Autores
El presente documento contiene los veredictos de detección emitidos por los productos de Kaspersky a partir de los datos estadísticos que los mismos usuarios aceptaron proporcionar.
Cifras del trimestre
En el segundo trimestre de 2024:
- las soluciones de Kaspersky repelieron más de 664 millones de ataques lanzados desde varios recursos de Internet;
- el antivirus web reaccionó a 113,5 millones de enlaces únicos;
- el antivirus de archivos bloqueó más de 27 millones de objetos maliciosos y no deseados;
- casi 86 000 usuarios se enfrentaron a ataques de cifrado;
- casi el 12% las víctimas de ransomware, cuyos datos se publicaron en los sitios DLS (data leak sites) de los grupos delictivos fueron víctimas del grupo ransomware Play;
- casi 340 mil usuarios se enfrentaron a criptomineros.
Programas cifradores maliciosos
Principales tendencias y eventos del trimestre
Éxitos de las autoridades
En abril de 2024, en Kiev, fue arrestado un atacante que desarrolló un empaquetador supuestamente usado por los grupos Conti y Lockbit para impedir que el software antivirus detecte su contenido. Además, según la policía holandesa, en al menos un caso en 2021, el arrestado participó directamente en un ataque con el cifrado Conti. Ya se ha presentado la acusación contra el delincuente.
En mayo, uno de los miembros del grupo REvil, arrestado en octubre de 2021, fue condenado a 13 años de cárcel y a pagar una multa de 16 millones de dólares. El ciberdelincuente participó en más de 2500 ataques del grupo REvil por un total de más de 700 millones de dólares.
En junio, el FBI declaró, que obtuvo más de 7000 claves para descifrar archivos afectados por los ataques con el cifrado Lockbit. La oficina aconseja a las víctimas que se dirijan al Centro de quejas sobre delitos en Internet (Internet Crime Complaint Center, IC3) en ic3.gov.
La Agencia nacional del crimen del Reino Unido (NCA) y el Departamento de justicia de los Estados Unidos estiman que el grupo Lockbit recibió hasta mil millones de dólares en los ataques que perpetró entre junio de 2022 y febrero de 2024.
Ataques que explotan vulnerabilidades
La vulnerabilidad de elevación de privilegios CVE-2024-26169, parchado por Microsoft en marzo de 2024, probablemente se usó en los ataques del grupo Black Basta. Algunos indicios señalan que en el momento de la explotación, esta vulnerabilidad aún no se había corregido, es decir, era una vulnerabilidad de día cero.
En junio de 2024 se lanzó un ataque masivo del cifrador TellYouThePass que explotaba la vulnerabilidad CVE-2024-4577 en el lenguaje PHP. Los servidores Windows con una configuración específica de PHP (incluida la pila xampp instalada en la configuración predeterminada) estaban en riesgo de infección por este cifrador. Los atacantes escanearon rangos de direcciones IP públicas e infectaron automáticamente los servidores vulnerables, para después exigir a las víctimas un rescate de 0.1 BTC, que no es mucho, pero debido que los ataques fueron masivos, los atacantes habrían podido obtener una cantidad considerable. En general, este enfoque no se ha utilizado con tanta frecuencia en los últimos años debido al costo que supone para los atacantes, dando más bien paso a ataques puntuales que contaban con la participación personal de los operadores. Pero en este caso, los atacantes utilizaron un método antiguo y probado.
Los grupos más activos
Veamos cuales fueron los grupos de ransomware más activos según el número de víctimas que se agregaron al sitio de fuga de datos de cada grupo. En el segundo trimestre de 2024, el grupo más activo fue Play, que publicó datos del 12% del número total de nuevas víctimas de ransomware. El segundo lugar lo ocupa el grupo Cactus (7,74%) y el tercero, Ransom Hub (7,50%).
Porcentaje de víctimas de un grupo específico (según su sitio DLS), del total de víctimas de todos los grupos publicadas en todos los sitios DLS revisados durante el período del informe (descargar)
Número de nuevas modificaciones
En el segundo trimestre de 2024, encontramos cinco nuevas familias y 4456 nuevas modificaciones de cifradores.
