Evolución de las amenazas informáticas en el tercer trimestre de 2024. Estadísticas de computadoras personales

Evolución de las amenazas informáticas en el tercer trimestre de 2024
Evolución de las amenazas informáticas en el tercer trimestre de 2024. Estadísticas de computadoras personales
Evolución de las amenazas informáticas en el tercer trimestre de 2024. Estadísticas de amenazas para dispositivos móviles

Las estadísticas presentadas en este artículo se basan en los veredictos de detección emitidos por los productos Kaspersky a partir de los datos estadísticos que los usuarios consintieron en enviar.

Cifras del trimestre

En el tercer trimestre de 2024:

• las soluciones de Kaspersky repelieron más de 652 millones de ataques lanzados desde varios recursos de Internet;
• el antivirus web reaccionó a 109 millones de enlaces únicos;
• el antivirus de archivos bloqueó más de 23 millones de objetos maliciosos y no deseados;
• más de 90 000 usuarios se enfrentaron a ataques de cifradores;
• casi el 18% de todas las víctimas de los programas de ransomware, cuyos datos se publicaron en los sitios de fuga de datos mantenidos por los grupos delictivos, fueron afectados por el grupo de extorsionadores Ransom Hub;
• más de 297 000 usuarios se enfrentaron a criptomineros.

Programas cifradores maliciosos

Principales tendencias y eventos del trimestre

Éxitos policiales

El pasado agosto en España fue detenido el delincuente que fundó el grupo de ransomware Ransom Cartel en 2021 y que organizó una campaña para distribuir malware a través de redes publicitarias (malvertizing). La Agencia nacional del crimen del Reino Unido (NCA) afirma que el arrestado también está detrás del conocido troyano ransomware Reveton, que circuló entre 2012 y 2014. Reveton es uno de los bloqueadores de pantalla más famosos para computadoras personales. Este tipo de ransomware era común antes de que los troyanos que cifraban los archivos de sus víctimas ganaran popularidad.

Dos atacantes con antecedentes penales, sospechosos de distribuir el ransomware LockBit, reconocieron su culpabilidad. Uno de ellos se dedicaba a la extorsión desde 2020 hasta 2023. Sus víctimas eran organizaciones de varios países, y el total de los rescates ascendió a por lo menos $1.9 millones. Otro delincuente, según la fuente, causó a las víctimas un daño total de aproximadamente 500 000 dólares.

Ataques que explotan vulnerabilidades

Los grupos de extorsionadores continúan explotando vulnerabilidades en varios tipos de software, a menudo para obtener acceso a las redes de sus víctimas y aumentar sus privilegios.

• La vulnerabilidad CVE-2024-40766, que afecta a los dispositivos SonicWall basados en SonicOS y que se corrigió en agosto, fue explotada en septiembre en ataques que usaban el cifrador Akira.
• La vulnerabilidad CVE-2024-37085 en VMware ESXi, que permite a los delincuentes elevar sus privilegios, fue explotada en ataques de extorsión que usaban Akira y Black Basta.

Eventos de gran repercusión

El grupo Dark Angels (cuyo sitio web también es conocido como Dunghill Leak) probablemente haya recibido un rescate récord de 75 millones de dólares. La fuente no precisa qué organización fue la víctima de Dark Angels. Hasta ahora, el rescate más grande conocido fue de 40 millones de dólares, pagado en 2021 por la compañía CNA Financial como resultado de un ataque con el cifrador Phoenix.

Las agrupaciones más activas

La estadística de los grupos extorsionadores más activos se basa en la cantidad de víctimas que los delincuentes añaden a los sitios de filtración de datos (data leak site, DLS) durante el período cubierto por este informe. En el tercer trimestre, el grupo más activo fue RansomHub, cuyas víctimas representaron un 17.75% del total.

