El informe de WatchGuard Threat Lab revela que los volúmenes de malware para endpoint están disminuyendo a pesar de que las campañas son cada vez más amplias.
Los hallazgos clave de la investigación también muestran un aumento en los ataques de doble extorsión, sitios web autoadministrados dirigidos para la entrega de malware, actores de amenazas que continúan explotando vulnerabilidades en software antiguo y más.
WatchGuard Technologies anunció los hallazgos de su último Informe de Seguridad en Internet, que detalla las principales tendencias de malware y amenazas de seguridad de redes y endpoints analizadas por los investigadores de WatchGuard Threat Lab.
Los hallazgos clave de la investigación incluyen que el 95% del malware ahora llega a través de conexiones cifradas, una disminución en los volúmenes de malware en los endpoints a pesar de que las campañas se vuelven más generalizadas, detecciones de ransomware en declive en medio de un aumento en los ataques de doble extorsión, vulnerabilidades de software más antiguas que persisten como objetivos populares para la explotación entre los actores de amenazas modernos, y más.
«Los datos analizados por nuestro Laboratorio de Amenazas para nuestro último informe refuerzan cómo los ataques de malware avanzados varían en su ocurrencia y las amenazas cibernéticas multifacéticas continúan evolucionando, requiriendo una vigilancia constante y un enfoque de seguridad en capas para combatirlas eficazmente», dijo Corey Nachreiner, director de Seguridad de WatchGuard. «No existe una estrategia única que los actores de amenazas utilicen en sus ataques y ciertas amenazas a menudo presentan niveles de riesgo variables en diferentes momentos del año. Las organizaciones deben estar constantemente alerta para monitorear estas amenazas y emplear un enfoque de seguridad unificado, que puede ser administrado eficazmente por proveedores de servicios gestionados, para su mejor defensa».
Entre los hallazgos más destacados, el último Informe de Seguridad en Internet que presenta datos del segundo trimestre de 2023 muestra lo siguiente:
- El noventa y cinco por ciento del malware se oculta detrás del cifrado. La mayoría del malware se esconde detrás del cifrado SSL/TLS utilizado por sitios web seguros. Las organizaciones que no inspeccionan el tráfico SSL/TLS en el perímetro de la red probablemente están pasando por alto la mayor parte del malware. Además, el malware zero day cayó al 11% del total de detecciones de malware, un mínimo histórico. Sin embargo, al inspeccionar el malware en conexiones cifradas, la proporción de detecciones evasivas aumentó al 66%, lo que indica que los atacantes continúan entregando malware sofisticado principalmente a través del cifrado.
- El volumen total de malware en endpoints ha disminuido ligeramente, aunque las campañas de malware generalizadas han aumentado. Hubo una ligera disminución del 8% en las detecciones de malware en endpoints en el segundo trimestre en comparación con el trimestre anterior. Sin embargo, al analizar las detecciones de malware en endpoints capturadas por 10 a 50 sistemas o 100 o más sistemas, estas detecciones aumentaron en volumen en un 22% y un 21%, respectivamente. El aumento de las detecciones en más máquinas indica que las campañas de malware generalizadas crecieron desde el primer trimestre hasta el segundo trimestre de 2023.
- Los ataques de doble extorsión de grupos de ransomware aumentaron un 72% trimestre tras trimestre, según señaló Threat Lab, que registró 13 nuevos grupos de extorsión. Sin embargo, el aumento en los ataques de doble extorsión se produjo al mismo tiempo que las detecciones de ransomware en endpoints disminuyeron un 21% trimestre tras trimestre y un 72% interanual.
- Se detectaron seis nuevas variantes de malware en las 10 principales detecciones de endpoints. Threat Lab observó un aumento masivo en las detecciones del instalador comprometido de 3CX, que representó el 48% del volumen total de detección en la lista de las 10 principales amenazas de malware del segundo trimestre. Además, Glupteba, un cargador multifacético, botnet, roba información y minero de criptomonedas que parece atacar indiscriminadamente a víctimas en todo el mundo, resurgió a principios de 2023 después de ser interrumpido en 2021.
- Los actores de amenazas cada vez utilizan más binarios de Windows «living off-the-land» para distribuir malware. Al analizar los vectores de ataque y cómo los actores de amenazas obtienen acceso a los endpoints, los ataques que abusaron de las herramientas del sistema operativo Windows como WMI y PSExec aumentaron un 29%, representando el 17% del volumen total, mientras que el malware que utilizó scripts como PowerShell disminuyó un 41% en volumen. Los scripts siguen siendo el vector de entrega de malware más común, representando el 74% de las detecciones en general. Los exploits basados en el navegador disminuyeron un 33% y representan el 3% del volumen total.
- Los ciberdelincuentes continúan enfocándose en vulnerabilidades de software más antiguas. Los investigadores del Laboratorio de Amenazas encontraron tres nuevas firmas en los 10 principales ataques de red del segundo trimestre basados en vulnerabilidades más antiguas. Una de ellas fue una vulnerabilidad de 2016 asociada con un sistema de gestión de aprendizaje de código abierto (GitHub) que se retiró en 2018. Otras fueron una firma que detecta desbordamientos de enteros en PHP, el lenguaje de programación utilizado por muchos sitios web, y una vulnerabilidad de desbordamiento de buffer de 2010 en la aplicación de gestión de HP llamada Open View Network Node Manager.
- Dominios comprometidos en blogs de WordPress y servicios de acortamiento de enlaces. En la investigación de dominios maliciosos, el equipo del Laboratorio de Amenazas encontró instancias de sitios web autoadministrados (como blogs de WordPress) y un servicio de acortamiento de enlaces que se habían comprometido para alojar malware o un marco de comando y control de malware. Además, los actores de amenazas de Qakbot habían comprometido un sitio web dedicado a un concurso educativo en la región de Asia Pacífico para alojar la infraestructura de comando y control de su botnet.
De acuerdo con el enfoque de la Plataforma de Seguridad Unificada de WatchGuard y las actualizaciones de investigación trimestrales anteriores del WatchGuard Threat Lab, los datos analizados en este informe trimestral se basan en inteligencia de amenazas anonimizadas y agregadas de productos de red y endpoint de WatchGuard cuyos propietarios han optado por compartir en apoyo directo de los esfuerzos de investigación de WatchGuard.
El informe del segundo trimestre de 2023 continúa con la implementación de los métodos actualizados del equipo de Threat Lab para normalizar, analizar y presentar los hallazgos del informe, que comenzaron en el informe del trimestre anterior. Los resultados de seguridad de la red se presentan como promedios «por dispositivo», y este mes las metodologías actualizadas se extienden a la investigación de ataques de red y malware de endpoint del Threat Lab.
Para obtener una vista más detallada de la investigación de WatchGuard, lea el Informe de Seguridad en Internet del segundo trimestre de 2023 completo aquí.