Informes sobre malware

Evolución de las amenazas informáticas en el primer trimestre de 2024. Estadísticas de computadoras personales

Evolución de las amenazas informáticas en el primer trimestre de 2024
Evolución de las amenazas informáticas en el primer trimestre de 2024. Estadísticas de amenazas móviles
Evolución de las amenazas informáticas en el primer trimestre de 2024. Estadísticas de computadoras personales

El presente documento contiene los veredictos de detección emitidos por los productos Kaspersky a partir de los datos estadísticos que los mismos usuarios aceptaron proporcionar.

Cifras del trimestre

En el primer trimestre de 2024:

  • Las soluciones de Kaspersky repelieron más de 658 millones de ataques procedentes de diversos recursos de Internet
  • El antivirus web reaccionó ante algo menos de 153 millones de enlaces únicos
  • El antivirus de archivos bloqueó casi 32 millones de objetos maliciosos y no deseados
  • Más de 83 000 usuarios sufrieron ataques de cifradores
  • El 20% de todas las víctimas de cifradores cuyos datos se publicaron en grupos DLS (sitio de filtraciones de datos) fueron víctimas de LockBit
  • Más de 394 000 usuarios lidiaron con criptomineros maliciosos

Programas cifradores maliciosos

Principales tendencias y acontecimientos del trimestre

BlackCat/ALPHV

A principios de marzo, BlackCat (también conocido como ALPHV), un grupo que distribuye un cifrador malicioso homónimo, anunció su retirada del mercado de la ciberdelincuencia. Los atacantes culparon de su decisión a la Oficina Federal de Investigación de Estados Unidos (FBI). Un portavoz del grupo publicó un mensaje en un foro clandestino en el que decía que los “federales” supuestamente “nos habían engañado”, y en el sitio web donde los atacantes publicaron los datos de las víctimas apareció un banner en el que se decía que el FBI había incautado los servidores “gracias a los esfuerzos coordinados de las fuerzas de seguridad”. Sin embargo, los responsables del FBI declinaron hacer comentarios, mientras que Europol y la Agencia Nacional contra el Crimen del Reino Unido (NCA) afirmaron no estar implicados en ninguna operación contra la infraestructura de BlackCat.

Los representantes de BlackCat también publicaron un post sobre la venta del código fuente de su cifrador por cinco millones de dólares. Y unos días antes, uno de los socios del grupo publicó un post en el que acusaba al grupo de haberle robado un rescate de más de veinte millones de dólares que había recibido de una de las empresas víctimas. En este contexto, es probable que las afirmaciones de una “operación coordinada” sean un intento de BlackCat de desaparecer con el dinero. No sería la primera vez que los creadores de RaaS quiebran y se adueñan de los fondos de sus socios de distribución del cripto-ransomware.

LockBit

En febrero, las agencias policiales de 10 países incautaron parte de la infraestructura de LockBit, uno de los grupos de ransomware más activos, en una operación conjunta denominada Operation Cronos. La operación también tuvo como saldo la detención de dos operadores de LockBit y varias órdenes de detención internacionales contra otros miembros del grupo.

Sin embargo, poco después los desarrolladores de LockBit reactivaron sus servidores y continuaron los ataques con una versión actualizada de su cifrador, lo que aparentemente indicaría que los daños sufridos por el grupo como consecuencia de la operación policial fueron insignificantes.

Los grupos más activos

En esta sección, examinamos a los grupos extorsionadores más activos, que no sólo cifran los archivos de sus víctimas, sino que también les roban sus datos confidenciales y los publican (la llamada doble extorsión). Las estadísticas se basan en el número de nuevas víctimas añadidas al DLS (sitio de filtración de datos) de cada pandilla.

LockBit fue el grupo más activo en el primer trimestre de 2024, ya que publicó en su DLS el 20,34% del número total de nuevas víctimas de ransomware. Black Basta (7,02%) quedó en segundo lugar, y Play (6,75%), en tercero.

Proporción de víctimas de una agrupación determinada (según el sitio DLS de la agrupación específica), del total de las víctimas de todas las agrupaciones publicadas en todos los sitios DLS revisados durante el periodo de referencia (descargar)

Número de nuevas modificaciones de troyanos cifradores

En el primer trimestre de 2024, descubrimos nueve nuevas familias y 7070 nuevas modificaciones de cifradores.