Número de nuevas modificaciones de cifradores, segundo trimestre de 2023 – segundo trimestre de 2024 (descargar)
Número de usuarios atacados por troyanos cifradores
En el segundo trimestre de 2024, las soluciones de Kaspersky protegieron a 85 819 usuarios únicos frente a los troyanos cifradores.
Número de usuarios únicos atacados por troyanos cifradores, segundo trimestre de 2024 (descargar)
Geografía de los ataques
TOP 10 de países y territorios afectados por los ataques de troyanos cifradores
| País/territorio* | % de usuarios atacados por cifradores** | |
| 1 | Pakistán | 0,84% |
| 2 | Corea del Sur | 0,72% |
| 3 | Bangladesh | 0,54% |
| 4 | China | 0,53% |
| 5 | Irán | 0,52% |
| 6 | Libia | 0,51% |
| 7 | Tadzhikistán | 0,50% |
| 8 | Mozambique | 0,49% |
| 9 | Angola | 0,41% |
| 10 | Ruanda | 0,40% |
*En nuestros cálculos, excluimos los países y territorios donde el número de usuarios de Kaspersky es relativamente bajo (menos de 50 000).
**Proporción de usuarios únicos cuyos equipos fueron atacados por troyanos cifradores, del total de usuarios únicos de productos Kaspersky en un país o territorio.
TOP 10 de las familias troyanos cifradores más difundidas
| Nombre | Veredictos* | Porcentaje de usuarios atacados** | |
| 1 | (veredicto genérico) | Trojan-Ransom.Win32.Gen | 22,12% |
| 2 | WannaCry | Trojan-Ransom.Win32.Wanna | 9,51% |
| 3 | (veredicto genérico) | Trojan-Ransom.Win32.Encoder | 6,94% |
| 4 | (veredicto genérico) | Trojan-Ransom.Win32.Crypren | 5,42% |
| 5 | Lockbit | Trojan-Ransom.Win32.Lockbit | 4,71% |
| 6 | (veredicto genérico) | Trojan-Ransom.Win32.Agent | 2,88% |
| 7 | PolyRansom/VirLock | Virus.Win32.PolyRansom / Trojan-Ransom.Win32.PolyRansom | 2,80% |
| 8 | (veredicto genérico) | Trojan-Ransom.Win32.Phny | 2,61% |
| 9 | (veredicto genérico) | Trojan-Ransom.Win32.Crypmod | 2,58% |
| 10 | Stop/Djvu | Trojan-Ransom.Win32.Stop | 2,11% |
*Las estadísticas se basan en los veredictos de detección de los productos de Kaspersky. La información es proporcionada por los usuarios de los productos de Kaspersky que han confirmado su consentimiento para la transferencia de datos estadísticos.
**Proporción de usuarios únicos de Kaspersky que han sido atacados por una familia específica de troyanos ransomware de todos los usuarios que han sido atacados por troyanos ransomware.
Criptomineros
Número de nuevas modificaciones
En el segundo trimestre de 2024, las soluciones de Kaspersky detectaron 36 380 nuevas modificaciones de criptomineros.
Número de nuevas modificaciones de criptomineros, segundo trimestre de 2024 (descargar)
Número de usuarios atacados por criptomineros
En el segundo trimestre, detectamos ataques de software de criptominería en los equipos de 339 850 usuarios únicos de productos de Kaspersky en todo el mundo.
Número de usuarios únicos atacados por criptomineros, segundo trimestre de 2024 (descargar)
Geografía de los ataques
TOP 10 de países y territorios atacados por criptomineros
| País/territorio* | % de usuarios atacados por cripto mineros** | |
| 1 | Tadzhikistán | 2,40% |
| 2 | Venezuela | 1,90% |
| 3 | Kasajistán | 1,63% |
| 4 | Etiopía | 1,58% |
| 5 | Kirguistán | 1,49% |
| 6 | Belarús | 1,48% |
| 7 | Uzbekistán | 1,36% |
| 8 | Ucrania | 1,05% |
| 9 | Panamá | 1,03% |
| 10 | Mozambique | 1,01% |
*En los cálculos, excluimos los países y territorios en los que el número de usuarios de Kaspersky es relativamente pequeño (menos de 50 000).
