Una investigación ha descubierto que un 91,5% de malware llega a través de conexiones cifradas HTTPS, lo que genera aumentos alarmantes en los sistemas sin archivos. amenazas de malware, crecimiento espectacular del ransomware, un gran aumento de los ataques a la red y mucho más.
La empresa WatchGuard Technologies, empresa en seguridad e inteligencia de redes, protección avanzada de endpoints, autenticación multifactor (MFA) y Wi-Fi seguro, publicó hoy su último Informe Trimestral de seguridad de Internet.
Entre sus hallazgos más notables, el Informe de Seguridad de Internet del segundo trimestre de 2021 de WatchGuard revela:
–Grandes cantidades de malware llegan a través de conexiones cifradas: en el segundo trimestre, el 91,5% del malware llegó a través de una conexión cifrada, un aumento espectacular con respecto al trimestre anterior. En pocas palabras, a cualquier organización que no esté examinando el tráfico HTTPS cifrado en el perímetro le faltan 9/10 de todo el malware por examinar.
–El malware está utilizando herramientas de PowerShell para eludir protecciones poderosas: AMSI.Disable.A apareció en la sección principal de malware de WatchGuard por primera vez en el primer trimestre e inmediatamente se disparó para este trimestre, llegando a la lista en el número 2 en general por volumen y en el número 1. spot para amenazas cifradas en general.
Esta familia de malware utiliza herramientas de PowerShell para explotar varias vulnerabilidades en Windows. Pero lo que lo hace especialmente interesante es su técnica evasiva. WatchGuard descubrió que AMSI.Disable.A usa un código capaz de deshabilitar la Interfaz de exploración antimalware (AMSI) en PowerShell, lo que le permite omitir las comprobaciones de seguridad de los scripts con su carga útil de malware sin ser detectada.
–Las amenazas sin archivos se disparan y se vuelven aún más evasivas: sólo en los primeros seis meses de 2021, las detecciones de malware que se originan en motores de scripting como PowerShell ya han alcanzado el 80% del volumen total de ataques iniciados por scripts del año pasado, lo que en sí mismo representó un aumento sustancial durante el año previo. Al ritmo actual, las detecciones de malware sin archivos de 2021 están en camino de duplicar su volumen interanual.
–Los ataques a la red están en auge a pesar del cambio a fuerzas de trabajo principalmente remotas: los dispositivos WatchGuard detectaron un aumento sustancial en los ataques a la red, que aumentaron un 22% con respecto al trimestre anterior y alcanzaron el volumen más alto desde principios de 2018. El primer trimestre vio casi 4.1 millones de ataques a la red. En el trimestre siguiente, ese número aumentó en otro millón, trazando un rumbo agresivo que destaca la creciente importancia de mantener la seguridad del perímetro junto con las protecciones centradas en el usuario.
-El ransomware ataca con fuerza: mientras que las detecciones totales de ransomware en el punto final se encontraban en una trayectoria descendente desde 2018 hasta 2020, esa tendencia se rompió en la primera mitad de 2021, ya que el total de seis meses terminó apenas por debajo del total del año completo para 2020. Si las detecciones diarias de ransomware se mantienen estables durante el resto de 2021, el volumen de este año alcanzará un aumento de más del 150% en comparación con 2020.
–Los grandes ataques de ransomware eclipsan los ataques de tipo “shotgun blast”: el ataque Colonial Pipeline del 7 de mayo de 2021 dejó en claro que el ransomware como amenaza llegó para quedarse. Como el incidente de seguridad más importante del trimestre, la brecha subraya cómo los ciberdelincuentes no solo están poniendo los servicios más vitales, como hospitales, control industrial e infraestructura, en su punto de mira, sino que parecen estar intensificando los ataques contra estos objetivos de alto valor como bien.
El análisis de incidentes de WatchGuard examina las consecuencias, cómo se ve el futuro para la seguridad de la infraestructura crítica y los pasos que las organizaciones de cualquier sector pueden tomar para ayudar a defenderse de estos ataques y ralentizar su propagación.
–Los servicios antiguos continúan demostrando ser objetivos dignos: desviándose de las firmas nuevas habituales de una a dos vistas en informes trimestrales anteriores, hubo cuatro firmas nuevas entre los 10 principales ataques de red de WatchGuard para el segundo trimestre. En particular, la más reciente fue una vulnerabilidad de 2020 en el popular lenguaje de programación web PHP, pero las otras tres no son nuevas en absoluto. Estos incluyen una vulnerabilidad 20ll de Oracle GlassFish Server, una falla de inyección SQL de 2013 en la aplicación de registros médicos OpenEMR y una vulnerabilidad de ejecución remota de código (RCE) de 2017 en Microsoft Edge. Si bien están anticuados, todos siguen presentando riesgos si no se actualizan.
–Las amenazas basadas en Microsoft Office persisten en popularidad: el segundo trimestre vio una nueva adición a la lista de los 10 ataques de red más extendidos, y debutó en lo más alto. La firma, 1133630, es la vulnerabilidad RCE de 2017 mencionada anteriormente que afecta a los navegadores de Microsoft. Aunque puede ser un exploit antiguo y parcheado en la mayoría de los sistemas (con suerte), aquellos que aún tienen que parchear tendrán un rudo despertar si un atacante puede acceder antes que ellos.
De hecho, una falla de seguridad RCE de alta gravedad muy similar, rastreada como CVE-2021-40444, apareció en los titulares a principios de este mes cuando fue explotada activamente en ataques dirigidos contra Microsoft Office y Office 365 en computadoras con Windows 10. Las amenazas basadas en Office continúan siendo populares cuando se trata de malware, por lo que todavía estamos detectando estos ataques probados y verdaderos en la naturaleza. Afortunadamente, todavía están siendo detectados por defensas IPS probadas y verdaderas.
-Los dominios de phishing se hacen pasar por dominios legítimos y ampliamente reconocidos: WatchGuard ha observado un aumento en el uso de malware recientemente dirigido a servidores de Microsoft Exchange y usuarios de correo electrónico genérico para descargar troyanos de acceso remoto (RAT) en ubicaciones altamente sensibles. Es muy probable que esto se deba a que el segundo trimestre es el segundo trimestre consecutivo en que los trabajadores remotos y los estudiantes regresaron a oficinas híbridas y entornos académicos o comportamientos previamente normales de actividad en el sitio.