Número de nuevas modificaciones de cifradores, primer trimestre de 2023 – primer trimestre de 2024 (descargar)

Número de usuarios atacados por troyanos cifradores

En el primer trimestre, las soluciones de Kaspersky protegieron a 83 270 usuarios únicos frente a los troyanos cifradores.

Número de usuarios únicos atacados por troyanos cifradores, primer trimestre de 2024 (descargar)

Distribución geográfica de los ataques

TOP 10 de países y territorios más atacados por troyanos cifradores:

País o territorio %**
1 Corea del Sur 0,75%
2 Bangladesh 0,63%
3 Libia 0,57%
4 Pakistán 0,56%
5 Irán 0,49%
6 China 0,46%
7 Irak 0,40%
8 Venezuela 0,37%
9 Tanzania 0,36%
10 Tayikistán 0,36%

*Hemos excluido de nuestros cálculos a los países y territorios donde el número de usuarios de Kaspersky es relativamente pequeño (menos de 50 000).
**Porcentaje de usuarios únicos cuyos equipos fueron atacados por troyanos cifradores, del total de usuarios de productos de Kaspersky en el país o territorio.

TOP 10 de las familias de troyanos cifradores más propagadas

Nombre Veredictos* Porcentaje de usuarios atacados**
1 (veredicto genérico) Trojan-Ransom.Win32.Gen 22,92%
2 WannaCry Trojan-Ransom.Win32.Wanna 11,68%
3 (veredicto genérico) Trojan-Ransom.Win32.Encoder 8,63%
4 (veredicto genérico) Trojan-Ransom.Win32.Crypren 6,66%
5 Stop/Djvu Trojan-Ransom.Win32.Stop 6,46%
6 PolyRansom/VirLock Virus.Win32PolyRansom / Trojan-Ransom.Win32.PolyRansom 3,87%
7 (veredicto genérico) Trojan-Ransom.MSIL.Agent 3,66%
8 (veredicto genérico) Trojan-Ransom.Win32.Crypmod 3,01%
9 (veredicto genérico) Trojan-Ransom.Win32.Phny 3,00%
10 (veredicto genérico) Trojan-Ransom.Win32.Agent 2,40%

* Estadísticas basadas en los veredictos de detección de los productos Kaspersky. Datos estadísticos proporcionados por los usuarios de los productos Kaspersky con su consentimiento.
** Proporción de usuarios únicos de Kaspersky que fueron atacados por una familia de troyanos extorsionadores en particular, del total de usuarios atacados por troyanos extorsionadores.

Criptomineros

Número de modificaciones de nuevos criptomineros

En el primer trimestre de 2024, las soluciones de Kaspersky detectaron 6601 nuevas modificaciones de criptomineros.

Número de nuevas modificaciones de criptomineros, primer trimestre de 2024 (descargar)

Número de usuarios atacados por criptomineros

En el primer trimestre, las soluciones de Kaspersky protegieron de los mineros a 394 120 usuarios únicos en todo el mundo.

Número de usuarios únicos atacados por mineros, primer trimestre de 2024 (descargar)

Distribución geográfica de los ataques

TOP 10 DE países y territorios más atacados por los criptomineros:

País o territorio %**
1 Tayikistán 2,41
2 Venezuela 1,91
3 Kazajistán 1,88
4 Kirguistán 1,80
5 Bielorrusia 1,69
6 Uzbekistán 1,55
7 Etiopía 1,46
8 Ucrania 1,34
9 Mozambique 1,19
10 Sri Lanka 1,12

* Hemos excluido de nuestros cálculos a los países y territorios donde el número de usuarios de Kaspersky es relativamente pequeño (menos de 50.000).
** Porcentaje de los usuarios únicos de Kaspersky atacados por criptomineros, del total de usuarios únicos de los productos de Kaspersky en el país.

Ataques a macOS

En el mundo de los troyanos para macOS, el año 2024 comenzó con el descubrimiento del nuevo backdoor SpectralBlur, supuestamente vinculado al grupo Bluenoroff. Este malware tiene capacidades estándar de backdoor, entre ellas las de descarga y eliminación de archivos, la carga de datos a un servidor de comando y control, y la ejecución de comandos de shell en un pseudo terminal.