(descargar)

Proporción de víctimas de un grupo específico (según los datos de su sitio web DLS) entre el total de víctimas de todos los grupos, publicadas en todos los sitios web de DLS revisados durante el período cubierto por el informe.

Número de nuevas modificaciones

En el tercer trimestre de 2024, descubrimos 3 nuevas familias y 2109 nuevas modificaciones de cifradores, menos de la mitad que en el período del informe anterior.

Número de nuevas modificaciones de cifradores, tercer trimestre de 2023 – tercer trimestre de 2024 (descargar)

Número de usuarios atacados por troyanos cifradores

A pesar de la disminución en el número de nuevas modificaciones, ha aumentado la cantidad de usuarios que se han visto afectados por cifradores en comparación con el segundo trimestre. Desde julio hasta septiembre de 2024, las soluciones de Kaspersky protegieron a 90 423 usuarios únicos de ataques de extorsión.

Cantidad de usuarios únicos atacados por troyanos cifradores, tercer trimestre 2024 (descargar)

Geografía de los ataques

TOP 10 de países y territorios atacados por troyanos cifradores

* En nuestros cálculos, excluimos los países y territorios donde el número de usuarios de Kaspersky es relativamente bajo (menos de 50 000).
** Proporción de usuarios únicos cuyos equipos fueron atacados por troyanos cifradores, del total de usuarios únicos de productos Kaspersky en un país o territorio.

TOP 10 de las familias de troyanos cifradores más comunes

* Proporción de usuarios únicos de Kaspersky atacados por una familia específica de troyanos ransomware, del total de usuarios que han sido atacados por troyanos ransomware.

Criptomineros

Número de nuevas modificaciones

En el tercer trimestre de 2024, las soluciones de Kaspersky detectaron 15 472 nuevas modificaciones de criptomineros, menos de la mitad que en el segundo.

Número de nuevas modificaciones de criptomineros, tercer trimestre de 2024 (descargar)

Número de usuarios atacados por criptomineros

La actividad de los criptomineros también ha disminuido: en el tercer trimestre, detectamos ataques con este tipo de malware en las computadoras de 297 485 usuarios únicos de productos de Kaspersky en todo el mundo, un 12% menos que en el período cubierto por el informe anterior.

Número de usuarios únicos atacados por criptomineros, segundo trimestre de 2024 (descargar)

Geografía de los ataques de programas criptomineros

TOP 10 de países y territorios atacados por criptomineros

* En nuestros cálculos, excluimos los países y territorios donde el número de usuarios de Kaspersky es relativamente bajo (menos de 50 000).
** Proporción de usuarios únicos cuyos equipos fueron atacados por criptomineros, del total de usuarios únicos de productos de Kaspersky en un país o territorio.

Ataques contra macOS

En el tercer trimestre, los hallazgos más interesantes relacionados con los ataques a los usuarios de macOS fueron los programas maliciosos para el robo de contraseñas. Los investigadores de seguridad descubrieron nuevos stealers, Banshee Stealer y Cthulhu Stealer, que se distribuyen por suscripción en canales de Telegram y en foros en la web oscura. Son muy similares al ya conocido troyano AMOS, pero están escritos en C++ y Go, respectivamente. Por otra parte, un investigador independiente publicó un análisis de la nueva versión de BeaverTail, otro ladrón que roba datos de navegadores y carteras de criptomonedas, y también tiene la capacidad de cargar una puerta trasera.

Aparte de los nuevos stealers, este trimestre descubrimos una nueva puerta trasera para macOS. Nos referimos a HZ Rat, que es la versión para macOS del backdoor homónimo para Windows, y está dirigido a los usuarios de los mensajeros chinos WeChat y DingTalk.

TOP 20 de amenazas para macOS

Porcentaje* de usuarios únicos atacados por esta amenaza, del total de usuarios de las soluciones de seguridad de Kaspersky para macOS que fueron víctimas de ataques (descargar)

*Los datos del trimestre anterior publicados en este informe pueden diferir ligeramente de los publicados en informes anteriores debido a la revisión retrospectiva de algunos veredictos.

