Los servidores Exchange y los sistemas SCADA destacan como objetivos de ataque

  • Seguridad

La principal amenaza de malware del trimestre se detectó exclusivamente a través de conexiones cifradas, según un informe de WatchGuard, que también analiza la mercantilización de los ataques adversary-in-the-middle, la ofuscación de JavaScript en los exploit kits y una familia de malware vinculada a Gothic Panda.

  Recomendados....

» Tendencias TI 2023 y factores que influirán en su despliegue Webinar
» Nueve formas prácticas de optimizar los costes IT Guía
» 5 aspectos a evaluar en su sistema telefónico y claves para aumentar su éxito Leer

WatchGuard Technologies ha publicado su último Informe trimestral de Seguridad en Internet, correspondiente al tercer trimestre, en el que bloqueó un total de más de 17,3 millones de variantes de malware (211 por dispositivo) y más de 2,3 millones de amenazas de red (28 por dispositivo).

El informe concluye que las principales amenazas llegan exclusivamente a través de conexiones cifradas. Otras amenazas detectadas en el último trimestre son los ataques ICS, que mantienen su popularidad; el malware LemonDuck, que está evolucionando más allá de la entrega de criptomineros; y un motor de trucos de Minecraft, que está entregando una carga maliciosa.

"La mayoría del malware llega a través de HTTPS cifrado y no inspeccionarlo significa que te estás perdiendo esas amenazas", señala Corey Nachreiner, CSO de WatchGuard Technologies. "Con razón, los grandes botines de los atacantes, como un servidor Exchange o un sistema de gestión SCADA, también merecen una atención extraordinaria este trimestre. Cuando haya un parche disponible, es importante poner en marcha la actualización inmediatamente, ya que los atacantes acabarán beneficiándose de cualquier organización que aún no haya implementado el último parche”. Estas son las principales conclusiones del Informe Security Report del tercer trimestre:

--La inmensa mayoría del malware llega a través de conexiones cifradas. Aunque Agent.IIQ ocupó el tercer puesto en la lista Top 10 de malware normal de este trimestre, se situó en el primer puesto de la lista de malware cifrado del tercer trimestre. En el tercer trimestre, si un Firebox inspeccionaba el tráfico cifrado, el 82% del malware que detectaba procedía de esa conexión cifrada, por lo que solo se detectaba un escaso 18% sin cifrar.

--Los sistemas ICS y SCADA siguen siendo tendencia en los objetivos de ataque. Una novedad en la lista de los 10 principales ataques de red de este trimestre es un ataque de tipo inyección SQL que afectó a varios proveedores. Una de estas empresas es Advantech, cuyo portal WebAccess se utiliza para sistemas SCADA en diversas infraestructuras críticas. Esto es un claro recordatorio de que los atacantes no están esperando tranquilamente una oportunidad, sino que buscan activamente comprometer el sistema siempre que sea posible.

--Las vulnerabilidades del servidor Exchange siguen planteando riesgos. La CVE más reciente entre las nuevas firmas del Threat Lab de este trimestre, CVE-2021-26855, es una vulnerabilidad de ejecución remota de código (RCE) de Microsoft Exchange Server para servidores locales, que recibió una puntuación CVE de 9,8 y se sabe que ha sido explotada. Aunque es probable que la mayoría de los servidores Exchange afectados ya hayan sido parcheados, algunos no, por lo que los riesgos persisten.

--Los actores de amenazas se dirigen a los buscadores de software libre. Fugrafa descarga malware que inyecta código malicioso. Este trimestre, el Threat Lab de WatchGuard examinó una muestra del mismo que se encontró en un motor de trucos para el juego Minecraft, que tiene conexiones con Racoon Stealer, una campaña de hacking de criptomonedas utilizada para secuestrar información de cuentas de servicios de intercambio de criptodivisas.

--El malware LemonDuck evoluciona más allá de la entrega de criptomineros. Con tres nuevas incorporaciones a la lista de los principales dominios de malware -dos de los cuales eran antiguos dominios de malware de LemonDuck y el otro parte de un dominio clasificado de Emotet-, en el tercer trimestre se observaron más sitios de malware e intentos de malware que eran dominios más nuevos de lo habitual. Esta tendencia cambiará y se modificará con el panorama de la crisis de las criptomonedas, ya que los atacantes buscan otros lugares para engañar a los usuarios.

--Ofuscación de JavaScript en exploit kit. La firma 1132518, una vulnerabilidad genérica para detectar ataques de ofuscación de JavaScript contra los navegadores, fue la única novedad en la lista de firmas de ataques de red más extendida este trimestre. JavaScript es un vector común para atacar a los usuarios y los actores de amenazas utilizan exploit kits basados en JavaScript. A medida que han mejorado las defensas de los navegadores, también lo ha hecho la capacidad de los agresores para ofuscar el código JavaScript malicioso.

--Proliferación los ataques "adversary-in-the-middle". Aunque la autenticación multifactor (MFA) es la mejor tecnología que se puede desplegar para protegerse contra la mayoría de los ataques de autenticación, no es infalible. Los ciberdelincuentes lo han dejado claro con el rápido aumento de los ataques de adversario en el medio (AitM), con técnicas más sofisticadas. El lanzamiento en septiembre de 2022 de un kit de herramientas de AitM llamado EvilProxy ha reducido significativamente la barrera de entrada para lo que antes era una técnica de ataque sofisticada.

--Una familia de malware vinculada a Gothic Panda. Este agente de amenazas patrocinado por el Estado y vinculado al Ministerio de Seguridad del Estado chino utilizaba uno de los principales programas maliciosos detectados en el segundo trimestre. La lista de los principales programas maliciosos cifrados del tercer trimestre incluye una familia de programas maliciosos llamada Taidoor, que no solo fue creada por Gothic Panda, sino que solo ha sido utilizada por ciberdelincuentes gubernamentales chinos. La muestra Generic.Taidoor iba principalmente dirigida a organizaciones de Francia, lo que sugiere que algunos Firebox de esta región pueden haber detectado y bloqueado partes de un ciberataque patrocinado por el Estado.

--Nuevos grupos de ransomware y extorsión. En el tercer trimestre, LockBit encabeza la lista con más de 200 extorsiones públicas en su dark web, casi cuatro veces más que Basta, el segundo grupo de ransomware más prolífico observado por WatchGuard este trimestre.