Evolución de las amenazas informáticas en el primer trimestre de 2024
Evolución de las amenazas informáticas en el primer trimestre de 2024. Estadísticas de amenazas móviles
Evolución de las amenazas informáticas en el primer trimestre de 2024. Estadísticas de computadoras personales
El presente documento contiene los veredictos de detección emitidos por los productos Kaspersky a partir de los datos estadísticos que los mismos usuarios aceptaron proporcionar.
Cifras del trimestre
En el primer trimestre de 2024:
- Las soluciones de Kaspersky repelieron más de 658 millones de ataques procedentes de diversos recursos de Internet
- El antivirus web reaccionó ante algo menos de 153 millones de enlaces únicos
- El antivirus de archivos bloqueó casi 32 millones de objetos maliciosos y no deseados
- Más de 83 000 usuarios sufrieron ataques de cifradores
- El 20% de todas las víctimas de cifradores cuyos datos se publicaron en grupos DLS (sitio de filtraciones de datos) fueron víctimas de LockBit
- Más de 394 000 usuarios lidiaron con criptomineros maliciosos
Programas cifradores maliciosos
Principales tendencias y acontecimientos del trimestre
BlackCat/ALPHV
A principios de marzo, BlackCat (también conocido como ALPHV), un grupo que distribuye un cifrador malicioso homónimo, anunció su retirada del mercado de la ciberdelincuencia. Los atacantes culparon de su decisión a la Oficina Federal de Investigación de Estados Unidos (FBI). Un portavoz del grupo publicó un mensaje en un foro clandestino en el que decía que los “federales” supuestamente “nos habían engañado”, y en el sitio web donde los atacantes publicaron los datos de las víctimas apareció un banner en el que se decía que el FBI había incautado los servidores “gracias a los esfuerzos coordinados de las fuerzas de seguridad”. Sin embargo, los responsables del FBI declinaron hacer comentarios, mientras que Europol y la Agencia Nacional contra el Crimen del Reino Unido (NCA) afirmaron no estar implicados en ninguna operación contra la infraestructura de BlackCat.
Los representantes de BlackCat también publicaron un post sobre la venta del código fuente de su cifrador por cinco millones de dólares. Y unos días antes, uno de los socios del grupo publicó un post en el que acusaba al grupo de haberle robado un rescate de más de veinte millones de dólares que había recibido de una de las empresas víctimas. En este contexto, es probable que las afirmaciones de una “operación coordinada” sean un intento de BlackCat de desaparecer con el dinero. No sería la primera vez que los creadores de RaaS quiebran y se adueñan de los fondos de sus socios de distribución del cripto-ransomware.
LockBit
En febrero, las agencias policiales de 10 países incautaron parte de la infraestructura de LockBit, uno de los grupos de ransomware más activos, en una operación conjunta denominada Operation Cronos. La operación también tuvo como saldo la detención de dos operadores de LockBit y varias órdenes de detención internacionales contra otros miembros del grupo.
Sin embargo, poco después los desarrolladores de LockBit reactivaron sus servidores y continuaron los ataques con una versión actualizada de su cifrador, lo que aparentemente indicaría que los daños sufridos por el grupo como consecuencia de la operación policial fueron insignificantes.
Los grupos más activos
En esta sección, examinamos a los grupos extorsionadores más activos, que no sólo cifran los archivos de sus víctimas, sino que también les roban sus datos confidenciales y los publican (la llamada doble extorsión). Las estadísticas se basan en el número de nuevas víctimas añadidas al DLS (sitio de filtración de datos) de cada pandilla.
LockBit fue el grupo más activo en el primer trimestre de 2024, ya que publicó en su DLS el 20,34% del número total de nuevas víctimas de ransomware. Black Basta (7,02%) quedó en segundo lugar, y Play (6,75%), en tercero.
Proporción de víctimas de una agrupación determinada (según el sitio DLS de la agrupación específica), del total de las víctimas de todas las agrupaciones publicadas en todos los sitios DLS revisados durante el periodo de referencia (descargar)
Número de nuevas modificaciones de troyanos cifradores
En el primer trimestre de 2024, descubrimos nueve nuevas familias y 7070 nuevas modificaciones de cifradores.
Número de nuevas modificaciones de cifradores, primer trimestre de 2023 – primer trimestre de 2024 (descargar)
Número de usuarios atacados por troyanos cifradores
En el primer trimestre, las soluciones de Kaspersky protegieron a 83 270 usuarios únicos frente a los troyanos cifradores.
