Aunque la actualidad de ciberdefensa en España ha estado marcada por el ataque al SEPE, donde el malware Ryuk ha sido el protagonista. Precisamente Ryuk no puede actuar solo y necesita de otros programas para poder colarse en el sistema. Uno de ellos es Trickbot, que ha crecido con especial fuerza durante el mes de febrero y representa una de las mayores amenazas para el sistema empresaria e institucional español.
Según Check Point, que ha publicado su último índice global de amenazas, es el troyano Trickbot el malware que lidera el ránking por primera vez. Se trata de un viejo conocido que solía rondar los primeros puestos de la clasificación pero que ha escalado hasta la primera posición tras la desmantelación de Emotet, virus que afectó al 13% de empresas españolas.
Durante el pasado mes de febrero, Trickbot se distribuyó a través de una campaña de spam maliciosa diseñada para engañar a los usuarios del sector legal y de seguros con el principal objetivo de que descargasen en sus ordenadores un archivo .zip con un fichero JavaScript malicioso. Una vez abierto este archivo, trataba de descargar otro payload malicioso desde un servidor remoto.
Un viejo conocido
Trickbot fue el cuarto malware más presente a nivel mundial durante 2020, afectando al 8% de las empresas. Desempeñó un papel clave en uno de los ciberataques más destacados y caros del pasado año, que llegó a atacar a Universal Health Services (UHS), uno de los principales proveedores de servicios sanitarios de Estados Unidos.
En concreto, la UHS sufrió el ataque del ransomware Ryuk, el mismo que el SEPE, y señaló que el ataque le costó 67 millones de dólares en pérdidas de ingresos y costes. Los cibercriminales utilizaron Trickbot para detectar y recopilar datos de los sistemas de UHS, y luego distribuir la payload del ransomware. De momento está por ver cuándo puede recuperarse el SEPE.
"Los ciberdelincuentes no van a dejar de utilizar las amenazas existentes y las herramientas de las que disponen. Trickbot destaca por su versatilidad y su historial de éxito en ciberataques anteriores", explica Maya Horowitz, directora de Inteligencia e Investigación de Amenazas y Productos en Check Point.
"Como ya sospechábamos, incluso cuando se elimina una amenaza importante, hay muchas otras que siguen suponiendo un alto riesgo en las distintas de las redes de todo el mundo, por lo que las empresas deben asegurarse de que cuentan con sistemas de seguridad robustos para evitar que sus sistemas se vean comprometidos y minimizar los riesgos. Es crucial impartir una formación exhaustiva a todos los empleados, para que estén equipados con las habilidades necesarias para identificar los distintos correos electrónicos maliciosos que propagan Trickbot y otros programas de este tipo", concluye Horowitz.
Malwares en España
Al margen de Trickbot, a las empresas españolas le han preocupado otro tipo de malware durante el mes de febrero, según el interés de búsqueda que revela Check Point. En concreto, los tres más buscados en España fueron:
- QBot. También conocido como Qakbot, es un troyano bancario que apareció por primera vez en 2008, diseñado para robar las credenciales bancarias y las claves del usuario. A menudo se distribuye a través de correo electrónico spam. Qbot emplea varias técnicas anti-VM, anti-debugging y anti-sandbox para obstaculizar el análisis y evadir ser detectado. Este troyano atacó al 7,57% de las empresas en España.
- XMRig. Un cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 4.79% de las empresas españolas.
- Darkgate. Es una amenaza compleja que se instala de manera sigilosa. Este troyano, que ha atacado al 4,02% de las empresas españolas, provoca problemas de desempeño e incapacidad para ejecutar ciertos servicios o aplicaciones.