El segundo trimestre de este año fue testigo de una pausa en el cibercrimen, pero los delincuentes informáticos continúan experimentando con el ransomware, según Malwarebytes Labs en su informe del segundo trimestre.
La actividad de malware registró una disminución en las categorías de negocios y consumo en el segundo trimestre, según el informe. Pero si bien el volumen de actividad fue menor, la calidad de los ataques mejoró notablemente.
Malwarebytes Labs basó sus conclusiones en los datos de abril a junio junto con la telemetría de sus productos comerciales y de consumo que se utilizan en millones de máquinas. Tanto el ransomware como el minado no autorizado y oculto de criptomonedas demostraron un mayor nivel de sofisticación en el segundo trimestre.
El cryptojacking, por su parte, tomó la delantera en las detecciones de consumidores para el trimestre, seguidas del adware. El adware aumentó un 19% en el trimestre.
La actividad de software espía bajó de la detección empresarial principal al número cinco, perdiendo un 40% en su actividad, mientras que los troyanos bancarios se mantuvieron en el puesto número dos, aunque las detecciones en este segmento cayeron a la mitad.
Las detecciones de backdoor, sin embargo, aumentaron en los sectores de consumo y de negocios, ya que las detecciones de consumidores aumentaron en un 442%.
Se cree que un aumento en las detecciones de malware de backdoor se debe a una campaña a la que Malwarebytes Labs se refiere como Backdoor.Vools. El malware suele notarse instalando mineros de criptomonedas después de comunicarse con un servidor de comando y control.
Los brotes de WannaCry y NotPetya en 2017 aún no se han igualado en cuanto a impacto y volumen de distribución, según el informe, pero los ataques de VPNFilter, SamSam y otros indican que podrían estarse almacenando ataques de mayor nivel en el resto del año.
El malware VPNFilter registró un aumento, generando medio millón de detecciones en el trimestre. VPNFilter no puede ser detectado por las modernas herramientas de seguridad.
Además de obtener contraseñas y nombres de usuario, puede agregar datos artificiales para engañar a los usuarios mientras roba información. El malware también puede realizar ataques DDoS o instalar otro software.
SamSam, por su parte, destruyó archivos oficiales en la ciudad de Atlanta y atacó a Hancock Health, y sigue siendo evasivo debido a la forma selectiva que los atacantes usan para instalarlo. Se cree que el grupo detrás de él estudia posibles objetivos para conocer el valor de su información. Luego ponen precio más bajo al rescate de los datos, de manera que la víctima se decida a pagar por recuperarlos.
GrandCrab fue citado como la principal variante de ransomware realizada por correo electrónico. La variante se ha movido al Magnitude exploit kit para su distribución. Magnitude ha comenzado a implementar una técnica sin archivos para realizar la carga de ransomware, lo que hace que sea más difícil de detectar.
El cryptojacking del lado del cliente y del lado del servidor continúan debido a las vulnerabilidades del sistema de administración de contenido que se observa en el informe. No es fácil actualizar un CMS debido a complementos, temas y otras funciones que pueden dejar de funcionar cuando se actualiza el núcleo.
Los ciberdelincuentes también se están centrando más en la información de identificación personal (IIP), señaló el informe. Malwarebytes Labs notó por primera vez que los estafadores roban IIP en fraudes de Bitcoin. Según el reporte, Bitcoin no está regulado en gran medida, tiene una protección limitada contra el fraude y los intercambios tienen poco respaldo.
Debido a que el conocimiento del usuario sobre las estafas ha aumentado, los perpetradores están tratando de robar cuentas de correo electrónico, contraseñas e información de cuentas bancarias. También se cree que las nuevas leyes de la Regulación General de Protección de Datos de la Unión Europea están aumentando el interés en el robo de IIP, ya que dichos datos son mercancía caliente en el mercado negro.
