El reciente Índice Global de Amenazas de Check Point Software revela un cambio significativo en el panorama del ransomware como servicio (RaaS). Los investigadores han detectado el ascenso de una nueva amenaza, Meow, que emplea tácticas innovadoras y ha tenido un impacto considerable.
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), líder en soluciones de ciberseguridad en la nube basadas en inteligencia artificial, ha publicado su informe correspondiente al mes de agosto de 2024. El estudio destaca que el ransomware sigue siendo una gran amenaza, con el grupo RansomHub posicionándose como el principal actor. Este grupo ha logrado expandirse rápidamente tras su cambio de marca del anterior ransomware Knight, afectando a más de 210 víctimas alrededor del globo. Mientras tanto, Meow ha emergido como una amenaza adicional, enfocándose en la venta de datos robados en mercados de filtración en lugar de simplemente cifrar archivos.
En el mes de agosto, RansomHub consolidó su posición dominante, respaldado por un aviso conjunto del FBI, CISA, MS-ISAC y HHS. La operación RaaS de este grupo ha atacado de manera agresiva sistemas Windows, macOS, Linux y, en particular, entornos VMware ESXi mediante técnicas avanzadas de cifrado.
«El surgimiento de RansomHub como la principal amenaza de ransomware subraya la creciente sofisticación de las operaciones de Ransomware-as-a-Service», afirmó Maya Horowitz, VP de Investigación de Check Point Software. «El auge de Meow refleja el cambio hacia el mercado de filtración de datos, lo que indica un nuevo método de monetización para los operadores de ransomware. La información robada se vende cada vez más a terceros en lugar de ser publicada online. Ante estas amenazas evolucionantes, las empresas deben mantenerse vigilantes, adoptar medidas proactivas de seguridad y mejorar continuamente sus defensas contra ataques cada vez más complejos».
En cuanto a las principales familias de malware en España, FakeUpdates se mantiene como el más prevalente con un impacto del 7% en organizaciones a nivel mundial, seguido por Qbot y Androxgh0st, ambos con un impacto global del 5,3%. FakeUpdates, conocido también como SocGholish, es un descargador hecho en JavaScript que impacta a diferentes tipos de malware. Qbot, por su parte, es un malware multifunción que roba credenciales y realiza otras actividades malintencionadas, afectando al mismo porcentaje de empresas españolas que Androxgh0st, un botnet que explota múltiples vulnerabilidades para robar información sensible.
En términos de vulnerabilidades más explotadas, destacan la inyección de comandos a través de HTTP y en dispositivos Zyxel ZyWALL, así como la ejecución remota de código mediante cabeceras HTTP vulnerables.
Respecto al malware móvil más utilizado en agosto, Joker lidera la lista, seguido de Anubis y Hydra, todos ellos diseñados para robar información personal y financiera en dispositivos Android.
Los sectores más afectados en España durante el mes pasado fueron medios de comunicación, gobierno/militar y servicios públicos, mientras que RansomHub, Meow y LockBit3 se destacaron como los grupos de ransomware más activos.
RansomHub, una operación renovada del ransomware Knight, ha ganado notoriedad por sus agresivas campañas, mientras que Meow, basado en el ransomware Conti, cifra archivos utilizando el algoritmo ChaCha20 y deja una nota de rescate solicitando contacto por correo electrónico o Telegram. Por último, LockBit3, operando bajo un modelo de RaaS, se dirige principalmente a grandes entidades y gobiernos.