Casi la mitad del malware zero-day se distribuye a través de conexiones cifradas

  • Seguridad

Malware

A pesar de que las detecciones de ataques de red retomaron una trayectoria más normal en el tercer trimestre de 2021, registrando un descenso del 21%, las detecciones de malware en el endpoint superaron el volumen total observado en 2020. Los atacantes siguen buscando explotar vulnerabilidades en las últimas versiones de los productos de Microsoft.

Recomendados: 

El papel de la ciberinteligencia en la seguridad empresarial Webinar

Microsegmentación, clave para seguridad empresarial Leer

La hoja de ruta de DevOps en materia de seguridad Leer

WatchGuard Technologies ha publicado su último Informe trimestral sobre Seguridad en Internet, correspondiente al tercer trimestre de 2021, cuyos datos indican que, si bien el volumen total de detección de malware en el perímetro disminuyó con respecto a los máximos alcanzados en el trimestre anterior, las detecciones de malware en el endpoint superaronel volumen total observado en 2020. Además, un porcentaje significativo de malware sigue llegando a través de conexiones cifradas.

"Aunque el volumen total de ataques de red se redujo ligeramente en el tercer trimestre, el malware por dispositivo aumentó por primera vez desde que comenzó la pandemia", apunta Corey Nachreiner, director de seguridad de WatchGuard. "Si analizamos el año en su conjunto, el entorno de seguridad sigue siendo desafiante. Es importante que las organizaciones vayan más allá de los altibajos a corto plazo y de la estacionalidad de las métricas específicas, y se centren en las tendencias persistentes y preocupantes que influyen en su postura de seguridad”.

Mientras la cantidad total de malware zero-day aumentó un modesto 3% hasta el 67,2% en el tercer trimestre, el porcentaje de malware que llegó a través de Transport Layer Security (TLS) saltó del 31,6% al 47%. Los datos de WatchGuard muestran que muchas organizaciones no están descifrando estas conexiones y, por tanto, tienen poca visibilidad de la cantidad de malware que llega a sus redes.

Por otro lado, al mismo tiempo que las vulnerabilidades no parcheadas en el software más antiguo siguen proporcionando un buen territorio de caza para los atacantes, estos también están buscando explotar las debilidades en las últimas versiones de los productos de Microsoft. Así, en el tercer trimestre, el malware CVE-2018-0802, que aprovecha una vulnerabilidad en Equation Editor de Microsoft Office, se coló en la lista de malware más utilizado, entre las que también figuran dos inyectores de código de Windows (Win32/Heim.D y Win32/Heri).

La inmensa mayoría de los ataques de red tuvieron como objetivo América (64,5%), frente a Europa (15,5%) y APAC (20%). Tras trimestres consecutivos de crecimiento superior al 20%, el Servicio de Prevención de Intrusiones (IPS) de WatchGuard detectó aproximadamente 4,1 millones de explotaciones de red únicas en el tercer trimestre, un descenso del 21% hizo que los volúmenes descendieran a los niveles del primer trimestre. Este cambio no significa necesariamente que los adversarios estén cediendo, ya que posiblemente estén cambiando su enfoque hacia ataques más específicos.

A finales del tercer trimestre, la inteligencia de amenazas AD360 de WatchGuard y WatchGuard Endpoint Protection Detection and Response (EPDR) ya habían visto un 10% más de scripts de ataque que en todo el año 2020 (que, a su vez, registró un aumento del 666% respecto al año anterior). Aunque los ciberdelincuentes tienen varias formas de atacar los endpoints -desde los exploits de aplicaciones hasta los ataques basados en scripts-, incluso aquellos con habilidades limitadas pueden ejecutar completamente una carga útil de malware con herramientas de scripting como PowerSploit, PowerWare y Cobalt Strike, mientras evaden la detección básica de los endpoints.

El informe también destaca un fallo de protocolo en el sistema de descubrimiento automático del servidor Exchange de Microsoft, que permitió a los atacantes recopilar credenciales de dominio y comprometer varios dominios normalmente fiables. En general, en el tercer trimestre los Fireboxes de WatchGuard bloquearon 5,6 millones de dominios maliciosos, incluyendo varios nuevos dominios de malware que intentan instalar software para criptominería, registradores de claves y troyanos de acceso remoto (RAT), así como dominios de phishing que se hacen pasar por sitios de SharePoint para recoger las credenciales de inicio de sesión de Office365. Aunque ha bajado un 23% respecto al trimestre anterior, el número de dominios bloqueados sigue siendo varias veces superior al nivel observado en el cuarto trimestre de 2020 (1,3 millones).

Después de un fuerte descenso en 2020, los ataques de ransomware alcanzaron el 105% del volumen total de 2020 a finales de septiembre y están en camino de alcanzar el 150% una vez que se analicen los datos de todo el año 2021. Las operaciones de ransomware como servicio, como REvil y GandCrap, siguen bajando el listón para los delincuentes con escasos o nulos conocimientos de codificación, proporcionando la infraestructura y las cargas útiles de malware para llevar a cabo ataques a nivel mundial a cambio de un porcentaje del rescate.

El principal incidente de seguridad del trimestre, el de Kaseya, fue otra demostración de la continua amenaza de los ataques a la cadena de suministro digital. El análisis de incidentes de WatchGuard describió cómo los atacantes que trabajaban con la operación de ransomware como servicio (RaaS) REvil habían explotado tres vulnerabilidades zero-day (incluyendo CVE-2021-30116 y CVE-2021-30118) en el software de monitorización y gestión remota (RMM) Kaseya VSA para distribuir el ransomware a unas 1.500 organizaciones y potencialmente a millones de endpoints. Aunque el FBI acabó comprometiendo los servidores de REvil y obtuvo la clave de descifrado unos meses más tarde, el ataque fue otro recordatorio de la necesidad de que las organizaciones tomen medidas proactivas como la adopción de zero-trust.