infoPLC ++ / Mercado / El impacto global del criptojacking se duplica, según Check Point

El impacto global del criptojacking se duplica, según Check Point


El informe de Check Point "Cyber Attack Trends: 2018 Mid-Year Report" desvela que el 42% de las empresas son víctimas del criptojacking en el mundo y que el cloud cobra protagonismo como entorno de ataque.

El impacto global del criptojacking se duplica, según Check Point

Check Point Software Technologies, proveedor de soluciones de ciberseguridad, ha publicado hoy su informe "Cyber Attack Trends: 2018 Mid-Year Report", en el que explica las tendencias en ciberataques de los seis primeros meses del año. Este estudio revela que los ciberdelincuentes están atacando de manera agresiva a las organizaciones a través de malware de criptojacking: entre enero y junio de 2018 el número de empresas afectadas por criptojacking alcanzó el 42%, el doble que en la segunda mitad de 2017. Además, demuestra que las infraestructuras cloud son un objetivo cada vez más común entre los creadores de ciberamenazas.

El criptojacking se corresponde a un ataque en el que los ciberdelincuentes utilizan la potencia y los recursos del terminal de la víctima para generar criptomonedas, usando hasta un 65% del CPU del usuario. Las tres variantes de malware más comunes vistas en el primer semestre de 2018 eran todas de este tipo. Check Point también ha descubierto otra nueva tendencia: un número creciente de ataques contra infraestructuras de nube. A medida que las organizaciones trasladan más datos y propiedades de TI a entornos cloud, los delincuentes recurren a ellos para multiplicar sus beneficios.

Tendencias en criptojackers, ransomware, troyanos y malware móvil en 2018

Los investigadores de Check Point detectaron una serie de tendencias clave de malware durante el periodo:

El criptojacking evoluciona - En 2018, el malware de criptominería ha sido mejorado con nuevas capacidades para ser más rentable y destructivo. Los criptojackers también pueden ahora aprovechar vulnerabilidades y evadir las tecnologías de sandboxing y los productos de seguridad con el fin de aumentar sus tasas de infección.

Los ciberdelincuentes se mudan a la nube - En lo que va del año, ha habido un número elevado de herramientas y técnicas de exploit contra los servicios de almacenamiento cloud. Estos ataques han causado la extracción de datos y la divulgación de información, y han sido posibles gracias a prácticas de seguridad ineficaces, como credenciales poco protegidas o contraseñas débiles. El criptojacking también está apuntando a las infraestructuras cloud para aprovechar su potencia y multiplicar sus ganancias.

Ataques multiplataforma en aumento - Hasta finales de 2017, el malware multiplataforma era poco común. Sin embargo, el aumento del número de dispositivos conectados y la creciente cuota de mercado de los sistemas operativos que no son de Windows ha provocado un aumento del malware multiplataforma. Ante este nuevo escenario, los creadores de ciberamenazas implementan varias técnicas combinadas para tomar control sobre las diferentes plataformas.

Malware móvil de fábrica - En la primera mitad de este año, ha habido varias incidencias en las que el malware en smartphones y tablets no se había descargado desde URL maliciosas, sino que llegaba instalado en el dispositivo. Además, hubo un aumento en las aplicaciones disponibles en tiendas de aplicaciones que en realidad eran ciberamenazas camufladas, incluyendo troyanos bancarios y adware.

Los criptojackers más populares del primer semestre de 2018 fueron Coinhive (30%), criptojacker diseñado para minar la criptomoneda Monero online sin la aprobación del usuario cuando visita una página web. A pesar de haber surgido en septiembre de 2017, ya ha afectado al 12% de las organizaciones en todo el mundo; Cryptoloot (23%), JavaScript, también diseñado para realizar minería de Monero cuando la víctima navega en un website, y JSEcoin (17%), criptojacker web diseñado para extraer Monero durante las visitas a webs.

En relación al top de los Ransomware durante el primer semestre de 2018 encontramos a Locky (40%), ransomware que se propaga principalmente a través de correos electrónicos de spam. Contiene un archivo adjunto que instala malware que encripta los archivos del usuario; WannaCry (35%), protagonista de un ataque a gran escala en mayo de 2017, utilizando un exploit de Windows SMB llamado EternalBlue, para propagarse entre redes, y Globeimposter (8%), distribuido mediante campañas de spam, malvertising y exploit kits. Una vez encriptado, el software de rescate añade la extensión.crypt a cada archivo secuestrado.

Entre el top malware móvil durante el primer semestre de 2018, Check Point a identificado a Triada (51%), 'backdoor' modular para Android que concede privilegios de superusuario a los programas maliciosos descargados y les ayuda a integrarse en los procesos del sistema. También falsificando URLs; Lokibot (19%), troyano de banca móvil que apunta a smartphones Android y se convierte en un ransomware cuando la víctima trata de quitarle permisos, y Hidad (10%), malware para Android que reempaqueta aplicaciones legítimas y luego las publica en una tienda de terceros. Es capaz de obtener acceso a detalles clave de seguridad incorporados en el sistema operativo, lo que permite a un atacante obtener datos de usuario confidenciales.

Las vulnerabilidades más explotadas en junio, según Check Point

WebDAV ScStoragePathFromUrl Buffer Overflow en Microsoft ISS (CVE-2017-7269): al enviar una solicitud creada por una red a Microsoft Windows Server 2003 R2 a través de Microsoft Internet Information Services 6.0, un atacante remoto podría ejecutar código malicioso o provocar una denegación de servicio en el servidor de destino. Esto se debe principalmente a una vulnerabilidad de overflow del búfer causada por la validación incorrecta de una cabecera larga en una petición HTTP. Un parche que la corrige está disponible desde marzo de 2017. Ha impactado al 46% de las compañías en mayo.

Ejecución de código remoto en el componente WebLogic WLS de Oracle (CVE-2017-10271): existe una vulnerabilidad de ejecución remota de código en Oracle WebLogic WLS. Esto se debe a la forma en que Oracle WebLogic decodifica los archivos xml. Un ataque exitoso podría originar una ejecución remota del código. Esta vulnerabilidad ha afectado al 40% de las organizaciones.

Inyección SQL: Esta vulnerabilidad consiste en insertar una inyección de consulta SQL en la entrada del cliente a la aplicación, mientras se explota una vulnerabilidad de seguridad en el software de una aplicación. El 16% de las empresas se han visto afectadas.

Para todas estas amenazas, la compañía ha diseado un entorno de inteligencia llamado ThreatCloud de Check Point una red de colaboración para luchar contra la ciberdelincuencia y proporciona datos sobre amenazas y tendencias de ataques desde una red global de sensores de amenazas. Según datos de Check Point, la base de datos ThreatCloud contiene más de 250 millones de direcciones analizadas para la detección de bots, más de 11 millones de firmas de malware y más de 5,5 millones de sitios web infectados, e identifica millones de tipos de malware diariamente.