Se multiplica por cuatro el software malicioso dirigido a endpoints

Los cibercriminales ponen el foco en servicios online y en documentos legítimos como impulso para tan impresionante incremento.

WatchGuard Technologies, líder mundial en ciberseguridad unificada, ha publicado las conclusiones de su último Internet Security Report, un análisis trimestral que detalla las principales amenazas de malware, red y seguridad en endpoints observadas por los investigadores del WatchGuard Threat Lab durante el tercer trimestre de 2024.

Entre las principales conclusiones del informe se incluye un aumento del 300% trimestral en las detecciones de malware para endpoints, que se ve acentuado por el aumento de las amenazas que aprovechan websites o documentos legítimos con fines maliciosos, a medida que los atacantes recurren a tácticas de ingeniería social para ejecutar sus ataques. Mientras que los documentos de Microsoft como Word y Excel han sido durante mucho tiempo objetivos para engañar a los usuarios para que descarguen software malicioso, las estrictas protecciones antimacro en los archivos de Word, Excel y PowerPoint Office han llevado a los atacantes a utilizar ahora los archivos de OneNote para distribuir Qbot (un troyano botnet de acceso remoto). Otra amenaza destacada que aprovecha servicios legítimos son los nuevos ataques a las vulnerabilidades de los plug-ins de WordPress. Los autores de amenazas explotan estas vulnerabilidades para hacerse con el control de los sitios web y aprovechar su reputación para alojar descargas maliciosas como SocGholish, malware que engaña a los usuarios con falsas alertas para que actualicen sus navegadores y luego ejecuta malware. WordPress aloja más de 488,6 millones de websites en todo el mundo, lo que supone el 43% de todos los sitios web de Internet.

El Threat Lab también observó un aumento de los actores de amenazas que utilizaron criptomineros ese trimestre, muchos de los cuales eran capaces de comportamientos maliciosos adicionales. Los criptomineros son programas maliciosos que se ocultan en el dispositivo del usuario y roban sus recursos informáticos para minar monedas online como Bitcoin. A medida que las criptomonedas vuelven a aumentar en valor y popularidad, el malware de minería de criptomonedas también recupera popularidad.

“Los resultados de nuestro Internet Security Report del tercer trimestre de 2024 muestran un cambio drástico entre las amenazas de malware tradicional y las evasivas”, afirma Corey Nachreiner, director de seguridad de WatchGuard Technologies. “Estos hallazgos ilustran lo rápido que puede evolucionar el panorama de las amenazas, por lo que es importante utilizar soluciones de ciberseguridad completas y de defensa en profundidad que puedan detectar rápidamente las amenazas antiguas y adaptarse a las nuevas en tiempo real. Las organizaciones de todos los tamaños deberían considerar la adopción de la detección de amenazas impulsada por IA para identificar patrones de tráfico inesperados y reducir el tiempo de permanencia, reduciendo en última instancia el coste de una brecha, pero manteniendo también sus controles antimalware tradicionales”.

Otros hallazgos importantes del Internet Security Report de WatchGuard del tercer trimestre de 2024 incluyen:

•    Este trimestre, las detecciones basadas en firmas aumentaron un 40%, ya que los actores de amenazas recurrieron a más tácticas de ingeniería social para ejecutar sus ataques. Este crecimiento subraya la creciente prevalencia del malware tradicional a medida que los atacantes refinan sus estrategias para explotar sistemas heredados o vulnerabilidades generalizadas.

•    EMEA concentró el 53% de todos los ataques de malware por volumen, duplicando la cifra del trimestre anterior. Por su parte, la región de Asia-Pacífico registró la mayor cantidad de detecciones de ataques de red con un 59% de los ataques dirigidos a esta área.

•    Los ataques de malware disminuyeron un 15% con respecto al trimestre anterior. Los resultados del Threat Labs también demuestran que los atacantes crearon menos programas maliciosos nuevos o exclusivos que en trimestres anteriores, pero en su lugar están utilizando una mayor variedad de técnicas de malware para infectar dispositivos.

•    Solo el 20% de las detecciones de malware eludieron los métodos de detección basados en firmas. Esto supuso un cambio significativo con respecto a lo que llamamos “malware zero-day”, que requiere técnicas más proactivas para ser detectado.

•    Aunque el ransomware continuó su tendencia a la baja en los últimos trimestres, los datos del Threat Labs muestran más operadores de ransomware este trimestre que en el segundo trimestre de 2024. Los actores de amenazas utilizaron una variedad más amplia de tácticas existentes para entregar ransomware en lugar de crear nuevas vías de ataque.

•    Las detecciones de malware en endpoints aumentaron significativamente este trimestre, con un incremento del 300% en comparación con el segundo trimestre. Este aumento fue acompañado de una disminución del 74% en las amenazas bloqueadas por cada 100.000 máquinas activas, lo que sugiere una avalancha de malware homogéneo similar al spam que llega a los endpoints, probablemente campañas de malware separadas con la misma carga útil.

En consonancia con el enfoque de WatchGuard Unified Security Platform y las actualizaciones trimestrales previas del WatchGuard Threat Lab, los datos analizados en este informe trimestral se basan en inteligencia de amenazas anonimizada y agregada de productos activos de red y endpoints de WatchGuard cuyos propietarios han optado por compartir para respaldar directamente los esfuerzos de investigación de WatchGuard.