Las amenazas más comunes para macOS suelen ser las aplicaciones publicitarias y otras aplicaciones potencialmente no deseadas. Por ejemplo, AdWare.OSX.Angent.ap (9%) agrega enlaces publicitarios a los marcadores del navegador sin el conocimiento del usuario.

Además, entre las amenazas más activas se encuentran varias aplicaciones maliciosas, como el cliente modificado de Telegram, MalChat (5.08%), que roba los datos del usuario, o el stealer AMOS, que se propaga junto con el software hackeado.

Geografía de amenazas para macOS

TOP 10 de países y territorios por porcentaje de usuarios atacados

* Porcentaje de usuarios únicos que se enfrentaron a amenazas para macOS, del total de usuarios únicos de productos de Kaspersky en el país o territorio.

Ha tenido un aumento notable la proporción de usuarios que se han topado con amenazas para macOS en China continental (1.47%) y en Hong Kong (1.36%). En España (1.21%), Francia (1.16%), Alemania (0.95%), Brasil (0.61%), Rusia (0.37%) y Japón (0.36%) este número también aumentó, mientras que en India (0.46%) y México (0.75%) disminuyó un poco en comparación con el segundo trimestre. Reino Unido e Italia abandonaron el TOP 10.

Estadísticas sobre amenazas para IoT

En el tercer trimestre de 2024, la distribución de los protocolos utilizados por los dispositivos que atacaron las trampas de Kaspersky no cambió mucho: la proporción de Telnet, que había disminuido en el segundo trimestre, aumentó un poco, y la proporción de SSH, por su parte, disminuyó.

Distribución de servicios atacados por número de direcciones IP únicas de los dispositivos que lanzaron los ataques, segundo y tercer trimestre de 2024 (descargar)

En la distribución de ataques por protocolos, la proporción de Telnet también registró un leve incremento y ahora es del 98.69%.

Distribución de las sesiones de trabajo de los ciberdelincuentes con trampas de Kaspersky, segundo trimestre – tercer trimestre de 2024 (descargar)

TOP 10 de amenazas cargadas en dispositivos IoT:

Proporción de una amenaza específica, que fue cargada en un dispositivo infectado como resultado de un ataque exitoso, del total de amenazas cargadas (descargar)

Ataques a los honeypots de IoT

En la distribución geográfica de los ataques lanzados mediante el protocolo SSH, la proporción de ataques procedentes del territorio continental de China (22.72%), Estados Unidos (11.31%), Singapur (5.97%) y Corea del Sur (4.28%) presentó un leve descenso. La parte restante se distribuyó entre otros países y territorios.

El porcentaje de ataques lanzados desde la India (32.17%) mediante el protocolo Telnet ha aumentado, superando a otros países y territorios.

Ataques a través de páginas web

Los datos estadísticos de este capítulo han sido recopilados por el antivirus web, que protege a los usuarios cuando descargan objetos maliciosos de una página web maliciosa o infectada. Los delincuentes crean las páginas maliciosas para fines específicos. Pueden resultar infectados los recursos web donde el contenido lo crean los propios usuarios (por ejemplo, los foros), así como los sitios web legítimos hackeados.

Países-fuente de ataques web: TOP 10

La siguiente estadística muestra la distribución por países de las fuentes de ataques por Internet bloqueados por los productos de Kaspersky en los equipos de los usuarios (páginas web que desvían al usuario hacia a exploits, sitios con exploits y otros programas maliciosos, centros de administración de botnets, etc.). Cabe destacar que cada host único podría haber sido la fuente de uno o más ataques web.

Para determinar el origen geográfico de los ataques web, se utilizó el método de asignar un nombre de dominio a la dirección IP real en la que se aloja ese dominio y establecer la ubicación geográfica de esa dirección IP (GEOIP).