Más adelante descubrimos un gran conjunto de aplicaciones hackeadas infectadas que contenían un descargador de backdoor escrito en Python en su interior. Se caracteriza por su capacidad para suplantar aplicaciones de monederos de criptomonedas Bitcoin y Exodus con versiones infectadas para robar las contraseñas y frases de contraseña que contienen.

También encontramos versiones infectadas de los editores de texto VNote y Notepad, que contenían un descargador del agente CobaltStrike. Se distribuían a través de motores de búsqueda chinos, sobre todo mediante banners publicitarios.

Una de las últimas amenazas descubiertas en el primer trimestre fue un backdoor escrito en Rust casi idéntico al actualizador de VisualStudio y que se propagaba bajo la apariencia de documentos de ofertas de empleo. El backdoor estaba dirigido a desarrolladores y existía en unas cuantas variantes. Al parecer, su principal misión sería espiar a las víctimas.

TOP 20 de amenazas para macOS

Veredicto %*
Trojan-Downloader.OSX.Agent.gen 11,49
AdWare.OSX.Amc.e 5,84
Trojan.OSX.Agent.gen 5,35
AdWare.OSX.Agent.ai 5,11
AdWare.OSX.Agent.gen 5,05
AdWare.OSX.Pirrit.ac 4,99
Monitor.OSX.HistGrabber.b 4,99
AdWare.OSX.Bnodlero.ax 4,27
AdWare.OSX.Agent.ap 3.73
AdWare.OSX.Pirrit.j 3,19
AdWare.OSX.Mhp.a 2,95
AdWare.OSX.Pirrit.gen 2,29
HackTool.OSX.DirtyCow.a 2,23
RiskTool.OSX.Spigot.a 2,17
AdWare.OSX.Pirrit.ae 2,05
Hoax.OSX.MacBooster.a 1,93
Trojan-Downloader.OSX.Lador.a 1,93
Trojan-Downloader.OSX.Agent.h 1,87
AdWare.OSX.Bnodlero.bg 1,87
Backdoor.OSX.Agent.l 1,81

* Porcentaje de usuarios únicos atacados por este malware, del total de usuarios de las soluciones de seguridad de Kaspersky para macOS atacados.

Encabeza la lista de amenazas activas un troyano que descarga otras aplicaciones peligrosas. La mayoría de las veces envía todo tipo de adware al dispositivo infectado, pero este troyano no tiene restricciones técnicas de descarga, por lo que también puede descargar malware arbitrario.

Distribución geográfica de las amenazas para macOS

TOP 10 de países y territorios según la proporción de usuarios atacados

País o territorio %**
España 1,27
Italia 1,11
Canadá 1,02
Francia 0,93
México 0,88
EE.UU. 0,81
Alemania 0,77
Reino Unido 0,75
Hong Kong 0,73
Brasil 0,66

* Hemos excluido de la clasificación a aquellos países y territorios donde el número de usuarios de las soluciones de seguridad de Kaspersky para macOS es relativamente pequeño (menos de 5000).
** Porcentaje de usuarios únicos atacados, del total usuarios de las soluciones de seguridad para macOS de Kaspersky en un país o territorio.

China continental, que suele encabezar la lista de usuarios de macOS atacados, esta vez no entró en el TOP 10. España, Italia y Canadá fueron los países en los que más usuarios se toparon con amenazas para este sistema operativo.

Ataques contra el Internet de las cosas (IoT)

Estadísticas de las amenazas para el IoT

En el primer trimestre de 2024, la distribución de los dispositivos que atacan las trampas de Kaspersky en función del protocolo que utilizan fue la siguiente:

Protocolo Cuarto trimestre de 2023 Primer trimestre de 2024
Telnet 91,88% 93,31%
SSH 8,12% 6,69%

Tabla de distribución de los servicios atacados, por el número de direcciones IP únicas de los dispositivos que lanzaron los ataques

Como se puede ver, los atacantes ahora usan Telnet con más frecuencia que SSH. Así lo confirman los datos sobre el número de ataques a ambos protocolos.

