Comunicado de prensa
Mar
29

Un nuevo informe de WatchGuard Threat Lab muestra un aumento del ransomware en endpoints y un descenso del malware detectado en la red

Las investigaciones indican que las conexiones cifradas se han convertido en el método preferido para la distribución de programas maliciosos, lo que supone un mayor riesgo para las organizaciones que no descifran el tráfico.

Madrid, 29 de marzo de 2023 – WatchGuard® Technologies, líder mundial en ciberseguridad unificada, ha publicado los resultados de su Informe de Seguridad en Internet más reciente, en el que se detallan las principales tendencias de malware y amenazas de seguridad de red y endpoint analizadas por los investigadores de WatchGuard Threat Lab en el cuarto trimestre de 2022. Mientras que las principales conclusiones de los datos mostraron descensos en el malware detectado en la red, el ransomware en endpoints aumentó un sorprendente 627%, y el malware asociado a campañas de phishing continuó siendo una amenaza persistente.

A pesar del descenso general del malware, los investigadores de WatchGuard Threat Lab han analizado los Fireboxes que descifran el tráfico HTTPS (TLS/SSL) y han detectado una mayor incidencia de malware, lo que indica que la actividad del malware se ha desplazado al tráfico cifrado. Dado que sólo el 20% de los Fireboxes que proporcionaron datos para este informe tienen activado el descifrado, esto indica que la gran mayoría de los programas maliciosos no se detectan. La actividad del malware cifrado ha sido un tema recurrente en los últimos informes del Threat Lab. 

"Una tendencia continua y preocupante en nuestros datos e investigaciones muestra que el cifrado -o, más exactamente, la falta de descifrado en el perímetro de la red- está ocultando la imagen completa de las tendencias de ataque de malware", explica Corey Nachreiner, director de seguridad de WatchGuard. "Es fundamental que los profesionales de la seguridad habiliten la inspección HTTPS para garantizar que estas amenazas se identifican y se abordan antes de que puedan hacer daño”. 

Otros hallazgos importantes del Informe de Seguridad en Internet del cuarto trimestre incluyen:

