FunkSec, la amenaza de ransomware impulsada por IA más controvertida, según Check Point Research

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, publica su Índice Global de Amenazas del mes de diciembre de 2024, en el que destaca la creciente sofisticación de los ciberdelincuentes. Este mes, la atención se centra en el auge de FunkSec, un operador emergente de ransomware como servicio (RaaS) que aprovecha la inteligencia artificial, junto con amenazas persistentes de familias de malware como FakeUpdates y AgentTesla.

FunkSec está a la vanguardia de los grupos de ransomware de doble extorsión: ha publicado publicar más de 85 víctimas sólo en diciembre de 2024 y ha superado en volumen a sus competidores. Sin embargo, Check Point Research (CPR) ha calificado muchas de estas afirmaciones como datos reciclados o no verificados, lo que plantea dudas sobre la credibilidad del grupo. Vinculado a Argelia, FunkSec parece buscar beneficio económico y las ideologías hacktivistas, y sus tácticas asistidas por IA apuntan al creciente uso de tecnologías avanzadas en la ciberdelincuencia.

Entre las amenazas de malware más frecuentes este mes, FakeUpdates ha recuperado el primer puesto y ha afectado al 5% de las empresas de todo el mundo, seguido de cerca por AgentTesla (3%) y Androxgh0st (3%). FakeUpdates, también conocido como SocGholish, sigue siendo un descargador versátil que introduce cargas útiles maliciosas adicionales, mientras que AgentTesla sigue teniendo como objetivo las credenciales confidenciales.

"Las últimas tendencias en ciberdelincuencia subrayan la importancia de mantener la vigilancia y potenciar la innovación en ciberseguridad. Las empresas deben aprovechar las medidas avanzadas de prevención para protegerse contra el panorama cambiante de las amenazas más sofisticadas", afirma Maya Horowitz, VP de Investigación de Check Point Software.

Principales familias de malware en España en diciembre
*Las flechas se refieren al cambio de rango en comparación con el mes anterior.

1. ↔FakeUpdates (AKA SocGholish) – Downloader hecho en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en el 7,4% de las empresas en España.
2. ↔ Androxgh0st – Androxgh0st es un botnet que afecta a plataformas Windows, Mac y Linux. Para la infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente dirigidas al PHPUnit, el Marco de Trabajo de Laravel y el Servidor Web Apache. El malware roba información sensible como cuentas de Twilio, credenciales SMTP, llave AWS, etc. Utiliza archivos de Laravel para recolectar la información. Tiene diferentes variantes que escanean información. Este botnet ha impactado al 3,2% de las compañías españolas.
3. ↔ Remcos – Remcos es un RAT que apareció por primera vez en la naturaleza en 2016 y que se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a correos electrónicos no deseados y está diseñado para eludir la seguridad de CCU (Control de Cuentas de Usuario) de Microsoft Windows y ejecutar malware con privilegios de alto nivel. Este RAT ha impactado en un 2,5% de los negocios en España.

Los tres malware móviles más usados en diciembre
El mes pasado, Anubis ha ocupado el primer puesto como malware para móviles más extendido, seguido de Necro y Hydra.

1. ↑ Anubis – es un troyano bancario diseñado para atacar a teléfonos móviles Android. Desde que se detectó ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto (RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
2. ↑Necro - es un troyano dropper de Android. Es capaz de descargar otro malware, mostrar anuncios intrusivos y robar dinero mediante el cobro de suscripciones.
3. ↑ Hydra - un troyano bancario que roba credenciales explotando permisos peligrosos en dispositivos Android.

Los sectores más atacados en España en diciembre
El mes pasado, Gobierno/Militar se mantuvieron en el primer puesto de los sectores más atacados en España, seguido de Medios de Comunicación y Servicios Públicos.

1. Gobierno/Militar
2. Medios de Comunicación
3. Servicios Públicos

Principales grupos de ransomware en diciembre
Los datos se basan en los "shame sites" de grupos de ransomware de doble extorsión que publicaron información sobre las víctimas. FunkSec fue el grupo de ransomware más prevalente el mes pasado, responsable del 14% de los ataques publicados, seguido de RansomHub y LeakeData, ambos con un 9% cada uno.

1. FunkSec – FunkSec es un grupo emergente de ransomware que apareció por primera vez en diciembre de 2024, conocido por utilizar tácticas de doble extorsión. Algunos informes sugieren que comenzó a operar en septiembre de 2024. En particular, su DLS (Data Leak Site) combina informes de incidentes de ransomware con los de violaciones de datos, lo que contribuye a un número inusualmente alto de víctimas.
2. RansomHub - Es una operación de ransomware como servicio (RaaS) que surgió como una versión renovada de Knight. RansomHub, que apareció a principios de 2024 en foros clandestinos de ciberdelincuencia. Ha ganado notoriedad rápidamente por sus agresivas campañas dirigidas a varios sistemas, como Windows, macOS, Linux y, en particular, entornos VMware ESXi. Este malware es conocido por emplear sofisticados métodos de cifrado.
3. LeakeData - LeakedData es una entidad recientemente identificada que opera un clarísimo sitio web de filtración de datos (DLS). La web enumera los datos de las supuestas víctimas y presenta una cuenta atrás para futuras filtraciones. A pesar de presentarse como un grupo de extorsión, la página carece de canales de comunicación, lo que deja poco clara la naturaleza real de la entidad, sus supuestas víctimas y sus intenciones.