**Porcentaje de usuarios únicos cuyos equipos fueron atacados por criptomineros, del total de usuarios únicos de productos de Kaspersky en el país o territorio.
Ataques a macOS
En el segundo trimestre, se encontraron muchas muestras diferentes del malware espía Trojan-PSW.OSX.Amos, también conocido como Cuckoo. Se caracteriza por solicitar la contraseña de administrador a través de un osascript que muestra una ventana de phishing. Los estafadores actualizan y vuelven a empaquetar regularmente su troyano para evitar la detección.
También se han descubierto nuevas versiones del spyware LightRiver/LightSpy. Este troyano descarga desde el servidor módulos con funcionalidad de espía y puerta trasera. Por ejemplo, graban la pantalla o el audio, roban el historial del navegador y ejecutan comandos arbitrarios de consola.
TOP 20 de amenazas para macOS
Porcentaje de usuarios únicos atacados por este malware, del total de usuarios de las soluciones de seguridad de Kaspersky para macOS (descargar)
En el primer lugar entre las amenazas activas sigue estando un troyano capaz de descargar adware u otras aplicaciones maliciosas. Además, las aplicaciones publicitarias y los “aceleradores de dispositivos” falsos que exigen dinero para solucionar problemas inexistentes continúan entrando en la lista de amenazas más comunes.
Geografía de amenazas para macOS
TOP 10 de países y territorios por porcentaje de usuarios atacados
| anterior* | nuevo* | |
| España | 1,27% | 1,14% |
| México | 0,88% | 1,09% |
| Hong-Kong | 0,73% | 0,97% |
| Francia | 0,93% | 0,93% |
| EE. UU. | 0,81% | 0,89% |
| Italia | 1,11% | 0,87% |
| Gran Bretaña | 0,75% | 0,85% |
| India | 0,56% | 0,70% |
| Alemania | 0,77% | 0,59% |
| Brasil | 0,66% | 0,57% |
*Porcentaje de usuarios únicos que se enfrentaron a amenazas para macOS, del total de usuarios únicos de productos de Kaspersky en el país o territorio.
Hubo un ligero aumento de 0,1-0,2 puntos porcentuales en la proporción de usuarios atacados en México, Hong Kong, Reino Unido e India. En España, Italia y Alemania se ha registrado un leve descenso.
Estadísticas de amenazas para IoT
En el segundo trimestre de 2024, la distribución de los protocolos utilizados por los dispositivos que atacan las trampas de Kaspersky fue la siguiente:
Distribución de los servicios atacados por el número de direcciones IP únicas de los dispositivos que llevaron a cabo los ataques, primer y segundo trimestre de 2024 (descargar)
Al mismo tiempo, la proporción de ataques a través del protocolo Telnet continuó aumentando y alcanzó el 98%.
Distribución de sesiones de trabajo de ciberdelincuentes con las trampas de Kaspersky, primer y segundo trimestre de 2024 (descargar)
TOP 10 de amenazas cargadas en dispositivos IoT
Proporción de la amenaza específica que se descargó en el dispositivo infectado tras perpetrarse un ataque, respeto al número total de amenazas descargadas (descargar)
Ataques contra las trampas de IoT
En la distribución de los ataques SSH por países, la proporción de ataques lanzados desde China e India aumentó, mientras que la actividad de Corea del sur disminuyó ligeramente.
| SSH | Primer trimestre de 2024 | Segundo trimestre de 2024 |
| China | 20,58% | 23,37% |
| EE. UU. | 12,15% | 12,26% |
| Corea del Sur | 9,59% | 6,84% |
| Singapur | 6,87% | 6,95% |
| Alemania | 4,97% | 4,13% |
| India | 4,52% | 5,24% |
| Hong-Kong | 3,25% | 3,10% |
| Rusia | 2,84% | 2,33% |
| Brasil | 2,36% | 2,73% |
| Japón | 2,36% | 1,92% |
La proporción de ataques Telnet lanzados desde China ha vuelto a los niveles de 2023, mientras que la proporción de ataques lanzados desde India ha aumentado.
