La mayoría del malware ingresa a través de enlaces encriptados

La cantidad de infecciones de malware en los puntos finales ya superó el nivel total de 2020 en el tercer trimestre de 2021. Tecnologías de tarjetas de vigilancia En la última versión Informe de seguridad en Internet. El experto en seguridad vio un aumento adicional en la cantidad de ataques de día cero con malware que ingresa a través de enlaces encriptados.

El Informe de seguridad de Internet informa a las empresas sobre el panorama actual de amenazas y propone las mejores prácticas para la seguridad de TI. Estos son los principales resultados del informe para el tercer trimestre de 2021:

• El malware ingresa a través de enlaces encriptados
  

Y cada vez más, el malware llegaba a través de enlaces encriptados. En el tercer trimestre aumentó del 31,6% al 47%. A menudo, estos son ataques de malware simples y dirigidos. Sin embargo, esto es preocupante porque, según WatchCard, muchas empresas no controlan lo que llega a través de enlaces encriptados.

• Los atacantes se centran en nuevas vulnerabilidades
  

Las vulnerabilidades no conectadas en el software antiguo siguen siendo un punto de entrada bienvenido para los atacantes. Sin embargo, hay un enfoque creciente en la explotación de nuevas vulnerabilidades. Esto se debe a que muchos usuarios han cambiado a los nuevos tipos de Windows y Office.

En el tercer trimestre, CVE-2018-0802 ocupó el sexto lugar entre los 10 primeros en la lista de malware de Gateway Antivirus de WatchCard. Utiliza la vulnerabilidad en el Editor de ecuaciones en Microsoft Office. En el trimestre anterior ya estaba en la lista de los malware más extendidos. Además, dos inyectores de código de Windows (Win32/Heim.D y Win32/Heri) quedaron en primer y sexto lugar, respectivamente.

• Los Estados Unidos a menudo se ven afectados por la proporción
  

La mayoría de los ataques a la red en el tercer trimestre se dirigieron a Estados Unidos (64,5 %), Europa (15,5 %) y APAC (20 %).

• Normaliza el número de ataques a la red, pero aún representa un mayor riesgo
  

Después de más del 20% de trimestres consecutivos de crecimiento, el Servicio Anti-Infiltración (IPS) de Watchdog detectó cerca de 4,1 millones de explotaciones de redes privadas en el tercer trimestre. La disminución del 21 % llevó los volúmenes a los niveles del primer trimestre, incluso más que el año anterior. El cambio no significa que los atacantes fallen. Por lo tanto, pueden cambiar su enfoque hacia ataques más específicos.

• Los ataques de secuencias de comandos en los puntos finales siguen siendo populares
  

A finales del tercer trimestre, los sistemas de WatchCard ya habían detectado un 10 % más de secuencias de comandos de ataque que en 2020. Ese año ya ha visto un aumento del 666% con respecto al año anterior.

En entornos de trabajo híbridos, un perímetro fuerte no es suficiente para detener las amenazas. Incluso los piratas informáticos con capacidades limitadas normalmente pueden ejecutar toda la carga de malware con herramientas de secuencias de comandos como PowerSloit, PowerWare y CobaltStrike. Estos ataques pasan desapercibidos por la detección básica de puntos finales.

• Los dominios seguros también están comprometidos
  

Una falla de protocolo en el sistema de detección automática de Exchange Server de Microsoft permitió a los atacantes recopilar credenciales de dominio y comprometer varios dominios enumerados como seguros. En total, los Firebox de WatchGuard bloquearon 5,6 millones de dominios maliciosos en el tercer trimestre, incluidos varios dominios de malware nuevos que intentaban instalar software para criptominería, registradores de teclas y troyanos de acceso remoto (RAT).

También se encuentran con frecuencia dominios de phishing que se disfrazan como sitios de SharePoint para recopilar credenciales de Office365. Aunque la cantidad de dominios bloqueados ha bajado un 23 % con respecto al trimestre anterior, sigue siendo muchas veces mayor que el tamaño del cuarto trimestre de 2020 (1,3 millones). Esto ilustra la necesidad de centrarse en mantener las empresas, los servidores, las bases de datos, los sitios web y los sistemas actualizados con los enlaces más recientes para limitar el potencial de ataque.

• El ransomware es increíblemente popular
  

Después de una fuerte caída en 2020, a finales de septiembre los ataques de ransomware habían alcanzado el 105 % del volumen de 2020. Ese porcentaje alcanzará el 150% una vez que se analicen los datos completos del año 2021. Los servicios similares al ransomware, como REvil y GandCrap, reducen la lista de delincuentes que tienen poca o ninguna capacidad de encriptación. Estos servicios proporcionan cargas útiles de infraestructura y malware para ataques globales a cambio de un porcentaje de la cantidad recuperada.

• El incidente de Kasaya destaca el impacto de la cadena de distribución digital
  

A principios de julio de 2021, decenas de empresas informaron de ataques de ransomware dirigidos a sus terminales. Los atacantes utilizaron el sistema REvil ransomware-as-a-service (RaaS). Los ataques explotaron tres vulnerabilidades de día cero en Kaseya VSA Remote Monitoring and Management (RMM), incluidos CVE-2021-30116 y CVE-2021-30118. Cerca de 1500 empresas y millones de terminales se vieron afectados. Eventualmente, el FBI pudo reconciliar los servidores de REvil. Unos meses más tarde, recogieron la clave de cifrado.

Este ataque muestra la necesidad de medidas de precaución. Piense en las conexiones y actualizaciones periódicas, el uso de la confianza cero y la política de «oferta baja» para acceder a los proveedores. Esta es la única forma de reducir el impacto de los ataques en la cadena de suministro.

estrategia a largo plazo

«Aunque la cantidad total de ataques a la red se redujo levemente en el tercer trimestre, el malware por dispositivo aumentó por primera vez desde el brote», dijo Corey Nacriner, director de seguridad de Watchgard. «Es importante que las empresas se concentren en las fluctuaciones a corto plazo de mediciones específicas y las tendencias actuales y preocupantes que afectan sus políticas de seguridad más allá de las estaciones. El uso de enlaces encriptados para proporcionar días cero es un buen ejemplo».