WatchGuard Technologies lanzó hoy su último Informe trimestral de seguridad de Internet (ISR), que revela las principales tendencias de malware y amenazas de seguridad de red para el tercer trimestre de 2021. El volumen de ransomware y malware es particularmente alto en comparación con 2020.
Velocidad récord de ataques de secuencias de comandos en puntos finales, EE. UU. en el punto de mira de los ataques de red y conexiones HTTPS ahora estándar para el malware de día cero. Usando datos anónimos de Firebox Feed, los investigadores de WatchGuard Threat Lab usaron datos anónimos de Firebox Feed para comprender a qué objetivos se dirigieron principalmente los atacantes durante este período: si bien el volumen general de ataques de malware perimetral detectados disminuyó en comparación con los máximos del trimestre anterior, lo hizo para puntos finales, el volumen total de todos los incidentes del año anterior ya se había alcanzado a fines del tercer trimestre de 2021, con datos para el cuarto trimestre de 4 aún pendientes. Otro hallazgo fue que un porcentaje significativo de malware aún se transporta a través de conexiones encriptadas, una tendencia que ha continuado de manera constante durante varios trimestres.
Número creciente de malware por dispositivo
"Si bien el volumen general de ataques a la red disminuyó levemente en el tercer trimestre, la cantidad de malware por dispositivo aumentó por primera vez desde que comenzó la pandemia", dijo Corey Nachreiner, director de seguridad de WatchGuard. “Mirando el año hasta la fecha en su conjunto, el entorno de seguridad sigue siendo un desafío. Es importante que las organizaciones miren más allá de los flujos y reflujos a corto plazo y las fluctuaciones estacionales en ciertas métricas y se centren en las tendencias actuales que afectan su postura de seguridad. Un ejemplo clave es el uso cada vez mayor de conexiones cifradas para ataques de día cero. La plataforma de seguridad unificada de WatchGuard ofrece protección integral en este contexto. Esto permite combatir de manera integral las diversas amenazas a las que están expuestas las empresas en la actualidad”.
Informe de seguridad de Internet de WatchGuard Q3/2021
Casi la mitad del malware de día cero se transmite a través de conexiones cifradas
Mientras que el malware de día cero total aumentó unos modestos tres puntos porcentuales hasta el 67,2 % en el tercer trimestre, el malware entregado a través de Transport Layer Security (TLS) aumentó del 31,6 % al 47 %. Un porcentaje general más bajo de días cero cifrados es generalmente bienvenido en este contexto, pero aún hay motivo de preocupación ya que muchas empresas aún no descifran tales conexiones en absoluto. Como resultado, tienen una visibilidad insuficiente de la cantidad de malware que realmente llega a sus redes.
Las versiones más recientes de Microsoft Windows y Office presentan nuevas vulnerabilidades
Las vulnerabilidades sin parches en el software de Microsoft son vectores de ataque comúnmente utilizados Además de las versiones anteriores, los últimos productos de Redmond ahora también están siendo atacados. En el tercer trimestre, CVE-2018-0802, que explota una vulnerabilidad en el editor de ecuaciones de Microsoft Office, ocupó el puesto número 6 en la lista de los 10 principales malware antivirus de puerta de enlace de WatchGuard por volumen. Este malware ya había aparecido en la lista de malware más frecuente en el trimestre anterior. Además, dos inyectores de código de Windows (Win32/Heim.D y Win32/Heri) ocuparon el primer y sexto lugar, respectivamente, en la lista de plagas detectadas con mayor frecuencia.
Los atacantes se dirigieron desproporcionadamente a América: la gran mayoría de los ataques a la red en el tercer trimestre se dirigieron a América (3 %), seguida de Asia Pacífico (APAC) con un 64,5 % y Europa con un 20 %.
El número total de ataques de red detectados ha vuelto a la normalidad, pero aún representa un riesgo significativo
Después de trimestres consecutivos de crecimiento de más del 20 por ciento, el Servicio de prevención de intrusiones (IPS) de WatchGuard detectó aproximadamente 4,1 millones de ataques de red únicos en el tercer trimestre. La disminución del 21 por ciento devolvió el volumen a los niveles del primer trimestre, que aún eran altos en comparación con hace un año. El cambio no significa necesariamente que los atacantes se estén ralentizando, sino que pueden estar cambiando su enfoque hacia ataques más específicos.
Las 10 principales firmas de ataques a la red son responsables de la gran mayoría de los ataques.
De los 4.095.320 resultados encontrados por IPS en el tercer trimestre, las 81 firmas principales representaron el 10 por ciento. De hecho, solo hubo una nueva firma entre las 10 principales en el tercer trimestre, 'WEB Remote File Inclusion /etc/passwd' (1054837), que apunta a servidores web de Microsoft Internet Information Services (IIS) más antiguos pero aún ampliamente utilizados. Desde el segundo trimestre de 2019, la firma 1059160, una inyección de SQL, ha estado en la parte superior de la lista.
