fbpx

Ciberpandillas reclutan y recompensan a sus seguidores

Avast en su informe de amenazas Q3/2022, en su resumen explica cómo las ciberpandillas trabajan y reclutan nuevos integrantes desde la web


 Las ciberpandillas cada vez se hacen más fuertes y los datos de Avast muestran un aumento de la actividad de adware en computadoras a finales de septiembre de este año.

Avast también protegió a un 370% más de usuarios del ladrón de información Raccoon Stealer en el tercer trimestre de 2022 que en el anterior. Los ataques de ransomware aumentaron en algunos mercados como Canadá, España y Alemania, pero disminuyeron ligeramente a nivel global. Las posibilidades de que los usuarios de móviles se encontraran con un troyano bancario aumentaron un 7% en el trimestre, a pesar de que Europol desmanteló el grupo Flubot.

Los usuarios mexicanos de dispositivos móviles también tuvieron más probabilidades de encontrarse con troyanos bancarios (+67%) y con troyanos SMS (+54%) en el tercer trimestre de 2022 en comparación con el segundo trimestre. La mayoría de las actividades maliciosas se mantuvieron estables o disminuyeron.

“Una tendencia interesante que observamos este trimestre fue que las bandas cibernéticas recurren activamente al crowdsourcing y pagan a personas para que apoyen sus actividades delictivas, incluyendo la mejora, la comercialización y la distribución de su malware”, dijo Jakub Kroustek, Director de Investigación de Malware de Avast. “En cuanto a los ataques, notamos un aumento del adware DealPly hacia el final del tercer trimestre de 2022, un pico masivo de intentos de infección de Raccoon Stealer, un aumento de la actividad de la red de bots MyKings, y una nueva red de bots llamada Pitraix, escrita en Go, ganando un poco de tracción. En general, el volumen de ciberataques se mantuvo alto, a pesar de que los ciberdelincuentes al parecer se relajaron un poco durante los meses de verano”.

 

Los ataques de ransomware se centran en la exfiltración de datos

El riesgo de que los canadienses se encontraran con un ransomware este trimestre aumentó un 16% en comparación con el segundo trimestre de 2022. En Alemania y España, las personas tuvieron un 12% más de probabilidades de encontrarse con ransomware. Sin embargo, a nivel mundial, el riesgo de sufrir ataques de ransomware fue ligeramente inferior trimestre a trimestre.

 

“Las ciberpandillas de ransomware utilizan cada vez más métodos complicados de encriptación parcial, por ejemplo, encriptando sólo el principio o el final de un archivo o bloques de archivos para evitar la detección del usuario”, explicó Kroustek. “Además, las bandas de ransomware ahora extraen datos de las empresas, amenazando con publicar archivos sensibles y luego borrando o corrompiendo los archivos en lugar de cifrarlos. También hemos observado una interesante serie de acontecimientos relacionados con el grupo de ransomware LockBit. El grupo ofrece remuneraciones por errores a quienes descubran vulnerabilidades o entreguen ideas al grupo, recompensas por personas que se tatúen su logotipo en el cuerpo, miembros del grupo que toman represalias y filtran código y un ida y vuelta entre la banda y una empresa de seguridad llamada Entrust.”

Empresas y gobiernos en la mira de las ciberpandillas y amenazas persistentes avanzadas

El grupo prorruso NoName057(16) atacó a empresas como bancos y agencias de noticias y a gobiernos que apoyan a Ucrania durante el tercer trimestre de 2022. El grupo utiliza una red de bots de ordenadores infectados con el malware Bobik para realizar ataques DDoS de represalia. Según las observaciones de Avast, el grupo tiene una tasa de éxito del 40% y alrededor del 20% de los ataques de los que se atribuyen la responsabilidad, no se pueden contabilizar en sus archivos de configuración. En agosto, el grupo anunció un nuevo proyecto llamado DDOSIA y creó un nuevo grupo privado de Telegram con más de 700 miembros. El proyecto DDOSIA permite a cualquier persona en Internet descargar un binario a través del cual puede llevar a cabo ataques DDoS en sitios determinados por NoName057(16), a cambio, se les recompensa con criptomonedas.

El grupo de amenazas persistentes avanzadas (APT por sus siglas en inglés) Gamaredon también tuvo a Ucrania como objetivo en el tercer trimestre de 2022, atacando instituciones militares y gubernamentales, así como embajadas extranjeras. El grupo introdujo nuevas herramientas, incluyendo instrumentos de exfiltración de archivos, varios droppers y nuevas formas de distribuir cargas útiles e IPs de servidores de control y comando.

LuckyMouse, un conocido grupo de amenazas de habla china, tuvo como objetivo varias agencias gubernamentales de los Emiratos Árabes Unidos, Taiwán y Filipinas. Avast encontró puertas traseras en los ordenadores infectados, ladrones de contraseñas para Chrome y herramientas de código abierto, como BadPotato, que se utiliza para la obtención de privilegios. Los atacantes probablemente infectaron los dispositivos a través de un servidor comprometido.

 

Otros grupos que los investigadores de Avast están siguiendo son el Donot Team, también conocido como APT-C-35, y Transparent Tribe, también conocido como APT36. El Donot Team estuvo más activo en Pakistán en el tercer trimestre de 2022. Avast descubrió módulos DLL del marco de trabajo de yty en varios dispositivos infectados. Transparent Tribe, que se cree que es un grupo pakistaní, continuó atacando a víctimas en India y Afganistán, infectando PCs mediante spear-phishing y documentos de Office con macros VBA maliciosas. Los investigadores de Avast identificaron que los ejecutables pertenecen a la cepa CrimsonRAT, el malware personalizado de Transparent Tribe utilizado para acceder a las redes infectadas.

Malware para móviles

El adware sigue siendo la amenaza móvil dominante, con adware como HiddenAds y FakeAdBlockers prevaleciendo. Avast protegió al mayor número de personas del adware en Brasil, India, Argentina y México.

Los Troyanos SMS o estafas por SMS de alta calidad, siguen dirigiéndose a los usuarios de móviles, con SMSFactory y Darkherring a la cabeza de la categoría, mientras que UltimaSMS y Grifthorse se retiraron. SMSFactory y Darkherring se distribuyen a través de ventanas emergentes, malvertising y falsas tiendas de aplicaciones. En cambio, UltimaSMS y Grifthorse se distribuían en la Google Play Store hasta que Google los retiró de la misma.

El informe de amenazas del tercer trimestre de 2022 de Avast se puede encontrar en el blog Decoded: LINK

Staff Boletín

Artículos de interés sobre las últimas tendencias y avances en el campo de la Industria TI

Publicaciones relacionadas

Botón volver arriba

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, click en el enlace para mayor información.

ACEPTAR
Aviso de cookies