{"id":175516,"date":"2024-05-16T16:11:06","date_gmt":"2024-05-16T14:11:06","guid":{"rendered":"https:\/\/nuevoitsitio1.wpenginepowered.com\/co\/sin-categoria\/estos-fueron-los-3-malware-mas-buscados-en-abril\/"},"modified":"2025-11-21T21:22:55","modified_gmt":"2025-11-22T00:22:55","slug":"estos-fueron-los-3-malware-mas-buscados-en-abril","status":"publish","type":"post","link":"https:\/\/www.itsitio.com\/co\/seguridad\/estos-fueron-los-3-malware-mas-buscados-en-abril\/","title":{"rendered":"Estos fueron los 3 malware m\u00e1s buscados en abril"},"content":{"rendered":"

Check Point Software Technologies<\/strong>, proveedor de soluciones de ciberseguridad en la nube basadas en IA, publica su \u00cdndice Global de Amenazas del mes de abril de 2024<\/strong>. El mes pasado, los investigadores revelaron un aumento significativo en el uso de ataques Androxgh0st<\/strong>, con el malware utilizado como herramienta para robar informaci\u00f3n confidencial mediante botnets. A pesar de una ca\u00edda del 55% en su tasa de detecci\u00f3n desde principios de a\u00f1o, LockBit3 se mantuvo como el grupo de ransomware m\u00e1s prevalente en abril, lo que ha reducido su impacto mundial del 20% al 9%<\/strong>.<\/p>\n

Los investigadores han monitorizado las actividades de Androxgh0st desde su aparici\u00f3n en diciembre de 2022. Los atacantes, que aprovechan vulnerabilidades como CVE-2021-3129 y CVE-2024-1709, despliegan web shells para el control remoto mientras se centran en construir botnets para el robo de credenciales. As\u00ed se se\u00f1ala en un aviso conjunto sobre ciberseguridad publicado por el FBI y el CISA. En particular, este operador de malware se ha asociado con la distribuci\u00f3n del ransomware Adhublika. Los actores de Androxgh0st han demostrado una preferencia por explotar vulnerabilidades en aplicaciones Laravel para robar credenciales de servicios en la nube como AWS, SendGrid y Twilio<\/strong>.<\/p>\n

\"width=\"
En Colombia atacaron los ya conocidos Remcos, Fakeupdates y AsyncRat. los investigadores revelaron un aumento significativo en el uso de ataques Androxgh0st.<\/figcaption><\/figure>\n

“Nuestra investigaci\u00f3n ha demostrado que los esfuerzos internacionales colectivos para desactivar LockBit3 parecen haber tenido \u00e9xito puesto que se ha reducido su impacto en m\u00e1s del 50% desde el inicio de 2024”<\/em>, se\u00f1ala Maya Horowitz, vicepresidenta de investigaci\u00f3n de Check Point Software<\/strong>.<\/p>\n

“Las empresas deben seguir priorizando su ciberseguridad siendo proactivas y reforzando la red, los endpoints y el correo electr\u00f3nico. Implementar defensas multicapa y establecer copias de seguridad robustas, procedimientos de recuperaci\u00f3n y planes de respuesta a incidentes sigue siendo clave para impulsar la ciberresiliencia”<\/em>, afirma Manuel Rodr\u00edguez, Gerente de Ingenier\u00eda de Seguridad para NOLA de Check Point Software<\/strong>.<\/p>\n

El mes pasado, las vulnerabilidades m\u00e1s explotadas a nivel mundial fueron “Command Injection Over HTTP” y “Web Servers Malicious URL Directory Traversal”, que afectaron al 52% de las empresas. Les sigui\u00f3 la ” HTTP Headers Remote Code Execution”, con un impacto global del 45%.<\/p>\n

\"width=\"
Los actores de Androxgh0st han demostrado una preferencia por explotar vulnerabilidades en aplicaciones Laravel para robar credenciales de servicios en la nube como AWS, SendGrid y Twilio.<\/figcaption><\/figure>\n

