[08/04/2024] WatchGuard Technologies anunció los resultados de su último Informe de Seguridad en Internet, que detalla las principales tendencias de malware y las amenazas a la seguridad de redes y endpoints analizadas por los investigadores de WatchGuard Threat Lab. Según lo señalado en el comunicado de prensa, los hallazgos clave de los datos muestran un aumento dramático en el malware evasivo que impulsó un gran aumento del malware total, los actores de amenazas apuntan a los servidores de correo electrónico locales como objetivos principales para explotar, y las detecciones de ransomware continúan disminuyendo, potencialmente como resultado de los esfuerzos internacionales de eliminación de grupos de extorsión de ransomware por parte de las fuerzas del orden.
"La última investigación del Laboratorio de Amenazas muestra que los actores de amenazas están empleando varias técnicas a medida que buscan vulnerabilidades a las que apuntar, incluso en software y sistemas más antiguos, por lo que las organizaciones deben adoptar un enfoque de defensa en profundidad para protegerse contra tales amenazas", sostuvo Corey Nachreiner, director de seguridad de WatchGuard. "Actualizar los sistemas y el software en el que confían las organizaciones es un paso vital para abordar estas vulnerabilidades. Además, las plataformas de seguridad modernas operadas por proveedores de servicios gestionados pueden ofrecer la seguridad completa y unificada que las organizaciones necesitan y permitirles combatir las últimas amenazas".
Entre las principales conclusiones, el último Informe de Seguridad en Internet con datos del cuarto trimestre del 2023 mostró:
- El malware evasivo, básico y encriptado aumentó en el cuarto trimestre, lo que impulsó un aumento en el malware total. El promedio de detecciones de malware por Firebox aumentó un 80% con respecto al trimestre anterior, lo que ilustra un volumen sustancial de amenazas de malware que llegan al perímetro de la red. Geográficamente, la mayoría del aumento de los casos de malware afectó a América y Asia-Pacífico.
- Las instancias de malware TLS y de día cero también aumentan. Aproximadamente el 55% del malware llegó a través de conexiones cifradas, lo que supuso un aumento del 7% con respecto al tercer trimestre. Las detecciones de malware de día cero aumentaron al 60% de todas las detecciones de malware, frente al 22% del trimestre anterior. Sin embargo, las detecciones de malware de día cero con TLS cayeron al 61%, lo que supuso un descenso del 10% con respecto al tercer trimestre, lo que demuestra la imprevisibilidad del malware en la naturaleza.
- Dos de las cinco principales variantes de malware redirigen a la red DarkGate. Entre las cinco detecciones de malware más extendidas se encuentra JS. Agent.USF y Trojan.GenericKD.67408266. Ambas variantes redirigen a los usuarios a enlaces maliciosos, y ambos cargadores de malware intentan cargar el malware DarkGate en la computadora de la víctima.
- Un auge en las técnicas living-off-the-land. El cuarto trimestre mostró un resurgimiento de las amenazas basadas en scripts, ya que los scripts fueron los que más aumentaron como vector de ataque a los endpoints, con un aumento del 77% de las amenazas detectadas con respecto al tercer trimestre. PowerShell fue el principal vector de ataque que el Laboratorio de amenazas vio que los hackers usaban en los endpoints. Los exploits basados en el navegador también aumentaron significativamente, aumentando un 56%.
- Cuatro de los cinco ataques de red más extendidos fueron ataques al servidor Exchange. Estos ataques están asociados específicamente con uno de los exploits ProxyLogon, ProxyShell y ProxyNotShell. Una firma de ProxyLogon que apareció por primera vez entre los cinco ataques de red más extendidos en el cuarto trimestre del 2022 en el número cuatro, y subió al número dos en el cuarto trimestre del 2023. Estos ataques ilustran la necesidad de reducir la dependencia de los servidores de correo electrónico locales para mitigar las amenazas de seguridad.
- La mercantilización de los ciberataques continúa, con una tendencia hacia las ofertas de "víctima como servicio". Glupteba y GuLoader se contaron una vez más entre los 10 malware de endpoints más frecuentes en el cuarto trimestre, regresando como dos de las variantes más prolíficas analizadas durante el trimestre. "Vale la pena señalar a Glupteba como un adversario particularmente formidable y sofisticado, debido en parte a su prevalencia de víctimas a escala global. Un malware como servicio (MaaS) multifacético, las capacidades maliciosas de Glupteba incluyen la descarga de malware adicional, hacerse pasar por una red de bots, robar información confidencial y minar criptomonedas con un sigilo tremendo”, comentó Nachreiner.
- Esfuerzos de desmantelamiento que sofocan a los grupos de extorsión de ransomware. Una vez más, en el cuarto trimestre, el Laboratorio de Amenazas informó de un descenso en las detecciones de ransomware en comparación con el trimestre anterior, observando una disminución del 20% en el volumen total durante los últimos tres meses del 2023. Los analistas de amenazas de WatchGuard también notaron una disminución en las violaciones públicas de ransomware y atribuyen esta tendencia a los continuos esfuerzos de eliminación de grupos de extorsión de ransomware por parte de las fuerzas del orden.
Franca Cavassa, CTOPerú