WatchGuard analiza los ataques comerciales Adversary-in-the-Middle, los kits de explotación basados en JavaScript y el malware relacionado con Gothic Panda en el Informe de seguridad de Internet Q3 (ISR). Las mayores amenazas solo se enviaban a través de conexiones cifradas HTTPS.
Justo antes de fin de año, WatchGuard Technologies publicó su último Informe de seguridad en Internet (ISR). En este, las tendencias de malware más importantes, así como los métodos de ataque actualmente relevantes en redes y puntos finales, se describen en detalle de la manera habitual. Los hallazgos de los investigadores de WatchGuard Threat Lab muestran que la principal amenaza de malware para el tercer trimestre de 2022 se envió exclusivamente a través de conexiones cifradas.
Los atacantes explotan HTTPS
También han aumentado los ataques a los sistemas ICS y SCADA. Los jugadores de computadora también están en riesgo porque se descubrió una carga útil maliciosa en un motor de trucos de Minecraft. El ISR también contiene una variedad de otra información y ejemplos de la situación de amenaza actual.
“No podemos enfatizar lo suficiente la importancia de inspeccionar las conexiones HTTPS: las organizaciones definitivamente deberían habilitar la función de seguridad adecuada, incluso si requiere algunos ajustes y reglas de excepción. Porque la mayoría del malware llega a través de HTTPS encriptado. Si este vector de ataque no se controla, las amenazas de todo tipo están abiertas”, dijo Corey Nachreiner, director de seguridad de WatchGuard Technologies. “También se debe prestar más atención a los servidores Exchange o los sistemas de gestión SCADA. Tan pronto como haya un parche disponible para estos, es importante aplicar esta actualización de inmediato y actualizar la aplicación. Los atacantes se benefician de cualquier empresa que aún no haya solucionado las vulnerabilidades”.
Conclusiones clave del informe de seguridad de Internet del tercer trimestre
Hallazgos del Informe de seguridad de Internet Q3 -ISR (Imagen: WatchGuard).
La gran mayoría del malware llega a través de conexiones cifradas
Aunque el malware Agent.IIQ ocupó el tercer lugar en la lista regular de los 2022 mejores programas maliciosos para el período de julio a septiembre de 10, terminó en el puesto número 1 en la lista de programas maliciosos cifrados. Porque todas las detecciones de Agent.IIQ se encontraron en conexiones HTTPS. Como muestran los análisis, el 82 por ciento de todo el malware llegó a través de conexiones seguras, pero solo el 18 por ciento sin cifrar. Si el tráfico HTTPS no se inspecciona en el Firebox, existe una alta probabilidad de que una gran parte del malware pase desapercibido. En este caso, las empresas solo pueden esperar que se implemente una protección de punto final eficaz para al menos tener la posibilidad de interceptar el malware en algún otro lugar de la llamada cadena cibernética.
Los sistemas ICS y SCADA continúan siendo objetivos populares para los ataques
Nuevo en la lista de los diez ataques de red más comunes en el tercer trimestre de 2022 es un ataque del tipo inyección SQL, que golpeó a varios proveedores a la vez. Una de esas empresas es Advantech, cuyo portal WebAccess brinda acceso a los sistemas SCADA en una variedad de infraestructuras críticas. Otro ataque importante en el tercer trimestre, que también se ubicó entre las 5 principales amenazas de red, afectó al software U.motion Builder de Schneider Electric, versión 1.2.1 y anteriores. Esta es una clara indicación de que los atacantes todavía intentan activamente comprometer los sistemas siempre que sea posible.
Las vulnerabilidades en los servidores de Exchange continúan representando un riesgo
La última vulnerabilidad CVE (CVE-2021-26855) descubierta por Threat Lab afecta a la ejecución remota de código (RCE) de Microsoft Exchange Server en servidores locales. Se sabe que esta vulnerabilidad RCE, que recibió una puntuación CVE de 9,8, ha sido aprovechada. La fecha y la gravedad de esta vulnerabilidad también hacen que uno se siente y tome nota, ya que es una vulnerabilidad explotada por el grupo HAFNIUM. Si bien es posible que la mayoría de los servidores de Exchange afectados ya hayan sido reparados, algunos aún son vulnerables y están en riesgo.
Actores de amenazas dirigidos a usuarios de software libre
Más hallazgos del Informe de seguridad de Internet Q3 -ISR (Imagen: WatchGuard).
El troyano Fugrafa descarga malware que inyecta código malicioso. En el tercer trimestre de 3, los analistas de WatchGuard investigaron una variante encontrada en un motor de trucos para el popular juego Minecraft. El archivo, que se compartió principalmente en Discord, pretende ser Minecraft Cheat Engine Vape V2022 Beta, pero eso no es todo lo que contiene. Agent.FZUW comparte algunas similitudes con Variant.Fugrafa, sin embargo, en lugar de instalarse a través de un motor de trucos, el archivo en sí parece contener software descifrado. En el caso específico, también hubo conexiones con Racoon Stealer: esta es una campaña de piratería de criptomonedas que se utiliza para robar información de cuentas de los servicios de criptomonedas.
