Las principales ciberamenazas llegan exclusivamente a través de conexiones cifradas
Análisis de la mercantilización de los ataques adversary-in-the-middle, de la ofuscación de JavaScript en los exploit kits y de una familia de malware vinculada a Gothic Panda.
WatchGuard Technologies, líder mundial en ciberseguridad unificada, ha publicado su último Informe trimestral de Seguridad en Internet, en el que se detallan las principales tendencias de malware y amenazas de seguridad de red y endpoints analizadas por los investigadores de WatchGuard Threat Lab en el tercer trimestre de 2022.
Las principales conclusiones de los datos revelan que la principal amenaza de malware del trimestre se detectó exclusivamente a través de conexiones cifradas, los ataques ICS mantienen su popularidad, el malware LemonDuck está evolucionando más allá de la entrega de criptomineros, un motor de trucos de Minecraft está entregando una carga maliciosa, y mucho más.
"No podemos enfatizar lo suficiente lo importante que es que la inspección HTTPS esté activada, incluso si requiere algunos ajustes y excepciones para hacerlo correctamente. La mayoría del malware llega a través de HTTPS cifrado y no inspeccionarlo significa que te estás perdiendo esas amenazas", señala Corey Nachreiner, CSO de WatchGuard Technologies. "Con razón, los grandes botines de los atacantes, como un servidor Exchange o un sistema de gestión SCADA, también merecen una atención extraordinaria este trimestre. Cuando haya un parche disponible, es importante poner en marcha la actualización inmediatamente, ya que los atacantes acabarán beneficiándose de cualquier organización que aún no haya implementado el último parche”.
Otras conclusiones importantes del Informe Security Report del tercer trimestre son:
• La inmensa mayoría del malware llega a través de conexiones cifradas – Aunque Agent.IIQ ocupó el tercer puesto en la lista Top 10 de malware normal de este trimestre, se situó en el primer puesto de la lista de malware cifrado del tercer trimestre. De hecho, si observamos las detecciones en ambas listas, veremos que todas las detecciones de Agent.IIQ proceden de conexiones cifradas. En el tercer trimestre, si un Firebox inspeccionaba el tráfico cifrado, el 82% del malware que detectaba procedía de esa conexión cifrada, por lo que solo se detectaba un escaso 18% sin cifrar. Si no está inspeccionando el tráfico cifrado en su Firebox, es muy probable que esta proporción media se mantenga y que esté pasando por alto una enorme cantidad de malware. Con suerte, al menos tendrá implementada la protección endpoint para tener la oportunidad de detectarlo más adelante en la cyber kill chain.
• Los sistemas ICS y SCADA siguen siendo tendencia en los objetivos de ataque – Una novedad en la lista de los 10 principales ataques de red de este trimestre es un ataque de tipo inyección SQL que afectó a varios proveedores. Una de estas empresas es Advantech, cuyo portal WebAccess se utiliza para sistemas SCADA en diversas infraestructuras críticas. Otro exploit grave del tercer trimestre, que también apareció entre los cinco primeros ataques de red por volumen, afectó a las versiones 1.2.1 y anteriores del software U.motion Builder de Schneider Electric. Esto es un claro recordatorio de que los atacantes no están esperando tranquilamente una oportunidad, sino que buscan activamente comprometer el sistema siempre que sea posible.
• Las vulnerabilidades del servidor Exchange siguen planteando riesgos – La CVE más reciente entre las nuevas firmas del Threat Lab de este trimestre, CVE-2021-26855, es una vulnerabilidad de ejecución remota de código (RCE) de Microsoft Exchange Server para servidores locales. Esta vulnerabilidad RCE recibió una puntuación CVE de 9,8 y se sabe que ha sido explotada. La fecha y la gravedad de este CVE-2021-26855 también deberían sonar, ya que es uno de los exploits utilizados por el grupo HAFNIUM. Aunque es probable que la mayoría de los servidores Exchange afectados por él ya hayan sido parcheados, la mayoría no equivale a todos. Por tanto, los riesgos persisten.
• Actores de amenazas se dirigen a los buscadores de software libre – Fugrafa descarga malware que inyecta código malicioso. Este trimestre, nuestro Threat Lab examinó una muestra del mismo que se encontró en un motor de trucos para el popular juego Minecraft. Aunque el archivo compartido principalmente en Discord afirma ser el motor de trucos de Minecraft Vape V4 Beta, eso no es todo lo que contiene. Agent.FZUW tiene algunas similitudes con Variant.Fugrafa, pero en lugar de instalarse a través de un motor de trucos, el propio archivo simula tener software crackeado. El Threat Lab descubrió que esta muestra en particular tiene conexiones con Racoon Stealer, una campaña de hacking de criptomonedas utilizada para secuestrar información de cuentas de servicios de intercambio de criptodivisas.
