En el último Informe de Seguridad en Internet de WatchGuard Technologies, referido al primer trimestre de 2018, ha revelado que el 98,8% de las variantes de malware aparentemente más comunes de Linux/Downloader en realidad se diseñaron para suministrar un popular minero de criptomonedas basado en Linux. Esta es solo una de las muchas señales de que el malware malicioso de criptominería se está convirtiendo en una táctica de primer orden entre los ciberdelincuentes. El informe completo ofrece los detalles de los mecanismos de entrega de estos ataques de criptominería, y explora otras de las amenazas de seguridad que a día de hoy se dirigen con frecuencia a las pequeñas y medianas empresas (pymes) y a empresas distribuidas.
“Nuestro equipo del Threat Lab ha descubierto múltiples indicadores que sugieren que los criptomineros maliciosos se están convirtiendo en un pilar en los arsenales de los ciberdelincuentes, y continuarán siendo más dominantes en el segundo trimestre”, afirma Corey Nachreiner, director de tecnología de WatchGuard Technologies.“Si bien el ransomware y otras amenazas avanzadas siguen siendo una gran preocupación, estos nuevos ataques de criptominería ilustran que los atacantes están constantemente ajustando sus tácticas para encontrar nuevas formas de aprovecharse de sus víctimas. De hecho, una vez más en el primer trimestre, vimos que casi la mitad de todos los programas maliciosos pasaron por alto las soluciones antivirus basadas en firmas básicas debido a diversos métodos de ofuscación. Una forma de que cada organización pueda volverse más segura frente a estas sofisticadas y evasivas amenazas pasa por desplegar defensas habilitadas con prevención avanzada de malware como nuestro servicio APT Blocker”.
El Informe de Seguridad en Internet de WatchGuard ofrece información detallada sobre las principales ciberamenazas cada trimestre, junto con recomendaciones y tips de defensa que las pymes pueden utilizar para protegerse. Los hallazgos se basan en los datos de decenas de miles de dispositivos UTM Firebox activos en todo el mundo.
Principales conclusiones del informe
- Los mineros de criptomonedas van en aumento. Varios mineros de criptomonedas aparecieron por primera vez en la lista de WatchGuard de las 25 principales variantes de malware. Los appliances Firebox tienen una regla llamada Linux/Downloader, que capta una variedad de programas “dropper” o “downloader” de Linux que descargan y ejecutan cargas útiles de malware. Por lo general, estos droppers descargan una amplia gama de malware, pero en el primer trimestre de 2018, el 98,8% de las instancias de Linux/Downloader intentaban descargar el mismo popular criptominero basado en Linux. La evidencia para el segundo trimestre indica que el malware de criptominado permanecerá en del Top 25 de WatchGuard e incluso podría llegar a situarse entre los 10 primeros puestos para el final del trimestre.
- El troyano Ramnit regresa a Italia. La única muestra de malware en el ranking de los Top 10 de WatchGuard que no había aparecido en el informe anterior fue Ramnit, un troyano que surgió por primera vez en 2010 y tuvo un breve resurgimiento en 2016. Casi todas (98,9%) de las detecciones de Ramnit identificadas por WatchGuard provenían de Italia, lo que indica una campaña de ataque dirigida. Dado que las versiones anteriores de Ramnit tenían como foco las credenciales bancarias, WatchGuard aconseja a los italianos que tomen precauciones adicionales con su información bancaria y habiliten la autenticación multifactor para cualquier cuenta financiera.
- Por primera vez, la región de Asia-Pacífico (APAC) registró el mayor volumen de ataques de malware. En informes anteriores, APAC había seguido a EMEA y AMER en el número de impactos de malware denunciados, tendencia que ha cambiado en el primer trimestre de este año. La gran mayoría de estos ciberataques fueron malware basado en Windows y el 98% fueron dirigidos a India y Singapur.
- Casi la mitad de todos los programas maliciosos eluden las soluciones antivirus (AV) básicas. Los appliances UTM de WatchGuard bloquean el malware utilizando tanto técnicas de detección heredadas basadas en firmas como una solución moderna y proactiva de detección de comportamiento: APT Blocker. Cuando APT Blocker detecta una variante de malware, significa que las firmas heredadas de AV lo habían detectado. Este malware zero-day (capaz de evadir el AV tradicional basado en firmas) representó el 46% de todo el malware del primer trimestre. Este nivel de malware zero-day sugiere que los delincuentes continúan utilizando técnicas de ofuscación de datos para vencer a los servicios de los antivirus tradicionales, haciendo hincapié en la importancia de la defensa basada en el comportamiento.
- Mimikatz apunta a EEUU y omite Asia Pacífico. El malware para robar credenciales de Windows Mimikatz reapareció en la lista del Top 10 de malware de WatchGuard después de varios trimestres de ausencia. Dos tercios de los casos detectados de este malware tuvieron lugar en Estados Unidos y menos del 0,1% de las detecciones se realizaron en APAC, posiblemente debido a la complejidad de los caracteres de doble byte en países como Japón, que usan un lenguaje basado en símbolos para las contraseñas.