El malware LemonDuck ahora es más que un criptominero
Aunque la cantidad de dominios de malware bloqueados o rastreados disminuyó en el tercer trimestre de 2022, es fácil ver que la cantidad de ataques dirigidos a usuarios desprevenidos sigue siendo alta. Con tres nuevas incorporaciones a la lista de principales dominios de malware, dos pertenecientes a antiguos dominios de malware LemonDuck y el tercero como parte de un dominio clasificado de Emotet, hubo más sitios de malware nuevos de lo habitual. Se espera que esta tendencia continúe intensificándose en lo que respecta al panorama de las criptomonedas, ya que los atacantes buscan nuevas formas de engañar a los usuarios. Una contramedida eficaz es la protección activa a nivel de DNS. Esto puede monitorear los sistemas de los usuarios y evitar que los piratas informáticos introduzcan malware u otros problemas graves en la empresa.
Ofuscación de JavaScript en kits de explotación
La firma 1132518, un indicador de los ataques de ofuscación de JavaScript en los navegadores, fue la única nueva incorporación a la lista de las firmas de ataques de red más comunes. JavaScript ha sido durante mucho tiempo un vector de ataque común, y los ciberdelincuentes han utilizado consistentemente kits de explotación basados en JavaScript, incluso para ataques de publicidad maliciosa y phishing. A medida que mejoran las defensas de los navegadores, los atacantes intensifican sus esfuerzos para ofuscar el código JavaScript malicioso.
Anatomía de los ataques estandarizados de adversario en el medio
Sin lugar a dudas, la autenticación multifactor (MFA) es una medida inmensamente importante en el curso de la seguridad de TI, pero tampoco es una panacea. El mejor ejemplo de esto es el rápido aumento y la comercialización de los ataques Adversary-in-the-Middle (AitM). La investigación de Threat Lab muestra cómo los actores maliciosos están migrando a técnicas AitM cada vez más sofisticadas. Al igual que la oferta de ransomware como servicio, cada vez más frecuentada, el lanzamiento del kit de herramientas AitM llamado EvilProxy en septiembre de 2022 ha reducido significativamente la barrera de entrada para ataques adecuadamente sofisticados. La única forma de defenderse de ellos es mediante una combinación de herramientas técnicas y la sensibilización de los usuarios.
Familia de malware relacionada con Panda Gótico
Ya en el informe de Threat Lab para el segundo trimestre de 2022, el lenguaje recayó en Gothic Panda, un grupo de ciberespionaje con estrechos vínculos con el Ministerio de Seguridad del Estado de China. Curiosamente, la lista principal de malware encriptado para el tercer trimestre incluye una familia de malware llamada Taidoor, que no solo fue desarrollada por Gothic Panda, sino que solo fue utilizada por atacantes de origen chino relevante. Si bien el malware relacionado generalmente se ha centrado en objetivos en Japón y Taiwán hasta la fecha, la muestra Generic.Taidoor analizada se encontró principalmente dirigida a organizaciones en Francia, posiblemente una indicación clara de un ciberataque específico patrocinado por el estado.
Nuevos grupos de ransomware y extorsión en la naturaleza
Director de Seguridad (CSO), WatchGuard Technologies (Imagen: WatchGuard).
A partir de ahora, WatchGuard Threat Lab está aún más dedicado a detectar iniciativas de ransomware. Con este fin, las opciones de inteligencia de amenazas subyacentes se han ampliado específicamente. En el tercer trimestre de 2022, LockBit encabeza la lista con más de 200 incidentes relevantes, casi cuatro veces más que el grupo de ransomware Basta, que fue el segundo más comentado entre julio y septiembre de 2022.
Los informes de investigación trimestrales de WatchGuard se basan en datos de Firebox Feed no identificados de WatchGuard Fireboxes activos cuyos propietarios han optado por compartir datos en apoyo directo de la investigación de Threat Lab. En el tercer trimestre, WatchGuard bloqueó un total de más de 17,3 millones de variantes de malware (211 por dispositivo) y más de 2,3 millones de amenazas de red (28 por dispositivo). El informe completo detalla otras tendencias de red y malware para el tercer trimestre de 3, estrategias de seguridad recomendadas, los mejores consejos de defensa para organizaciones de todos los tamaños e industrias, y más.
Más en WatchGuard.com
Acerca de WatchGuard WatchGuard Technologies es uno de los proveedores líderes en el campo de la seguridad de TI. La amplia cartera de productos abarca desde UTM (Gestión Unificada de Amenazas) altamente desarrollada y plataformas de cortafuegos de última generación hasta tecnologías y autenticación multifactor para una protección integral de WLAN y protección de puntos finales, así como otros productos específicos y servicios inteligentes relacionados con la seguridad de TI. Más de 250.000 clientes en todo el mundo confían en los sofisticados mecanismos de protección a nivel empresarial,