WatchGuard® Technologies, compañía de ciberseguridad unificada, ha anunciado los resultados de su último Informe de Seguridad en Internet, que detalla las principales tendencias de malware y amenazas de seguridad de red y endpoint analizadas por los investigadores de WatchGuard Threat Lab. Las principales conclusiones de la investigación incluyen que el 95% del malware llega ahora a través de conexiones cifradas, un descenso en los volúmenes de malware para endpoint a pesar de que las campañas se están extendiendo cada vez más, el descenso de las detecciones de ransomware en medio de un aumento de los ataques de doble extorsión, la persistencia de vulnerabilidades de software antiguas como objetivos populares de explotación entre los actores de amenazas modernos, y mucho más.
«Los datos analizados por nuestro Threat Lab para nuestro último informe refuerzan cómo los ataques de malware avanzado fluctúan en frecuencia y las ciberamenazas multifacéticas siguen evolucionando, lo que requiere una vigilancia constante y un enfoque de seguridad por capas para combatirlas con eficacia«, explica Corey Nachreiner, director de seguridad de WatchGuard. «No existe una estrategia única que los actores de amenazas esgriman en sus ataques y ciertas amenazas suelen presentar niveles de riesgo variables en distintas épocas del año. Las organizaciones deben estar continuamente en alerta para vigilar estas amenazas y emplear un enfoque de seguridad unificado, que puede ser administrado eficazmente por proveedores de servicios gestionados, para su mejor defensa”.
Entre las conclusiones más destacadas, el último Informe de Seguridad en Internet, con datos del segundo trimestre de 2023, pone de manifiesto que:
- El 95% del malware se oculta tras el cifrado. La mayor parte del malware se oculta tras el cifrado SSL/TLS utilizado por los sitios web seguros. Las organizaciones que no inspeccionan el tráfico SSL/TLS en el perímetro de la red probablemente estén pasando por alto la mayor parte del malware. Además, el malware zero-day descendió al 11% del total de malware detectado, un mínimo histórico. Sin embargo, al inspeccionar el malware a través de conexiones cifradas, el porcentaje de detecciones evasivas aumentó hasta el 66%, lo que indica que los agresores siguen distribuyendo malware sofisticado principalmente a través del cifrado.
- El volumen total de programas maliciosos para endpoint ha descendido ligeramente, aunque han aumentado las campañas de programas maliciosos generalizados. En el segundo trimestre se produjo un ligero descenso del 8% en las detecciones de malware para endpoint en comparación con el trimestre anterior. Sin embargo, si se tienen en cuenta las detecciones de programas maliciosos detectados en entre 10 y 50 sistemas o en 100 o más sistemas, el volumen de estas detecciones aumentó un 22% y un 21%, respectivamente. El aumento de las detecciones entre más máquinas indica que las campañas de malware generalizado crecieron del primer al segundo trimestre de 2023.
- Los ataques de doble extorsión de grupos de ransomware aumentaron un 72% trimestre tras trimestre, ya que el Threat Lab detectó 13 nuevos grupos de extorsión. Sin embargo, el aumento de los ataques de doble extorsión se produjo mientras que las detecciones de ransomware en endpoints disminuyeron un 21% trimestre tras trimestre y un 72 % interanual.
- Seis nuevas variantes de malware en el Top 10 de detecciones en endpoints. El Threat Lab observó un aumento masivo de detecciones del instalador 3CX comprometido, que representa el 48% del volumen total de detecciones en la lista de las 10 principales amenazas de malware del segundo trimestre. Además, Glupteba, un polifacético cargador, botnet, ladrón de información y criptominero que ataca a víctimas de forma aparentemente indiscriminada en todo el mundo, resurgió a principios de 2023 tras su interrupción en 2021.
- Los actores de amenazas aprovechan cada vez más los binarios living-off-the-land de Windows para distribuir malware. Al analizar los vectores de ataque y la forma en que los actores de amenazas acceden a los endpoints, los ataques que abusan de herramientas del sistema operativo Windows como WMI y PSExec crecieron un 29%, representando el 17% de todo el volumen total, mientras que el malware que utiliza scripts como PowerShell descendió un 41% en volumen. Los scripts siguen siendo el vector de distribución de malware más común, con un 74% de las detecciones totales. Los exploits basados en navegadores disminuyeron un 33% y representan el 3% del volumen total.
- Los ciberdelincuentes siguen atacando vulnerabilidades de software antiguas. Los investigadores de Threat Lab encontraron tres nuevas firmas en el Top 10 de ataques de red del segundo trimestre basadas en vulnerabilidades antiguas. Una era una vulnerabilidad de 2016 asociada con un sistema de gestión de aprendizaje de código abierto (GitHub) que se retiró en 2018. Otras eran una firma que detecta desbordamientos de código entero en PHP, el lenguaje de scripting utilizado por muchos sitios web, y una aplicación de gestión de HP y desbordamiento de buffer de 2010, llamada Open View Network Node Manager.
- Dominios comprometidos en blogs de WordPress y servicio de acortamiento de enlaces. Al investigar los dominios maliciosos, el equipo del Threat Lab encontró casos de sitios web autogestionados (como blogs de WordPress) y un servicio de acortamiento de dominios que estaban comprometidos para alojar malware o un marco de mando y control de malware. Además, los actores de la amenaza Qakbot habían comprometido un sitio web dedicado a un concurso educativo en la región de Asia-Pacífico para alojar infraestructura de comando y control para su botnet.
En consonancia con el enfoque de la Plataforma Unificada de Seguridad® de WatchGuard y las anteriores actualizaciones de investigación trimestrales del Threat Lab de WatchGuard, los datos analizados en este informe trimestral se basan en inteligencia de amenazas anonizada y agregada de productos activos de red y endpoint de WatchGuard cuyos propietarios han optado por compartir en apoyo directo a los esfuerzos de investigación de WatchGuard.
El informe del segundo trimestre de 2023 continúa el despliegue de los métodos actualizados del equipo del Threat Lab para normalizar, analizar y presentar las conclusiones del informe, que comenzó en el informe del trimestre pasado. Los resultados de seguridad de red se presentan como promedios «por dispositivo», y este mes las metodologías actualizadas se extienden a la investigación de ataques de red y malware para el endpoint del Threat Lab.
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.