• El malware LemonDuck evoluciona más allá de la entrega de criptomineros – Incluso con un descenso en el total de dominios de malware bloqueados o rastreados en el tercer trimestre de 2022, es fácil ver que los ataques a usuarios desprevenidos siguen siendo elevados. Con tres nuevas incorporaciones a la lista de los principales dominios de malware -dos de los cuales eran antiguos dominios de malware de LemonDuck y el otro parte de un dominio clasificado de Emotet-, en el tercer trimestre se observaron más sitios de malware e intentos de malware que eran dominios más nuevos de lo habitual. Esta tendencia cambiará y se modificará con el panorama de la crisis de las criptomonedas, ya que los atacantes buscan otros lugares para engañar a los usuarios. Mantener activada la protección DNS es una forma de controlar y bloquear a los usuarios desprevenidos para que no permitan la entrada de malware u otros problemas graves en su organización.
• Ofuscación de JavaScript en exploit kits– La firma 1132518, una vulnerabilidad genérica para detectar ataques de ofuscación de JavaScript contra los navegadores, fue la única novedad en la lista de firmas de ataques de red más extendida este trimestre. JavaScript es un vector común para atacar a los usuarios y los actores de amenazas utilizan exploit kits basados en JavaScript todo el tiempo: en malvertising, watering hole y ataques de phishing, por nombrar algunos. A medida que han mejorado las defensas de los navegadores, también lo ha hecho la capacidad de los agresores para ofuscar el código JavaScript malicioso.
• Anatomía de la proliferación los ataques "adversary-in-the-middle" – Aunque es innegable que la autenticación multifactor (MFA) es la mejor tecnología que se puede desplegar para protegerse contra la mayoría de los ataques de autenticación, no es por sí sola una fórmula mágica contra todos los vectores de ataque. Los ciberdelincuentes lo han dejado claro con el rápido aumento y la comoditización de los ataques de adversario en el medio (AitM), y el análisis del Threat Lab sobre EvilProxy, el principal incidente de seguridad del tercer trimestre, muestra cómo los actores maliciosos están empezando a adoptar técnicas AitM más sofisticadas. Al igual que la oferta de ransomware como servicio que se ha hecho popular en los últimos años, el lanzamiento en septiembre de 2022 de un kit de herramientas de AitM llamado EvilProxy ha reducido significativamente la barrera de entrada para lo que antes era una técnica de ataque sofisticada. Desde un punto de vista defensivo, combatir con éxito este tipo de técnica de ataque AitM requiere una mezcla tanto de herramientas técnicas como de concienciación de los usuarios.
• Una familia de malware vinculada a Gothic Panda – En el informe WatchGuard Threat Lab del segundo trimestre de 2022 se describía cómo Gothic Panda -un agente de amenazas patrocinado por el Estado y vinculado al Ministerio de Seguridad del Estado chino- utilizaba uno de los principales programas maliciosos detectados en ese trimestre. Curiosamente, la lista de los principales programas maliciosos cifrados del tercer trimestre incluye una familia de programas maliciosos llamada Taidoor, que no solo fue creada por Gothic Panda, sino que solo ha sido utilizada por ciberdelincuentes gubernamentales chinos. Aunque este malware se suele centrar en objetivos de Japón y Taiwán en general, la muestra Generic.Taidoor analizada este trimestre se encontró principalmente dirigida a organizaciones de Francia, lo que sugiere que algunos Firebox de esta región pueden haber detectado y bloqueado partes de un ciberataque patrocinado por el Estado.
• Nuevos grupos de ransomware y extorsión – Además, este trimestre, el Threat Lab se complace en anunciar un nuevo esfuerzo concertado para realizar un seguimiento de los grupos de extorsión de ransomware actuales y desarrollar sus capacidades de inteligencia de amenazas para proporcionar más información relacionada con el ransomware en futuros informes. En el tercer trimestre, LockBit encabeza la lista con más de 200 extorsiones públicas en su dark web, casi cuatro veces más que Basta, el segundo grupo de ransomware más prolífico observado por WatchGuard este trimestre.