El volumen de ransomware y malware del Q3 superó los totales de 2020
WatchGuard Technologies, líder mundial en seguridad e inteligencia de redes, protección avanzada de terminales, autenticación multifactor (MFA) y Wi-Fi seguro, publicó su último Informe Trimestral de Seguridad de Internet, que destaca las principales tendencias de malware y amenazas a la seguridad de la red para el tercer trimestre de 2021, según lo analizado por los investigadores del WatchGuard Threat Lab.
Los datos indican que, si bien el volumen total de detección de malware perimetral disminuyó desde los máximos alcanzados en el trimestre anterior, las detecciones de malware de endpoint ya superaron el volumen total visto en 2020 (con datos del cuarto trimestre de 2021 aún por informar). Además, un porcentaje significativo de malware continúa llegando a través de conexiones encriptadas, continuando la tendencia de trimestres anteriores.
“Si bien el volumen total de ataques a la red se redujo ligeramente en el tercer trimestre, el malware por dispositivo aumentó por primera vez desde que comenzó la pandemia”, dijo Corey Nachreiner, Director de Seguridad de WatchGuard. “Mirando el año hasta ahora en su conjunto, el entorno de seguridad sigue siendo un desafío.
Es importante que las organizaciones vayan más allá de los altibajos a corto plazo y la estacionalidad de métricas específicas, y se centren en tendencias persistentes y preocupantes que tengan en cuenta su postura de seguridad. Un ejemplo importante es el uso acelerado de conexiones cifradas para enviar Zero-Day. Seguimos creyendo que WatchGuard Unified Security Platform ofrece la mejor protección integral para combatir la variedad de amenazas que enfrentan las organizaciones hoy en día”.
Entre sus hallazgos más notables, el Informe de Seguridad de Internet del tercer trimestre de 2021 de WatchGuard revela:
-Casi la mitad del malware de día cero “Zero-Day” ahora se entrega a través de conexiones encriptadas: mientras que la cantidad total de malware de día cero aumentó en un modesto 3 % al 67,2 % en el tercer trimestre, el porcentaje de malware que llegó a través de Transport Layer Security (TLS) saltó de 31,6% a 47%. Un porcentaje menor de días cero cifrados se considera avanzado, pero sigue siendo preocupante dado que los datos de WatchGuard muestran que muchas organizaciones no están descifrando estas conexiones y, por lo tanto, tienen poca visibilidad de la cantidad de malware que llega a sus redes.
-A medida que los usuarios se actualizan a las versiones más recientes de Microsoft Windows y Office, los atacantes se centran en las vulnerabilidades más nuevas: si bien las vulnerabilidades sin parches en el software anterior continúan proporcionando un rico campo de caza para los atacantes, también buscan explotar las debilidades en las últimas versiones de Microsoft. Productos usados en el tercer trimestre, CVE-2018-0802, que explota una vulnerabilidad en el Editor de ecuaciones en Microsoft Office, rompió la lista de los 10 principales malware antivirus de puerta de enlace de WatchGuard por volumen, alcanzando el número 6, después de aparecer en la lista de malware más extendida en el trimestre anterior. Además, dos inyectores de código de Windows (Win32/Heim.D y Win32/Heri) ocuparon los puestos 1 y 6 en la lista de los más detectados, respectivamente.
-Los atacantes se dirigieron desproporcionadamente a las Américas: la gran mayoría de los ataques a la red se dirigieron a las Américas en el tercer trimestre (64,5 %) en comparación con Europa (15,5 %) y APAC (20 %).
-Las detecciones generales de ataques a la red reanudaron una trayectoria más normal, pero aún representan riesgos significativos: después de trimestres consecutivos de más del 20 % de crecimiento, el Servicio de prevención de intrusiones (IPS) de WatchGuard detectó aproximadamente 4,1 millones de vulnerabilidades de red únicas en el tercer trimestre.
La caída del 21% redujo los volúmenes a los niveles del primer trimestre, que aún eran altos en comparación con el año anterior. El cambio no significa necesariamente que los adversarios estén cediendo, ya que posiblemente estén cambiando su enfoque hacia ataques más específicos.
-Los 10 principales ataques de firmas a la red representan la gran mayoría de los ataques: de los 4.095.320 accesos detectados por IPS en el tercer trimestre, el 81 % se atribuyó a las 10 principales firmas.