En el tercer trimestre de 2024, las soluciones de Kaspersky repelieron 652 004 741 ataques lanzados desde recursos de Internet ubicados en todo el mundo. Se registraron 109 240 722 URL únicas que provocaron reacciones del antivirus web.

Distribución de orígenes de ataques web por países y territorios, tercer trimestre de 2024 (descargar)

Países y territorios en los que los usuarios corrieron más riesgo de infectarse a través de Internet

Para evaluar el grado del riesgo de infección por malware a través de Internet al que están expuestos los equipos de los usuarios en diferentes países y territorios del mundo, hemos calculado en cada país y en cada territorio la proporción de usuarios de productos de Kaspersky en cuyos equipos se activó el antivirus web durante el período cubierto por el informe. Los datos obtenidos son un indicador de la agresividad del entorno en el que operan las computadoras en diferentes países y territorios.

Recordemos que en esta clasificación sólo se tienen en cuenta los ataques de objetos maliciosos de la clase Malware. En nuestros cálculos, no hemos tomado en cuenta las detecciones de antivirus web contra programas potencialmente peligrosos y no deseados, como RiskTool y adware.

* Hemos excluido de los cálculos a los países donde el número de usuarios de Kaspersky es relativamente pequeño (menos de 10 000).
** Porcentaje de usuarios únicos que han estado expuestos a ataques web lanzados por objetos maliciosos de clase Malware, del total de usuarios únicos de los productos de Kaspersky en el país.

En promedio, durante el trimestre, el 7.46% de los equipos de los usuarios de Internet en el mundo fueron objeto de al menos un ataque web de la clase Malware.

Amenazas locales

Un indicador importante es la estadística de las infecciones locales en las computadoras de los usuarios. Se consideran objetos locales aquellos que penetraron en la computadora gracias a archivos o medios extraíbles, o que inicialmente llegaron a la computadora en forma no abierta (por ejemplo, programas que forman parte de instaladores complejos, archivos cifrados, etc.).

En este apartado analizaremos los datos estadísticos obtenidos durante el funcionamiento del antivirus que analiza los archivos en el disco duro en el momento en que se los crea o cuando se los lee, y los datos del análisis de diferentes memorias extraíbles. La estadística se basa en los veredictos detectados por los módulos OAS (análisis durante acceso) y ODS (análisis bajo demanda), proporcionados voluntariamente por los usuarios de los productos de Kaspersky. Hemos tomado en cuenta los programas maliciosos encontrados en los equipos de los usuarios o en las memorias extraíbles conectadas a éstos: memorias USB, tarjetas de memoria de cámaras, teléfonos y discos duros externos.

En el tercer trimestre de 2024, nuestro antivirus de archivos detectó 23 196 497 objetos maliciosos y potencialmente no deseados.

Países y territorios donde las computadoras de los usuarios estuvieron expuestas al mayor riesgo de infección local

Para cada país y territorio, hemos calculado la proporción de usuarios de los productos de Kaspersky en cuyos equipos reaccionó el antivirus de archivos durante el período de informe. Esta estadística refleja el nivel de infección de las computadoras personales en diferentes países y territorios del mundo.

Cabe destacar que en esta clasificación sólo se tienen en cuenta los ataques de objetos maliciosos de la clase Malware. En los cálculos no hemos tenido en cuenta las reacciones del antivirus de archivos ante programas potencialmente peligrosos o no deseados, como RiskTool y adware.

* En los cálculos, excluimos los países y territorios en los que el número de usuarios de Kaspersky es relativamente pequeño (menos de 10 000).
** Porcentaje de usuarios únicos cuyos equipos han bloqueado amenazas locales de clase Malware, del total de usuarios únicos de los productos de Kaspersky en el país o territorio.

En promedio, al menos una vez durante el tercer trimestre, las amenazas locales clasificadas como Malware afectaron al 13.53% de los ordenadores de los usuarios de todo el mundo.