Número de usuarios únicos atacados por troyanos cifradores, primer trimestre de 2024 (descargar)
Distribución geográfica de los ataques
TOP 10 de países y territorios más atacados por troyanos cifradores:
País o territorio | %** | |
1 | Corea del Sur | 0,75% |
2 | Bangladesh | 0,63% |
3 | Libia | 0,57% |
4 | Pakistán | 0,56% |
5 | Irán | 0,49% |
6 | China | 0,46% |
7 | Irak | 0,40% |
8 | Venezuela | 0,37% |
9 | Tanzania | 0,36% |
10 | Tayikistán | 0,36% |
*Hemos excluido de nuestros cálculos a los países y territorios donde el número de usuarios de Kaspersky es relativamente pequeño (menos de 50 000).
**Porcentaje de usuarios únicos cuyos equipos fueron atacados por troyanos cifradores, del total de usuarios de productos de Kaspersky en el país o territorio.
TOP 10 de las familias de troyanos cifradores más propagadas
Nombre | Veredictos* | Porcentaje de usuarios atacados** | |
1 | (veredicto genérico) | Trojan-Ransom.Win32.Gen | 22,92% |
2 | WannaCry | Trojan-Ransom.Win32.Wanna | 11,68% |
3 | (veredicto genérico) | Trojan-Ransom.Win32.Encoder | 8,63% |
4 | (veredicto genérico) | Trojan-Ransom.Win32.Crypren | 6,66% |
5 | Stop/Djvu | Trojan-Ransom.Win32.Stop | 6,46% |
6 | PolyRansom/VirLock | Virus.Win32PolyRansom / Trojan-Ransom.Win32.PolyRansom | 3,87% |
7 | (veredicto genérico) | Trojan-Ransom.MSIL.Agent | 3,66% |
8 | (veredicto genérico) | Trojan-Ransom.Win32.Crypmod | 3,01% |
9 | (veredicto genérico) | Trojan-Ransom.Win32.Phny | 3,00% |
10 | (veredicto genérico) | Trojan-Ransom.Win32.Agent | 2,40% |
* Estadísticas basadas en los veredictos de detección de los productos Kaspersky. Datos estadísticos proporcionados por los usuarios de los productos Kaspersky con su consentimiento.
** Proporción de usuarios únicos de Kaspersky que fueron atacados por una familia de troyanos extorsionadores en particular, del total de usuarios atacados por troyanos extorsionadores.
Criptomineros
Número de modificaciones de nuevos criptomineros
En el primer trimestre de 2024, las soluciones de Kaspersky detectaron 6601 nuevas modificaciones de criptomineros.
Número de nuevas modificaciones de criptomineros, primer trimestre de 2024 (descargar)
Número de usuarios atacados por criptomineros
En el primer trimestre, las soluciones de Kaspersky protegieron de los mineros a 394 120 usuarios únicos en todo el mundo.
Número de usuarios únicos atacados por mineros, primer trimestre de 2024 (descargar)
Distribución geográfica de los ataques
TOP 10 DE países y territorios más atacados por los criptomineros:
País o territorio | %** | |
1 | Tayikistán | 2,41 |
2 | Venezuela | 1,91 |
3 | Kazajistán | 1,88 |
4 | Kirguistán | 1,80 |
5 | Bielorrusia | 1,69 |
6 | Uzbekistán | 1,55 |
7 | Etiopía | 1,46 |
8 | Ucrania | 1,34 |
9 | Mozambique | 1,19 |
10 | Sri Lanka | 1,12 |
* Hemos excluido de nuestros cálculos a los países y territorios donde el número de usuarios de Kaspersky es relativamente pequeño (menos de 50.000).
** Porcentaje de los usuarios únicos de Kaspersky atacados por criptomineros, del total de usuarios únicos de los productos de Kaspersky en el país.
Ataques a macOS
En el mundo de los troyanos para macOS, el año 2024 comenzó con el descubrimiento del nuevo backdoor SpectralBlur, supuestamente vinculado al grupo Bluenoroff. Este malware tiene capacidades estándar de backdoor, entre ellas las de descarga y eliminación de archivos, la carga de datos a un servidor de comando y control, y la ejecución de comandos de shell en un pseudo terminal.
Más adelante descubrimos un gran conjunto de aplicaciones hackeadas infectadas que contenían un descargador de backdoor escrito en Python en su interior. Se caracteriza por su capacidad para suplantar aplicaciones de monederos de criptomonedas Bitcoin y Exodus con versiones infectadas para robar las contraseñas y frases de contraseña que contienen.