Los tres malware m\u00e1s buscados en Colombia en abril<\/span><\/h2>\n
    \n
  1. \u2191 Remcos<\/strong> – Es un RAT que apareci\u00f3 por primera vez en 2016. Se distribuye a trav\u00e9s de documentos maliciosos de Microsoft Office que se adjuntan a los correos electr\u00f3nicos SPAM, y est\u00e1 dise\u00f1ado para eludir la seguridad UAC de Microsoft Windows y ejecutar el malware con privilegios de alto nivel. En Colombia en abril tuvo un impacto en las empresas del 12.39% y a nivel global del 1.18%.<\/li>\n
  2. \u2191FakeUpdates<\/strong> \u2013 Downloader escrito en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloaderimpact\u00f3 en abril al 12.08% de las empresas en Colombia y al 6.13% en el mundo.<\/li>\n
  3. \u2193 AsyncRat<\/strong> – AsyncRat es un troyano dirigido a la plataforma Windows. Este malware env\u00eda informaci\u00f3n del sistema sobre el sistema objetivo a un servidor remoto. Recibe comandos del servidor para descargar y ejecutar complementos, finalizar procesos, desinstalarse\/actualizarse y capturar capturas de pantalla del sistema infectado. Ha impactado en abril el 6.34% de las empresas en Colombia y en el mundo al 1.46%.<\/li>\n<\/ol>\n
    \"width=\"
    Check Point Software Technologies, proveedor de soluciones de ciberseguridad en la nube basadas en IA, publica su \u00cdndice Global de Amenazas del mes de abril de 2024.<\/figcaption><\/figure>\n

    Las tres industrias m\u00e1s atacadas en abril<\/span><\/h2>\n

    El mes pasado, Educaci\u00f3n\/Investigaci\u00f3n se situ\u00f3 como la industria m\u00e1s atacada en el mundo, seguida de Gobierno\/Militar y Salud.<\/p>\n

      \n
    1. Educaci\u00f3n\/Investigaci\u00f3n<\/li>\n
    2. Gobierno\/Militar<\/li>\n
    3. Salud<\/li>\n<\/ol>\n

      Las tres vulnerabilidades m\u00e1s explotadas en abril<\/span><\/h2>\n

      Por otra parte, Check Point Software se\u00f1ala que el mes pasado las vulnerabilidades m\u00e1s explotadas fueron “Command Injection Over HTTP” y “Web Servers Malicious URL Directory Traversal\u201d, impactando en un 52% de las empresas de todo el mundo, seguida de \u201cHTTP Headers Remote Code Execution\u201d con un 45%<\/strong>.<\/p>\n

        \n
      1. \u2194 Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086)<\/strong> \u2013 Se ha informado de una vulnerabilidad de inyecci\u00f3n de comandos sobre HTTP. Un atacante remoto puede explotar este problema enviando una solicitud especialmente dise\u00f1ada a la v\u00edctima. La explotaci\u00f3n exitosa permitir\u00eda a un atacante ejecutar c\u00f3digo arbitrario en la m\u00e1quina objetivo.<\/li>\n
      2. \u2194 Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260)<\/strong> \u2013 Existe una vulnerabilidad de traves\u00eda de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validaci\u00f3n de entrada en un servidor web que no desinfecta correctamente la URI para los patrones de traves\u00eda de directorios. La explotaci\u00f3n exitosa permite a atacantes remotos no autenticados revelar o acceder a archivos arbitrarios en el servidor vulnerable.<\/li>\n
      3. \u2191 HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375)<\/strong> \u2013 Los encabezados HTTP permiten que el cliente y el servidor pasen informaci\u00f3n adicional con una solicitud HTTP. Un atacante remoto puede utilizar un encabezado HTTP vulnerable para ejecutar c\u00f3digo arbitrario en la m\u00e1quina v\u00edctima.<\/li>\n<\/ol>\n
        \"width=\"
        Los 3 malware mas buscados en abril.<\/figcaption><\/figure>\n

        Los tres malware m\u00f3viles m\u00e1s usados en abril<\/span><\/h2>\n

        El mes pasado Anubis se mantuvo en el primer lugar como el malware m\u00f3vil m\u00e1s usado, seguido de AhMyth y Hiddad.<\/p>\n

