Buscar
Cerrar este cuadro de búsqueda.

WATCHGUARD THREAT LAB INFORMA QUE EL 91,5% DEL MALWARE LLEGÓ A TRAVÉS DE CONEXIONES CIFRADAS EN EL SEGUNDO TRIMESTRE DE 2021

WATCHGUARD THREAT LAB INFORMA QUE EL 91,5% DEL MALWARE LLEGÓ A TRAVÉS DE CONEXIONES CIFRADAS EN EL SEGUNDO TRIMESTRE DE 2021

La nueva investigación también muestra un aumento espectacular del malware sin archivo, de las detecciones de malware por dispositivo, del auge de los ataques de red y del ransomware.

 

WatchGuard Technologies, líder mundial en seguridad e inteligencia de red, autenticación multifactor (MFA), protección avanzada de endpoints y Wi-Fi seguro, ha publicado su último Informe Trimestral sobre Seguridad en Internet, en el que se detallan las principales tendencias de malware y amenazas de seguridad de red analizadas por los investigadores de WatchGuard Threat Lab durante el segundo trimestre de 2021. El informe también incluye nuevas perspectivas basadas en la inteligencia de amenazas para endpoints detectadas durante la primera mitad de 2021. Los principales hallazgos de la investigación descubrieron un asombroso 91,5% de malware que llega a través de conexiones cifradas HTTPS, aumentos alarmantes en las amenazas de malware sin archivos, un crecimiento espectacular del ransomware, un gran aumento en los ataques de red, y mucho más.

«Con gran parte del mundo todavía operando firmemente bajo un modelo de fuerza de trabajo móvil o híbrido, el perímetro de la red tradicional no siempre es un factor en la ecuación de defensa de la ciberseguridad», asegura Corey Nachreiner, director de seguridad de WatchGuard. “Si bien una fuerte defensa del perímetro sigue siendo una parte importante de un enfoque de seguridad en capas, una sólida protección de los endpoints (EPP) y la detección y respuesta de endpoints (EDR) es cada vez más esencial”.

Entre sus conclusiones más destacadas, el Informe de Seguridad en Internet del segundo trimestre de 2021 de WatchGuard revela:

Llegan cantidades masivas de malware a través de conexiones cifradas. En el segundo trimestre, el 91,5% del malware llegó a través de una conexión cifrada, lo que supone un aumento espectacular respecto al trimestre anterior. En pocas palabras, cualquier organización que no esté utilizando el cifrado HTTPS en el perímetro se está perdiendo 9/10 de todo el malware.

El malware utiliza herramientas de PowerShell para eludir las protecciones potentes. AMSI.Disable.A apareció en la sección de malware más importante de WatchGuard por primera vez en el primer trimestre e inmediatamente se disparó en este trimestre, llegando a la lista general en el número 2 por volumen y ganando el puesto número 1 para las amenazas cifradas en general. Esta familia de malware utiliza herramientas de PowerShell para explotar diversas vulnerabilidades de Windows. Pero lo que la hace especialmente interesante es su   técnica de evasión. WatchGuard descubrió que AMSI.Disable.A utiliza un código capaz de desactivar Antimalware Scan Interface (AMSI) en PowerShell, lo que le permite eludir los controles de seguridad de los scripts con su carga útil de malware sin ser detectada.

Las amenazas sin archivo se disparan y se vuelven aún más evasivas. En tan solo los seis primeros meses de 2021, las detecciones de malware que se originan en motores de scripting como PowerShell ya han alcanzado el 80% del volumen total de ataques iniciados por scripts del año pasado, lo que a su vez representó un aumento sustancial con respecto al año anterior. Al ritmo actual, las detecciones de malware sin archivo en 2021 van camino de duplicar su volumen interanual.

Los ataques de red están en auge a pesar del cambio a fuerzas de trabajo, principalmente remotas. Los dispositivos WatchGuard detectaron un aumento sustancial en los ataques de red, que crecieron un 22% con respecto al trimestre anterior y alcanzaron el volumen más alto desde principios de 2018. En el primer trimestre se registraron casi 4,1 millones de ataques de red. En el trimestre siguiente, ese número aumentó en otro millón, trazando un rumbo agresivo que destaca la creciente importancia de mantener la seguridad del perímetro junto con las protecciones centradas en el usuario.