También encontramos versiones infectadas de los editores de texto VNote y Notepad, que contenían un descargador del agente CobaltStrike. Se distribuían a través de motores de búsqueda chinos, sobre todo mediante banners publicitarios.
Una de las últimas amenazas descubiertas en el primer trimestre fue un backdoor escrito en Rust casi idéntico al actualizador de VisualStudio y que se propagaba bajo la apariencia de documentos de ofertas de empleo. El backdoor estaba dirigido a desarrolladores y existía en unas cuantas variantes. Al parecer, su principal misión sería espiar a las víctimas.
TOP 20 de amenazas para macOS
Veredicto | %* |
Trojan-Downloader.OSX.Agent.gen | 11,49 |
AdWare.OSX.Amc.e | 5,84 |
Trojan.OSX.Agent.gen | 5,35 |
AdWare.OSX.Agent.ai | 5,11 |
AdWare.OSX.Agent.gen | 5,05 |
AdWare.OSX.Pirrit.ac | 4,99 |
Monitor.OSX.HistGrabber.b | 4,99 |
AdWare.OSX.Bnodlero.ax | 4,27 |
AdWare.OSX.Agent.ap | 3.73 |
AdWare.OSX.Pirrit.j | 3,19 |
AdWare.OSX.Mhp.a | 2,95 |
AdWare.OSX.Pirrit.gen | 2,29 |
HackTool.OSX.DirtyCow.a | 2,23 |
RiskTool.OSX.Spigot.a | 2,17 |
AdWare.OSX.Pirrit.ae | 2,05 |
Hoax.OSX.MacBooster.a | 1,93 |
Trojan-Downloader.OSX.Lador.a | 1,93 |
Trojan-Downloader.OSX.Agent.h | 1,87 |
AdWare.OSX.Bnodlero.bg | 1,87 |
Backdoor.OSX.Agent.l | 1,81 |
* Porcentaje de usuarios únicos atacados por este malware, del total de usuarios de las soluciones de seguridad de Kaspersky para macOS atacados.
Encabeza la lista de amenazas activas un troyano que descarga otras aplicaciones peligrosas. La mayoría de las veces envía todo tipo de adware al dispositivo infectado, pero este troyano no tiene restricciones técnicas de descarga, por lo que también puede descargar malware arbitrario.
Distribución geográfica de las amenazas para macOS
TOP 10 de países y territorios según la proporción de usuarios atacados
País o territorio | %** |
España | 1,27 |
Italia | 1,11 |
Canadá | 1,02 |
Francia | 0,93 |
México | 0,88 |
EE.UU. | 0,81 |
Alemania | 0,77 |
Reino Unido | 0,75 |
Hong Kong | 0,73 |
Brasil | 0,66 |
* Hemos excluido de la clasificación a aquellos países y territorios donde el número de usuarios de las soluciones de seguridad de Kaspersky para macOS es relativamente pequeño (menos de 5000).
** Porcentaje de usuarios únicos atacados, del total usuarios de las soluciones de seguridad para macOS de Kaspersky en un país o territorio.
China continental, que suele encabezar la lista de usuarios de macOS atacados, esta vez no entró en el TOP 10. España, Italia y Canadá fueron los países en los que más usuarios se toparon con amenazas para este sistema operativo.
Ataques contra el Internet de las cosas (IoT)
Estadísticas de las amenazas para el IoT
En el primer trimestre de 2024, la distribución de los dispositivos que atacan las trampas de Kaspersky en función del protocolo que utilizan fue la siguiente:
Protocolo | Cuarto trimestre de 2023 | Primer trimestre de 2024 |
Telnet | 91,88% | 93,31% |
SSH | 8,12% | 6,69% |
Tabla de distribución de los servicios atacados, por el número de direcciones IP únicas de los dispositivos que lanzaron los ataques
Como se puede ver, los atacantes ahora usan Telnet con más frecuencia que SSH. Así lo confirman los datos sobre el número de ataques a ambos protocolos.
