueden permanecer latentes durante periodos más tranquilos, las últimas semanas nos recuerdan que no están inactivos durante mucho tiempo. No podemos permitirnos bajar la guardia, por lo que es importante mantenerse alerta al abrir correos electrónicos, hacer clic en enlaces, visitar sitios web o compartir información personal”, afirma Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

La vulnerabilidad “Web Servers Malicious URL Directory Traversal” vuelve al primer lugar de la lista, impactando en el 46% de las empresas a nivel mundial, mientras que "la revelación de información del servidor web Git" se sitúa en el segundo puesto y afecta al 45% de las empresas de todo el mundo. En octubre, el sector de la Educación/Investigación sigue siendo el más atacado a nivel mundial.