Récord de malware
El volumen de malware y ransomware para endpoint superó el total de 2020 en el 3er trimestre de 2021.
WatchGuard Technologies, líder global en seguridad e inteligencia de red, protección avanzada de endpoint, autenticación multifactor (MFA) y Wi-Fi seguro, ha publicado el último Informe trimestral sobre Seguridad en Internet, en el que se destacan las principales tendencias de malware y amenazas de seguridad de red del tercer trimestre de 2021, analizadas por los investigadores de WatchGuard Threat Lab.
Los datos indican que, si bien el volumen total de detección de malware en el perímetro disminuyó con respecto a los máximos alcanzados en el trimestre anterior, las detecciones de malware en el endpoint ya han superado el volumen total observado en 2020 (con los datos del cuarto trimestre de 2021 aún por comunicar). Además, un porcentaje significativo de malware sigue llegando a través de conexiones cifradas, continuando la tendencia de los trimestres anteriores.
"Aunque el volumen total de ataques de red se redujo ligeramente en el tercer trimestre, el malware por dispositivo aumentó por primera vez desde que comenzó la pandemia", apunta Corey Nachreiner, director de seguridad de WatchGuard. "Si analizamos el año en su conjunto, el entorno de seguridad sigue siendo desafiante. Es importante que las organizaciones vayan más allá de los altibajos a corto plazo y de la estacionalidad de las métricas específicas, y se centren en las tendencias persistentes y preocupantes que influyen en su postura de seguridad. Un ejemplo importante es la aceleración del uso de las conexiones cifradas para conseguir zero days. Seguimos creyendo que la plataforma de seguridad unificada de WatchGuard ofrece la mejor protección integral para combatir la variedad de amenazas a las que se enfrentan las organizaciones hoy en día”.
Entre las conclusiones más destacadas, el Informe de Seguridad en Internet del tercer trimestre de 2021 de WatchGuard revela:
• Casi la mitad del malware zero-day se distribuye ahora a través de conexiones cifradas – Mientras la cantidad total de malware zero-day aumentó un modesto 3% hasta el 67,2% en el tercer trimestre, el porcentaje de malware que llegó a través de Transport Layer Security (TLS) saltó del 31,6% al 47%. Un porcentaje menor de zero-days cifrados se considera avanzado, pero sigue siendo preocupante dado que los datos de WatchGuard muestran que muchas organizaciones no están descifrando estas conexiones y, por tanto, tienen poca visibilidad de la cantidad de malware que llega a sus redes.
• A medida que los usuarios se actualizan a versiones más recientes de Microsoft Windows y Office, los atacantes se centran en las nuevas vulnerabilidades – Mientras las vulnerabilidades no parcheadas en el software más antiguo siguen proporcionando un buen territorio de caza para los atacantes, también están buscando explotar las debilidades en las últimas versiones de los productos ampliamente utilizados de Microsoft. En el tercer trimestre, el CVE-2018-0802 -que aprovecha una vulnerabilidad en Equation Editor de Microsoft Office- se coló en la lista de los 10 principales malware para el antivirus del gateway de WatchGuard por volumen, alcanzando el número 6, después de aparecer en la lista de malware más extendidos en el trimestre anterior. Además, dos inyectores de código de Windows (Win32/Heim.D y Win32/Heri) ocuparon el número 1 y 6 de la lista de los más detectados, respectivamente.
• Los atacantes apuntaron desproporcionadamente a América – La inmensa mayoría de los ataques de red tuvieron como objetivo América en el tercer trimestre (64,5%), frente a Europa (15,5%) y APAC (20%).
• Las detecciones de ataques de red en general retomaron una trayectoria más normal, pero siguen planteando riesgos importantes – Tras trimestres consecutivos de crecimiento superior al 20%, el Servicio de Prevención de Intrusiones (IPS) de WatchGuard detectó aproximadamente 4,1 millones de explotaciones de red únicas en el tercer trimestre. El descenso del 21% hizo que los volúmenes descendieran a los niveles del primer trimestre, que seguían siendo altos en comparación con el año anterior. Este cambio no significa necesariamente que los adversarios estén cediendo, ya que posiblemente estén cambiando su enfoque hacia ataques más específicos.
