Hallazgos destacados de la investigación también muestran un aumento del 89% en los ataques de ransomware en los puntos finales y una disminución en la llegada de malware a través de conexiones encriptadas.
SEATTLE, 14 de diciembre de 2023: WatchGuard® Technologies, líder global en ciberseguridad unificada, anunció los resultados de su último Informe de Seguridad en Internet, detallando las principales tendencias de malware y amenazas de seguridad de red y puntos finales analizadas por los investigadores del Laboratorio de Amenazas de WatchGuard.
Los hallazgos clave de los datos muestran instancias crecientes de abuso de software de acceso remoto, el aumento de adversarios cibernéticos que utilizan robapasswords e infostealers para robar credenciales valiosas, y actores de amenazas que cambian de utilizar scripts a emplear otras técnicas basadas en el entorno para iniciar un ataque en los puntos finales.
“Los actores de amenazas continúan utilizando diferentes herramientas y métodos en sus campañas de ataque, lo que hace crítico que las organizaciones se mantengan al tanto de las últimas tácticas para fortalecer su estrategia de seguridad”, dijo Corey Nachreiner, Director de Seguridad de WatchGuard. “Las plataformas de seguridad modernas que incluyen firewalls y software de protección para puntos finales pueden brindar una protección mejorada para redes y dispositivos. Pero cuando se trata de ataques que emplean tácticas de ingeniería social, el usuario final se convierte en la última línea de defensa entre los actores maliciosos y su éxito en infiltrarse en una organización. Es importante que las organizaciones brinden educación sobre ingeniería social y adopten un enfoque de seguridad unificado que proporcione capas de defensa, que puedan ser administradas de manera efectiva por proveedores de servicios gestionados”.
Entre los hallazgos clave, el último Informe de Seguridad en Internet que presenta datos del tercer trimestre de 2023 demuestra:
Los actores de amenazas utilizan cada vez más herramientas y software de gestión remota para evadir la detección de programas anti-malware, como lo han reconocido tanto el FBI como la CISA. Por ejemplo, al investigar los principales dominios de phishing, el Laboratorio de Amenazas observó un fraude de soporte técnico que resultaría en que una víctima descargue una versión no autorizada y preconfigurada de TeamViewer, lo que permitiría al atacante acceder completamente de forma remota a su computadora.
La variante de ransomware Medusa experimenta un aumento en el tercer trimestre, impulsando un aumento del 89% en los ataques de ransomware en los puntos finales. A primera vista, las detecciones de ransomware en los puntos finales parecían disminuir en el tercer trimestre. Sin embargo, la variante de ransomware Medusa, que apareció por primera vez en las 10 principales amenazas de malware, fue detectada con una firma genérica del motor de firmas automatizado del Laboratorio de Amenazas. Al tener en cuenta las detecciones de Medusa, los ataques de ransomware aumentaron un 89% trimestre tras trimestre.
Los actores de amenazas pasan de utilizar ataques basados en scripts y emplean cada vez más otras técnicas “living-off-the-land”. Los scripts maliciosos disminuyeron como vector de ataque en un 11% en el tercer trimestre después de caer un 41% en el segundo trimestre. Aún así, los ataques basados en scripts siguen siendo el vector de ataque más grande, representando el 56% de los ataques totales, y los lenguajes de script como PowerShell se utilizan a menudo en ataques “living-off-the-land”. Alternativamente, los binarios de “living-off-the-land” de Windows aumentaron un 32%. Estos hallazgos indican a los investigadores del Laboratorio de Amenazas que los actores de amenazas continúan utilizando múltiples técnicas “living-off-the-land”, probablemente en respuesta a mayores protecciones alrededor de PowerShell y otros scripts. Los ataques “living-off-the-land” constituyen la mayoría de los ataques en los puntos finales.
La llegada de malware a través de conexiones cifradas disminuyó al 48%, lo que significa que un poco menos de la mitad de todo el malware detectado provino del tráfico cifrado. Esta cifra es notable porque ha disminuido considerablemente respecto a trimestres anteriores. En general, las detecciones totales de malware aumentaron en un 14%.
Una familia de “distribución” basada en correo electrónico, que entrega cargas maliciosas, comprendió cuatro de las cinco principales detecciones de malware cifrado en el tercer trimestre. Todas menos una de las variantes en las cinco principales contenían la familia de distribuidores llamada Stacked, que llega como un adjunto en un intento de phishing dirigido por correo electrónico. Los actores de amenazas enviarán correos electrónicos con archivos adjuntos maliciosos que parecen provenir de un remitente conocido y afirman incluir una factura o un documento importante para su revisión, con el objetivo de engañar a los usuarios finales para que descarguen malware. Dos de las variantes de Stacked, Stacked.1.12 y Stacked.1.7, también aparecieron en las diez principales detecciones de malware.
El malware comoditizado emerge. Entre las principales amenazas de malware, una nueva familia de malware, Lazy.360502, figuró en la lista de las diez principales. Entrega la variante de adware 2345explorer, así como el ladrón de contraseñas Vidar. Esta amenaza de malware estaba conectada a un sitio web chino que proporcionaba un ladrón de credenciales y parecía operar como un “ladrón de contraseñas como servicio”, donde los actores de amenazas podían pagar por credenciales robadas, ilustrando cómo se utiliza el malware comoditizado.
Los ataques a la red experimentaron un aumento del 16% en el tercer trimestre. ProxyLogon fue la vulnerabilidad número uno atacada en los ataques a la red, representando el 10% de todas las detecciones de la red en total.
Tres nuevas firmas aparecieron en las 50 principales detecciones de ataques a la red. Estas incluyeron una vulnerabilidad de la interfaz común de puerta de enlace de PHP de Apache desde 2012 que resultaría en un desbordamiento de búfer. Otra fue una vulnerabilidad de Microsoft .NET Framework 2.0 desde 2016 que podría resultar en un ataque de denegación de servicio. También hubo una vulnerabilidad de inyección SQL en Drupal, el CMS de código abierto, desde 2014. Esta vulnerabilidad permitía a los atacantes aprovechar Drupal de forma remota sin necesidad de autenticación.
De acuerdo con el enfoque de la Plataforma de Seguridad Unificada® de WatchGuard y las actualizaciones trimestrales de investigación previas del WatchGuard Threat Lab, los datos analizados en este informe trimestral se basan en inteligencia de amenazas anonimizada y agregada proveniente de productos activos de WatchGuard para redes y endpoints, cuyos propietarios han optado por compartir en apoyo directo a los esfuerzos de investigación de WatchGuard.
Para obtener una visión más detallada de la investigación de WatchGuard, lea el informe completo de Seguridad en Internet del tercer trimestre de 2023 aquí: https://www.watchguard.com/