De hecho, solo hubo una nueva firma entre las 10 principales en el tercer trimestre, ‘WEB Remote File Inclusion /etc/passwd’ (1054837), que apunta a servidores web de Microsoft Internet Information Services (IIS) más antiguos, pero aún ampliamente utilizados. Una firma (1059160), una inyección SQL, ha seguido manteniendo la posición que ocupaba en la cima de la lista desde el segundo trimestre de 2019.
-Los ataques de secuencias de comandos en puntos finales continúan a un ritmo récord: para fines del tercer trimestre, la inteligencia de amenazas AD360 de WatchGuard y la detección y respuesta de puntos finales (EPDR) de WatchGuard ya habían visto un 10 % más de secuencias de comandos de ataque que en todo 2020 (que, a su vez, vio un 666 % de incremento respecto al año anterior).
A medida que las fuerzas de trabajo híbridas comienzan a parecer la regla en lugar de la excepción, un perímetro fuerte ya no es suficiente para detener las amenazas. Si bien los ciberdelincuentes pueden atacar los endpoints de varias maneras, desde exploits de aplicaciones hasta ataques de tipo living-off-the-land basados ??en secuencias de comandos, incluso aquellos con habilidades limitadas, a menudo pueden ejecutar completamente una carga útil de malware con herramientas de secuencias de comandos como PowerSploit, PowerWare y Cobalt Strike. mientras evade la detección básica de punto final.
-Incluso los dominios normalmente seguros pueden verse comprometidos: una falla de protocolo en el sistema de detección automática de Exchange Server de Microsoft permitió a los atacantes recopilar credenciales de dominio y comprometer varios dominios normalmente confiables.
En general, en el tercer trimestre, WatchGuard Fireboxes bloqueó 5,6 millones de dominios maliciosos, incluidos varios dominios de malware nuevos que intentan instalar software para criptominería, registradores de claves y troyanos de acceso remoto (RAT), así como dominios de phishing que se hacen pasar por sitios de SharePoint para recolectar credenciales de inicio de sesión de Office 365.
Si bien disminuyó un 23 % con respecto al trimestre anterior, la cantidad de dominios bloqueados sigue siendo varias veces mayor que el nivel observado en el cuarto trimestre de 2020 (1,3 millones). Esto destaca la necesidad crítica de que las organizaciones se concentren en mantener actualizados los servidores, las bases de datos, los sitios web y los sistemas con los parches más recientes para limitar las vulnerabilidades que pueden aprovechar los atacantes.
-Ransomware, Ransomware, Ransomware: después de una fuerte caída en 2020, los ataques de ransomware alcanzaron el 105 % del volumen de 2020 a fines de septiembre (como predijo WatchGuard a fines del trimestre anterior) y están en camino de alcanzar el 150 % una vez que finalice el año. Se analizan los datos de 2021. Las operaciones de ransomware como servicio, como REvil y GandCrap, continúan bajando el listón para los delincuentes con poca o ninguna habilidad de codificación, proporcionando la infraestructura y las cargas útiles de malware para llevar a cabo ataques a nivel mundial a cambio de un porcentaje del rescate.
El principal incidente de seguridad del trimestre, Kaseya, fue otra demostración de la amenaza constante de los ataques a la cadena de suministro digital. Justo antes del inicio del largo fin de semana festivo del 4 de julio en los EE. UU., decenas de organizaciones comenzaron a informar sobre ataques de ransomware contra sus terminales.
El análisis de incidentes de WatchGuard describió cómo los atacantes que trabajaban con la operación REvil ransomware-as-a-service (RaaS) habían explotado tres vulnerabilidades de día cero (incluidas CVE-2021-30116 y CVE-2021-30118) en Kaseya VSA Remote Monitoring and Management (RMM) para entregar ransomware a unas 1500 organizaciones y potencialmente a millones de terminales.
Si bien el FBI finalmente comprometió los servidores de REvil y obtuvo la clave de descifrado unos meses después, el ataque proporcionó otro claro recordatorio de la necesidad de que las organizaciones tomen medidas proactivas como adoptar la confianza cero, emplear el principio de privilegio mínimo para el acceso del proveedor y garantizar los sistemas que están parcheados y actualizados para minimizar el impacto de los ataques a la cadena de suministro.