El Índice Global de Amenazas de Check Point Software del mes de junio pone de relieve un cambio en el panorama del ransomware como servicio (RaaS) con la aparición de Ransomhub como principal grupo prevalente en malware en sustitución de LockBit3. Por otro lado, los investigadores identificaron una campaña BadSpace Windows backdoor propagada a través de falsas actualizaciones del navegador.
El mes pasado, RansomHub fue el grupo RaaS más prevalente después de que la acción de las fuerzas de seguridad contra LockBit3 en febrero le hiciera perder lealtad entre sus afiliados. Como resultado, LockBit3 ha informado de un mínimo histórico de sólo 27 víctimas en abril, seguido de una cifra inexplicablemente alta en mayo de más de 170, y menos de 20 en junio, lo que indica su posible declive.
RansomHub, que apareció por primera vez en febrero de 2024 y, según se informa, es una reencarnación del ransomware Knight, ha experimentado un aumento significativo en junio, con casi 80 nuevas víctimas. Sólo el 25% de sus víctimas publicadas procede de EEUU., con un número significativo de Brasil, Italia, España y Reino Unido.
Por otra parte, los investigadores han destacado una reciente campaña de FakeUpdates (también conocida como SocGholish), que se ha situado como el malware más prevalente, y que ahora ofrece un nuevo backdoor llamado BadSpace.
Principales familias de malware
- FakeUpdates: Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en el 9,8% de las empresas en España.
- Androxgh0st: Es un botnet que afecta a plataformas Windows, Mac y Linux. Para la infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente dirigidas al PHPUnit, el Marco de Trabajo de Laravel y el Servidor Web Apache. Tiene diferentes variantes que escanean para diferente información. Este botnet ha impactado al 6% de las empresas en España.
- AgentTesla: Es un RAT avanzado que funciona como keylogger y ladrón de información, capaz de monitorizar y recopilar la entrada de teclado de la víctima, el teclado del sistema, tomar capturas de pantalla y exfiltrar credenciales a una variedad de software instalado en la máquina de la víctima. Este RAT ha tenido impacto en el 4% de las empresas españolas.
