El Índice Global de Amenazas de junio de 2020 de Check Point Research refleja que la red de bots Phorpiex ha estado distribuyendo el ransomware Avaddon, una nueva variante de RaaS (Ransomware-as-a-Service) que surgió a principios de junio, a través de campañas de malware. Esto hizo que subiera 13 puestos hasta el segundo en la lista de los principales tipos de malware y que doblara su impacto en las empresas de todo el mundo en comparación con mayo.

Phorpiex es conocido por la difusión de campañas de sextorsión. En los últimos mensajes de malspam distribuidos a través de Phorpiex, se intenta atraer a los usuarios para que abran un archivo adjunto en formato Zip, mediante un emoji de guiño en el asunto del correo electrónico. Si un usuario hace clic en ese archivo, se activa el ransomware Avaddon, que encripta los datos en el ordenador y exige un rescate a cambio de la descodificación del archivo. En una investigación de 2019, Check Point encontró más de un millón de terminales de Windows infectados con Phorpiex. Los analistas calculaban que los ingresos anuales de los cibercriminales generados por la red de bots de Phorpiex ascendían a unos 500.000 dólares.

«En el pasado, Phorpiex, también conocido como Trik, se rentabilizaba distribuyendo otro malware como GandCrab, Pony o Pushdo, utilizando sus servidores para extraer cripto-monedas, o para estafas de sextorsión. En este momento, se está utilizando para difundir una nueva campaña de ransomware», destaca Mario García, director general de Check Point para España y Portugal. «Las empresas deben enseñar a sus empleados a identificar los diferentes tipos de malspam que transportan estas amenazas, como sucedió con la última campaña dirigida a los usuarios con correos electrónicos que contienen un guiño emoji, y con ello asegurarse de que desplieguen unas medidas de ciberseguridad que eviten infecciones en sus redes».

Check Point advierte que la «Divulgación de información sobre el pulso de los DTLS de OpenSSL TLS» es la principal vulnerabilidad explotada, que afecta al 45% de las organizaciones en todo el mundo, seguida de cerca por la «Ejecución de código remoto de MVPower DVR», que afecta al 44% de las empresas en todo el mundo. «Divulgación de información del depósito de Git expuesto al servidor web» sigue en tercer lugar, con un impacto global del 38%.