WatchGuard Technologies presenta su Informe de Seguridad en Internet, que detalla las principales tendencias de malware y amenazas de seguridad de red y endpoint analizadas por los investigadores de WatchGuard Threat Lab. El estudio señala que el 95% del malware llega ahora a través de conexiones cifradas, un descenso en los volúmenes de malware para endpoint a pesar de que las campañas se están extendiendo cada vez más, el descenso de las detecciones de ransomware en medio de un aumento de los ataques de doble extorsión, la persistencia de vulnerabilidades de software antiguas como objetivos populares de explotación entre los actores de amenazas modernos, y mucho más.
El 95% del malware se oculta tras el cifrado. La mayor parte del malware se oculta tras el cifrado SSL/TLS utilizado por los sitios web seguros. Las organizaciones que no inspeccionan el tráfico SSL/TLS en el perímetro de la red probablemente estén pasando por alto la mayor parte del malware. Además, el malware Zero Day descendió al 11% del total de malware detectado, un mínimo histórico. Sin embargo, al inspeccionar el malware a través de conexiones cifradas, el porcentaje de detecciones evasivas aumentó hasta el 66%, lo que indica que los agresores siguen distribuyendo malware sofisticado principalmente a través del cifrado.
Las detecciones de ransomware en endpoints disminuyeron un 21% trimestre tras trimestre, y un 72% interanual
El volumen total de programas maliciosos para endpoint ha descendido ligeramente, aunque han aumentado las campañas de programas maliciosos generalizados. En el segundo trimestre de 2023 se produjo un ligero descenso del 8% en las detecciones de malware para endpoint en comparación con el trimestre anterior. Sin embargo, si se tienen en cuenta las detecciones de programas maliciosos detectados en entre 10 y 50 sistemas o en 100 o más sistemas, el volumen de estas detecciones aumentó un 22% y un 21%, respectivamente. El aumento de las detecciones entre más máquinas indica que las campañas de malware generalizado crecieron del primer al segundo trimestre de 2023.
Los ataques de doble extorsión de grupos de ransomware aumentaron un 72% trimestre tras trimestre, ya que el Threat Lab detectó 13 nuevos grupos de extorsión. Sin embargo, el aumento de los ataques de doble extorsión se produjo mientras que las detecciones de ransomware en endpoints disminuyeron un 21% trimestre tras trimestre, y un 72% interanual.
Seis nuevas variantes de malware en el Top 10 de detecciones en endpoints. El Threat Lab observó un aumento masivo de detecciones del instalador 3CX comprometido, que representa el 48% del volumen total de detecciones en la lista de las 10 principales amenazas de malware del segundo trimestre. Además, Glupteba, un polifacético cargador, botnet, ladrón de información y criptominero que ataca a víctimas de forma aparentemente indiscriminada en todo el mundo, resurgió a principios de 2023 tras su interrupción en 2021.
Índice de temas
Los actores de amenazas aprovechan cada vez más los binarios living-off-the-land de Windows para distribuir malware
Al analizar los vectores de ataque y la forma en que los actores de amenazas acceden a los endpoints, los ataques que abusan de herramientas del sistema operativo Windows como WMI y PSExec crecieron un 29%, representando el 17% de todo el volumen total, mientras que el malware que utiliza scripts como PowerShell descendió un 41% en volumen. Los scripts siguen siendo el vector de distribución de malware más común, con un 74% de las detecciones totales. Los exploits basados en navegadores disminuyeron un 33% y representan el 3% del volumen total.
Los ciberdelincuentes siguen atacando vulnerabilidades de software antiguas
Los investigadores de Threat Lab encontraron tres nuevas firmas en el Top 10 de ataques de red del segundo trimestre basadas en vulnerabilidades antiguas. Una era una vulnerabilidad de 2016 asociada con un sistema de gestión de aprendizaje de código abierto (GitHub) que se retiró en 2018. Otras eran una firma que detecta desbordamientos de código entero en PHP, el lenguaje de scripting utilizado por muchos sitios web, y una aplicación de gestión de HP y desbordamiento de buffer de 2010, llamada Open View Network Node Manager.
Dominios comprometidos en blogs de WordPress y servicio de acortamiento de enlaces
Al investigar los dominios maliciosos, el equipo del Threat Lab encontró casos de sitios web autogestionados (como blogs de WordPress) y un servicio de acortamiento de dominios que estaban comprometidos para alojar malware o un marco de mando y control de malware. Además, los actores de la amenaza Qakbot habían comprometido un sitio web dedicado a un concurso educativo en la región de Asia-Pacífico para alojar infraestructura de comando y control para su botnet.