Detectan aumento del ransomware para endpoints y un descenso del malware circulando en la red
La investigación de WatchGuard revela que las conexiones cifradas se han convertido en el método más elegido para la distribución de programas maliciosos, lo que supone un mayor riesgo para las organizaciones que no descifran el tráfico.
SEATTLE, abril de 2023: WatchGuard® Technologies, líder mundial en ciberseguridad unificada, publicó los resultados de su Informe de Seguridad de Internet más reciente, que detalla las principales tendencias de malware y las amenazas de seguridad de redes y terminales analizadas por los investigadores de WatchGuard Threat Lab en el cuarto trimestre de 2022.
A pesar del descenso general del malware, los investigadores de WatchGuard Threat Lab han analizado los Fireboxes que descifran el tráfico HTTPS (TLS/SSL) y han detectado una mayor incidencia de malware, lo que indica que la actividad del malware se ha desplazado al tráfico cifrado. Dado que sólo el 20% de los Fireboxes que proporcionaron datos para este informe tienen activado el descifrado, esto indica que la gran mayoría de los programas maliciosos no se detectan. La actividad del malware cifrado ha sido un tema recurrente en los últimos informes de Threat Lab.
“Una tendencia continua y preocupante en nuestros datos e investigaciones muestra que el cifrado o la falta de descifrado en el perímetro de la red está ocultando la imagen completa de las tendencias de los ataques de malware. Por lo tanto es fundamental que los profesionales de la seguridad habiliten la inspección HTTPS para garantizar que estas amenazas se identifiquen y aborden antes de que puedan causar daños“, mencionó Corey Nachreiner, Director de Seguridad de WatchGuard Technologies.
Otras conclusiones importantes del Internet Security Report Q4 son:
– Las detecciones del ransomware Endpoint aumentaron un 627%. Este repunte resalta la necesidad de defensas contra el ransomware, como modernos controles de seguridad para la prevención proactiva, así como buenos planes de recuperación ante desastres y copias de seguridad.
– El 93% del malware se esconde tras el cifrado. Las investigaciones de Threat Lab indican que la mayor parte del malware se esconde en el cifrado SSL/TLS utilizado por los sitios web seguros. El cuarto trimestre continúa en esa tendencia con un aumento del 82% al 93%. Es probable que los profesionales de seguridad que no inspeccionan este tráfico no detecten la mayor parte del malware, lo que hace recaer una mayor responsabilidad en la seguridad de los puestos finales.
– Las detecciones de programas maliciosos basados en la red descendieron aproximadamente un 9,2% intertrimestral durante el cuarto trimestre. Se mantiene así un descenso general de las detecciones de malware en los dos últimos trimestres. Pero, como ya se ha mencionado, cuando se considera el tráfico web cifrado, el malware aumenta. El equipo de Threat Lab cree que esta tendencia a la baja puede no ilustrar el panorama completo y necesita más datos que aprovechen la inspección HTTPS para confirmar esta afirmación.
– Las detecciones de malware Endpoint aumentaron un 22%. Mientras que las detecciones de malware de red descendieron, las de Endpoints aumentaron en el cuarto trimestre. Esto apoya la hipótesis del equipo de Threat Lab acerca de que el malware se desplaza a canales cifrados. En el Endpoint, el cifrado TLS es un factor menos importante, ya que un navegador lo descifra para que lo vea el software de Endpoint de Threat Lab. Entre los principales vectores de ataque, la mayoría de las detecciones se asociaron a scripts, que constituyeron el 90% de todas las detecciones. En las detecciones de malware para navegadores, las amenazas se dirigieron sobre todo a Internet Explorer, con un 42% de las detecciones, seguido de Firefox, con un 38%.
– El malware de día cero o evasivo ha descendido al 43% en el tráfico no cifrado. Aunque sigue siendo un porcentaje significativo del total de malware detectado, es el más bajo que el equipo de Threat Lab ha visto en años. Dicho esto, la historia cambia por completo cuando se analizan las conexiones TLS. El 70% del malware a través de conexiones cifradas elude las firmas.
– Las campañas de phishing han aumentado. Tres de las variantes de malware que aparecen en la lista de las 10 principales del informe colaboran en diversas campañas de phishing. La familia de malware más detectada, JS.A gent.UNS, contiene HTML malicioso que dirige a los usuarios a dominios con apariencia legítima que se hacen pasar por sitios web conocidos. Otra variante, Agent.GBPM, crea una página de phishing de SharePoint titulada “PDF Salary_Increase”, que intenta acceder a la información de la cuenta de los usuarios. La última variante nueva en el top 10, HTML.Agent.WR, abre una página de notificación falsa de DHL en francés con un enlace de inicio de sesión que lleva a un dominio de phishing conocido.
El phishing y el compromiso del correo electrónico empresarial (BEC) siguen siendo uno de los principales vectores de ataque, así que hay que asegurar que dispone tanto de las defensas preventivas adecuadas como de programas de formación sobre concienciación de seguridad para defenderse de ellos.
– Los exploits de ProxyLogin siguen creciendo. Un exploit para este conocido y crítico problema de Exchange pasó del octavo puesto en el tercer trimestre al cuarto lugar en el trimestre pasado. Debería estar parcheado desde hace tiempo, pero si no es así, los profesionales de la seguridad deben saber que los atacantes lo tienen como objetivo. Las vulnerabilidades antiguas pueden ser tan útiles para los atacantes como las nuevas si son capaces de lograr un compromiso. Además, muchos atacantes siguen teniendo como objetivo los servidores Microsoft Exchange o los sistemas de gestión. Las organizaciones deben ser conscientes y saber dónde poner sus esfuerzos para defender estas áreas.
– El volumen de ataques a la red se mantiene estable trimestre tras trimestre. Técnicamente, ha aumentado en 35 ataques, lo que supone un incremento de tan sólo el 0,0015%. El ligero cambio es notable, ya que el siguiente cambio más pequeño fue de 91.885 del primer al segundo trimestre de 2020.
– LockBit sigue siendo un grupo de ransomware y una variante de malware prevalentes. El equipo del Laboratorio de Amenazas sigue viendo variantes de LockBit con frecuencia, ya que este grupo parece ser el que más éxito tiene a la hora de vulnerar empresas (a través de sus filiales) con ransomware. Aunque menos que en el trimestre anterior, LockBit volvió a tener el mayor número de víctimas públicas de extorsión, con 149 rastreadas por el Laboratorio de Amenazas de WatchGuard (frente a las 200 del tercer trimestre). También en el cuarto trimestre, el equipo del Laboratorio de Amenazas detectó 31 nuevos grupos de ransomware y extorsión.
Los informes de investigación trimestrales de WatchGuard se basan en datos Firebox Feed anonimizados de Fireboxes WatchGuard activos cuyos propietarios han optado por compartir datos en apoyo directo a los esfuerzos de investigación del Laboratorio de Amenazas. El enfoque Unified Security Platform® de la compañía está diseñado exclusivamente para que los proveedores de servicios gestionados ofrezcan una seguridad de primer nivel.
En el cuarto trimestre, WatchGuard bloqueó un total de más de 15,7 millones de variantes de malware (194 por dispositivo) y más de 2,3 millones de amenazas de red (28 por dispositivo). El informe completo incluye detalles sobre tendencias adicionales de malware y de red del cuarto trimestre de 2022, estrategias de seguridad recomendadas, consejos críticos de defensa para empresas de todos los tamaños y en cualquier sector, y mucho más.
Para obtener una visión más profunda de la investigación de WatchGuard, lea el Informe completo de seguridad en Internet del cuarto trimestre de 2022 aquí.