Protocolo | Cuarto trimestre de 2023 | Primer trimestre de 2024 |
Telnet | 92,17% | 96,48% |
SSH | 7,83% | 3,52% |
Tabla de distribución de las sesiones de trabajo de los ciberdelincuentes con las trampas de Kaspersky
TOP 10 de amenazas descargadas en dispositivos IoT:
TOP 10 de amenazas | %* cuarto trimestre de 2023 | %* primer trimestre de 2024 |
Trojan-Downloader.Linux.NyaDrop.b | 19,40 | 37,26 |
Backdoor.Linux.Mirai.b | 12,97 | 10,22 |
Trojan.Linux.Agent.nx | 0,20 | 8,73 |
Backdoor.Linux.Mirai.ba | 2,69 | 6,08 |
Backdoor.Linux.Mirai.cw | 4,86 | 6,06 |
Backdoor.Linux.Gafgyt.a | 1,19 | 3,53 |
Backdoor.Linux.Mirai.gp | 0,05 | 2,81 |
Backdoor.Linux.Gafgyt.fj | 0,05 | 1,97 |
Backdoor.Linux.Mirai.fg | 2,52 | 1,57 |
Trojan-Downloader.Shell.Agent.p | 0,99 | 1,54 |
* Proporción de la amenaza específica que se descargó en el dispositivo infectado como resultado de un ataque exitoso, del número total de amenazas descargadas.
Ataques a las trampas de IoT
No hubo cambios drásticos en la distribución de los ataques SSH por países y territorios. El aumento más significativo de la proporción de ataques ocurrió en Corea del Sur, Singapur y Alemania.
País o territorio | %* cuarto trimestre de 2023 | %* primer trimestre de 2024 |
China continental | 21,33 | 20,58 |
EE.UU. | 11,65 | 12,15 |
Corea del Sur | 7,03 | 9,59 |
Singapur | 3,97 | 6,87 |
Alemania | 3,76 | 4,97 |
India | 4,95 | 4,52 |
Hong Kong | 2,27 | 3,25 |
Rusia | 3,37 | 2,84 |
Brasil | 3,86 | 2,36 |
Japón | 1,77 | 2,36 |
* Proporción de direcciones IP únicas ubicadas en el país o territorio, del total de direcciones IP únicas de dispositivos que atacaron las trampas de Kaspersky mediante el protocolo SSH.
Los atacantes que utilizan el protocolo Telnet aumentaron de forma notable los ataques desde el territorio de China continental.
País o territorio | %* cuarto trimestre de 2023 | %* primer trimestre de 2024 |
China continental | 32,96 | 41,51 |
India | 17,91 | 17,47 |
Japón | 3,62 | 4,89 |
Brasil | 4,81 | 3,78 |
Rusia | 3,84 | 3,12 |
Tailandia | 1,08 | 2,95 |
Taiwán | 2,29 | 2,73 |
Corea del Sur | 3.81 | 2,53 |
EE.UU. | 2,82 | 2,20 |
Argentina | 1,81 | 1,36 |
* Proporción de direcciones IP únicas ubicadas en el país o territorio, del total de direcciones IP únicas de dispositivos que atacaron las trampas de Kaspersky mediante el protocolo Telnet.
Ataques a través de recursos web
Los datos estadísticos de este capítulo han sido recopilados por el antivirus web, que protege a los usuarios cuando descargan objetos maliciosos de una página web maliciosa o infectada. Los atacantes crean sitios maliciosos a propósito; los sitios infectados pueden ser de contenidos generados por los usuarios (por ejemplo, foros) o recursos legítimos comprometidos.
TOP 10 de países y territorios de origen de los ataques web
Estas estadísticas muestran cómo se distribuyen por países y territorios los orígenes de los ataques de Internet que fueron bloqueados por los productos Kaspersky en las computadoras de los usuarios (páginas web con redirecciones a exploits, sitios con exploits y otros programas maliciosos, centros de control de botnets, etc.). Hacemos notar que cada host único puede ser fuente de uno o más ataques web.
Para determinar el origen geográfico de los ataques web se usó el método de comparación del nombre de dominio con la dirección IP real donde se encuentra el dominio dado y la definición de la ubicación geográfica de la dirección IP (GEOIP).
En el primer trimestre de 2024, las soluciones de Kaspersky repelieron 658 181 425 ataques originados en recursos en línea alojados en cualquier parte del mundo. Se detectaron 152 841 402 URL únicas que activaron el antivirus web.
Distribución de las fuentes de ataques web por país y territorio, primer trimestre de 2024 (descargar)
Países y territorios en los que los usuarios corrieron mayor riesgo de infectarse a través de Internet
Con el fin de estimar el riesgo de infección por malware a través de Internet al que están expuestas las computadoras de los usuarios en diferentes países y territorios del mundo, calculamos en cada país y territorio el porcentaje de usuarios de los productos de Kaspersky en los que el antivirus web realizó detecciones durante el periodo cubierto por el informe. Los datos obtenidos son una medida de la agresividad del entorno en el que operan las computadoras en diferentes países y territorios.
