En el tercer trimestre de 2021, la cantidad de infecciones de malware en los puntos finales ya superó el total de 2020. También ha aumentado la cantidad de ataques de día cero que ingresan malware a través de enlaces encriptados.
Watchcard Technologies decidió en la última edición del Informe de seguridad de Internet. El Informe de seguridad de Internet informa a las empresas sobre el panorama actual de amenazas y propone las mejores prácticas para la seguridad de TI.
El malware ingresa a través de enlaces encriptados
Y cada vez más, el malware llegaba a través de enlaces encriptados. En el tercer trimestre aumentó del 31,6% al 47%. A menudo, estos son ataques de malware simples y dirigidos. Sin embargo, esto es preocupante porque, según WatchCard, muchas empresas no controlan lo que llega a través de enlaces encriptados.
Las vulnerabilidades no conectadas en el software antiguo siguen siendo un punto de entrada bienvenido para los atacantes. Sin embargo, hay un enfoque creciente en la explotación de nuevas vulnerabilidades. Esto se debe a que muchos usuarios han cambiado a los nuevos tipos de Windows y Office.
En el tercer trimestre, CVE-2018-0802 ocupó el sexto lugar entre los 10 primeros en la lista de malware de Gateway Antivirus de WatchCard. Utiliza la vulnerabilidad en el Editor de ecuaciones en Microsoft Office. En el trimestre anterior ya estaba en la lista de los malware más extendidos. Además, los dos inyectores de código de Windows (Win32/Heim.D y Win32/Heri) ocupan el primer y sexto lugar, respectivamente.
Los Estados Unidos a menudo se ven afectados por la proporción
La mayoría de los ataques a la red en el tercer trimestre se dirigieron a Estados Unidos (64,5 %), Europa (15,5 %) y APAC (20 %).
Después de más del 20% de trimestres consecutivos de crecimiento, el Servicio Anti-Infiltración (IPS) de Watchdog detectó cerca de 4,1 millones de explotaciones de redes privadas en el tercer trimestre. La disminución del 21 % llevó los volúmenes a los niveles del primer trimestre, incluso más que el año anterior. El cambio no significa que los atacantes fallen. Por lo tanto, pueden cambiar su enfoque a ataques más específicos.
Los ataques de secuencias de comandos en los puntos finales siguen siendo populares
A finales del tercer trimestre, los sistemas de vigilancia ya habían detectado un 10 % más de secuencias de comandos de ataque que en 2020. Ese año ya es un 666% superior al año anterior.
En entornos de trabajo híbridos, un perímetro fuerte no es suficiente para detener las amenazas. Incluso los piratas informáticos con capacidades limitadas normalmente pueden ejecutar toda la carga de malware con herramientas de secuencias de comandos como PowerSloit, PowerWare y CobaltStrike. Estos ataques pasan sin una detección de punto final básica.
Los dominios seguros también están comprometidos
Una falla de protocolo en el sistema de detección automática de Exchange Server de Microsoft permitió a los atacantes recopilar credenciales de dominio y comprometer varios dominios enumerados como seguros. En total, los Firebox de WatchGuard bloquearon 5,6 millones de dominios maliciosos en el tercer trimestre, incluidos varios dominios de malware nuevos que intentaban instalar software para criptominería, registradores de teclas y troyanos de acceso remoto (RAT).
También se encuentran con frecuencia dominios de phishing que parecen sitios de SharePoint para recopilar credenciales de Office365. Aunque la cantidad de dominios bloqueados ha bajado un 23 % con respecto al trimestre anterior, sigue siendo muchas veces mayor que el tamaño del cuarto trimestre de 2020 (1,3 millones). Esto ilustra la necesidad de centrarse en mantener las empresas, los servidores, las bases de datos, los sitios web y los sistemas actualizados con los enlaces más recientes para limitar el potencial de ataque.
Después de una fuerte caída en 2020, a finales de septiembre los ataques de ransomware habían alcanzado el 105 % del volumen de 2020. Ese porcentaje alcanzará el 150% una vez que se analicen los datos completos del año 2021. Los servicios similares al ransomware, como REvil y GandCrap, reducen la lista de delincuentes que tienen poca o ninguna capacidad de encriptación. Estos servicios proporcionan cargas útiles de infraestructura y malware para ataques globales a cambio de un porcentaje de la cantidad recuperada.
El incidente de Kasaya muestra el impacto de la cadena de suministro digital
A principios de julio de 2021, decenas de empresas informaron de ataques de ransomware dirigidos a sus terminales. Los atacantes utilizaron el sistema REvil ransomware-as-a-service (RaaS). Los ataques explotaron tres vulnerabilidades de día cero en Kaseya VSA Remote Monitoring and Management (RMM), incluidos CVE-2021-30116 y CVE-2021-30118. Cerca de 1500 empresas y millones de terminales se vieron afectados. Eventualmente, el FBI pudo reconciliar los servidores de REvil. Unos meses más tarde, recogieron la clave de cifrado.
Este ataque muestra la necesidad de medidas de precaución. Piense en las conexiones y actualizaciones periódicas, el uso de la confianza cero y la política de «oferta baja» para acceder a los proveedores. Esta es la única forma de reducir el impacto de los ataques en la cadena de suministro.
estrategia a largo plazo
«Aunque la cantidad total de ataques a la red se redujo levemente en el tercer trimestre, el malware por dispositivo aumentó por primera vez desde el brote», dijo Corey Nacriner, director de seguridad de Watchgard. «Es importante que las empresas se concentren en las fluctuaciones a corto plazo de mediciones específicas y las tendencias actuales y preocupantes que afectan sus políticas de seguridad más allá de las estaciones. El uso de enlaces encriptados para proporcionar días cero es un buen ejemplo».
El informe de ciberseguridad de WatchCard se basa en datos anónimos de decenas de miles de dispositivos WatchCard en todo el mundo. puede descargar el informe completo aquí Aquí Descargar.
«Prone to bouts of apathy. Problem solver. Twitter aficionado. Wannabe music advocate.»
