WatchGuard Threat Lab informa que el 91,5% del malware llegó a través de conexiones cifradas en el segundo trimestre de 2021

Una nueva investigación también muestra un aumento dramático en el malware sin archivos, las detecciones de malware por dispositivo y los ataques de ransomware y de red en auge.

SEATTLE – 30 de Septiembre de 2021 –WatchGuard Technologies, líder mundial en seguridad e inteligencia de redes, protección avanzada de endpoints, autenticación multifactor (MFA) y Wi-Fi seguro, publicó hoy su último Informe Trimestral de seguridad de Internet, que detalla las principales tendencias de malware y amenazas de seguridad de red analizadas por Investigadores de WatchGuard Threat Lab durante el segundo trimestre de 2021. El informe también incluye nuevos conocimientos basados en la inteligencia de amenazas de endpoints detectada durante la primera mitad de 2021. 

Los principales hallazgos de la investigación descubrieron un asombroso 91,5% de malware que llega a través de conexiones cifradas HTTPS, lo que genera aumentos alarmantes en los sistemas sin archivos. amenazas de malware, crecimiento espectacular del ransomware, un gran aumento de los ataques a la red y mucho más.

"Con gran parte del mundo todavía operando firmemente en un modelo de fuerza laboral móvil o híbrida, el perímetro de la red tradicional no siempre es un factor en la ecuación de defensa de la ciberseguridad", dijo Corey Nachreiner, Director de Seguridad de WatchGuard. "Si bien una sólida defensa del perímetro sigue siendo una parte importante de un enfoque de seguridad por capas, la protección sólida de endpoints (EPP) y la detección y respuesta de endpoints (EDR) son cada vez más esenciales".

Entre sus hallazgos más notables, el Informe de Seguridad de Internet del segundo trimestre de 2021 de WatchGuard revela:

-Grandes cantidades de malware llegan a través de conexiones cifradas: en el segundo trimestre, el 91,5% del malware llegó a través de una conexión cifrada, un aumento espectacular con respecto al trimestre anterior. En pocas palabras, a cualquier organización que no esté examinando el tráfico HTTPS cifrado en el perímetro le faltan 9/10 de todo el malware por examinar.

-El malware está utilizando herramientas de PowerShell para eludir protecciones poderosas: AMSI.Disable.A apareció en la sección principal de malware de WatchGuard por primera vez en el primer trimestre e inmediatamente se disparó para este trimestre, llegando a la lista en el número 2 en general por volumen y en el número 1. spot para amenazas cifradas en general. Esta familia de malware utiliza herramientas de PowerShell para explotar varias vulnerabilidades en Windows. Pero lo que lo hace especialmente interesante es su técnica evasiva. WatchGuard descubrió que AMSI.Disable.A usa un código capaz de deshabilitar la Interfaz de exploración antimalware (AMSI) en PowerShell, lo que le permite omitir las comprobaciones de seguridad de los scripts con su carga útil de malware sin ser detectada.

-Las amenazas sin archivos se disparan y se vuelven aún más evasivas: sólo en los primeros seis meses de 2021, las detecciones de malware que se originan en motores de scripting como PowerShell ya han alcanzado el 80% del volumen total de ataques iniciados por scripts del año pasado, lo que en sí mismo representó un aumento sustancial durante el año previo. Al ritmo actual, las detecciones de malware sin archivos de 2021 están en camino de duplicar su volumen interanual.

-Los ataques a la red están en auge a pesar del cambio a fuerzas de trabajo principalmente remotas: los dispositivos WatchGuard detectaron un aumento sustancial en los ataques a la red, que aumentaron un 22% con respecto al trimestre anterior y alcanzaron el volumen más alto desde principios de 2018. El primer trimestre vio casi 4.1 millones de ataques a la red. En el trimestre siguiente, ese número aumentó en otro millón, trazando un rumbo agresivo que destaca la creciente importancia de mantener la seguridad del perímetro junto con las protecciones centradas en el usuario.

