Los actores de amenazas intentan convertir las Blockchains en hosts de contenido malicioso

Aumento de los ladrones de información y de las botnets, incremento del malware evasivo y auge de los ataques de red en toda la región Asia-Pacífico.

WatchGuard Technologies, líder mundial en ciberseguridad unificada, ha publicado las conclusiones de su último Informe de Seguridad en Internet, un análisis trimestral que detalla las principales amenazas de seguridad de red, endpoints y malware observadas por los investigadores de WatchGuard Threat Lab durante el segundo trimestre de 2024.

Una de las principales conclusiones del informe es que 7 del Top 10 de amenazas de malware por volumen eran nuevas este trimestre, lo que indica que los autores de amenazas se están orientando hacia estas técnicas. Entre las nuevas amenazas principales se encuentran Lumma Stealer, un malware avanzado diseñado para robar datos confidenciales de los sistemas comprometidos; una variante de la Botnet Mirai, que infecta dispositivos inteligentes y permite a los agresores convertirlos en bots controlados de forma remota; y el malware LokiBot, dirigido a dispositivos Windows y Android, y cuyo objetivo es robar información de credenciales.

El Threat Lab de WatchGuard también observó nuevos casos de actores de amenazas que emplean “EtherHiding”, un método para incrustar scripts PowerShell maliciosos en blockchains como Binance Smart Contracts. En estos casos, aparece un falso mensaje de error que enlaza con el script malicioso en los sitios web comprometidos, instando a las víctimas a “actualizar su navegador. El código malicioso en blockchains supone una amenaza a largo plazo, ya que las blockchains no están pensadas para ser modificadas y, en teoría, una blockchain podría convertirse en un host inmutable de contenido malicioso.

“Los últimos resultados del Informe de Seguridad en Internet del segundo trimestre de 2024 reflejan cómo los actores de amenazas tienden a seguir patrones de comportamiento, con ciertas técnicas de ataque que se ponen de moda y dominan en oleadas”, explica Corey Nachreiner, director de seguridad de WatchGuard Technologies. “Nuestros últimos hallazgos también ilustran la importancia de actualizar y parchear rutinariamente el software y los sistemas para abordar las brechas de seguridad y garantizar que los actores de amenazas no puedan explotar las vulnerabilidades más antiguas. Adoptar un enfoque de defensa en profundidad, que puede ser ejecutado eficazmente por un proveedor de servicios gestionados dedicado, es un paso vital para combatir con éxito estos retos de seguridad”.

Otras conclusiones clave del Informe de Seguridad en Internet del segundo trimestre de 2024 de WatchGuard son:

•   Las detecciones de malware descendieron un 24% en total. Este descenso se debió a una disminución del 35% en las detecciones basadas en firmas. Sin embargo, los autores de las amenazas simplemente cambiaron su enfoque hacia un malware más evasivo. En el segundo trimestre de 2024, el motor de comportamiento avanzado del Threat Lab, que identifica ransomware, amenazas zero day y amenazas de malware en evolución, descubrió un aumento del 168% en las detecciones de malware evasivo con respecto al trimestre anterior.

•   Los ataques de red aumentaron un 33% desde el primer trimestre de 2024. Entre todas las regiones, Asia-Pacífico representó el 56% de todas las detecciones de ataques de red, más del doble que en el trimestre anterior.

•   Una vulnerabilidad NGINX, detectada originalmente en 2019, fue el principal ataque de red por volumen en el segundo trimestre de 2024, aunque no había aparecido en los 50 principales ataques de red del Threat Lab en trimestres anteriores. La vulnerabilidad representó el 29% del volumen total de detección de ataques de red, o aproximadamente 724.000 detecciones en Estados Unidos, EMEA y APAC.

•   El kit de herramientas de hacking Fuzzbunch se convirtió en la segunda amenaza de malware para endpoints más detectada por volumen. El toolkit, que sirve como un marco de código abierto que se puede utilizar para atacar sistemas operativos Windows, fue robado durante el ataque de The Shadow Brokers a Equation Group, un contratista de la NSA, en 2016.

•   El 74% de todos los ataques de malware a endpoints iniciados desde navegadores tenían como objetivo navegadores basados en Chromium, entre los que se incluyen Google Chrome, Microsoft Edge y Brave.

•   Una firma que detecta contenido web malicioso, trojan.html.hidden.1.gen, se situó como la cuarta variante de malware más extendida. La categoría de amenaza más común detectada por esta firma incluía campañas de phishing que recopilaban credenciales del navegador del usuario y envíaban esta información a un servidor controlado por el atacante. Curiosamente, nuestro Threat Lab observó una muestra de esta firma dirigida a estudiantes y profesores de la Universidad Estatal de Valdosta, en Georgia.