Informe de amenazas Avast Q3/2022: Las ciberpandillas reclutan y recompensan a sus seguidores

Mientras que la actividad de los troyanos bancarios sólo aumentó un 7% a nivel mundial, en México los usuarios tuvieron un 67% más de probabilidades de encontrarse con uno de ellos que en el Q2/2022
El informe también describe bandas de ransomware que innovan para garantizar mejores resultados, empresas y gobiernos objeto de ataques DDoS y el estado del malware móvil

México, 4 de noviembre de 2022 – Avast, líder global en seguridad digital y privacidad, publicó su Informe de Amenazas Q3/2022 que resume el panorama de ciberamenazas derivado de los datos de telemetría de Avast y de las opiniones de los expertos. Los datos de Avast muestran un aumento de la actividad de adware en computadoras a finales de septiembre de este año. Avast también protegió a un 370% más de usuarios del ladrón de información Raccoon Stealer en el tercer trimestre de 2022 que en el anterior. Los ataques de ransomware aumentaron en algunos mercados como Canadá, España y Alemania, pero disminuyeron ligeramente a nivel global. Las posibilidades de que los usuarios de móviles se encontraran con un troyano bancario aumentaron un 7% en el trimestre, a pesar de que Europol desmanteló el grupo Flubot. Los usuarios mexicanos de dispositivos móviles también tuvieron más probabilidades de encontrarse con troyanos bancarios (+67%) y con troyanos SMS (+54%) en el tercer trimestre de 2022 en comparación con el segundo trimestre. La mayoría de las actividades maliciosas se mantuvieron estables o disminuyeron.

«Una tendencia interesante que observamos este trimestre fue que las bandas cibernéticas recurren activamente al crowdsourcing y pagan a personas para que apoyen sus actividades delictivas, incluyendo la mejora, la comercialización y la distribución de su malware», dijo Jakub Kroustek, Director de Investigación de Malware de Avast. «En cuanto a los ataques, notamos un aumento del adware DealPly hacia el final del tercer trimestre de 2022, un pico masivo de intentos de infección de Raccoon Stealer, un aumento de la actividad de la red de bots MyKings, y una nueva red de bots llamada Pitraix, escrita en Go, ganando un poco de tracción. En general, el volumen de ciberataques se mantuvo alto, a pesar de que los ciberdelincuentes al parecer se relajaron un poco durante los meses de verano”. 

Los ataques de ransomware se centran en la exfiltración de datos

El riesgo de que los canadienses se encontraran con un ransomware este trimestre aumentó un 16% en comparación con el segundo trimestre de 2022. En Alemania y España, las personas tuvieron un 12% más de probabilidades de encontrarse con ransomware. Sin embargo, a nivel mundial, el riesgo de sufrir ataques de ransomware fue ligeramente inferior trimestre a trimestre.

«Las bandas de ransomware utilizan cada vez más métodos complicados de encriptación parcial, por ejemplo, encriptando sólo el principio o el final de un archivo o bloques de archivos para evitar la detección del usuario», explicó Kroustek. «Además, las bandas de ransomware ahora extraen datos de las empresas, amenazando con publicar archivos sensibles y luego borrando o corrompiendo los archivos en lugar de cifrarlos. También hemos observado una interesante serie de acontecimientos relacionados con el grupo de ransomware LockBit. El grupo ofrece remuneraciones por errores a quienes descubran vulnerabilidades o entreguen ideas al grupo, recompensas por personas que se tatúen su logotipo en el cuerpo, miembros del grupo que toman represalias y filtran código y un ida y vuelta entre la banda y una empresa de seguridad llamada Entrust.»

Empresas y gobiernos en la mira de los grupos de hacking y amenazas persistentes avanzadas

El grupo prorruso NoName057(16) atacó a empresas como bancos y agencias de noticias y a gobiernos que apoyan a Ucrania durante el tercer trimestre de 2022. El grupo utiliza una red de bots de ordenadores infectados con el malware Bobik para realizar ataques DDoS de represalia. Según las observaciones de Avast, el grupo tiene una tasa de éxito del 40% y alrededor del 20% de los ataques de los que se atribuyen la responsabilidad, no se pueden contabilizar en sus archivos de configuración. En agosto, el grupo anunció un nuevo proyecto llamado DDOSIA y creó un nuevo grupo privado de Telegram con más de 700 miembros. El proyecto DDOSIA permite a cualquier persona en Internet descargar un binario a través del cual puede llevar a cabo ataques DDoS en sitios determinados por NoName057(16), a cambio, se les recompensa con criptomonedas.

