Un 74% de amenazas detectadas en el último trimestre fue malware de día cero – o aquellos que una solución de antivirus no detectó al momento de la liberación del malware – capaces de esquivar las soluciones de los antivirus convencionales, de acuerdo con el reporte Internet Security Report for Q1 2021 de WatchGuard.
Dicho estudio también abarca nueva inteligencia de amenazas por el aumento en la tasa de ataques a la red, la forma en la que dichos atacantes se disfrazan y reenfocan viejas vulnerabilidades, los principales ataques de malware del trimestre y más.
“El trimestre pasado se tuvo el nivel más alto de detección de malware de día cero que se ha registrado. Tasas de malware evasivo han opacado a las amenazas tradicionales, lo cual es otra señal más de que las organizaciones necesitan mejorar sus defensas para adelantarse a las crecientes y sofisticadas amenazas”, dijo Corey Nachreiner, jefe de seguridad de Watchguard.
Agregó: “las soluciones de anti-malware tradicional como única medida de seguridad son simplemente insuficientes para el entorno de amenazas actual. Toda organización requiere de una estrategia de seguridad de varias capas y proactiva que involucre aprendizaje automático y análisis de comportamiento para detectar y bloquear amenazas nuevas y avanzadas.”
Otros resultados clave dentro del informe seguridad del Q1 de 2021 de Watchguard incluyen:
· La variante de malware sin archivos aumenta de popularidad – XML.JSLoader es una carga maliciosa que apareció por primera vez tanto en listas de detección de malware más importantes de Watchguard por volumen como en las listas generales por mayor propagación. A su vez, fue la variante que Watchguard detectó con mayor frecuencia a través de inspección vía HTTPS en Q1. La muestra que identificó Watchguard utiliza una entidad externa XML (XXE) para abrir una compuerta y correr comandos para evadir la política de ejecución local PowerShell y se ejecuta de manera no interactiva, oculta al usuario o víctima. Este es otro ejemplo de la creciente prevalencia del malware sin archivos y la necesidad de detección avanzada y respuesta en los endpoints.
· El sencillo truco del nombre de archivo permite a los hackers hacer pasar el cargador de ransomware como archivos adjuntos en formato PDF – El cargador de ransomware Zmutzy resultó en segundo lugar como una variante de malware cifrado por volumen en el Q1. Asociado específicamente con el ransomware Nibiru, las víctimas se encuentran con esta amenaza como un archivo adjunto comprimido en zip en un email o como descarga desde un sitio malicioso. Al ejecutar el archivo zip se descarga un ejecutable el cual para la víctima parece un PDF legítimo. Los atacantes usan una coma en vez de un punto en el nombre del archivo y un ajuste manual al icono del archivo para hacer pasar el malicioso zip por un PDF. Este tipo de ataque resalta la importancia de conocimiento y capacitación sobre el phising, así como la implementación de soluciones de respaldo en caso de que esta variante desate una infección de ransomware.
· Factores de amenaza continúan atacando dispositivos IoT – Aunque no apareció en el top 10 de la lista de programas maliciosos en Watchguard durante el Q1, los agresores han utilizado la variante Linux. Ngioweb para atacar los dispositivos IoT. La primera versión de este ejemplo fue dirigida a servidores Linux que corren en WordPress, al llegar como un formato de lenguaje extendido (EFL) inicialmente. Otra versión de este malware convierte los dispositivos de IoT en un botnet con servidores de control rotativo y comandos.
· Los ataques a la red aumentan más de 20% – Los dispositivos Watchguard detectaron más de cuatro millones de ataques a la red, un 21% de crecimiento en comparación al trimestre pasado y el mayor volumen desde inicios de 2018. Los servidores corporativos y los activos en el sitio siguen siendo objetivos de gran valor para los atacantes a pesar del cambio al trabajo remoto e híbrido, por lo que las organizaciones deben mantener seguridad perimetral junto con protecciones enfocadas al usuario.
· Regresa una vieja técnica de ataque transversal de directorio – Watchguard detectó una nueva firma de amenaza durante el Q1 que involucra un ataque transversal de directorio vía archivos de gabinete (CAB), un formato de archivo diseñado por Microsoft dedicado a la compresión de datos sin pérdidas y certificados digitales integrados. Agregada al top 10 de lista de ataques a la red de Watchguard, esta vulnerabilidad engaña a los usuarios para abrir un archivo CAB malicioso al utilizar métodos convencionales, o falsificando una impresora conectada a la red para que los usuarios instalen un controlador de impresora por medio de un archivo CAB comprimido.
· Los días cero de HAFNIUM dan lecciones sobre tácticas de amenaza y mejores prácticas de respuesta – El último trimestre Microsoft reportó que los atacantes usaron las cuatro vulnerabilidades de HAFNIUM en varios versiones de Exchange Server para obtener la ejecución del código remoto del sistema completo y no autenticado y el acceso arbitrario de escritura de archivos a cualquier servidor no reparado expuesto a Internet, como ocurre con la mayoría de los servidores de correo electrónico. El análisis de incidentes de Watchguard se adentra en las vulnerabilidades y resalta la importancia de la inspección de los HTTPS, reparación oportuna y el reemplazo de sistemas de legado.
· Los atacantes cooptan dominios legítimos en campañas de minería de criptomonedas – En el Q1, el servicio de DNSWatch de Watchguard bloqueó varios dominios comprometidos y asociados con amenazas de minería de criptomonedas. El malware Cryptominer se ha vuelto altamente popular debido a los recientes picos de precios en el mercado de las criptomonedas y la facilidad con que cada factor de amenaza puede desviar recursos de víctimas desprevenidas.
Los informes de investigación trimestrales de Watchguard están basados en datos anónimos de Firefox Feed de Watchguard Fireboxes activos cuyos propietarios han aceptado compartir información para apoyar la investigación del Threat Lab. En el Q1, Watchguard bloqueo más de 17.2 millones de variantes de malware (461 por dispositivo) y cerca de 4.2 millones de amenazas a la red (113 por dispositivo).