• Las 10 principales firmas de ataques de red representan la gran mayoría de los ataques – De los 4.095.320 impactos detectados por el IPS en el tercer trimestre, el 81% se atribuyeron a las 10 firmas principales. De hecho, solo hubo una nueva firma entre las 10 primeras en el tercer trimestre, "WEB Remote File Inclusion /etc/passwd" (1054837), que se dirige a servidores web de Microsoft Internet Information Services (IIS); más antiguos, pero aún muy utilizados. Una firma (1059160), una inyección SQL, ha seguido manteniendo la posición que ha ocupado en lo más alto de la lista desde el segundo trimestre de 2019.
• Los ataques de scripting a endpoints continúan a un ritmo récord – A finales del tercer trimestre, la inteligencia de amenazas AD360 de WatchGuard y WatchGuard Endpoint Protection Detection and Response (EPDR) ya habían visto un 10% más de scripts de ataque que en todo el año 2020 (que, a su vez, registró un aumento del 666% respecto al año anterior). A medida que las fuerzas de trabajo híbridas comienzan a parecer la norma y no la excepción, un perímetro fuerte ya no es suficiente para detener las amenazas. Aunque los ciberdelincuentes tienen varias formas de atacar los endpoints -desde los exploits de aplicaciones hasta los ataques basados en scripts-, incluso aquellos con habilidades limitadas pueden ejecutar completamente una carga útil de malware con herramientas de scripting como PowerSploit, PowerWare y Cobalt Strike, mientras evaden la detección básica de los endpoints.
• Incluso los dominios normalmente seguros pueden verse comprometidos – Un fallo de protocolo en el sistema de descubrimiento automático del servidor Exchange de Microsoft permitió a los atacantes recopilar credenciales de dominio y comprometer varios dominios normalmente fiables. En general, en el tercer trimestre los Fireboxes de WatchGuard bloquearon 5,6 millones de dominios maliciosos, incluyendo varios nuevos dominios de malware que intentan instalar software para criptominería, registradores de claves y troyanos de acceso remoto (RAT), así como dominios de phishing que se hacen pasar por sitios de SharePoint para recoger las credenciales de inicio de sesión de Office365. Aunque ha bajado un 23% respecto al trimestre anterior, el número de dominios bloqueados sigue siendo varias veces superior al nivel observado en el cuarto trimestre de 2020 (1,3 millones). Esto pone de manifiesto la necesidad crítica de que las organizaciones se centren en mantener los servidores, las bases de datos, los sitios web y los sistemas actualizados con los últimos parches para limitar las vulnerabilidades que pueden explotar los atacantes.
• Ransomware, ransomware, ransomware – Después de un fuerte descenso en 2020, los ataques de ransomware alcanzaron el 105% del volumen total de 2020 a finales de septiembre (como WatchGuard predijo a finales del trimestre anterior) y están en camino de alcanzar el 150% una vez que se analicen los datos de todo el año 2021. Las operaciones de ransomware como servicio, como REvil y GandCrap, siguen bajando el listón para los delincuentes con escasos o nulos conocimientos de codificación, proporcionando la infraestructura y las cargas útiles de malware para llevar a cabo ataques a nivel mundial a cambio de un porcentaje del rescate.
• El principal incidente de seguridad del trimestre, el de Kaseya, fue otra demostración de la continua amenaza de los ataques a la cadena de suministro digital– Justo antes del comienzo del largo fin de semana festivo del 4 de julio en Estados Unidos, docenas de organizaciones comenzaron a reportar ataques de ransomware contra sus endpoints. El análisis de incidentes de WatchGuard describió cómo los atacantes que trabajaban con la operación de ransomware como servicio (RaaS) REvil habían explotado tres vulnerabilidades zero-day (incluyendo CVE-2021-30116 y CVE-2021-30118) en el software de monitorización y gestión remota (RMM) Kaseya VSA para distribuir el ransomware a unas 1.500 organizaciones y potencialmente a millones de endpoints. Aunque el FBI acabó comprometiendo los servidores de REvil y obtuvo la clave de descifrado unos meses más tarde, el ataque fue otro duro recordatorio de la necesidad de que las organizaciones tomen medidas proactivas como la adopción de zero-trust, el empleo del principio del mínimo privilegio para el acceso a los proveedores y la garantía de que los sistemas están parcheados y actualizados para minimizar el impacto de los ataques a la cadena de suministro.