El ransomware vuelve a atacar con fuerza. Mientras que el total de detecciones de ransomware en el endpoint seguía una trayectoria descendente desde 2018 hasta 2020, esa tendencia se rompió en la primera mitad de 2021, ya que el total de seis meses terminó justo por debajo del total de todo el año 2020. Si las detecciones diarias de ransomware se mantienen estables durante el resto de 2021, el volumen de este año registrará un aumento de más del 150% en comparación con 2020.

Los grandes ataques de ransomware eclipsan los ataques de estilo “shotgun blast”. El ataque a Colonial Pipeline del 7 de mayo de 2021 dejó muy claro que el ransomware ha llegado para quedarse. Como el incidente de seguridad más importante del trimestre, la brecha subraya cómo los ciberdelincuentes no solo están poniendo los servicios más vitales -como los hospitales, el control industrial y la infraestructura- en su punto de mira, sino que también parecen estar aumentando los ataques contra estos objetivos de alto valor. El análisis de incidentes de WatchGuard examina las consecuencias, el futuro de la seguridad de las infraestructuras críticas y las medidas que pueden tomar las organizaciones de cualquier sector para defenderse de estos ataques y frenar su propagación.

Los servicios antiguos siguen demostrando ser objetivos dignos. Desviándose de las habituales una o dos firmas nuevas que se ven en los informes trimestrales anteriores, hubo cuatro firmas completamente nuevas entre los 10 principales ataques de red de WatchGuard para el segundo trimestre. En particular, la más reciente fue una vulnerabilidad de 2020 en el popular lenguaje de programación web PHP, pero las otras tres no son nuevas en absoluto. Se trata de una vulnerabilidad del servidor Oracle GlassFish de 20ll, un fallo de inyección SQL de 2013 en la aplicación de registros médicos OpenEMR y una vulnerabilidad de ejecución remota de código (RCE) de 2017 en Microsoft Edge. Aunque son antiguas, todas ellas siguen suponiendo un riesgo si no se aplican los parches oportunos.

Las amenazas basadas en Microsoft Office siguen siendo populares. En el segundo trimestre se produjo una nueva incorporación a la lista de los 10 ataques de red más extendidos, y debutó en lo más alto. La firma, 1133630, es la vulnerabilidad RCE de 2017 mencionada anteriormente que afecta a los navegadores de Microsoft. Aunque puede ser un exploit antiguo y parcheado en la mayoría de los sistemas (con suerte), los que aún no han sido parcheados se encuentran con un duro despertar si un atacante es capaz de llegar a él antes que ellos. De hecho, un fallo de seguridad RCE de alta gravedad muy similar, rastreado como CVE-2021-40444, fue noticia a principios de este mes cuando se explotó activamente en ataques dirigidos contra Microsoft Office y Office 365 en ordenadores con Windows 10. Las amenazas basadas en Office siguen siendo populares en lo que respecta al malware, por lo que seguimos detectando estos ataques probados en el mundo real Afortunadamente, siguen siendo detectados por las defensas IPS probadas.

Los dominios de phishing se hacen pasar por dominios legítimos y ampliamente reconocidos. WatchGuard ha observado un aumento en el uso de malware recientemente dirigido a los servidores de Microsoft Exchange y a los usuarios de correo electrónico genérico para descargar troyanos de acceso remoto (RAT) en lugares altamente sensibles. Es probable que esto se deba a que el segundo trimestre es el segundo trimestre consecutivo en el que los trabajadores y estudiantes remotos vuelven a las oficinas híbridas y a los entornos académicos o a los comportamientos anteriormente normales de actividad in situ. En cualquier caso -o ubicación- se aconseja una fuerte concienciación sobre la seguridad y la supervisión de las comunicaciones salientes en los dispositivos que no están necesariamente conectados directamente a los dispositivos vinculados.

Los informes de investigación trimestrales de WatchGuard se basan en datos anónimos de Firebox Feed de los Fireboxes activos de WatchGuard cuyos propietarios han optado por compartir los datos para apoyar directamente los esfuerzos de investigación del Laboratorio de Amenazas. En el segundo trimestre, WatchGuard bloqueó un total de más de 16,6 millones de variantes de malware (438 por dispositivo) y casi 5,2 millones de amenazas de red (137 por dispositivo). El informe completo incluye detalles sobre tendencias adicionales de malware y de red del segundo trimestre de 2021, una inmersión aún más profunda en las amenazas detectadas en el endpoint durante la primera mitad de 2021, estrategias de seguridad recomendadas y consejos de defensa críticos para empresas de todos los tamaños y en cualquier sector, y mucho más.

 

WATCHGUARD