Informe del Laboratorio de Amenazas de WatchGuard reportó un aumento del 89% en los ataques de ransomware en los endpoint y una disminución en la llegada de malware a través de conexiones encriptadas.

WatchGuard® Technologies, presentó resultados de su último Informe de Seguridad en Internet, correspondiente al tercer trimestre de 2023, detallando las principales tendencias de malware y amenazas de seguridad de red y puntos finales analizadas por los investigadores de su Laboratorio de Amenazas.

Entre los principales hallazgos están las crecientes instancias de abuso de software de acceso remoto, el aumento de adversarios cibernéticos que utilizan robapasswords e infostealers para robar credenciales valiosas, y actores de amenazas que cambian de utilizar scripts a emplear otras técnicas basadas en el entorno para iniciar un ataque en los puntos finales.

El análisis al tercer trimestre del año mostró que los ataques a la red experimentaron un aumento del 16% en el tercer trimestre. ProxyLogon fue la vulnerabilidad número uno atacada en esta modalidad, representando el 10% de todas las detecciones de la red en total informaron.

Banner-campaña-isométrico-2a

Banner-campaña-isométrico-2b

Banner-campaña-isométrico-c

Banner-campaña-isométrico-d

Tres nuevas firmas aparecieron en las 50 principales detecciones de ataques a la red, añadieron. «Estas incluyeron una vulnerabilidad de la interfaz común de puerta de enlace de PHP de Apache desde 2012 que resultaría en un desbordamiento de búfer. Otra fue una vulnerabilidad de Microsoft .NET Framework 2.0 desde 2016 que podría resultar en un ataque de denegación de servicio. También hubo una vulnerabilidad de inyección SQL en Drupal, el CMS de código abierto, desde 2014. Esta vulnerabilidad permitía a los atacantes aprovechar Drupal de forma remota sin necesidad de autenticación», informaron.

«Los actores de amenazas continúan utilizando diferentes herramientas y métodos en sus campañas de ataque, lo que hace crítico que las organizaciones se mantengan al tanto de las últimas tácticas para fortalecer su estrategia de seguridad», dijo Corey Nachreiner, Director de Seguridad de WatchGuard.

Cada vez se utilizan más herramientas y software de gestión remota para evadir la detección de programas anti-malware, agregaron, como lo han reconocido tanto el FBI como la CISA. Por ejemplo, al investigar los dominios de phishing, el Laboratorio de Amenazas observó un fraude que resultaría de descargar una versión no autorizada y preconfigurada de TeamViewer.

«Las plataformas de seguridad modernas que incluyen firewalls y software de protección para puntos finales pueden brindar una protección mejorada para redes y dispositivos. Pero cuando se trata de ataques que emplean tácticas de ingeniería social, el usuario final se convierte en la última línea de defensa entre los actores maliciosos y su éxito en infiltrarse en una organización. Es importante que las organizaciones brinden educación sobre ingeniería social”, dijo Corey Nachreiner.

Entre los hallazgos también se encontró que hubo un aumento del 89% en los ataques de ransomware en los puntos finales en el tercer trimestre. Esto estuvo impulsado por la variante de ransomware Medusa. A primera vista, las detecciones de ransomware en los puntos finales parecían disminuir, pero apareció Medusa y modificó la fotografía del periodo.

Los scripts maliciosos, añadieron, disminuyeron como vector de ataque en un 11% en el tercer trimestre después de caer un 41% en el segundo trimestre. Aun así, los ataques basados en scripts siguen siendo el vector de ataque más grande, representando el 56% de los ataques totales. 

La llegada de malware a través de conexiones cifradas disminuyó al 48%, agregaron, lo que significa que un poco menos de la mitad de todo el malware detectado provino del tráfico cifrado. Esta cifra es notable porque ha disminuido considerablemente respecto a trimestres anteriores. En general, las detecciones totales de malware aumentaron en un 14%.

Una familia de “distribución” basada en correo electrónico, que entrega cargas maliciosas, comprendió cuatro de las cinco principales detecciones de malware cifrado en el tercer trimestre, señalaron. Todas, menos una de las variantes en las cinco principales, contenían la familia de distribuidores llamada Stacked, que llega como un adjunto en un intento de phishing dirigido por correo electrónico. Dos de las variantes de Stacked, Stacked.1.12 y Stacked.1.7, también aparecieron en las diez principales detecciones de malware.

También se encontró que el malware comoditizado emerge. Entre las diez principales amenazas de malware estuvo una nueva familia de malware, Lazy.360502, indicaron. Ella entrega la variante de adware 2345explorer, así como el ladrón de contraseñas Vidar. Esta amenaza de malware estaba conectada a un sitio web chino que parecía operar como un «ladrón de contraseñas como servicio», donde los actores de amenazas podían pagar por credenciales robadas.