El aumento de los 'exploit kit' se revela con Rig EK, segunda amenaza a nivel mundial en marzo

Los 'exploit kits' sirven para descubrir y explotar vulnerabilidades en los dispositivos infectados, con el fin de descargar y ejecutar más códigos maliciosos. Han estado en desuso desde mayo de 2016, tras la desaparición de sus principales variantes, Angler y Nuclear.

Sin embargo, en marzo, como destacan desde la compañía de seguridad, los ataques con Rig EK se multiplicaron, convirtiéndolo en el segundo 'malware' más utilizado en todo el mundo. En España, ha sido la sexta amenaza más común del mes.

Terror, otro exploit kit, también aumentó su uso en marzo, pero se quedo a las puertas de la lista mensual de las diez variantes de software malicioso 'más buscadas', como informa Ceck Point en un comunicado.

"El renacer de los exploit kits en marzo demuestra que las amenazas antiguas no desaparecen para siempre, sino que se ocultan durante unos meses y pueden volver al ataque rápidamente", declara el vicepresidente de productos emergentes de Check Point, Nathan Shuchami.

Rig EK afecta a Flash, Java, Silverlight e Internet Explorer. Su cadena de infección comienza enviando a la víctima a una 'landing page' que contiene un JavaScript. Este fichero comprueba los 'plugins' vulnerables y los ataca. Terror, por su parte, contiene ocho 'exploits' operacionales diferentes. Su importancia y peligrosidad radica en que ambos han sido la puerta de entrada de una amplia variedad de amenazas en los equipo infectados, desde 'ransomware' y troyanos bancarios hasta 'spambots' y 'BitCoin miners'.

Al igual que en febrero, las tres principales familias de 'malware' utilizan una amplia gama de vectores y objetivos de ataque, que afectan a todas las etapas de la cadena de infección. El 'ransomware' ha demostrado ser una de las herramientas más rentables a disposición de los ciberdelincuentes durante 2016. Además, recuerdan desde Check Point, en muchas ocasiones acceden a los terminales infectados a través de un exploit kit, por lo que seguirán siendo una amenaza muy presente en la red.

El 'malware' más común en marzo, tanto a nivel mundial como en España, fue HackerDefender. Al igual que Rig EK, ha impactado al 5 por ciento de las empresas de todo el mundo. Conficker y Cryptowall, las siguientes variantes más comunes, han atacado cada una al 4 por ciento de las organizaciones de todo el globo.

El retorno de los 'exploit kit' se debe a que, como explica Shuchami, para los ciberdelincuents es más fácil "revisar y modificar las familias de 'malware' y los tipos de ataque existentes en lugar de desarrollar nuevos, y los 'exploit kits' son particularmente flexibles y adaptables".

TOP 3 DE AMENAZAS EN ESPAÑA

En España, las tres familias de 'malware' más populares durante marzo han sido HackerDefender, Conficker y Nivdort

HackerDefender, un 'rootkit' para Windows 2000 y Windows XP que también puede funcionar en sistemas basados en Windows NT más modernos. Modifica varias funciones de Windows y de su API para que no sean detectadas por los softwares de seguridad. HackerDefender se difunde de forma masiva, ya que está públicamente disponible en línea y es fácil de instalar.

Conficker, por su parte, es un gusano que ataca a Windows. Explora vulnerabilidades en el sistema operativo y lanza ataques de diccionario contra las contraseñas del usuario para permitir su propagación mientras forma una 'botnet'. La infección permite al atacante acceder a los datos personales de los usuarios. Se propaga a través de plataformas como Facebook, de Skype y de sitios web de correo electrónico.

El tercero, Nivdort, consiste en una familia de troyanos que ataca a Windows. Reúne contraseñas, información del sistema y configuraciones como la versión de Windows, la dirección IP, la configuración del software y la localización aproximada del equipo. Algunas versiones de este 'malware' detectan las teclas pulsadas y modifican configuraciones DNS. Se distribuye a través de archivos adjuntos en correos de 'spam' y de sitios web maliciosos.