Protocolo Cuarto trimestre de 2023 Primer trimestre de 2024
Telnet 92,17% 96,48%
SSH 7,83% 3,52%

Tabla de distribución de las sesiones de trabajo de los ciberdelincuentes con las trampas de Kaspersky

TOP 10 de amenazas descargadas en dispositivos IoT:

TOP 10 de amenazas %* cuarto trimestre de 2023 %* primer trimestre de 2024
Trojan-Downloader.Linux.NyaDrop.b 19,40 37,26
Backdoor.Linux.Mirai.b 12,97 10,22
Trojan.Linux.Agent.nx 0,20 8,73
Backdoor.Linux.Mirai.ba 2,69 6,08
Backdoor.Linux.Mirai.cw 4,86 6,06
Backdoor.Linux.Gafgyt.a 1,19 3,53
Backdoor.Linux.Mirai.gp 0,05 2,81
Backdoor.Linux.Gafgyt.fj 0,05 1,97
Backdoor.Linux.Mirai.fg 2,52 1,57
Trojan-Downloader.Shell.Agent.p 0,99 1,54

* Proporción de la amenaza específica que se descargó en el dispositivo infectado como resultado de un ataque exitoso, del número total de amenazas descargadas.

Ataques a las trampas de IoT

No hubo cambios drásticos en la distribución de los ataques SSH por países y territorios. El aumento más significativo de la proporción de ataques ocurrió en Corea del Sur, Singapur y Alemania.

País o territorio %* cuarto trimestre de 2023 %* primer trimestre de 2024
China continental 21,33 20,58
EE.UU. 11,65 12,15
Corea del Sur 7,03 9,59
Singapur 3,97 6,87
Alemania 3,76 4,97
India 4,95 4,52
Hong Kong 2,27 3,25
Rusia 3,37 2,84
Brasil 3,86 2,36
Japón 1,77 2,36

* Proporción de direcciones IP únicas ubicadas en el país o territorio, del total de direcciones IP únicas de dispositivos que atacaron las trampas de Kaspersky mediante el protocolo SSH.

Los atacantes que utilizan el protocolo Telnet aumentaron de forma notable los ataques desde el territorio de China continental.

País o territorio %* cuarto trimestre de 2023 %* primer trimestre de 2024
China continental 32,96 41,51
India 17,91 17,47
Japón 3,62 4,89
Brasil 4,81 3,78
Rusia 3,84 3,12
Tailandia 1,08 2,95
Taiwán 2,29 2,73
Corea del Sur 3.81 2,53
EE.UU. 2,82 2,20
Argentina 1,81 1,36

* Proporción de direcciones IP únicas ubicadas en el país o territorio, del total de direcciones IP únicas de dispositivos que atacaron las trampas de Kaspersky mediante el protocolo Telnet.

Ataques a través de recursos web

Los datos estadísticos de este capítulo han sido recopilados por el antivirus web, que protege a los usuarios cuando descargan objetos maliciosos de una página web maliciosa o infectada. Los atacantes crean sitios maliciosos a propósito; los sitios infectados pueden ser de contenidos generados por los usuarios (por ejemplo, foros) o recursos legítimos comprometidos.

TOP 10 de países y territorios de origen de los ataques web

Estas estadísticas muestran cómo se distribuyen por países y territorios los orígenes de los ataques de Internet que fueron bloqueados por los productos Kaspersky en las computadoras de los usuarios (páginas web con redirecciones a exploits, sitios con exploits y otros programas maliciosos, centros de control de botnets, etc.). Hacemos notar que cada host único puede ser fuente de uno o más ataques web.

Para determinar el origen geográfico de los ataques web se usó el método de comparación del nombre de dominio con la dirección IP real donde se encuentra el dominio dado y la definición de la ubicación geográfica de la dirección IP (GEOIP).

En el primer trimestre de 2024, las soluciones de Kaspersky repelieron 658 181 425 ataques originados en recursos en línea alojados en cualquier parte del mundo. Se detectaron 152 841 402 URL únicas que activaron el antivirus web.

Distribución de las fuentes de ataques web por país y territorio, primer trimestre de 2024 (descargar)

Países y territorios en los que los usuarios corrieron mayor riesgo de infectarse a través de Internet

Con el fin de estimar el riesgo de infección por malware a través de Internet al que están expuestas las computadoras de los usuarios en diferentes países y territorios del mundo, calculamos en cada país y territorio el porcentaje de usuarios de los productos de Kaspersky en los que el antivirus web realizó detecciones durante el periodo cubierto por el informe. Los datos obtenidos son una medida de la agresividad del entorno en el que operan las computadoras en diferentes países y territorios.

