Aumento de los actores de amenazas que explotan el software de acceso remoto
Incremento del 89 por ciento en los ataques de ransomware endpoint y disminución del malware que llega a través de conexiones cifradas.
WatchGuard Technologies, líder mundial en ciberseguridad unificada, ha anunciado los resultados de su último Informe de Seguridad en Internet, que detalla las principales tendencias de malware y amenazas de seguridad de red y endpoints analizadas por los investigadores de WatchGuard Threat Lab. Las conclusiones más destacadas de los datos muestran un aumento de los casos de abuso de software de acceso remoto, el aumento de los ciberadversarios que utilizan ladrones de contraseñas e información para robar credenciales valiosas, y los actores de amenazas que pasan de utilizar secuencias de comandos a emplear otras técnicas para iniciar un ataque a un endpoint.
"Los actores de amenazas siguen utilizando diferentes herramientas y métodos en sus campañas de ataque, por lo que es fundamental que las organizaciones se mantengan al tanto de las últimas tácticas para fortificar su estrategia de seguridad", explica Corey Nachreiner, director de seguridad de WatchGuard. "Las plataformas de seguridad modernas que incluyen firewalls y software de protección endpoint pueden ofrecer una mayor protección para redes y dispositivos. Pero cuando se trata de ataques que emplean tácticas de ingeniería social, el usuario final se convierte en la última línea de defensa entre los actores maliciosos y su éxito en infiltrarse en una organización. Es importante que las organizaciones proporcionen educación en ingeniería social, así como que adopten un enfoque de seguridad unificado que proporcione capas de defensa, que puedan ser gestionadas eficazmente por proveedores de servicios gestionados”.
Entre las principales conclusiones, el último Informe de Seguridad en Internet con datos del tercer trimestre de 2023 muestra:
• Los actores de amenazas utilizan cada vez más herramientas y software de gestión remota para eludir la detección antimalware, como han reconocido tanto el FBI como el CISA. Por ejemplo, al investigar los principales dominios de phishing, el Threat Lab observó una estafa de soporte técnico que daba lugar a que la víctima descargara una versión preconfigurada y no autorizada de TeamViewer, que permitía al atacante el acceso remoto completo a su ordenador.
• La variante del ransomware Medusa se dispara en el tercer trimestre, haciendo que los ataques de ransomware a endpoints aumenten un 89%. A primera vista, las detecciones de ransomware para endpoints parecían haber disminuido en el tercer trimestre. Sin embargo, la variante del ransomware Medusa, que apareció en el Top 10 de amenazas de malware por primera vez, se detectó con una firma genérica del motor de firmas automatizado del Threat Lab. Si se tienen en cuenta las detecciones de Medusa, los ataques de ransomware aumentaron un 89% entre trimestres.
• Los actores de las amenazas dejan de utilizar ataques basados en secuencias de comandos y emplean cada vez más otras técnicas basadas en la vida real. Los scripts maliciosos disminuyeron como vector de ataque en un 11% en el tercer trimestre, tras caer un 41% en el segundo. Aun así, los ataques basados en secuencias de comandos siguen siendo el principal vector de ataque, con un 56% del total, y los lenguajes de secuencias de comandos como PowerShell se utilizan a menudo en los ataques sin intervención humana. Por otra parte, los ataques a binarios de Windows aumentaron un 32%. Estos resultados indican a los investigadores de Threat Lab que los autores de las amenazas siguen utilizando múltiples técnicas de ataques "living-off-the-land", probablemente en respuesta a las mayores protecciones en torno a PowerShell y otras secuencias de comandos. Los ataques "living-off-the-land" constituyen la mayoría de los ataques a endpoints.
• El malware que llega a través de conexiones cifradas se redujo al 48%, lo que significa que algo menos de la mitad de todo el malware detectado procede del tráfico cifrado. Esta cifra es notable porque ha disminuido considerablemente con respecto a trimestres anteriores. En conjunto, el total de programas maliciosos detectados aumentó un 14%.
• Cuatro de los cinco programas maliciosos cifrados más detectados en el tercer trimestre fueron una familia de dropper basados en correo electrónico que distribuyen cargas útiles maliciosas. Todas menos una de las variantes del Top 5 contenían la familia de dropper denominada Stacked, que llega como archivo adjunto en un intento de spear phishing por correo electrónico. Los actores de amenazas envían email con archivos adjuntos maliciosos que parecen proceder de un remitente conocido y afirman incluir una factura o un documento importante para su revisión, con el objetivo de engañar a los usuarios finales para que descarguen el malware. Dos de las variantes de Stacked - Stacked.1.12 y Stacked.1.7 - también aparecieron entre los 10 programas maliciosos más detectados.
• Surge el malware comoditizado. Entre las principales amenazas de malware, una nueva familia de malware, Lazy.360502, entró en la lista de los Top 10. Ofrece la variante de adware 2345explorer, así como el ladrón de contraseñas Vidar. Esta amenaza de malware se conectaba a un sitio web chino que proporcionaba un ladrón de credenciales y parecía funcionar como un "ladrón de contraseñas como servicio", en el que los autores de la amenaza podían pagar por las credenciales robadas, lo que ilustra cómo se está utilizando el malware comoditizado.
• Los ataques de red aumentaron un 16% en el tercer trimestre. ProxyLogon fue la vulnerabilidad número uno atacada en los ataques de red, con un 10% de todas las detecciones de red en total.
• Tres nuevas firmas aparecieron en el Top 50 de ataques de red. Entre ellas, una vulnerabilidad de PHP Common Gateway Interface Apache de 2012 que podría provocar un desbordamiento de buffer. Otra era una vulnerabilidad de Microsoft .NET Framework 2.0 de 2016 que podría dar lugar a un ataque de denegación de servicio. También había una vulnerabilidad de inyección SQL en Drupal, el CMS de código abierto, de 2014. Esta vulnerabilidad permitía a los atacantes explotar remotamente Drupal sin necesidad de autenticación.