El grupo de amenazas persistentes avanzadas (APT por sus siglas en inglés) Gamaredon también tuvo a Ucrania como objetivo en el tercer trimestre de 2022, atacando instituciones militares y gubernamentales, así como embajadas extranjeras. El grupo introdujo nuevas herramientas, incluyendo instrumentos de exfiltración de archivos, varios droppers y nuevas formas de distribuir cargas útiles e IPs de servidores de control y comando.

LuckyMouse, un conocido grupo de amenazas de habla china, tuvo como objetivo varias agencias gubernamentales de los Emiratos Árabes Unidos, Taiwán y Filipinas. Avast encontró puertas traseras en los ordenadores infectados, ladrones de contraseñas para Chrome y herramientas de código abierto, como BadPotato, que se utiliza para la obtención de privilegios. Los atacantes probablemente infectaron los dispositivos a través de un servidor comprometido.

Otros grupos que los investigadores de Avast están siguiendo son el Donot Team, también conocido como APT-C-35, y Transparent Tribe, también conocido como APT36. El Donot Team estuvo más activo en Pakistán en el tercer trimestre de 2022. Avast descubrió módulos DLL del marco de trabajo de yty en varios dispositivos infectados. Transparent Tribe, que se cree que es un grupo pakistaní, continuó atacando a víctimas en India y Afganistán, infectando PCs mediante spear-phishing y documentos de Office con macros VBA maliciosas. Los investigadores de Avast identificaron que los ejecutables pertenecen a la cepa CrimsonRAT, el malware personalizado de Transparent Tribe utilizado para acceder a las redes infectadas.

Aumento de DealPly, Racoon Stealer y MyKings

DealPly, un adware instalado por otro malware, alcanzó su punto máximo a finales de septiembre de 2022. El adware es una extensión de Chrome capaz de modificar las nuevas páginas dentro del navegador y puede reemplazar las pestañas recién abiertas, leer el historial del navegador, cambiar los marcadores y gestionar las aplicaciones, extensiones y temas del navegador. Estas capacidades permiten a los ciberdelincuentes modificar los resultados de las búsquedas y sustituirlos por anuncios, leer las contraseñas y los datos de las tarjetas de crédito almacenados en el navegador y leer lo que los usuarios introducen en los formularios (así como lo que rellenaron en el pasado).

Raccoon Stealer, un ladrón de información capaz de robar datos y descargar y ejecutar malware adicional, hizo un gran regreso en el tercer trimestre de 2022. Avast protegió a un 370% más de usuarios de este ladrón durante este trimestre.

«Raccoon Stealer se propaga cuando los usuarios intentan descargar versiones ‘crackeadas’ de software como Adobe Photoshop, Filmora Video Editor y uTorrent Pro», explicó Kroustek. «La gente suele ignorar o desactivar los escudos antivirus cuando intenta descargar archivos como versiones de software crackeadas, poniéndose en riesgo de descargar malware como Raccoon Stealer. Este suele ser capaz de descargar programas maliciosos adicionales y así es como se propaga DealPly, por ejemplo. Por lo tanto, los usuarios deben instalar un software antivirus y dejar las protecciones activadas en todo momento».

Mientras que la actividad de las redes de bots se estabilizó en el tercer trimestre de 2022, la actividad de la red de bots MyKings aumentó. MyKings es una botnet centrada en el robo de criptodivisas, activa desde 2016.

Malware para móviles

El adware sigue siendo la amenaza móvil dominante, con adware como HiddenAds y FakeAdBlockers prevaleciendo. Avast protegió al mayor número de personas del adware en Brasil, India, Argentina y México.

A pesar de la reciente disolución de Flubot por parte de Europol, el riesgo global de ser víctima de un troyano bancario aumentó un 7% en el tercer trimestre de 2022 en comparación con el segundo. Los troyanos bancarios se propagan principalmente a través del phishing por SMS, pero también pueden propagarse a través de malware dropper.

Los Troyanos SMS o estafas por SMS de alta calidad, siguen dirigiéndose a los usuarios de móviles, con SMSFactory y Darkherring a la cabeza de la categoría, mientras que UltimaSMS y Grifthorse se retiraron. SMSFactory y Darkherring se distribuyen a través de ventanas emergentes, malvertising y falsas tiendas de aplicaciones. En cambio, UltimaSMS y Grifthorse se distribuían en la Google Play Store hasta que Google los retiró de la misma.

El informe de amenazas del tercer trimestre de 2022 de Avast se puede encontrar en el blog Decoded: LINK