WatchGuard Technologies ha publicado los resultados de su Informe de Seguridad en Internetmás reciente, en el que se detallan las principales tendencias de malware y amenazas de seguridad de red y endpoint analizadas por los investigadores de WatchGuard Threat Lab en el cuarto trimestre de 2022. Mientras las principales conclusiones de los datos mostraron descensos en el malware detectado en la red, el ransomware en endpoints aumentó un sorprendente 627%, y el malware asociado a campañas de phishing continuó siendo una amenaza persistente.
La actividad del malware se ha desplazado al tráfico cifrado
A pesar del descenso general del malware, los investigadores de WatchGuard Threat Lab han analizado los Fireboxes que descifran el tráfico HTTPS (TLS/SSL) y han detectado una mayor incidencia de malware, lo que indica que la actividad del malware se ha desplazado al tráfico cifrado. Dado que sólo el 20% de los Fireboxes que proporcionaron datos para este informe tienen activado el descifrado, esto indica que la gran mayoría de los programas maliciosos no se detectan.
“Una tendencia continua y preocupante en nuestros datos e investigaciones muestra que el cifrado -o, más exactamente, la falta de descifrado en el perímetro de la red- está ocultando la imagen completa de las tendencias de ataque de malware”, explica Corey Nachreiner, director de seguridad de WatchGuard. “Es fundamental que los profesionales de la seguridad habiliten la inspecciónHTTPS para garantizar que estas amenazas se identifican y se abordan antes de que puedan hacer daño”.
Otras conclusiones del informe
- Las detecciones de ransomware en endpoints aumentaron un 627%. Este repunte pone de relieve la necesidad de defensas contra el ransomware, como modernos controles de seguridad para la prevención proactiva, así como buenos planes de recuperación ante desastres y continuidad de la actividad empresarial (copias de seguridad).
- El 93% del malware se oculta tras el cifrado. Las investigaciones del Threat Lab siguen indicando que la mayor parte del malware se oculta en el cifrado SSL/TLS utilizado por los sitios web seguros. En el cuarto trimestre se mantuvo esta tendencia, con un aumento del 82% al 93%. Es probable que los profesionales de la seguridad que no inspeccionan este tráfico estén pasando por alto la mayor parte del malware, lo que aumenta la responsabilidad de la seguridad de los endpoints a la hora de detectarlo.
- Las detecciones de programas maliciosos basados en la red descendieron aproximadamente un 9,2% trimestre a trimestre durante el cuarto trimestre. Se mantiene así un descenso general de las detecciones de programas maliciosos en los dos últimos trimestres. Pero, como ya se ha mencionado, cuando se considera el tráfico web cifrado, el malware aumenta. El equipo del Threat Lab cree que esta tendencia a la baja puede no ilustrar el panorama completo y necesita más datos que aprovechen la inspección HTTPS para confirmar esta afirmación.
- Las detecciones de malware en endpoints aumentaron un 22%. Si bien las detecciones de malware de red cayeron, la detección en endpoints aumentó en el cuarto trimestre. Esto respalda la hipótesis del equipo del Threat Lab de que el malware cambia a canales encriptados. En el endpoint, el cifrado TLS es un factor menor, ya que un navegador lo descifra para que lo vea el software de endpoint del Threat Lab. Entre los principales vectores de ataque, la mayoría de las detecciones se asociaron con secuencias de comandos, que constituyeron el 90% de todas las detecciones. En las detecciones de malware del navegador, los actores de amenazas se dirigieron más a Internet Explorer con el 42% de las detecciones, seguido de Firefox con el 38%.
- El malware de día cero o evasivo se ha reducido al 43% en el tráfico no cifrado. Aunque sigue siendo un porcentaje significativo de las detecciones de malware en general, es el más bajo que el equipo del Threat Lab ha visto en años. Dicho esto, la historia cambia por completo al observar las conexiones TLS. El 70% del malware sobre conexiones cifradas evade las firmas.
- Las campañas de phishing han aumentado. Tres de las variantes de malware que se ven en la lista del top 10 del informe (algunas también se muestran en la lista generalizada) colaboran en diversas campañas de phishing. La familia de malware más detectada, JS.A gent.UNS, contiene HTML malicioso que dirige a los usuarios a dominios que parecen legítimos y que se hacen pasar por sitios web conocidos. Otra variante, Agent.GBPM, crea una página de phishing de SharePoint titulada “PDF Salary Increase”, que intenta acceder a la información de la cuenta de los usuarios. La última variante nueva en el top 10, HTML.Agent.WR, abre una página de notificación falsa de DHL en francés con un enlace de inicio de sesión que conduce a un dominio de phishing conocido. El phishing y el compromiso del correo electrónico empresarial (BEC) siguen siendo uno de los principales vectores de ataque, así que asegúrese de que dispone tanto de las defensas preventivas adecuadas como de programas de formación sobre concienciación de seguridad para defenderse de ellos.
- Los exploits de ProxyLogin siguen creciendo. Un exploit para este conocido y crítico problema de Exchange pasó del octavo puesto en el tercer trimestre al cuarto el trimestre pasado. Hace tiempo que debería estar parcheado, pero si no es así, los profesionales de seguridad deben saber que los atacantes lo tienen en el punto de mira. Las vulnerabilidades antiguas pueden ser tan útiles para los atacantes como las nuevas si son capaces de lograr un compromiso. Además, muchos atacantes siguen teniendo como objetivo los servidores Microsoft Exchange o los sistemas de gestión. Las organizaciones deben ser conscientes y saber dónde poner sus esfuerzos para defender estas áreas.
- El volumen de ataques de red se mantiene estable trimestre tras trimestre. Técnicamente, ha aumentado en 35 ataques, lo que supone un aumento de tan sólo el 0,0015%. El ligero cambio es notable, ya que el siguiente cambio más pequeño fue de 91,885 del primer al segundo trimestre de 2020.
- LockBit sigue siendo un grupo de ransomware y una variante de malware prevalentes. El equipo del Threat Lab sigue observando variantes de LockBit con frecuencia, ya que este grupo parece ser el que más éxito tiene a la hora de vulnerar empresas (a través de sus filiales) con ransomware. Aunque menos que en el trimestre anterior, LockBit volvió a tener el mayor número de víctimas públicas de extorsión, con 149 rastreadas por WatchGuard Threat Lab (frente a las 200 del tercer trimestre). También en el cuarto trimestre, el equipo del Lab detectó 31 nuevos grupos de ransomware y extorsión.