Check Point Software Technologies ha publicado su último Índice Global de Amenazas de julio de 2019. El equipo de investigación de Check Point pone de manifiesto que una nueva vulnerabilidad descubierta en el WebAdmin Plugin de OpenDreamBox 2.0.0.0 ha impactado ya al 32% de las organizaciones a nivel mundial en el último mes.

Esta vulnerabilidad, que ocupa el octavo lugar entre las más explotadas, permite a los atacantes ejecutar comandos de forma remota en los equipos de la víctima. La explotación de esta vulnerabilidad se produjo junto a otros ataques dirigidos a dispositivos IoT, sobre todo a través de la vulnerabilidad de ejecución de código remoto en MVPower DVR (la tercera vulnerabilidad más explotada en julio), que también está relacionada con la famosa red de bots Mirai.

“Los cibercriminales se apresuran a intentar explotar nuevas vulnerabilidades, antes de que las organizaciones hayan tenido la oportunidad de repararlas, y el fallo de OpenDreamBox no es una excepción. Aun así, es sorprendente que casi un tercio de las organizaciones hayan sido víctimas. Esto pone en relieve la importancia de que las organizaciones se protejan a sí mismas mediante la aplicación rápida de parches en dichas vulnerabilidades”, comenta Maya Horowitz, directora del Grupo de Inteligencia de Amenazas de Check Point.

En julio de 2019 también se ha producido una importante disminución en el uso del malware Cryptoloot, ya que cayó hasta el décimo lugar en la lista de malware, desde el tercero en junio de 2019. 

“La fuerte disminución en el uso de Cryptoloot también es interesante. Ha dominado la lista de malware más importante durante el último año y medio, y fue clasificada como la segunda variante de malware más común vista en la primera mitad de 2019, afectando al 7.2% de las organizaciones de todo el mundo. Creemos que esta caída está ligada a su principal competidor, Coinhive, que cerrará sus operaciones a principios de 2019. Los cibercriminales confían en otros malware criptomineros como XMRig y Jsecoin”, añaden desde Check Point.

En México XMRig se mantiene en primera posición, habiendo afectado ya a casi el 14% de las empresas mexicanas, mientras que Jsecoin se mantiene en segundo puesto con el 11.47%. Por su parte, Dorkbot asciende al tercer lugar, dejando a Emotet en el cuarto puesto dentro de los malware más buscados en México.

Los 3 malware más buscados en México en julio:

1.      XMRig – Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 13.69% de las empresas en México

2.     Jsecoin – Criptojacker de JavaScript que se puede incrustar en sitios web. Jsecoin, permite ejecutar al minero directamente en su navegador a cambio de una experiencia sin anuncios, moneda en el juego y otros incentivos. Ha afectado a un 11.47% de las organizaciones mexicanas.

3.      Dorkbot– Worm basado en IRC diseñado para permitir la ejecución remota de código por parte de su operador, así como la descarga de malware adicional al sistema infectado, con la motivación principal de robar información confidencial y lanzar ataques de denegación de servicio. Este ha afectado a un 6.39% de las empresas en México. 

Top 3 del malware móvil mundial en julio

• Lotoor:Herramienta de hacking que explota vulnerabilidades en el sistema operativo Android para obtener privilegios de root
• AndroidBauts: Adware dirigido a usuarios de Android que extrae IMEI, IMSI, localización GPS y otra información de dispositivos y permite la instalación de aplicaciones y accesos directos de terceros en dispositivos móviles.
• Piom: Adware que monitoriza el comportamiento de navegación del usuario y le muestra publicidad no deseada basada en sus actividades en la web.

Top 3 vulnerabilidades más explotadas en julio: 

• Inyección SQL (varias técnicas).Insertar una inyección de consulta SQL en la entrada del cliente a la aplicación, mientras se explota una vulnerabilidad de seguridad en el software de una aplicación.
• Revelación de información a través de Heartbeat en OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346). Existe un fallo en la divulgación de información en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes TLS/DTLS Heartbeat. Un ciberdelincuente puede aprovechar este error para robar contenidos de la memoria o del servidor de un cliente conectado.
• Ejecución de Código Remoto en MVPower DVR (CVE-2015-8562). Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Un atacante remoto puede explotar esta debilidad para ejecutar código arbitrario en el router afectado a través de una petición hecha a medida.

El Índice de Impacto Global de Amenazas de Check Point y su Mapa de ThreatCloud se basan en la inteligencia ThreatCloud de Check Point, la red de colaboración más grande para combatir la ciberdelincuencia que ofrece datos de amenazas y tendencias de ataque desde una red global de sensores de amenazas. La base de datos ThreatCloud contiene más de 250 millones de direcciones analizadas para descubrir bots, más de 11 millones de firmas de malware y más de 5.5 millones de sitios web infectados, e identifica millones de tipos de malware diariamente.