El volumen de ransomware duplicó el total de 2021 en el primer trimestre

  • Seguridad

Stormshield-ransomware

La caída del grupo REvil abrió la puerta a la aparición de otro grupo de extorsión llamado LAPSUS$, que junto con nuevas variantes de ransomware como BlackCat, han contribuido a un panorama de amenazas de ransomware y ciberextorsión en constante aumento. La vulnerabilidad Apache Log4j2 también ha triplicado su actividad.

WatchGuard Technologies ha anunciado los resultados de su Informe Trimestral de Seguridad en Internet, correspondiente al primer trimestre, en el que WatchGuard bloqueó un total de más de 21,5 millones de variantes de malware (274 por dispositivo) y casi 4,7 millones de amenazas de red (60 por dispositivo). Los principales hallazgos de la investigación revelan que las detecciones de ransomware duplicaron el volumen total reportado para 2021, la botnet Emotet ha regresado con fuerza y la vulnerabilidad Log4Shell ha triplicado sus esfuerzos de ataque.

"Basándonos en el pico temprano de ransomware de este año y en los datos de los trimestres anteriores, predecimos que 2022 romperá nuestro récord de detecciones anuales de ransomware", señala Corey Nachreiner, director de seguridad de WatchGuard. "Seguimos instando a las empresas a que no solo se comprometan a implementar medidas sencillas, pero de importancia crítica, sino que adopten un verdadero enfoque de seguridad unificado que pueda adaptarse rápida y eficazmente a las amenazas crecientes y en evolución”.

Explosión de amenazas

Aunque los resultados del Informe de Seguridad en Internet del Q4 de 2021 del Threat Lab revelaban que los ataques de ransomware han tenido una tendencia a la baja año tras año, todo cambió en el primer trimestre, con una explosión masiva de detecciones de ransomware, que ya ha duplicado el número total de detecciones de todo el año 2021.

Si a finales de 2021 se produjo la caída del grupo cibernético REvil, este abrió la puerta a la aparición de otro grupo de extorsión llamado LAPSUS$. El análisis de WatchGuard sugiere que LAPSUS$, junto con muchas nuevas variantes de ransomware como BlackCat, podrían ser factores que contribuyen a un panorama de amenazas de ransomware y ciberextorsión en constante aumento.

Por otra parte, el informe señala que la vulnerabilidad Apache Log4j2, también conocida como Log4Shell, ha entrado en el top 10 de principales ataques de red a finales de este trimestre, triplicando su actividad.

Otra amenaza que vuelve con fuerza es Emotet, que representa el malware más extendido este trimestre. Las detecciones de Trojan.Vita, que también apareció en la lista de los cinco primeros malware cifrados, y Trojan.Valyria utilizan ambos exploits en Microsoft Office para descargar el botnet Emotet. La tercera muestra de malware relacionada con Emotet, MSIL.Mensa.4, puede propagarse a través de dispositivos de almacenamiento conectados. Los datos del Threat Lab indican que Emotet actúa como dropper, descargando e instalando el archivo desde un servidor de entrega de malware.

Scripts y criptominería al alza

El informe señala asimismo que las detecciones generales de endpoints en el trimestre aumentaron un 38% respecto al trimestre anterior. Los scripts, concretamente los de PowerShell, fueron el vector de ataque dominante. Con el 88% de todas las detecciones, los scripts superaron por sí solos el número de detecciones totales de endpoints que se habían registrado en el trimestre anterior. Los scripts de PowerShell fueron responsables del 99,6% de las detecciones de scripts en el trimestre, lo que demuestra que los atacantes están pasando a los ataques sin archivos y a los que viven de las herramientas legítimas. Aunque estos scripts son la clara elección de los atacantes, los datos de WatchGuard revelan que no hay que pasar por alto otras fuentes de origen del malware.

Las tres nuevas incorporaciones a la lista de los principales dominios de malware en el primer trimestre estaban relacionadas con Nanopool, plataforma que agrega la actividad de la minería de criptomonedas para permitir un rendimiento constante. Estos dominios son técnicamente legítimos y están asociados a una organización legítima. Sin embargo, las conexiones a estos pools de minería casi siempre se originan en una red empresarial o educativa a partir de infecciones de malware en lugar de operaciones de minería legítimas.

Mientras que las 10 principales firmas de IPS representaron el 87% de todos los ataques de red, las detecciones únicas alcanzaron su mayor recuento. Este aumento indica que los ataques automatizados se están centrando en un subconjunto más pequeño de potenciales exploits en lugar de probarlo todo. Sin embargo, las empresas siguen experimentando una amplia variedad de detecciones.

El informe concluye señalando que Europa, Oriente Medio y África (EMEA) continúa siendo un punto de acceso para las amenazas de malware. Las detecciones regionales generales de malware básico y evasivo muestran que los Firebox en EMEA se vieron más afectados que los de América del Norte, Central y del Sur (AMER) en 57% y 22%, respectivamente, seguida por Asia-Pacífico (APAC) con 21%.