Un análisis reciente realizado por investigadores de Kaspersky Lab indica que los agentes de amenaza son la distribución de software malicioso cada vez más polivalente, que puede ser desplegado en una variedad de escenarios de ataque.
Más que 150 Las familias de malware analizados
El equipo analizó más de 150 familias de malware, junto con sus modificaciones a través 60,000 botnets en todo el mundo. Los resultados muestran que la distribución de herramienta de acceso remoto de usos múltiples (RAT) casi se ha duplicado desde el inicio de 2017 (de 6.5% en 2017 a 12.2% en 2018).
Kaspersky Lab ha sido el seguimiento de la actividad de botnets utilizando Seguimiento Botnet, una tecnología que emula los ordenadores infectados (los robots) para recuperar los datos operativos sobre las acciones de los operadores de redes de bots, aclara el informe.
Tras el análisis de los archivos descargados por los robots, los investigadores fueron capaces de identificar a las familias más extendidas. Debe tenerse en cuenta que la parte superior de la lista de la mayoría de las descargas “populares” cambia poco con el tiempo.
RAT más extendida
Las ratas más difundidos son njRAT, DarkComet, y Nanocore, todos los cuales se describen como herramientas de malware que pueden ser modificados de acuerdo a las necesidades de los atacantes. Esto también significa que las herramientas de malware pueden ser adaptados para regiones específicas. Por ejemplo, njRAT se encontró que tienen centros de mando y control en 99 países, simplemente porque es muy fácil para los actores de amenaza para configurar una puerta trasera personal basada en la herramienta, sin necesidad de conocimientos especiales en el desarrollo de software malicioso.
En 2018, que el año pasado, la puerta trasera njRAT representó muchas descargas. Su cuota de entre todos los archivos descargados por los robots aumentó de 3.7% a 5.2%, lo que significa que más de 1 en cada 20 archivos bot descargado es njRAT. Esta amplia distribución se debe a la variedad de versiones del malware y la facilidad de establecer propia puerta trasera de uno, la creación de un umbral de entrada baja.
Por ejemplo, una versión reciente del software malicioso njRAT es la njRAT cal Edición. Lo que lo hace único es el hecho de que incluso en sus primeros lanzamientos que incluye casi todos los módulos contenidos en las amenazas avanzadas. Los programadores detrás de él también se han publicado en el archivo ejecutable de forma gratuita en los sitios subterráneos. La última versión es 0.7.8 publicado en diciembre, 2017.
Hemos sido capaces de obtener una copia de la amenaza a través de las fuentes peligrosas. Es interesante notar que la pieza malicioso estaba siendo anunciado como una herramienta de hacking malicioso remoto, mientras que al mismo tiempo con el mensaje “Sólo para uso educativo”. La primera versión pública seguido por la comunidad (11/9/2017) es conocida 0.7.6.
Como para Nanocore y DarkComet, tienen centros de mando y control en más de 80 países.
Otro descubrimiento importante es que el número de piezas ransomware descargados por botnets se ha incrementado en comparación con 2017.
A pesar de la disminución general de la distribución de programas de ransomware, operadores de botnets siguen entregarlos a las víctimas, notas de Kaspersky Lab. Sus datos muestran que la mayoría de ransomware 2017 fueron descargados por el llamado Bot Humo, pero en 2018 el programa de descarga más popular es manitol.
El año pasado, la EternalBlue explotar desplegado en el brote ransomware WannaCry también estaba siendo utilizado para entregar la puerta trasera Nitol y la Gh0st RAT. Ambas amenazas han existido desde hace varios años y fueron una vez más incluidos en las operaciones maliciosos, con la tendencia continua a lo largo 2018.
GandCrab entra en escena malware
El ransomware GandCrab nefasto ha entrado en la parte superior 10 familias más descargados en 2018. El ransomware se detectó por primera vez este año, y fue rápidamente adoptado por varios operadores de redes de bots, los más activos entre los que destacan la red de bots Trik.
Hablando de GandCrab ... Sus creadores no duermen como el ransomware se ha detectado a infectar a los usuarios a través de nuevos métodos como el juego y otras grietas de software.
El ransowmare GandCrab se ha actualizado constantemente con más y más mejoras en los métodos de la infección y del propio programa malicioso. El ransomware ha pasado por varias versiones internas y es ahora oficialmente en su 4.4 versión. Mientras que algunas características se han eliminado, otras se han añadido, con la cuarta versión única using.exe archivos de grietas para juegos o software de licencia para infectar a los usuarios en todo el mundo.
Leer más sobre versión GandCrab 4.