          \n
        1. Anubis<\/strong> \u2013 Malware troyano bancario dise\u00f1ado para tel\u00e9fonos m\u00f3viles Android. Desde que se detect\u00f3 ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto (RAT), keylogger, grabaci\u00f3n de audio y varias caracter\u00edsticas de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.<\/li>\n
        2. AhMyth<\/strong> \u2013 Troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a trav\u00e9s de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar informaci\u00f3n confidencial del dispositivo y realizar acciones como el registro de teclas, capturas de pantalla, el env\u00edo de mensajes SMS y la activaci\u00f3n de la c\u00e1mara, lo que se suele usar para robar informaci\u00f3n sensible.<\/li>\n
        3. Hiddad<\/strong> \u2013 Hiddad es un malware para Android que re empaqueta aplicaciones leg\u00edtimas y las coloca en la tienda de un tercero. Su funci\u00f3n principal es mostrar anuncios, pero tambi\u00e9n puede obtener acceso a detalles de seguridad clave integrados en el sistema operativo.<\/li>\n<\/ol>\n
          \"width=\"
          El mes pasado Anubis se mantuvo en el primer lugar como el malware m\u00f3vil m\u00e1s usado, seguido de AhMyth y Hiddad.<\/figcaption><\/figure>\n

          Los tres grupos ransomware m\u00e1s destacados en abril<\/span><\/h2>\n

          Esta secci\u00f3n se basa en informaci\u00f3n recibida de m\u00e1s de 200 \u201cshame sites\u201d ejecutados por grupos ransomware de doble extorsi\u00f3n que publicaron los nombres e informaci\u00f3n de las v\u00edctimas. Los datos de estos sitios tienen sus propios sesgos, pero aun as\u00ed proporcionan informaci\u00f3n valiosa sobre el ecosistema del ransomware.
          \nEn el \u00faltimo mes, LockBit3 ha sido el ransomware m\u00e1s destacado, responsable del 9% de los ataques realizados, seguido de Play con un 7% y 8Base con un 6%.<\/p>\n

            \n
          1. LockBit3<\/strong> – LockBit3 es un ransomware que opera en un modelo de RaaS, reportado por primera vez en septiembre de 2019. LockBit tiene como objetivo a grandes empresas y entidades gubernamentales de varios pa\u00edses y no apunta a individuos en Rusia o la Comunidad de Estados Independientes. A pesar de experimentar interrupciones significativas en febrero de 2024 debido a la acci\u00f3n de las fuerzas del orden, LockBit3 ha reanudado la publicaci\u00f3n de informaci\u00f3n sobre sus v\u00edctimas.<\/li>\n
          2. Play<\/strong> – Play Ransomware, tambi\u00e9n conocido como PlayCrypt, es un grupo de ransomware que surgi\u00f3 por primera vez en junio de 2022. Este ransomware ha dirigido un amplio espectro de empresas e infraestructuras cr\u00edticas en Am\u00e9rica del Norte, Am\u00e9rica del Sur y Europa, afectando aproximadamente a 300 entidades para octubre de 2023. Play Ransomware suele obtener acceso a redes a trav\u00e9s de cuentas v\u00e1lidas comprometidas o mediante la explotaci\u00f3n de vulnerabilidades no parcheadas, como las de los Fortinet SSL VPN. Una vez dentro, emplea t\u00e9cnicas como el uso de binarios de “living-off-the-land” (LOLBins) para tareas como la exfiltraci\u00f3n de datos y el robo de credenciales.<\/li>\n
          3. 8base<\/strong> \u2013 Esta banda de ransomware ha estado activa desde marzo de 2022. Gan\u00f3 notoriedad a mediados de 2023 con un notable aumento de su actividad. Este grupo usa diversas variantes de ransomware, siendo Phobos un elemento com\u00fan. 8Base opera con gran nivel de sofisticaci\u00f3n y t\u00e9cnicas avanzadas. Sus m\u00e9todos de ataque incluyen t\u00e1cticas de doble extorsi\u00f3n.<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"

