Tres de cada cuatro amenazas detectadas eluden las soluciones antivirus

Recomendados:  Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Metallic Salesforce Backup Leer Seis razones para proteger Salesforce con una solución de terceros Leer

WatchGuard Technologies ha publicado su Informe de Seguridad en Internet correspondiente al primer trimestre de 2021, un período en el que el 74% de las amenazas detectadas eran malware de día cero, es decir, aquellas que una solución antivirus basada en firmas no detectó en el momento del lanzamiento del malware, capaz de eludir las soluciones antivirus convencionales. El informe también incluye nueva información sobre amenazas en relación con el aumento de los índices de ataques de red, cómo los ciberdelincuentes intentan disfrazar y reutilizar antiguos exploits, o los principales ataques de malware del trimestre.

"El pasado trimestre se registró el nivel más alto de detecciones de malware de día cero de la historia. Los índices de malware evasivo han eclipsado a los de las amenazas tradicionales, lo que es una señal más de que las organizaciones necesitan evolucionar sus defensas", declara Corey Nachreiner, director de seguridad de WatchGuard. "Las soluciones antimalware tradicionales por sí solas son simplemente insuficientes para el entorno de amenazas actual. Todas las organizaciones necesitan una estrategia de seguridad proactiva en capas que incluya el aprendizaje automático y el análisis del comportamiento para detectar y bloquear las amenazas nuevas y avanzadas”.

En el trimestre, una variante de malware sin archivos, XML.JSLoader, se hizo popular. La muestra identificada por WatchGuard utiliza un ataque de entidad externa XML (XXE) para abrir un shell y ejecutar comandos para eludir la política de ejecución local de PowerShell y se ejecuta de forma no interactiva, oculta al usuario real o a la víctima. Este es otro ejemplo de la creciente prevalencia del malware sin archivos y de la necesidad de contar con capacidades avanzadas de detección y respuesta en los endpoints.

El cargador de ransomware Zmutzy apareció como la segunda variante de malware cifrado por volumen en el primer trimestre. Asociado específicamente con el ransomware Nibiru, las víctimas encuentran esta amenaza como un archivo comprimido adjunto a un correo electrónico o una descarga desde un sitio web malicioso. Al ejecutar el archivo comprimido se descarga un ejecutable que, para la víctima, parece ser un PDF legítimo. Este tipo de ataque pone de manifiesto la importancia de la educación y la formación en materia de phishing, así como de la implementación de soluciones de copia de seguridad en caso de que una variante como esta desencadene una infección de ransomware.

Aunque no se encuentra en la lista de los 10 principales programas maliciosos de WatchGuard del primer trimestre, la variante Linux.Ngioweb.B ha sido utilizada recientemente por los adversarios para atacar dispositivos IoT, y convertirlos en una botnet con servidores de comando y control rotativos.

Por otra parte, los dispositivos de WatchGuard detectaron más de 4 millones de ataques de red, un aumento del 21% en comparación con el trimestre anterior. Los servidores corporativos y los activos in situ siguen siendo objetivos de alto valor para los atacantes a pesar del cambio hacia el trabajo remoto e híbrido, por lo que las organizaciones deben mantener la seguridad del perímetro junto con las protecciones centradas en el usuario.

WatchGuard detectó una nueva firma de amenaza en el primer trimestre que implica un ataque trasversal de directorios a través de archivos cabinet (CAB), un formato de archivo diseñado por Microsoft para la compresión de datos sin pérdidas y certificados digitales incrustados. Este exploit engaña a los usuarios para que abran un archivo CAB malicioso utilizando técnicas convencionales, o suplantando una impresora conectada a la red para engañar a los usuarios y hacer que instalen un controlador de impresora a través de un archivo CAB comprometido.

En el primer trimestre, el servicio DNSWatch de WatchGuard bloqueó varios dominios comprometidos y directamente maliciosos asociados a amenazas de criptominería. Los criptomineros se han vuelto cada vez más populares debido a los recientes picos de precios en el mercado de las criptomonedas y la facilidad con la que los actores de amenazas pueden desviar recursos de víctimas desprevenidas.