Recordemos que esta clasificación sólo tiene en cuenta los ataques de objetos maliciosos de la clase Malware. En nuestros cálculos, no hemos tenido en cuenta las reacciones del antivirus web ante programas potencialmente peligrosos y no deseados, como RiskTool y Adware.
País o territorio | %** | |
1 | Grecia | 14,09 |
2 | Bulgaria | 13,01 |
3 | Madagascar | 12,54 |
4 | Albania | 12,04 |
5 | Macedonia del Norte | 12,00 |
6 | Ecuador | 11,90 |
7 | Sri Lanka | 11,82 |
8 | Catar | 11,77 |
9 | Nepal | 11,56 |
10 | Bangladesh | 11,36 |
11 | Perú | 11,24 |
12 | Kenia | 11,02 |
13 | Venezuela | 10,97 |
14 | Sudáfrica | 10,94 |
15 | Argelia | 10,87 |
16 | Serbia | 10,84 |
17 | Túnez | 10,77 |
18 | Lituania | 10,66 |
19 | Moldavia | 10,51 |
20 | Eslovaquia | 10,50 |
* Hemos excluido de los cálculos a los países y territorios donde el número de usuarios de Kaspersky es relativamente pequeño (menos de 10 000).
** Porcentaje de usuarios únicos que han estado expuestos a ataques web lanzados por objetos maliciosos de la clase Malware, del total de usuarios únicos de los productos de Kaspersky en el país o territorio.
En promedio, el 7,98% de las computadoras de los usuarios de Internet en el mundo fueron atacadas por programas de la clase Malware al menos una vez durante el trimestre.
Amenazas locales
Estas estadísticas se basan en los veredictos de detección de los módulos OAS (on-access scan, análisis cuando se accede a un archivo) y ODS (on-demand scan, análisis ejecutado por el usuario) del antivirus, que fueron proporcionados por los usuarios de productos de Kaspersky que dieron su consentimiento para la transferencia de datos estadísticos. Hemos tomado en cuenta los programas maliciosos encontrados directamente en los equipos de los usuarios o en las memorias extraíbles conectadas a éstos: memorias USB, tarjetas de memoria de cámaras, teléfonos y discos duros externos.
En el primer trimestre de 2024, nuestro antivirus de archivos detectó 31 817 072 objetos maliciosos y potencialmente no deseados.
Países y territorios en los que las computadoras corren más riesgo de infección local
Para cada país y territorio, hemos calculado la proporción de usuarios de productos de Kaspersky en los que se observaron detecciones realizadas por el antivirus de archivos durante el periodo de referencia. Estas estadísticas reflejan el nivel de infecciones en computadoras personales en diferentes países y territorios de todo el mundo.
Vale decir que esta clasificación sólo tiene en cuenta los ataques maliciosos de la clase Malware. En nuestros cálculos, no hemos tenido en cuenta las reacciones del antivirus web a programas potencialmente peligrosos y no deseados, como RiskTool y Adware.
País o territorio | %** | |
1 | Turkmenistán | 47,55 |
2 | Yemen | 43,57 |
3 | Afganistán | 42,37 |
4 | Tayikistán | 39.09 |
5 | Cuba | 38,55 |
6 | Siria | 34,70 |
7 | Uzbekistán | 34,28 |
8 | Burundi | 32,79 |
9 | Bangladesh | 31,62 |
10 | Myanmar | 30,97 |
11 | Tanzania | 30.55 |
12 | Níger | 30,45 |
13 | Bielorrusia | 29,84 |
14 | Argelia | 29,82 |
15 | Sudán del Sur | 29,80 |
16 | Camerún | 29,55 |
17 | Benín | 29,41 |
18 | Madagascar | 28,77 |
19 | Burkina Faso | 28,77 |
20 | Irak | 28,38 |
* Hemos excluido de nuestros cálculos a los países y territorios donde el número de usuarios de Kaspersky es relativamente pequeño (menos de 10 000).
** Porcentaje de usuarios únicos en cuyos equipos se bloquearon amenazas locales de la clase Malware, del total de usuarios de productos de Kaspersky en el país o territorio.
En promedio, en el mundo, por lo menos una vez durante el segundo trimestre, se detectaron amenazas locales de la clase Malware en el 15,04 % de los equipos de los usuarios.
Evolución de las amenazas informáticas en el primer trimestre de 2024. Estadísticas de computadoras personales