Recordemos que esta clasificación sólo tiene en cuenta los ataques de objetos maliciosos de la clase Malware. En nuestros cálculos, no hemos tenido en cuenta las reacciones del antivirus web ante programas potencialmente peligrosos y no deseados, como RiskTool y Adware.

País o territorio %**
1 Grecia 14,09
2 Bulgaria 13,01
3 Madagascar 12,54
4 Albania 12,04
5 Macedonia del Norte 12,00
6 Ecuador 11,90
7 Sri Lanka 11,82
8 Catar 11,77
9 Nepal 11,56
10 Bangladesh 11,36
11 Perú 11,24
12 Kenia 11,02
13 Venezuela 10,97
14 Sudáfrica 10,94
15 Argelia 10,87
16 Serbia 10,84
17 Túnez 10,77
18 Lituania 10,66
19 Moldavia 10,51
20 Eslovaquia 10,50

* Hemos excluido de los cálculos a los países y territorios donde el número de usuarios de Kaspersky es relativamente pequeño (menos de 10 000).
** Porcentaje de usuarios únicos que han estado expuestos a ataques web lanzados por objetos maliciosos de la clase Malware, del total de usuarios únicos de los productos de Kaspersky en el país o territorio.

En promedio, el 7,98% de las computadoras de los usuarios de Internet en el mundo fueron atacadas por programas de la clase Malware al menos una vez durante el trimestre.

Amenazas locales

Estas estadísticas se basan en los veredictos de detección de los módulos OAS (on-access scan, análisis cuando se accede a un archivo) y ODS (on-demand scan, análisis ejecutado por el usuario) del antivirus, que fueron proporcionados por los usuarios de productos de Kaspersky que dieron su consentimiento para la transferencia de datos estadísticos. Hemos tomado en cuenta los programas maliciosos encontrados directamente en los equipos de los usuarios o en las memorias extraíbles conectadas a éstos: memorias USB, tarjetas de memoria de cámaras, teléfonos y discos duros externos.

En el primer trimestre de 2024, nuestro antivirus de archivos detectó 31 817 072 objetos maliciosos y potencialmente no deseados.

Países y territorios en los que las computadoras corren más riesgo de infección local

Para cada país y territorio, hemos calculado la proporción de usuarios de productos de Kaspersky en los que se observaron detecciones realizadas por el antivirus de archivos durante el periodo de referencia. Estas estadísticas reflejan el nivel de infecciones en computadoras personales en diferentes países y territorios de todo el mundo.

Vale decir que esta clasificación sólo tiene en cuenta los ataques maliciosos de la clase Malware. En nuestros cálculos, no hemos tenido en cuenta las reacciones del antivirus web a programas potencialmente peligrosos y no deseados, como RiskTool y Adware.

País o territorio %**
1 Turkmenistán 47,55
2 Yemen 43,57
3 Afganistán 42,37
4 Tayikistán 39.09
5 Cuba 38,55
6 Siria 34,70
7 Uzbekistán 34,28
8 Burundi 32,79
9 Bangladesh 31,62
10 Myanmar 30,97
11 Tanzania 30.55
12 Níger 30,45
13 Bielorrusia 29,84
14 Argelia 29,82
15 Sudán del Sur 29,80
16 Camerún 29,55
17 Benín 29,41
18 Madagascar 28,77
19 Burkina Faso 28,77
20 Irak 28,38

* Hemos excluido de nuestros cálculos a los países y territorios donde el número de usuarios de Kaspersky es relativamente pequeño (menos de 10 000).
** Porcentaje de usuarios únicos en cuyos equipos se bloquearon amenazas locales de la clase Malware, del total de usuarios de productos de Kaspersky en el país o territorio.

En promedio, en el mundo, por lo menos una vez durante el segundo trimestre, se detectaron amenazas locales de la clase Malware en el 15,04 % de los equipos de los usuarios.

Evolución de las amenazas informáticas en el primer trimestre de 2024. Estadísticas de computadoras personales

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada