Recientemente la división de Inteligencia de Amenazas de Check Point informó que en Enero de este año Emotet ha desplazado al troyano Trickbot del primer lugar, afectando así al 6% de las empresas a nivel mundial y al 8% de las empresas en Chile.
Emotet, más conocido como el troyano bancario fue identificado por primera vez en 2014 cuando se propagó rápidamente en los ordenadores de las compañías de bancos de Alemania y Australia con el objetivo de atacar datos e información de las organizaciones, causando graves daños a la seguridad administrativa de las empresas.
En dos meses y medio desde su regreso Emotet ha subido al primer puesto, la evolución de este troyano bancario ha avanzado hasta emplearse como distribuidor de otros programas o campañas maliciosas, con mejor autopropagación que aumenta su amenaza, siendo muy difícil detectarlo por utilizar múltiples métodos y técnicas de evasión que pasan desapercibidos ante los ojos del usuario.
¿Qué hace que el virus sea tan amenazante? Este software malicioso se difunde a través de correos electrónicos de phishing, conteniendo archivos adjuntos o enlaces que amenazan con extraer datos y documentos relevantes de clientes, usuarios privados, instituciones u organizaciones, alterando así solo en Chile el 8% de los movimientos de cada una de las compañías afectadas.
Según Gery Coronel, Country Manager de Check Point Software de Chile, Argentina y Perú advierte que “no es de extrañar que Emotet haya vuelto con fuerza. Se trata de un malware evasivo, lo que dificulta su detección, mientras que el hecho de que utilice múltiples métodos para infectar las redes no hace más que contribuir al continuo aumento de esta amenaza. Difícilmente será un problema de corta duración”. Añade también que las industrias más atacadas en Chile y en el mundo son de educación e investigación, seguido por el Gobierno y el ISP/MSP.
Estos son los diez primeros puestos de malware más frecuentes en el mes de enero 2022 conforme por la división de Inteligencia de Amenazas de Check Point:
- Emotet: troyano bancario que actualmente ha funcionado como distribuidor de otro malware o campañas maliciosas. Se propaga rápidamente a través de correos electrónicos no deseados de phishing con múltiples métodos y técnicas de persistencia y evasión.
- Trickbot: es un botnet modular y un troyano bancario que se actualiza constantemente con mejores funciones, capacidades y vectores de distribución, siendo personalizado y flexible que se distribuye como parte de campañas multipropósito.
- Formbook: es un ladrón de información que recopila credenciales de navegadores web, obteniendo capturas de pantallas, supervisión y registro de pulsaciones de teclas, descargando y ejecutando archivos de acuerdo a las órdenes de C&C.
- Agente Tesla: corresponde a una RAT avanzada que funciona como registrador de teclas y ladrón de información. Recopila y monitorea los movimientos del teclado del sistema de la víctima, tomando capturas de pantalla y filtrando las credenciales del software instalados.
- XMRig: es un software de minería de CPU de código abierto que fue visto por primera vez en mayo de 2017 que se utiliza para el proceso de la minería criptomoneda Monero.
- Glupteba: es un botnet que para 2019 concluía en un mecanismo de actualizaciones de direcciones de C&C a través de una lista pública de BitCoin, con una capacidad integral de ladrón de navegadores y explotador de enrutadores.
- Remcos: apareció por primera vez en el año 2016 y se distribuye a través de documentos maliciosos de Microsoft Office que se van adjuntando a correos electrónicos no deseados, eludiendo la seguridad UAC de Microsoft Windows y ejecutando malware de alto nivel.
- Ramnit: es un troyano bancario que roba contraseñas de FTP, credenciales bancarias, cookies de sesión y datos personales.
- Phorpiex: corresponde a un botnet que existe desde 2010 con el fin de distribuir otras familias de malware a través de campañas de spam, así como también impulsar publicidad de spam y extorsión a gran escala.
- Lokibot: es un ladrón de información que a través de correos electrónicos de phishing roba datos e informaciones, como credenciales o contraseñas para billeteras CryptoCoin y servidores FTP.