Ataques bien camuflados: las muestras de malware amenazan las computadoras y las redes cada segundo

Los objetivos de los ciberdelincuentes tampoco han cambiado en el último año: apuntan a contraseñas y datos confidenciales y quieren cifrar datos y sistemas. 

La tecnología de los fabricantes de antivirus es cada vez mejor e identifica nuevos ataques en las redes de las empresas o en las PC privadas y portátiles todos los días. Como resultado, los autores de malware se ven obligados a utilizar métodos sofisticados para proteger su malware de la detección por parte de los programas de protección, un eterno juego del gato y el ratón. El año pasado, los expertos de G DATA descubrieron más de 13.500 variantes de familias de malware conocidas cada día, más de 4.9 millones de muestras de malware en total.

Líder indiscutible: GandCrab

Con mucho, el más activo fue el ransomware «GandCrab»: los analistas de malware en Bochum identificaron más de 408.000 versiones, un promedio de más de 1.100 nuevas variantes por día. GandCrab utilizó varios canales de distribución y PC con Windows infectadas. El ransomware a menudo llegaba a la red de la empresa a través del archivo adjunto de una aplicación de correo electrónico, camuflado en un archivo zip. Cuando se abrió el archivo adjunto, el malware cifró los archivos del sistema. Los chantajistas luego pidieron un rescate. Otra forma de propagación eran los kits de explotación que se activaban a través de enlaces disfrazados, principalmente en sitios web infectados, y vulnerabilidades de navegador o Flash explotadas. Sin embargo, el grupo detrás del malware terminó oficialmente sus actividades el 1 de junio de 2019. Para entonces, los delincuentes dicen que han recibido más de $ 2 mil millones en pagos de rescate. Aunque CandCrab ya no está activo, se crean nuevas muestras porque los sistemas automáticos las solicitan

Los 10 principales programas maliciosos de un vistazo:

plaza de la ciudadApellidovariantesArte
1GandCrab408.182Secuestro de datos
2njRAT208,235Troyano de acceso remoto
3BlackShades193.105Troyano de acceso remoto
CuartoTinba127,589Troyano bancario
5AveMariaRAT102,374Troyano de acceso remoto
SextoEmotet70,833Distribuidor de malware

Séptimo
Shifu61,225Troyano bancario
OctavoAZORult60,834Ladrón de información
9SakulaRAT53,799Troyano de acceso remoto
10Nanocore50,535Troyano de acceso remoto

Manipulación a través de la puerta trasera

«NjRAT» con 208.000 y «BlackShades» con 193.000 versiones le siguen en segundo y tercer lugar. Ambos pertenecen al grupo de «Troyanos de acceso remoto» (RAT), una forma especial de troyanos que los ciberdelincuentes pueden utilizar para tomar el control administrativo del sistema de destino. Los RAT utilizan los métodos habituales de infección, como la penetración a través de una vulnerabilidad sin parche, los archivos adjuntos de correo electrónico infectados o la descarga e instalación de software manipulado. Luego, el malware abre una especie de puerta trasera e inicia un programa en el sistema informático con el que el atacante puede conectarse. La forma en que funciona es similar al software de mantenimiento remoto, con la diferencia de que el usuario no puede reconocer los procesos para el control administrativo externo. Los ciberdelincuentes suelen utilizar RAT para crear redes de bots. Debido al control total de la computadora, en realidad no hay límites a las posibilidades de ataque y manipulación. Esto va desde activar el micrófono o la cámara web a través del registro de teclas y leer datos confidenciales hasta volver a cargar otro malware, por ejemplo, para cifrar archivos y extorsionar como rescate. Un total de cinco de los 10 primeros pueden clasificarse como RAT.

Emotet y sin fin

La familia de malware más conocida «Emotet», sobre la que ya hemos informado varias veces, ocupa el sexto lugar en las listas anuales, con más de 70.800 muestras diferentes. A modo de comparación: en el mismo período del año anterior, los analistas de malware descubrieron alrededor de 28.000 nuevas variantes. Un promedio de 194 nuevas versiones del arma universal del ciberdelito aparecieron por día. En particular, a finales de año, el antiguo troyano bancario Emotet volvió a hacerse un nombre. En Alemania, entre otras cosas, las administraciones públicas, las universidades y una vez más las clínicas fueron víctimas del arma polivalente del ciberdelito ”. El antiguo troyano bancario actúa simplemente como un abridor de puertas. Los correos electrónicos no deseados iniciales parecen muy auténticos, por lo que muchos usuarios los consideran reales y abren el archivo adjunto infectado. Luego, los usuarios hacen clic en el archivo adjunto infectado y el desastre sigue su curso. El malware carga automáticamente otros programas maliciosos como Trickbot y Ryuk para espiar más datos de acceso y cifrar el sistema. El resultado: una falla completa o a gran escala de la infraestructura de TI.

Robar información, cifrar sistemas

Los troyanos bancarios como «Tinba» o «Shifu» también siguen activos. Utilizan la tecnología «man-in-the-browser» para leer los datos de inicio de sesión de las aplicaciones bancarias. Entran en el sistema a través de los canales de distribución clásicos y causan daños. Generan una ventana emergente falsa para copiar la información de inicio de sesión del banco o redirigir las transferencias a su propia cuenta; el usuario no puede ver ninguna diferencia con un inicio de sesión real. Además, roban inicios de sesión para los servicios en línea de Google, Facebook, Microsoft u otros servicios web y también registran todas las conexiones HTTPS.

Es de notar que una gran parte del malware existe desde hace varios años. SakulaRAT y Tinba fueron descubiertos por primera vez en 2012, Nanocore en 2013. Esto también está relacionado con las técnicas de ofuscación utilizadas por los ciberdelincuentes para camuflar el malware. El último malware en el top 10 es AveMariaRAT. Los investigadores de seguridad identificaron esta RAT por primera vez en 2018. Un total de 332 familias de malware diferentes se encuentran actualmente clasificadas en las bases de datos de G DATA.

Enlace: https://www.gdata.de/blog/2020/02/35824-malware-samples-bedrohen-pcs-und-netzwerke-im-sekundentakt Stefan Karpenstein Blog de G DATA