-El ransomware ataca con fuerza: mientras que las detecciones totales de ransomware en el punto final se encontraban en una trayectoria descendente desde 2018 hasta 2020, esa tendencia se rompió en la primera mitad de 2021, ya que el total de seis meses terminó apenas por debajo del total del año completo para 2020. Si las detecciones diarias de ransomware se mantienen estables durante el resto de 2021, el volumen de este año alcanzará un aumento de más del 150% en comparación con 2020

-Los grandes ataques de ransomware eclipsan los ataques de tipo “shotgun blast”: el ataque Colonial Pipeline del 7 de mayo de 2021 dejó en claro que el ransomware como amenaza llegó para quedarse. Como el incidente de seguridad más importante del trimestre, la brecha subraya cómo los ciberdelincuentes no solo están poniendo los servicios más vitales, como hospitales, control industrial e infraestructura, en su punto de mira, sino que parecen estar intensificando los ataques contra estos objetivos de alto valor como bien. El análisis de incidentes de WatchGuard examina las consecuencias, cómo se ve el futuro para la seguridad de la infraestructura crítica y los pasos que las organizaciones de cualquier sector pueden tomar para ayudar a defenderse de estos ataques y ralentizar su propagación.

-Los servicios antiguos continúan demostrando ser objetivos dignos: desviándose de las firmas nuevas habituales de una a dos vistas en informes trimestrales anteriores, hubo cuatro firmas nuevas entre los 10 principales ataques de red de WatchGuard para el segundo trimestre. En particular, la más reciente fue una vulnerabilidad de 2020 en el popular lenguaje de programación web PHP, pero las otras tres no son nuevas en absoluto. Estos incluyen una vulnerabilidad 20ll de Oracle GlassFish Server, una falla de inyección SQL de 2013 en la aplicación de registros médicos OpenEMR y una vulnerabilidad de ejecución remota de código (RCE) de 2017 en Microsoft Edge. Si bien están anticuados, todos siguen presentando riesgos si no se actualizan.

-Las amenazas basadas en Microsoft Office persisten en popularidad: el segundo trimestre vio una nueva adición a la lista de los 10 ataques de red más extendidos, y debutó en lo más alto. La firma, 1133630, es la vulnerabilidad RCE de 2017 mencionada anteriormente que afecta a los navegadores de Microsoft. Aunque puede ser un exploit antiguo y parcheado en la mayoría de los sistemas (con suerte), aquellos que aún tienen que parchear tendrán un rudo despertar si un atacante puede acceder antes que ellos. De hecho, una falla de seguridad RCE de alta gravedad muy similar, rastreada como CVE-2021-40444, apareció en los titulares a principios de este mes cuando fue explotada activamente en ataques dirigidos contra Microsoft Office y Office 365 en computadoras con Windows 10. Las amenazas basadas en Office continúan siendo populares cuando se trata de malware, por lo que todavía estamos detectando estos ataques probados y verdaderos en la naturaleza. Afortunadamente, todavía están siendo detectados por defensas IPS probadas y verdaderas.

-Los dominios de phishing se hacen pasar por dominios legítimos y ampliamente reconocidos: WatchGuard ha observado un aumento en el uso de malware recientemente dirigido a servidores de Microsoft Exchange y usuarios de correo electrónico genérico para descargar troyanos de acceso remoto (RAT) en ubicaciones altamente sensibles. Es muy probable que esto se deba a que el segundo trimestre es el segundo trimestre consecutivo en que los trabajadores remotos y los estudiantes regresaron a oficinas híbridas y entornos académicos o comportamientos previamente normales de actividad en el sitio. En cualquier caso, o ubicación, se recomienda un fuerte conocimiento de la seguridad y la supervisión de las comunicaciones salientes en dispositivos que no están necesariamente conectados directamente a los dispositivos conectados.

WatchGuard ima01Los informes de investigación trimestrales de WatchGuard se basan en datos anónimos de Firebox Feed de WatchGuard Fireboxes activos cuyos propietarios han optado por compartir datos en apoyo directo de los esfuerzos de investigación de Threat Lab. En el segundo trimestre, WatchGuard bloqueó un total de más de 16,6 millones de variantes de malware (438 por dispositivo) y casi 5,2 millones de amenazas de red (137 por dispositivo). El informe completo incluye detalles sobre malware adicional y tendencias de red del segundo trimestre de 2021, un análisis aún más profundo de las amenazas detectadas en el punto final durante la primera mitad de 2021, estrategias de seguridad recomendadas y consejos de defensa críticos para empresas de todos los tamaños y en cualquier sector, y más.

Para obtener una vista detallada de la investigación de WatchGuard, lea el Informe completo de seguridad de Internet del segundo trimestre de 2021 aquí:

https://www.watchguard.com/wgrd-resource-center/security-report-q2-2021