La vulnerabilidad de la brecha Equifax, principal ataque de red en el tercer trimestre
El último Informe de Seguridad en Internet de WatchGuard también revela un aumento significativo de los ataques de malware y de red, ya que el malware zero-day representa el 50% de todas las detecciones.
WatchGuard Technologies, líder global en inteligencia y seguridad de red, Wi-Fi seguro y autenticación multifactor, ha presentado su Informe de Seguridad en Internet correspondiente al tercer trimestre de 2019. En medio de un aumento significativo del malware y los ataques de red, múltiples vulnerabilidades de Apache Struts - incluida una utilizada en la devastadora brecha de datos de Equifax - aparecieron por primera vez en la lista de WatchGuard de los ataques de red más populares en el tercer trimestre de 2019. El informe también destaca un incremento importante de las detecciones de malware zero-day, el aumento del uso de exploits de Microsoft Office y de las herramientas de prueba de penetración legítimas, y mucho más.
"Nuestro último informe de amenazas muestra el aumento en la variedad y sofisticación de las tácticas empleadas por los ciberdelincuentes. No solo están aprovechando ataques muy conocidos, sino que también están lanzando campañas evasivas de malware y secuestrando productos, herramientas y dominios que utilizamos a diario", explica Corey Nachreiner, director de tecnología de WatchGuard Technologies. "A medida que los autores de las amenazas continúan modificando sus tácticas, las organizaciones de todos los tamaños deben protegerse a sí mismas, a sus clientes y a sus partners con un conjunto de servicios de seguridad en capas que lo cubra todo, desde la red central hasta los endpoints y los propios usuarios".
El Informe de Seguridad en Internet de WatchGuard proporciona a las empresas los datos, las tendencias, la investigación y el asesoramiento en materia de defensa que necesitan para comprender mejor el panorama de seguridad actual y mantenerse alerta y protegidos contra las amenazas emergentes. A continuación se presentan varias conclusiones clave del informe del tercer trimestre de 2019:
• Nuevo ataque de red se dirige a una vulnerabilidad importante utilizada en la brecha de datos de Equifax - Debutando en el Top Ten de WatchGuard sobre ataques de red más populares, la Ejecución Remota de Código Apache Struts 2 permite a los atacantes instalar Python o hacer una solicitud HTTP personalizada para explotar la vulnerabilidad con solo unas pocas líneas de código y obtener acceso shell a un sistema expuesto. Esta amenaza fue acompañada por dos vulnerabilidades adicionales de Apache Struts en la lista de los diez principales ataques de red en el tercer trimestre, ya que el volumen total de ataques de red aumentó un 8%. Las consecuencias masivas de la brecha de Equifax ponen a la vista la gravedad de esta vulnerabilidad y deberían servir como recordatorio de lo importante que es para los administradores web parchear los fallos conocidos tan pronto como sea posible.
• Los atacantes siguen favoreciendo los exploits de Microsoft Office - Dos variantes de malware que afectan a los productos de Microsoft Office entraron en la lista de WatchGuard de los diez principales malware por volumen, así como en el ranking de los diez malware más extendidos el pasado trimestre. Esto indica que los agentes de amenazas están duplicando tanto la frecuencia con la que aprovechan los ataques basados en Office, como en el número de víctimas a las que se dirigen. Ambos ataques se produjeron principalmente a través del correo electrónico, lo que pone de relieve por qué las organizaciones deben centrarse cada vez más en la formación y educación de los usuarios para ayudarles a identificar los intentos de phishing y otros ataques que aprovechan los archivos adjuntos maliciosos.
• Las muestras de malware zero-day aumentan hasta un 50%, a medida que crecen las detecciones de malware en general - Tras estabilizarse en alrededor del 38% de todas las detecciones de malware en los últimos trimestres, el malware zero-day representó la mitad de todas las detecciones en el tercer trimestre de 2019. El volumen total de malware detectado aumentó un 4% en comparación con el segundo trimestre de 2019, con un aumento masivo del 60% respecto al tercer trimestre de 2018. El hecho de que la mitad de los ataques de malware en el tercer trimestre fueran capaces de eludir las soluciones tradicionales basadas en firmas ilustra la necesidad de servicios de seguridad en capas que puedan proteger contra amenazas avanzadas y en constante evolución.
• Los ciberdelincuentes pueden estar aprovechando herramientas legítimas de pentesting para ataques - Dos nuevas variantes de malware que incluyen herramientas de pruebas de penetración de Kali Linux debutaron en la lista de los diez principales malware por volumen de WatchGuard en el tercer trimestre. El primero fue Boxter, un troyano PowerShell utilizado para descargar e instalar programas potencialmente no deseados en el dispositivo de una víctima sin su consentimiento. El segundo fue Hacktool.JQ, que representa la única otra herramienta de ataque de autenticación, además de Mimikatz (que disminuyó su prevalencia un 48% en comparación con el segundo trimestre y un 16% en comparación con el tercer trimestre de 2018), para configurar la lista. No está claro si el aumento de estas detecciones proviene de actividades de pentesting legítimas o de atacantes maliciosos que aprovechan herramientas de código abierto fácilmente disponibles. Las organizaciones deben seguir aprovechando los servicios antimalware para evitar el robo de datos.
• Los ataques de malware dirigidos a América aumentan drásticamente - Más del 42% de todos los ataques de malware en el tercer trimestre de 2019 se dirigieron a América del Norte, Central y del Sur, frente al 27% en el segundo trimestre. Esto representa un cambio geográfico significativo en el enfoque de los atacantes en comparación con el último trimestre, ya que EMEA y APAC (que estaban empatadas en el top regional de malware en el segundo trimestre) representaron el 30% y el 28% de todos los ataques de malware en el tercer trimestre, respectivamente. Aunque las motivaciones específicas no están claras, esta tendencia indica que los atacantes están lanzando nuevas campañas de malware online dirigidas específicamente a los usuarios en la región de América.
Los hallazgos incluidos en el Informe de Seguridad en Internet de WatchGuard provienen de datos anónimos de Firebox Feed de los dispositivos WatchGuard UTM activos cuyos propietarios han optado por compartir datos para apoyar los esfuerzos de investigación de Threat Lab. En la actualidad, casi 37.000 dispositivos en todo el mundo aportan datos de inteligencia de amenazas al informe. En el tercer trimestre de 2019, bloquearon más de 23.000.000 variantes de malware en total (623 muestras cada una) y casi 2.400.000 ataques de red (65 por dispositivo).