            Check Point Software Technologies, proveedor de soluciones de ciberseguridad en la nube basadas en IA, publica su Índice Global de Amenazas del mes de abril de 2024. El mes pasado, los investigadores revelaron un aumento significativo en el uso de ataques Androxgh0st, con el malware utilizado como herramienta para robar información confidencial mediante botnets. A pesar de una caída del 55% en su tasa de detección desde principios de año, LockBit3 se mantuvo como el grupo de ransomware más prevalente en abril, lo que ha reducido su impacto mundial del 20% al 9%. Los investigadores han monitorizado las actividades de Androxgh0st desde su aparición en diciembre de 2022. Los atacantes, que aprovechan vulnerabilidades como CVE-2021-3129 y CVE-2024-1709, despliegan web shells para el control remoto mientras se centran en construir botnets para el robo de credenciales. Así se señala en un aviso conjunto sobre ciberseguridad publicado por el FBI y el CISA. En particular, este operador de malware se ha asociado con la distribución del ransomware Adhublika. Los actores de Androxgh0st han demostrado una preferencia por explotar vulnerabilidades en aplicaciones Laravel para robar credenciales de servicios en la nube como AWS, SendGrid y Twilio. “Nuestra investigación ha demostrado que los esfuerzos internacionales colectivos para desactivar LockBit3 parecen haber tenido éxito puesto que se ha reducido su impacto en más del 50% desde el inicio de 2024”, señala Maya Horowitz, vicepresidenta de investigación de Check Point Software. “Las empresas deben seguir priorizando su ciberseguridad siendo proactivas y reforzando la red, los endpoints y el correo electrónico. Implementar defensas multicapa y establecer copias de seguridad robustas, procedimientos de recuperación y planes de respuesta a incidentes sigue siendo clave para impulsar la ciberresiliencia”, afirma Manuel Rodríguez, Gerente de Ingeniería de Seguridad para NOLA de Check Point Software. El mes pasado, las vulnerabilidades más explotadas a nivel mundial fueron “Command Injection Over HTTP” y “Web Servers Malicious URL Directory Traversal”, que afectaron al 52% de las empresas. Les siguió la ” HTTP Headers Remote Code Execution”, con un impacto global del 45%. Los tres malware más buscados en Colombia en abril ↑ Remcos – Es un RAT que apareció por primera vez en 2016. Se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a los correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar el malware con privilegios de alto nivel. En Colombia en abril tuvo un impacto en las empresas del 12.39% y a nivel global del 1.18%. ↑FakeUpdates – Downloader escrito en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloaderimpactó en abril al 12.08% de las empresas en Colombia y al 6.13% en el mundo. ↓ AsyncRat – AsyncRat es un troyano dirigido a la plataforma Windows. Este malware envía información del sistema sobre el sistema objetivo a un servidor remoto. Recibe comandos del servidor para descargar y ejecutar complementos, finalizar procesos, desinstalarse\/actualizarse y capturar capturas de pantalla del sistema infectado. Ha impactado en abril el 6.34% de las empresas en Colombia y en el mundo al 1.46%. Las tres industrias más atacadas en abril El mes pasado, Educación\/Investigación se situó como la industria más atacada en el mundo, seguida de Gobierno\/Militar y Salud. Educación\/Investigación Gobierno\/Militar Salud Las tres vulnerabilidades más explotadas en abril Por otra parte, Check Point Software señala que el mes pasado las vulnerabilidades más explotadas fueron “Command Injection Over HTTP” y “Web Servers Malicious URL Directory Traversal”, impactando en un 52% de las empresas de todo el mundo, seguida de “HTTP Headers Remote Code Execution” con un 45%. ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Se ha informado de una vulnerabilidad de inyección de comandos sobre HTTP. Un atacante remoto puede explotar este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina objetivo. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe una vulnerabilidad de travesía de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no desinfecta correctamente la URI para los patrones de travesía de directorios. La explotación exitosa permite a atacantes remotos no autenticados revelar o acceder a archivos arbitrarios en el servidor vulnerable. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – Los encabezados HTTP permiten que el cliente y el servidor pasen información adicional con una solicitud HTTP. Un atacante remoto puede utilizar un encabezado HTTP vulnerable para ejecutar código arbitrario en la máquina víctima. Los tres malware móviles más usados en abril El mes pasado Anubis se mantuvo en el primer lugar como el malware móvil más usado, seguido de AhMyth y Hiddad. Anubis – Malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto (RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store. AhMyth – Troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como el registro de teclas, capturas de pantalla, el envío de mensajes SMS y la activación de la cámara, lo que se suele usar para robar información sensible. Hiddad – Hiddad es un malware para Android que re empaqueta aplicaciones legítimas y las coloca en la tienda de un tercero. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles de seguridad clave integrados en el sistema operativo. Los tres grupos ransomware más destacados en abril Esta sección se basa en información recibida de más<\/p>\n","protected":false},"author":229,"featured_media":175517,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[20],"tags":[147],"class_list":["post-175516","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad","tag-check-point"],"_links":{"self":[{"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/posts\/175516","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/users\/229"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/comments?post=175516"}],"version-history":[{"count":0,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/posts\/175516\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/media\/175517"}],"wp:attachment":[{"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/media?parent=175516"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/categories?post=175516"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/tags?post=175516"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}