Ataques bien camuflados: Las muestras de malware amenazan a las PC y redes cada segundo

Los objetivos de los ciberdelincuentes no han cambiado en el último año: buscan contraseñas y datos confidenciales y quieren cifrar datos y sistemas. El top 10 de malware actual muestra cuán activos han sido los atacantes en 2019.

La tecnología de los fabricantes de antivirus es cada vez mejor e identifica diariamente nuevos ataques a redes corporativas o PC y portátiles privados. Como resultado, los autores de malware se ven obligados a utilizar métodos sofisticados para proteger su malware de la detección por parte de los programas de protección, un eterno juego del gato y el ratón. El año pasado, los expertos de G DATA descubrieron más de 13,500 variantes de familias de malware conocidas por día, más de 4.9 millones de muestras de malware en total.

Líder indiscutible: GandCrab

Con mucho, el más activo fue el ransomware «GandCrab»: los analistas de malware en Bochum identificaron más de 408,000 versiones, un promedio de más de 1,100 nuevas variantes por día. GandCrab utilizó diferentes canales de distribución e infectó PC con Windows. A menudo, el ransomware llegó a la red de la empresa a través del archivo adjunto de un correo electrónico de la aplicación, disfrazado en un archivo zip. Cuando se abrió el archivo adjunto, el malware cifró los archivos en el sistema. Los chantajistas exigieron entonces un rescate. Otro canal de distribución eran los kits de exploits, que se activaban a través de enlaces ofuscados, generalmente en sitios web infectados, y vulnerabilidades explotadas del navegador o Flash. Sin embargo, el grupo detrás del malware ya terminó oficialmente sus actividades el 1 de junio de 2019. Hasta la fecha, los delincuentes han recibido más de $ 2 mil millones en pagos de rescate, según sus propias declaraciones. Aunque CandCrab ya no está activo, se crean nuevos ejemplos porque los sistemas automáticos los solicitan

El top 10 de malware de un vistazo:

LugarNombreVariantesAmable
1GandCrab408.182Ransomware
2njRAT208.235Troyano de acceso remoto
3Sombras negras193.105Troyano de acceso remoto
4Tinba127.589Troyano bancario
5AveMariaRAT102.374Troyano de acceso remoto
6Emotet70.833Distribuidor de malware
7Shifu61.225Troyano bancario
8AZORult60.834Ladrón de información
9SakulaRAT53.799Troyano de acceso remoto
10Nanonúcleo50.535Troyano de acceso remoto

Manipulación por la puerta trasera

En segundo y tercer lugar están «njRAT» con 208.000 y «BlackShades» con 193.000 versiones. Ambos pertenecen al grupo de «Troyanos de acceso remoto» (RAT), una forma especial de troyano que permite a los ciberdelincuentes tomar el control administrativo del sistema de destino. Como vías de infección, las RAT utilizan los métodos habituales, como la intrusión a través de una vulnerabilidad sin parches, el archivo adjunto de correo electrónico infectado o la descarga e instalación de software manipulado. El malware luego abre una especie de puerta trasera y lanza un programa en el sistema informático al que el atacante puede conectarse. El método de trabajo es similar a un software de mantenimiento remoto, con la diferencia de que los procesos para el control administrativo externo no pueden ser reconocidos por el usuario. Los ciberdelincuentes a menudo usan RAT para construir botnets. Debido al control completo de la computadora, en realidad no hay límites para las posibilidades de ataque y manipulación. Esto va desde activar el micrófono o la cámara web hasta el registro de teclas y la lectura de datos confidenciales para recargar otro malware para cifrar archivos y extorsionar el rescate. Un total de cinco de los 10 primeros se clasificarán como RAT.

Emotet y sin fin

La familia de malware más conocida «Emotet», sobre la que ya hemos informado varias veces, aterriza en el número seis en las listas anuales, con más de 70,800 muestras diferentes. En comparación, los analistas de malware descubrieron alrededor de 28,000 nuevas variantes en el mismo período del año pasado. Un promedio de 194 nuevas versiones del arma multiuso del cibercrimen aparecieron por día. Especialmente a finales de año, el antiguo troyano bancario Emotet se ha hecho un nombre de nuevo. En Alemania, las administraciones públicas, las universidades y, una vez más, las clínicas fueron víctimas del arma polivalente de la ciberdelincuencia». El antiguo troyano bancario simplemente actúa como un abridor de puertas. Los correos no deseados iniciales se ven muy auténticos, por lo que muchos usuarios los consideran genuinos y abren el archivo adjunto infectado. Luego, los usuarios hacen clic en el archivo adjunto infectado y el desastre sigue su curso. El malware recarga automáticamente otro malware como Trickbot y Ryuk para espiar credenciales adicionales y cifrar el sistema. El resultado: una falla a gran escala o completa de la infraestructura de TI.

Robo de información, sistemas de cifrado

Troyanos bancarios como «Tinba» o «Shifu» siguen activos. Utilizan la técnica «Man-in-The-Browser» para leer los datos de inicio de sesión de las aplicaciones bancarias. Entran en el sistema a través de los canales de distribución clásicos y causan daños. Crean una ventana emergente falsa para copiar la información de inicio de sesión del banco o redirigir las transferencias a su propia cuenta: para el usuario no hay diferencia con el inicio de sesión real. Además, roban inicios de sesión para los servicios en línea de Google, Facebook, Microsoft u otros servicios web y también registran todas las conexiones HTTPS.

Llama la atención que gran parte del malware lleve circulando desde hace varios años. SakulaRAT y Tinba se descubrieron por primera vez en 2012, Nanocore en 2013. Esto también está relacionado con las técnicas de ofuscación utilizadas por los ciberdelincuentes para camuflar el malware. El último malware en el top 10 es AveMariaRAT. Los investigadores de seguridad identificaron este RAT por primera vez en 2018. Un total de 332 familias de malware diferentes están actualmente clasificadas en las bases de datos de G DATA.

Enlace: Las muestras de malware amenazan a las PC y redes cada segundo | G DATOS (gdata.de) Blog de G DATA Stefan Karpenstein