| Telnet | Primer trimestre de 2024 | Segundo trimestre de 2024 |
| China | 41,51% | 30,24% |
| India | 17,47% | 22,68% |
| Japón | 4,89% | 3,64% |
| Brasil | 3,78% | 4,48% |
| Rusia | 3,12% | 3,85% |
| Tailandia | 2,95% | 2,37% |
| Taiwán | 2,73% | 2,64% |
| Corea del Sur | 2,53% | 2,46% |
| EE. UU. | 2,20% | 2,66% |
| Argentina | 1,36% | 1,76% |
Ataques a través de recursos web
Los datos estadísticos de este capítulo han sido recopilados por el antivirus web, que protege a los usuarios cuando descargan objetos maliciosos de una página web maliciosa o infectada. Los delincuentes crean páginas maliciosas con un propósito determinado. Pueden resultar infectados los recursos web donde el contenido lo crean los propios usuarios (por ejemplo, los foros), así como los sitios web legítimos hackeados.
Países y territorios fuentes de ataques web: TOP 10
Las siguientes estadísticas muestran la distribución por países y territorios de las Fuentes de ataques de Internet a los equipos de los usuarios bloqueados por los productos de Kaspersky (páginas web con redirecciones a exploits, sitios con exploits y otros programas maliciosos, centros de control de botnets, etc.). Cabe notar que cada host único podría ser la fuente de uno o más ataques web.
Para determinar el origen geográfico de los ataques web, se utilizó la técnica de asignar un nombre de dominio a la dirección IP real en la que se aloja ese dominio y establecer la ubicación geográfica de esa dirección IP (GEOIP).
En el segundo trimestre de 2024, las soluciones de Kaspersky repelieron 664 046 455 ataques que se llevaron a cabo desde recursos de Internet ubicados en todo el mundo. Se registraron 113 535 455 URL únicas en las que se activó el antivirus web.
Distribución de las Fuentes de ataques web por país y territorio, segundo trimestre de 2024 (descargar)
Países y territorios en los que los usuarios estuvieron en mayor riesgo de infección a través de Internet
Para evaluar el riesgo de infección por malware a través de Internet a los que están expuestos los equipos de los usuarios en diferentes países y territorios, para cada uno de ellos, calculamos la proporción de usuarios de productos de Kaspersky que experimentaron la activación de un antivirus web durante el período de informe. Los datos obtenidos son un indicador de la agresividad del entorno en el que se ejecutan las computadoras.
Las siguientes estadísticas se basan en los veredictos de detección del módulo de antivirus web proporcionados por los usuarios de los productos de Kaspersky que confirmaron su consentimiento para la transferencia de datos estadísticos.
Recuerde que esta clasificación sólo tiene en cuenta los ataques de objetos maliciosos de la clase Malware. En el cálculo, no hemos tenido en cuenta la activación del antivirus web para programas potencialmente peligrosos y no deseados, como RiskTool y adware.
| País/territorio* | % atacados usuarios** | |
| 1 | Moldova | 11,3635 |
| 2 | Grecia | 10,8560 |
| 3 | Qatar | 10,4018 |
| 4 | Belarús | 9,8162 |
| 5 | Argentina | 9,5380 |
| 6 | Bulgaria | 9,4714 |
| 7 | Sudáfrica | 9,4128 |
| 8 | Sri Lanka | 9,1585 |
| 9 | Kirguistán | 8,8852 |
| 10 | Lituania | 8,6847 |
| 11 | Túnez | 8,6739 |
| 12 | Albania | 8,6586 |
| 13 | Macedonia del Norte | 8,6463 |
| 14 | Bosnia y Herzegovina | 8,6291 |
| 15 | Botswana | 8,6254 |
| 16 | Emiratos Árabes Unidos | 8,5993 |
| 17 | Alemania | 8,5887 |
| 18 | Eslovenia | 8,5851 |
| 19 | Egipto | 8,5582 |
| 20 | Canadá | 8,4985 |
*En los cálculos, excluimos los países y territorios donde el número de usuarios de Kaspersky es relativamente pequeño (menos de 10 000).
**Porcentaje de usuarios únicos afectados por ataques web de objetos de clase maliciosos Malware. de todos los usuarios únicos de los productos de Kaspersky en el país o territorio.
En promedio, durante el trimestre, el 7,38% de las computadoras de los usuarios de Internet en el mundo sufrieron al menos una vez un ataque de clase web Malware.
