WatchGuard publica su Informe de seguridad en Internet. El resultado más importante primero: ¡el volumen de ransomware en el primer trimestre de 2022 ya es el doble que en todo 2021! El análisis muestra una triplicación de los ataques a través de Log4Shell, el regreso de la botnet Emotet, un aumento en la actividad de criptominería y Lapsus$ está llegando.
La amenaza del ransomware sigue creciendo inexorablemente: según un análisis del WatchGuard Threat Lab, ya hubo el doble de intentos de ataques relevantes en el primer trimestre de 2022 que en todo el año anterior. Corey Nachreiner, director de seguridad de WatchGuard, dijo: "Según el nivel extremadamente alto de ransomware a principios de año y nuestros datos de los trimestres anteriores, esperamos que 2022 rompa todos los récords anteriores de ransomware.
Los ataques de ransomware van en aumento
Por esta razón, recomendamos enfáticamente que todas las empresas, y especialmente aquellas en la región EMEA particularmente afectada, implementen medidas efectivas para una protección extensiva de las infraestructuras de TI. Un enfoque holístico juega un papel decisivo en este contexto, porque solo con la ayuda de la seguridad unificada se pueden contrarrestar las amenazas en constante evolución a largo plazo". Como si la amenaza que representa el ransomware no fuera suficiente, WatchGuard Threat Lab también registró un retorno en el primer trimestre de 2022 de la botnet Emotet a gran escala, la triplicación de los ataques a la vulnerabilidad Log4Shell y un aumento en la actividad de criptominería maliciosa.
Hallazgos del Informe de seguridad de Internet Q1-2022
- Explosión del número de ataques de ransomware – Todavía en el cuarto trimestre de 2021, el Informe de seguridad en Internet de WatchGuard notó una disminución en la cantidad de ataques de ransomware en comparación con el año anterior. Esta tendencia se revirtió drásticamente en el primer trimestre de 2022. En particular, la cantidad de ataques de ransomware detectados en el primer trimestre ya duplica la cantidad total de detecciones en 2021.
- La región EMEA sigue siendo un punto de acceso para las amenazas de malware - La atribución regional en términos de malware simple y evasivo muestra que los dispositivos Firebox en Europa, Medio Oriente y África (EMEA), que representan el 57 por ciento de las estadísticas generales, fueron atacados significativamente más que los dispositivos en América del Norte, Central y África. (AMER, aquí 22 por ciento) o la región de Asia-Pacífico (APAC, 21 por ciento).
- REvil es historia, para eso está LAPSUS$ – Aunque la notoria ciberpandilla REvil se disolvió en el cuarto trimestre de 2021, otro grupo chantajista, LAPSUS$, ahora está atrayendo atención negativa. El análisis inicial de WatchGuard sugiere que podría contribuir a una expansión constante del panorama de amenazas de ransomware junto con muchas nuevas variantes de ransomware como BlackCat, el primer malware escrito en el lenguaje de programación Rust.
- Log4Shell agregado a la lista de los 10 principales ataques de red - La vulnerabilidad Apache Log4j2, también conocida como Log4Shell, se conoció a principios de diciembre de 2021 y apareció tarde en la lista de los 10 principales ataques de red en dicho trimestre. Sin embargo, en comparación con todas las detecciones de IPS durante este período, la proporción de la firma Log4Shell casi se triplicó en el primer trimestre de este año. Log4Shell se destacó como uno de los principales incidentes de seguridad en el último Informe de seguridad de Internet debido a la puntuación más alta posible de 10,0 en el Sistema de puntuación de vulnerabilidad común (CVSS). Las razones de esto se pueden encontrar en el amplio uso de programas Java y la facilidad para ejecutar código arbitrario.
- Emotet regresa – Emotet atrajo la atención con tres de las 10 principales detecciones en los primeros tres meses de este año y, tras su regreso en el cuarto trimestre de 2021, representa el malware más extendido en el primer trimestre de 1. Las variantes descubiertas Trojan.Vita (esta dirigida Japan en particular y aparece en la lista de las cinco variantes de malware más encriptadas) y Trojan.Valyria usan exploits en Microsoft Office para descargar la red de bots Emotet. La tercera muestra de malware relacionada con Emotet, MSIL.Mensa.2022, puede propagarse a través de dispositivos de almacenamiento adjuntos y redes dirigidas principalmente en los EE. UU. Los datos de WatchGuard Threat Lab muestran que Emotet actúa como un cuentagotas, descargando e instalando el archivo desde un servidor de entrega de malware.
- Scripts de PowerShell a la vanguardia de los crecientes ataques a endpoints - El número total de ataques de endpoint identificados aumentó un 38 % de forma secuencial en el primer trimestre. Los scripts, en particular los basados en PowerShell, fueron el vector de ataque dominante durante este período. Con una participación del 88 %, impulsaron significativamente el número total de eventos centrados en endpoints en comparación con el trimestre anterior. Los scripts de PowerShell representaron el 99,6 % de los incidentes relacionados con scripts en los primeros tres meses. Se puede ver una tendencia clara a partir de esto: los atacantes confían cada vez más en ataques sin archivos y que viven fuera de la tierra con herramientas legítimas. Aunque estos scripts son muy populares, los datos de WatchGuard muestran que tampoco se deben pasar por alto otras fuentes de malware.
- Criptominería legal con actividades de fondo maliciosas - Las tres adiciones a la lista de principales dominios de malware en el primer trimestre estaban relacionadas con Nanopool. Se agrupan diferentes criptomonedas en esta popular plataforma de criptominería para garantizar un flujo constante de ingresos. Técnicamente, estos dominios son legítimos y están asociados con una organización que opera legalmente. Sin embargo, las conexiones a estos pools de minería casi siempre se originan en una red corporativa o educativa a través de infecciones de malware y actividades mineras no legítimas.
- Las organizaciones continúan enfrentando una variedad de ataques de red únicos - Si bien las 10 principales firmas IPS representaron el 87 % de todos los ataques a la red, la cantidad de detecciones únicas alcanzó el nivel más alto desde principios de 2019. Este aumento indica que los ataques automatizados se están enfocando en un subconjunto más pequeño de vulnerabilidades potenciales, en lugar de una masa para poner . Sin embargo, en general, las empresas aún se ven afectadas por una amplia gama de ataques.
Todos estos hallazgos en el informe de investigación trimestral de WatchGuard se basan en datos de Firebox Feed desidentificados de WatchGuard Fireboxes activos cuyos propietarios han dado su consentimiento para compartir datos para respaldar la investigación de Threat Lab. En el primer trimestre de 2022, WatchGuard bloqueó un total de más de 21,5 millones de variantes de malware (274 por dispositivo) y aproximadamente 4,7 millones de amenazas de red (60 por dispositivo). Además de los diversos conocimientos sobre el malware y las tendencias de red del primer trimestre de 2022, el informe completo contiene información adecuada sobre estrategias de seguridad recomendadas e importantes consejos de defensa para empresas de todos los tamaños e industrias.
Más en Watchguard.com
Acerca de WatchGuard WatchGuard Technologies es uno de los proveedores líderes en el campo de la seguridad de TI. La amplia cartera de productos abarca desde UTM (Gestión Unificada de Amenazas) altamente desarrollada y plataformas de cortafuegos de última generación hasta tecnologías y autenticación multifactor para una protección integral de WLAN y protección de puntos finales, así como otros productos específicos y servicios inteligentes relacionados con la seguridad de TI. Más de 250.000 clientes en todo el mundo confían en los sofisticados mecanismos de protección a nivel empresarial,