lolloj - Fotolia
Cibercriminales reclutan con crowdsourcing y recompensan a seguidores
La actividad de los troyanos bancarios en México aumentó 67% frente al 7% a nivel mundial en el Q2/2022, aunque el adware sigue siendo la amenaza más extendida, dice reporte de Avast.
A finales de septiembre pasado, hubo un aumento en la actividad de adware en computadoras y aumentaron 370% los ataques del ladrón de información Raccoon Stealer en el tercer trimestre de 2022, de acuerdo con el Informe de Amenazas Q3/2022 de Avast. El reporte también mostró que los ataques de ransomware aumentaron en mercados como Canadá, España y Alemania, aunque disminuyeron ligeramente a nivel global, al igual que los troyanos bancarios dirigidos a usuarios móviles, que subieron 7 % en el trimestre, a pesar de que Europol desmanteló el grupo Flubot.
Avast señaló que los usuarios mexicanos de dispositivos móviles también tuvieron más probabilidades de encontrarse con troyanos bancarios (+67 %) y con troyanos SMS (+54 %) en el tercer trimestre de 2022, en comparación con el segundo trimestre. La mayoría de las actividades maliciosas se mantuvieron estables o disminuyeron.
"Una tendencia interesante que observamos este trimestre fue que las bandas cibernéticas recurren activamente al crowdsourcing y pagan a personas para que apoyen sus actividades delictivas, incluyendo la mejora, la comercialización y la distribución de su malware", dijo Jakub Kroustek, director de Investigación de Malware de Avast. "En cuanto a los ataques, notamos un aumento del adware DealPly hacia el final del tercer trimestre de 2022, un pico masivo de intentos de infección de Raccoon Stealer, un aumento de la actividad de la red de bots MyKings, y una nueva red de bots llamada Pitraix, escrita en Go, ganando un poco de tracción. En general, el volumen de ciberataques se mantuvo alto, a pesar de que los ciberdelincuentes al parecer se relajaron un poco durante los meses de verano”, afirmó.
Los ataques de ransomware se centran en la exfiltración de datos
Los datos del reporte de Avast mostraron que los ataques de ransomware en Canadá aumentaron 16 %, en comparación con el segundo trimestre de 2022, en tanto en Alemania y España aumentaron 12 %. Sin embargo, a nivel mundial, el riesgo de sufrir ataques de ransomware fue ligeramente inferior trimestre a trimestre.
"Las bandas de ransomware utilizan cada vez más métodos complicados de encriptación parcial, por ejemplo, encriptando solo el principio o el final de un archivo o bloques de archivos para evitar la detección del usuario", explicó Kroustek. "Además, las bandas de ransomware ahora extraen datos de las empresas, amenazando con publicar archivos sensibles y luego borrando o corrompiendo los archivos en lugar de cifrarlos”, indicó.
El experto señaló que también se ha observado una serie de acontecimientos relacionados con el grupo de ransomware LockBit. “El grupo ofrece remuneraciones por errores a quienes descubran vulnerabilidades o entreguen ideas al grupo, recompensas por personas que se tatúen su logotipo en el cuerpo, miembros del grupo que toman represalias y filtran código, y un ida y vuelta entre la banda y una empresa de seguridad llamada Entrust", dijo.
Empresas y gobiernos en la mira de los grupos de hackeo
Avast informó que el grupo prorruso NoName057(16) atacó a bancos y agencias de noticias, al igual que a gobiernos que apoyan a Ucrania durante el tercer trimestre de 2022. El grupo utiliza una red de bots de computadoras infectadas con el malware Bobik para realizar ataques DDoS de represalia. En agosto, el grupo anunció un proyecto llamado DDOSIA y creó un grupo privado de Telegram con más de 700 miembros. El proyecto DDOSIA permite a cualquier persona en internet descargar un binario a través del cual puede llevar a cabo ataques DDoS en sitios determinados por NoName057(16); a cambio, se les recompensa con criptomonedas.
El grupo de amenazas persistentes avanzadas (APT) Gamaredon también tuvo a Ucrania como objetivo en el tercer trimestre de 2022, atacando instituciones militares y gubernamentales, así como embajadas extranjeras. El grupo introdujo nuevas herramientas, incluyendo instrumentos de exfiltración de archivos, varios droppers y nuevas formas de distribuir cargas útiles e IP de servidores de control y comando.
LuckyMouse, un conocido grupo de amenazas de habla china, tuvo como objetivo varias agencias gubernamentales de los Emiratos Árabes Unidos, Taiwán y Filipinas. Avast encontró puertas traseras en las computadoras infectadas, ladrones de contraseñas para Chrome y herramientas de código abierto, como BadPotato, que se utiliza para la obtención de privilegios. Los atacantes probablemente infectaron los dispositivos a través de un servidor comprometido.
Aumento de DealPly, Racoon Stealer y MyKings
El proveedor de ciberseguridad reveló que DealPly, un adware instalado por otro malware, alcanzó su punto máximo a finales de septiembre de 2022. El adware es una extensión de Chrome capaz de modificar las nuevas páginas dentro del navegador y puede reemplazar las pestañas recién abiertas, leer el historial del navegador, cambiar los marcadores y gestionar las aplicaciones, extensiones y temas del navegador. Estas capacidades permiten a los ciberdelincuentes modificar los resultados de las búsquedas y sustituirlos por anuncios, leer las contraseñas y los datos de las tarjetas de crédito almacenados en el navegador y leer lo que los usuarios introducen en los formularios, así como lo que rellenaron en el pasado.
Raccoon Stealer, un ladrón de información capaz de robar datos y descargar y ejecutar malware adicional, regresó en el tercer trimestre de 2022. Avast dijo que protegió a 370 % más de usuarios de este ladrón durante este trimestre.
"Raccoon Stealer se propaga cuando los usuarios intentan descargar versiones 'crackeadas' de software como Adobe Photoshop, Filmora Video Editor y uTorrent Pro", explicó Kroustek. "La gente suele ignorar o desactivar los escudos antivirus cuando intenta descargar archivos como versiones de software crackeadas, poniéndose en riesgo de descargar malware como Raccoon Stealer. Este suele ser capaz de descargar programas maliciosos adicionales y así es como se propaga DealPly, por ejemplo. Por lo tanto, los usuarios deben instalar un software antivirus y dejar las protecciones activadas en todo momento", subrayó.
Mientras la actividad de las redes de bots se estabilizó en el tercer trimestre de 2022, la actividad de la red de bots MyKings aumentó. MyKings es una botnet centrada en el robo de criptodivisas, activa desde 2016.
Malware para móviles
Finalmente, el reporte de Avast mostró que el adware sigue siendo la amenaza móvil dominante, con HiddenAds y FakeAdBlockers prevaleciendo. La mayor cantidad de ataques se realizaron este trimestre en Brasil, India, Argentina y México.
A pesar de la reciente disolución de Flubot por parte de Europol, el riesgo global de ser víctima de un troyano bancario aumentó un 7 % en el tercer trimestre de 2022, en comparación con el segundo. Los troyanos bancarios se propagan principalmente a través del phishing por SMS, pero también pueden propagarse a través de malware dropper.
Los troyanos SMS o estafas por SMS de alta calidad siguen dirigiéndose a los usuarios de móviles, con SMSFactory y Darkherring a la cabeza de la categoría, mientras que UltimaSMS y Grifthorse se retiraron. SMSFactory y Darkherring se distribuyen a través de ventanas emergentes, malvertising y falsas tiendas de aplicaciones. En cambio, UltimaSMS y Grifthorse se distribuían en la Google Play Store hasta que Google los retiró de la misma.