WatchGuard Technologies ha presentado su Informe de Seguridad en Internet correspondiente al segundo trimestre de 2020. Entre sus conclusiones más destacadas, el informe muestra que, a pesar de un descenso del 8% en las detecciones de malware en general en el segundo trimestre, el 70% de todos los ataques se refería a malware de día cero (variantes que eluden las firmas de los antivirus), lo que representa un aumento del 12% con respecto al trimestre anterior.
“Las empresas no son las únicas que han ajustado sus operaciones debido a la pandemia global de COVID-19; los ciberdelincuentes también lo han hecho”, afirma Corey Nachreiner, CTO de WatchGuard. “El aumento de los ataques sofisticados, a pesar del hecho de que las detecciones generales de malware disminuyeron en el segundo trimestre (probablemente debido al cambio al teletrabajo), muestra que los atacantes están recurriendo a tácticas más evasivas que las defensas antimalware tradicionales basadas en firmas simplemente no pueden captar. Todas las organizaciones deberían dar prioridad a la detección de amenazas basada en el comportamiento, al sandboxing basado en cloud y a un conjunto de servicios de seguridad por capas para proteger tanto la red central como las fuerzas de trabajo remotas”.
El Informe de Seguridad en Internet de WatchGuard ofrece una visión detallada de las últimas tendencias de malware y ataques de red, una investigación exhaustiva de las amenazas y las mejores prácticas de seguridad recomendadas que las organizaciones pueden aprovechar para protegerse mejor a sí mismas, a sus partners y clientes. Los principales hallazgos del informe del segundo trimestre de 2020 incluyen:
• Los atacantes continúan aprovechando las amenazas evasivas y cifradas. El malware de día cero constituyó más de dos tercios del total de detecciones en el segundo trimestre, mientras que los ataques lanzados a través de conexiones HTTPS cifradas representaron el 34%. Las organizaciones que no sean capaces de inspeccionar el tráfico cifrado se perderán un tercio de las amenazas entrantes. Aunque el porcentaje de amenazas que utilizan cifrado disminuyó del 64% en el primer trimestre, el volumen de malware cifrado con HTTPS aumentó drásticamente. Parece que hay más administradores tomando las medidas necesarias para permitir la inspección HTTPS en los dispositivos de seguridad Firebox, pero todavía queda trabajo por hacer.
• Los ataques basados en JavaScript van en aumento. El script de estafa Trojan.Gnaeus hizo su debut en la parte superior de la lista de los 10 principales programas maliciosos de WatchGuard en el segundo trimestre, lo que representa casi una de cada cinco detecciones de malware. El malware de Gnaeus permite a los agentes de amenazas secuestrar el control del navegador de la víctima con código ofuscado, y redirigir a la fuerza desde sus destinos web previstos a dominios bajo el control del atacante. Otro ataque JavaScript de estilo popup, J.S. PopUnder, fue una de las variantes de malware más extendidas el pasado trimestre. En este caso, un script ofuscado escanea las propiedades del sistema de la víctima y bloquea los intentos de depuración como una táctica antidetección. Para combatir estas amenazas, las organizaciones deben evitar que los usuarios carguen una extensión del navegador desde una fuente desconocida, mantener los navegadores actualizados con los últimos parches, utilizar adblockers de confianza y mantener un motor antimalware actualizado.
• Los atacantes utilizan cada vez más archivos de Excel cifrados para ocultar el malware. XML-Trojan.Abracadabra es una nueva incorporación al Top 10 de principales detecciones de malware de WatchGuard, que muestra un rápido crecimiento en popularidad desde que la técnica surgiera en abril. Abracadabra es una variante de malware que se entrega como un archivo Excel cifrado con la contraseña “VelvetSweatshop” (la contraseña predeterminada para los documentos de Excel). Una vez abierto, Excel descifra automáticamente el archivo y un script macro VBA dentro de la hoja de cálculo descarga y ejecuta un ejecutable. El uso de una contraseña predeterminada permite a este malware eludir muchas soluciones antivirus básicas, ya que el archivo se cifra y luego es descifrado por Excel. Las organizaciones nunca deben permitir que los macros provengan de una fuente no fiable, y aprovechar el sandboxing basado en cloud para verificar con seguridad la verdadera intención de los archivos potencialmente peligrosos antes de que puedan provocar una infección.
• Un antiguo ataque DoS altamente explotable regresa. Una vulnerabilidad de denegación de servicio (DoS) de hace seis años que afecta a WordPress y Drupal apareció en la lista de WatchGuard de los 10 principales ataques de red por volumen en el segundo trimestre. Esta vulnerabilidad es particularmente grave porque afecta a todas las instalaciones de Drupal y WordPress sin parches y crea escenarios DoS en los que los agentes maliciosos pueden causar el agotamiento de la CPU y la memoria en el hardware subyacente. A pesar del alto volumen de estos ataques, se centraron en unas pocas docenas de redes, principalmente en Alemania. Dado que los escenarios DoS requieren un tráfico sostenido a las redes víctimas, esto significa que hay una gran probabilidad de que los atacantes estuvieran seleccionando sus objetivos intencionadamente.
• Los dominios de malware aprovechan los servidores de comando y control para causar estragos. Dos nuevos destinos han pasado a ocupar el primer lugar en la lista de dominios de malware más importantes de WatchGuard en el segundo trimestre. El más común fue findresults[.]site, que utiliza un servidor C&C para una variante del troyano Dadobra que crea un archivo ofuscado y un registro asociado para garantizar que el ataque se ejecute y pueda filtrar datos sensibles y descargar malware adicional cuando los usuarios inicien los sistemas Windows. Un usuario alertó al equipo de WatchGuard sobre Cioco-froll[.]com, que utiliza otro servidor C&C para soportar una variante de botnet Asprox (que a menudo se entrega a través de un documento PDF) y proporciona una baliza C&C para que el atacante sepa que ha ganado en persistencia y está listo para participar en la botnet. El firewall de DNS puede ayudar a las organizaciones a detectar y bloquear este tipo de amenazas independientemente del protocolo de aplicación de la conexión
Los informes de investigación trimestrales de WatchGuard se basan en datos anónimos de Firebox Feed procedentes de dispositivos activos de WatchGuard cuyos propietarios han optado por compartir datos para apoyar los esfuerzos de investigación del Laboratorio de Amenazas. En el segundo trimestre, casi 42.000 dispositivos WatchGuard contribuyeron con datos al informe, bloqueando un total de más de 28,5 millones de variantes de malware (684 por dispositivo) y más de 1,75 millones de amenazas de red (42 por dispositivo). Los equipos de Firebox detectaron y bloquearon colectivamente 410 firmas de ataque únicas en el segundo trimestre, un aumento del 15% con respecto al primer trimestre y el mayor desde el cuarto trimestre de 2018.