Amenazas locales
Un indicador importante es la Estadística de las infecciones locales de las computadoras de los usuarios. Esto incluye objetos que han penetrado en la computadora infectando archivos o medios extraíbles, o que inicialmente llegaron a la computadora en forma no abierta (por ejemplo, programas como parte de instaladores complejos, archivos cifrados, etc.).
En esta sección, analizamos los datos estadísticos obtenidos a partir del funcionamiento del antivirus que escanea los archivos en el disco duro en el momento en que se crean o acceden a ellos, y los datos sobre el escaneo de varios medios extraíbles. Las siguientes estadísticas se basan en los veredictos de detección de los módulos OAS (on-access scan) y ODS (on-demand scan) del antivirus proporcionados por los usuarios de los productos de Kaspersky que han confirmado su consentimiento para la transferencia de datos estadísticos. Se tuvieron en cuenta los programas maliciosos encontrados directamente en las computadoras de los usuarios o en medios extraíbles conectados a computadoras: memorias USB, tarjetas de memoria de cámaras, teléfonos, discos duros externos.
En el segundo trimestre de 2024, nuestro antivirus de archivos detectó 27 394 168 objetos maliciosos y potencialmente no deseados.
Países y territorios en los que las computadoras de los usuarios estuvieron en mayor riesgo de infección local
Para cada uno de los países y territorios, calculamos la proporción de usuarios de productos de Kaspersky que experimentaron la activación del antivirus de archivos durante el período de informe. Estas estadísticas reflejan el nivel de infección de las computadoras personales en diferentes países y territorios del mundo.
Cabe notar que esta clasificación sólo tiene en cuenta los ataques de objetos maliciosos de la clase Malware. En los cálculos, no hemos tenido en cuenta el comportamiento del antivirus de archivos en programas potencialmente peligrosos o no deseados, como RiskTool y adware.
| País/territorio* | % atacados usuarios** | |
| 1 | Turkmenia | 44,2517 |
| 2 | Afganistán | 39,4972 |
| 3 | Cuba | 38,3242 |
| 4 | Yemen | 38,2295 |
| 5 | Tadzhikistán | 37,5013 |
| 6 | Uzbekistán | 32,7085 |
| 7 | Siria | 31,5546 |
| 8 | Burundi | 30,5511 |
| 9 | Bangladesh | 28,3616 |
| 10 | Sudán Del Sur | 28,3293 |
| 11 | Tanzania | 28,0949 |
| 12 | Camerún | 28,0254 |
| 13 | Níger | 27,9138 |
| 14 | Argelia | 27,8984 |
| 15 | Benín | 27,6164 |
| 16 | Myanmar | 26,6960 |
| 17 | Venezuela | 26,6944 |
| 18 | Irán | 26,5071 |
| 19 | Vietnam | 26,3409 |
| 20 | Congo | 26,3160 |
*En los cálculos, excluimos los países y territorios donde el número de usuarios de Kaspersky es relativamente pequeño (menos de 10 000).
**Porcentaje de usuarios únicos cuyos equipos han sido bloqueados por amenazas de clase locales Malware. de todos los usuarios únicos de los productos de Kaspersky en el país o territorio.
En promedio, a nivel mundial durante el segundo trimestre, las amenazas locales de la clase Malware se registraron al menos una vez en el 14,2% de los equipos de los usuarios.
El índice de Rusia en este ranking fue de 15,68%.
Autores
Índice
- Cifras del trimestre
- Programas cifradores maliciosos
- Principales tendencias y eventos del trimestre
- Los grupos más activos
- Número de nuevas modificaciones
- Número de usuarios atacados por troyanos cifradores
- Geografía de los ataques
- Criptomineros
- Número de nuevas modificaciones
- Número de usuarios atacados por criptomineros
- Geografía de los ataques
- Ataques a macOS
- Estadísticas de amenazas para IoT
- Ataques a través de recursos web
- Países y territorios fuentes de ataques web: TOP 10
- Países y territorios en los que los usuarios estuvieron en mayor riesgo de infección a través de Internet
- Amenazas locales
De los mismos autores
En la misma categoría
Evolución de las amenazas informáticas en el segundo trimestre de 2024. Estadísticas de computadoras personales