El 91.5% del malware llegó a través de conexiones cifradas
WatchGuard Technologies publicó el Informe de Seguridad de Internet correspondiente al segundo trimestre 2021, el cual detalla las principales tendencias de malware y de amenazas de seguridad de redes analizadas por los investigadores de su Threat Lab.
El informe incluye a su vez nuevos datos basados en inteligencia de amenazas en endpoint detectados en la primera mitad de 2021. Los principales hallazgos de la investigación revelaron que 91.5% de malware proveniente de conexiones cifradas en HTTPS-, picos alarmantes de amenazas de malware sin archivos, un dramático crecimiento en ransomware, un amplio incremento en ataques a redes y mucho más.
“Con una gran parte del mundo aún operando en un modelo móvil o híbrido, la red tradicional no siempre es considerada como parte de la ecuación en la defensa de la ciberseguridad”, comentó Corey Nachreiner, director de seguridad de la compañía. “Si bien una fuerte defensa del perímetro sigue siendo una parte importante en la seguridad por capas, la protección sólida de endpoints (EPP) y la detección y respuesta de endpoints (EDR) son altamente esenciales”.
Principales hallazgos
–Llegan cantidades masivas de malware mediante conexiones cifradas: En el segundo trimestre, el 91.5% del malware llegó mediante conexiones cifradas, un fuerte incremento con respecto al trimestre anterior. Simplemente, cualquier organización que no utilice un cifrado HTTPS está perdiendo de vista a 9 de cada 10 malware en el perímetro.
–El malware utiliza herramientas de PowerShell para esquivar protecciones poderosas: AMSI.Disable.A figuró por primera vez en la sección principal de malware de Watchguard en el primer trimestre e inmediatamente se disparó para este trimestre, al alcanzar el puesto #2 en la lista en general por volumen y en el puesto #1 en amenazas cifradas en general. Esta familia de malware utiliza herramientas de PowerShell para aprovechar varias vulnerabilidades en Windows, sin embargo, lo que lo hace especialmente interesante es su técnica evasiva. Watchguard encontró que AMSI.Disable.A maneja un código capaz de deshabilitar la Interfaz de Exploración de Antimalware (AMSI) en PowerShell, lo que permite omitir las configuraciones de seguridad de los comandos con su malware sin ser detectado.
–Las amenazas sin archivo se elevan y se vuelven aún más evasivas: Tan solo en los primeros seis meses de 2021, las detecciones de malware que se originan en motores de secuencias de comandos como PowerShell han alcanzado ya el 80% del volumen total de ataques iniciados por secuencia de comandos del año pasado, lo que en sí mismo representó un aumento sustancial con respecto al año anterior. En su tasa actual, las detecciones de malware sin archivo de 2021 están cerca de duplicarse en volumen de un año a otro.
–Los ataques a la red tienen un auge a pesar del cambio de formas de trabajo principalmente remotas: Los dispositivos de Watchguard detectaron un aumento sustancial en los ataques a la red, lo que disparó un aumento del 22% con respecto al trimestre anterior y alcanzó el mayor volumen más alto registrado desde principios de 2018. En el primer trimestre se registraron casi 4.1 millones de ataques a la red. En el trimestre siguiente, dicho número incrementó otro millón y se posicionó en un camino agresivo que muestra la importancia de mantener la seguridad del perímetro a la par de las protecciones enfocadas al usuario.
–El ransomware contraataca con venganza: Si bien las detecciones totales en endpoint tuvieron una trayectoria descendiendo desde 2018 hasta 2020, esa tendencia se acabó en el primer semestre de 2021, ya que dichos meses terminaron con una cifra apenas por debajo de todo lo reportado en 2020. Incluso si las detecciones de ransomware se mantienen estables el resto de 2021, el volumen de este año habrá aumentado 150% comparado con 2020.
–Los grandes ataques de ransomware opacan a los ataques de efecto de impacto enfocado: El ataque Colonial Pipeline del 7 de mayo de 2021 dejó bastante claro que el ransomware es una amenaza que llegó para quedarse. Como el incidente de seguridad más importante del trimestre, esta vulnerabilidad destaca cómo los cibercriminales no solo ponen en su mira los servicios más vitales, como lo son hospitales, control industrial e infraestructura, sino que parecen estar intensificando los ataques hacia estos objetivos de alto valor. El análisis de incidentes de Watchguard examina las consecuencias de cómo se ve el futuro para la seguridad de la infraestructura crítica y los pasos que las organizaciones de cualquier sector pueden tomar para defenderse de estos ataques y alentar su propagación.
–Los antiguos servicios continúan demostrando ser objetivos dignos de atacar: A diferencia de las firmas habituales de una a dos nuevas vistas en informes trimestrales anteriores, hubo cuatro firmas nuevas entre los 10 principales ataques de red de WatchGuard para el segundo trimestre. En particular, la más reciente fue una vulnerabilidad de 2020 que fue popular en el lenguaje de programación de red PHP, sin embargo, las otras tres no son nuevas. Estas son una vulnerabilidad 20ll del Oracle GlassFish Server, una falla de inyección SQL de 2013 en la aplicación de registros médicos OpenEMR y una vulnerabilidad de ejecución remota (RCE) de 2017 en Microsoft Edge. A pesar de ser antiguos, siguen siendo un riesgo si no se actualizan.
–Las amenazas basadas en Microsoft Office persisten en popularidad: El segundo trimestre tuvo un nuevo ingreso en su lista de los 10 ataques de red más extendidos y debutó en la cima. La firma 1133630 es la vulnerabilidad (RCE) de 2017 mencionada anteriormente que afecta a los navegadores de Microsoft. Aunque puede ser una vulnerabilidad antigua y corregida en la mayoría de los sistemas, aquellos que aún tengan que correr esta corrección se encontrarán con un problema si un atacante puede acceder a dicha vulnerabilidad antes que ellos lo hagan. De hecho, una falla de seguridad RCE de alta gravedad muy similar rastreada como CVE-2021-40444 acaparó los titulares a principios de este mes cuando fue explotada activamente en los ataques dirigidos Microsoft Office y Office 365 en computadoras que cuentan con Windows 10. Las amenazas basadas en Office continúan siendo populares cuando se trata de malware, por lo que aún se siguen detectando estos ataques. Afortunadamente, son identificados por defensas IPS comprobadas.
–Los dominios de phishing que se hacen pasar por sitios legítimos ampliamente reconocidos: WatchGuard ha observado un aumento en el uso de malware recientemente dirigido a servidores de Microsoft Exchange y usuarios de correo electrónico genérico para descargar troyanos de acceso remoto (RATs) en ubicaciones altamente sensibles. Lo más probable es que esto se deba a que el trimestre anterior es el segundo trimestre consecutivo en el que los empleados y estudiantes regresaron ya sea a oficinas híbridas y ambientes académicos o a comportamientos habituales en actividad de sitio. En cualquier caso o ubicación, se recomienda tanto un conocimiento de seguridad, como el monitoreo de comunicaciones salientes en los dispositivos y que estos no se encuentren directamente conectados a otros.
Informe de Seguridad de Internet del segundo trimestre de 2021 completo aquí.
WhatsApp eSemanal 55 7360 5651
