La inmensa mayoría del malware llega a través de conexiones cifradas

  • Seguridad

La mayoría del malware llega a través de conexiones cifradas, según el informe sobre Seguridad en Internet de WatchGuard, realizado con los datos del tercer trimestre del año. Entre otros hallazgos la firma destaca también que los ataques a los sistemas de control industrial siguen siendo elevados, que las vulnerabilidades del servidor Exchange siguen planteando riesgos y que los actores de amenazas están dirigiéndose a los buscadores de software libre.

  Recomendados....

» El CIO estratégico vincula la optimización de costes a los resultados de negocio (Gartner) Informe
» Plataformas de comunicaciones empresariales bajo suscripción, ¿por qué? Documento
» Headless CMS, un abanico de oportunidades en los proyectos empresariales
Leer

WatchGuard Technologies ha publicado su último Informe trimestral de Seguridad en Internet, correspondiente al tercer trimestre, en el que bloqueó un total de más de 17,3 millones de variantes de malware (211 por dispositivo) y más de 2,3 millones de amenazas de red (28 por dispositivo). La principal conclusión es que la mayor parte del malware llega a través de HTTPS cifrado. En este punto, el analisis pone de relieve que la principal amenaza de malware del trimestre se detectó exclusivamente a través de estas conexiones. "Aunque Agent.IIQ ocupó el tercer puesto en la lista Top 10 de malware normal de este trimestre, se situó en el primer puesto de la lista de malware cifrado del tercer trimestre. En el tercer trimestre, si un Firebox inspeccionaba el tráfico cifrado, el 82% del malware que detectaba procedía de esa conexión cifrada, por lo que solo se detectaba un escaso 18% sin cifrar", explica la firma. 

Por otro lado, los sistemas ICS y SCADA siguen siendo tendencia en los objetivos de ataque. Una novedad en la lista de los 10 principales ataques de red de este trimestre es un ataque de tipo inyección SQL que afectó a varios proveedores. Una de estas empresas es Advantech, cuyo portal WebAccess se utiliza para sistemas SCADA en diversas infraestructuras críticas. Según el informe, "esto es un claro recordatorio de que los atacantes no están esperando tranquilamente una oportunidad, sino que buscan activamente comprometer el sistema siempre que sea posible".

Las vulnerabilidades del servidor Exchange siguen planteando riesgos. La CVE más reciente entre las nuevas firmas del WatchGuard Threat Lab de este trimestre, CVE-2021-26855, es una vulnerabilidad de ejecución remota de código (RCE) de Microsoft Exchange Server para servidores locales, que recibió una puntuación CVE de 9,8 y se sabe que ha sido explotada. Aunque es probable que la mayoría de los servidores Exchange afectados ya hayan sido parcheados, algunos no, por lo que los riesgos persisten.

Otra conclusión es que los actores de amenazas se dirigen a los buscadores de software libre, y el ejemplo es Fugrafa, que descarga malware que inyecta código malicioso. Este trimestre, el Threat Lab examinó una muestra del mismo que se encontró en un motor de trucos para el juego Minecraft, que tiene conexiones con Racoon Stealer, una campaña de hacking de criptomonedas utilizada para secuestrar información de cuentas de servicios de intercambio de criptodivisas.

Por si todo esto fuese poco, el informe también destaca las siguientes amenazas:  

--El malware LemonDuck evoluciona más allá de la entrega de criptomineros. Con tres nuevas incorporaciones a la lista de los principales dominios de malware -dos de los cuales eran antiguos dominios de malware de LemonDuck y el otro parte de un dominio clasificado de Emotet-, en el tercer trimestre se observaron más sitios de malware e intentos de malware que eran dominios más nuevos de lo habitual. Esta tendencia cambiará y se modificará con el panorama de la crisis de las criptomonedas, ya que los atacantes buscan otros lugares para engañar a los usuarios.

--Ofuscación de JavaScript en exploit kit. La firma 1132518, una vulnerabilidad genérica para detectar ataques de ofuscación de JavaScript contra los navegadores, fue la única novedad en la lista de firmas de ataques de red más extendida este trimestre. JavaScript es un vector común para atacar a los usuarios y los actores de amenazas utilizan exploit kits basados en JavaScript. A medida que han mejorado las defensas de los navegadores, también lo ha hecho la capacidad de los agresores para ofuscar el código JavaScript malicioso.

--Proliferación los ataques "adversary-in-the-middle". Aunque la autenticación multifactor (MFA) es la mejor tecnología que se puede desplegar para protegerse contra la mayoría de los ataques de autenticación, no es infalible. Los ciberdelincuentes lo han dejado claro con el rápido aumento de los ataques de adversario en el medio (AitM), con técnicas más sofisticadas. El lanzamiento en septiembre de 2022 de un kit de herramientas de AitM llamado EvilProxy ha reducido significativamente la barrera de entrada para lo que antes era una técnica de ataque sofisticada.

--Una familia de malware vinculada a Gothic Panda. Este agente de amenazas patrocinado por el Estado y vinculado al Ministerio de Seguridad del Estado chino utilizaba uno de los principales programas maliciosos detectados en el segundo trimestre. La lista de los principales programas maliciosos cifrados del tercer trimestre incluye una familia de programas maliciosos llamada Taidoor, que no solo fue creada por Gothic Panda, sino que solo ha sido utilizada por ciberdelincuentes gubernamentales chinos. La muestra Generic.Taidoor iba principalmente dirigida a organizaciones de Francia, lo que sugiere que algunos Firebox de esta región pueden haber detectado y bloqueado partes de un ciberataque patrocinado por el Estado.

--Nuevos grupos de ransomware y extorsión. En el tercer trimestre, LockBit encabeza la lista con más de 200 extorsiones públicas en su dark web, casi cuatro veces más que Basta, el segundo grupo de ransomware más prolífico observado por WatchGuard este trimestre.