Los ataques de secuencias de comandos en los puntos finales continúan a un ritmo récord
A fines del tercer trimestre, AD360 Threat Intelligence y WatchGuard Endpoint Protection, Detection and Response (EPDR) de WatchGuard ya registraron un 2020 % más de secuencias de comandos de ataque que en todo 666 (que nuevamente experimentó un aumento del XNUMX % año tras año). Dado que los grupos de trabajo híbridos se están convirtiendo en la regla y no en la excepción, un perímetro fuerte ya no es suficiente para detener las amenazas. Hay una variedad de formas en que los ciberdelincuentes apuntan a los puntos finales, desde explotaciones de aplicaciones hasta ataques de vivir fuera de la tierra con secuencias de comandos, donde incluso aquellos con conocimientos limitados pueden ejecutar completamente una carga útil de malware utilizando herramientas de secuencias de comandos como PowerSploit, PowerWare y Cobalt Strike mientras pueden para omitir la detección básica de dispositivos.
Incluso los dominios normalmente seguros pueden verse comprometidos
Una falla de protocolo en el sistema de detección automática de Exchange Server de Microsoft permitió a los atacantes recopilar credenciales de dominio y comprometer varios dominios normalmente confiables. En general, WatchGuard Fireboxes bloqueó 5,6 millones de dominios maliciosos en el tercer trimestre. Estos incluían varios dominios de malware nuevos que intentaban instalar software de criptominería, registro de claves y troyano de acceso remoto (RAT), así como dominios de phishing que se hacían pasar por sitios de SharePoint para robar las credenciales de Office365. Aunque la cantidad de dominios bloqueados disminuyó un 23 por ciento en comparación con el trimestre anterior, todavía está varias veces por encima del nivel del cuarto trimestre de 4 (2020 millones). Esto subraya la importancia de que las organizaciones mantengan sus servidores, bases de datos, sitios web y sistemas actualizados con los últimos parches. Esta es la única forma de limitar las vulnerabilidades que los atacantes pueden explotar.
Ransomware, ransomware, ransomware
Después de una fuerte caída en 2020, los ataques de ransomware ya totalizaron el 2021 por ciento del volumen del año pasado a fines de septiembre de 105 (como había pronosticado WatchGuard a fines del trimestre anterior) y están en camino de alcanzar el 150 por ciento una vez que se analicen los datos. todo el año. Los proveedores de ransomware como servicio, como REvil y GandCrap, reducen aún más el nivel para los delincuentes con poco o ningún conocimiento de programación, proporcionando la infraestructura y las cargas útiles de malware para lanzar ataques en todo el mundo por un porcentaje del rescate.
El principal incidente de seguridad del trimestre, Kaseya, fue una prueba más de la amenaza constante de los ataques a la cadena de suministro digital.
Cuando comenzó el fin de semana largo del 4 de julio en los EE. UU., docenas de empresas informaron ataques de ransomware en sus terminales. El análisis de WatchGuard del incidente detalla cómo los atacantes que trabajan con la empresa de ransomware-as-a-service (RaaS) REvil explotaron tres vulnerabilidades de día cero (incluidas CVE-2021-30116 y CVE-2021-30118) en Kaseya VSA Remote Monitoring and Management (RMM) software. Posteriormente, el ransomware se distribuyó a aproximadamente 1.500 organizaciones y potencialmente a millones de terminales. Es cierto que el FBI finalmente comprometió los servidores de REvil y recibió la clave de descifrado unos meses después. Aún así, el ataque fue otro claro recordatorio para que las organizaciones tomen medidas proactivas. Los ejemplos incluyen la adopción de confianza cero, la aplicación del principio de privilegio mínimo para el acceso de los empleados y la garantía de que los sistemas estén parcheados y actualizados para minimizar el impacto de los ataques a la cadena de suministro.
Los informes de investigación trimestrales de WatchGuard se basan en datos de Firebox Feed no identificados de WatchGuard Fireboxes activos cuyos propietarios han dado su consentimiento para compartir datos para respaldar la investigación de Threat Lab. En el primer trimestre, WatchGuard bloqueó un total de más de 16,6 millones de variantes de malware (454 por dispositivo) y más de 4 millones de amenazas de red. El informe completo proporciona detalles sobre malware adicional y tendencias de red del tercer trimestre de 2021, una inmersión aún más profunda en las amenazas detectadas en el endpoint en la primera mitad de 2021, estrategias de seguridad recomendadas, consejos clave de defensa para organizaciones de todos los tamaños e industrias, y mucho más. más
Más en WatchGuard.com
Acerca de WatchGuard WatchGuard Technologies es uno de los proveedores líderes en el campo de la seguridad de TI. La amplia cartera de productos abarca desde UTM (Gestión Unificada de Amenazas) altamente desarrollada y plataformas de cortafuegos de última generación hasta tecnologías y autenticación multifactor para una protección integral de WLAN y protección de puntos finales, así como otros productos específicos y servicios inteligentes relacionados con la seguridad de TI. Más de 250.000 clientes en todo el mundo confían en los sofisticados mecanismos de protección a nivel empresarial,