  • Las detecciones de ransomware en endpoints aumentaron un 627%. Este repunte pone de relieve la necesidad de defensas contra el ransomware, como modernos controles de seguridad para la prevención proactiva, así como buenos planes de recuperación ante desastres y continuidad de la actividad empresarial (copias de seguridad).
  • El 93% del malware se oculta tras el cifrado. Las investigaciones del Threat Lab siguen indicando que la mayor parte del malware se oculta en el cifrado SSL/TLS utilizado por los sitios web seguros. En el cuarto trimestre se mantuvo esta tendencia, con un aumento del 82% al 93%. Es probable que los profesionales de la seguridad que no inspeccionan este tráfico estén pasando por alto la mayor parte del malware, lo que aumenta la responsabilidad de la seguridad de los endpoints a la hora de detectarlo.
  • Las detecciones de programas maliciosos basados en la red descendieron aproximadamente un 9,2% trimestre a trimestre durante el cuarto trimestre. Se mantiene así un descenso general de las detecciones de programas maliciosos en los dos últimos trimestres. Pero, como ya se ha mencionado, cuando se considera el tráfico web cifrado, el malware aumenta. El equipo del Threat Lab cree que esta tendencia a la baja puede no ilustrar el panorama completo y necesita más datos que aprovechen la inspección HTTPS para confirmar esta afirmación.
  • Las detecciones de malware en endpoints aumentaron un 22%. Si bien las detecciones de malware de red cayeron, la detección en endpoints aumentó en el cuarto trimestre. Esto respalda la hipótesis del equipo del Threat Lab de que el malware cambia a canales encriptados. En el endpoint, el cifrado TLS es un factor menor, ya que un navegador lo descifra para que lo vea el software de endpoint del Threat Lab. Entre los principales vectores de ataque, la mayoría de las detecciones se asociaron con secuencias de comandos, que constituyeron el 90% de todas las detecciones. En las detecciones de malware del navegador, los actores de amenazas se dirigieron más a Internet Explorer con el 42% de las detecciones, seguido de Firefox con el 38%.
  • El malware de día cero o evasivo se ha reducido al 43% en el tráfico no cifrado. Aunque sigue siendo un porcentaje significativo de las detecciones de malware en general, es el más bajo que el equipo del Threat Lab ha visto en años. Dicho esto, la historia cambia por completo al observar las conexiones TLS. El 70% del malware sobre conexiones cifradas evade las firmas.
  • Las campañas de phishing han aumentado. Tres de las variantes de malware que se ven en la lista del top 10 del informe (algunas también se muestran en la lista generalizada) colaboran en diversas campañas de phishing. La familia de malware más detectada, JS.A gent.UNS, contiene HTML malicioso que dirige a los usuarios a dominios que parecen legítimos y que se hacen pasar por sitios web conocidos. Otra variante, Agent.GBPM, crea una página de phishing de SharePoint titulada "PDF Salary Increase", que intenta acceder a la información de la cuenta de los usuarios. La última variante nueva en el top 10, HTML.Agent.WR, abre una página de notificación falsa de DHL en francés con un enlace de inicio de sesión que conduce a un dominio de phishing conocido. El phishing y el compromiso del correo electrónico empresarial (BEC) siguen siendo uno de los principales vectores de ataque, así que asegúrese de que dispone tanto de las defensas preventivas adecuadas como de programas de formación sobre concienciación de seguridad para defenderse de ellos.
  • Los exploits de ProxyLogin siguen creciendo. Un exploit para este conocido y crítico problema de Exchange pasó del octavo puesto en el tercer trimestre al cuarto el trimestre pasado. Hace tiempo que debería estar parcheado, pero si no es así, los profesionales de seguridad deben saber que los atacantes lo tienen en el punto de mira. Las vulnerabilidades antiguas pueden ser tan útiles para los atacantes como las nuevas si son capaces de lograr un compromiso. Además, muchos atacantes siguen teniendo como objetivo los servidores Microsoft Exchange o los sistemas de gestión. Las organizaciones deben ser conscientes y saber dónde poner sus esfuerzos para defender estas áreas.
  • El volumen de ataques de red se mantiene estable trimestre tras trimestre. Técnicamente, ha aumentado en 35 ataques, lo que supone un aumento de tan sólo el 0,0015%. El ligero cambio es notable, ya que el siguiente cambio más pequeño fue de 91,885 del primer al segundo trimestre de 2020.
  • LockBit sigue siendo un grupo de ransomware y una variante de malware prevalentes. El equipo del Threat Lab sigue observando variantes de LockBit con frecuencia, ya que este grupo parece ser el que más éxito tiene a la hora de vulnerar empresas (a través de sus filiales) con ransomware. Aunque menos que en el trimestre anterior, LockBit volvió a tener el mayor número de víctimas públicas de extorsión, con 149 rastreadas por WatchGuard Threat Lab (frente a las 200 del tercer trimestre). También en el cuarto trimestre, el equipo del Lab detectó 31 nuevos grupos de ransomware y extorsión.

Los informes de investigación trimestrales de WatchGuard se basan en datos de Firebox Feed anonimizados de los WatchGuard Fireboxes activos cuyos propietarios han optado por compartir datos para apoyar directamente a los esfuerzos de investigación del Threat Lab. El enfoque de Unified Security Platform® de la compañía está diseñado exclusivamente para que los proveedores de servicios gestionados ofrezcan una seguridad de primer nivel. En el cuarto trimestre, WatchGuard bloqueó un total de más de 15,7 millones de variantes de malware (194 por dispositivo) y más de 2,3 millones de amenazas de red (28 por dispositivo). El informe completo incluye detalles sobre tendencias adicionales de malware y de red del cuarto trimestre de 2022, estrategias de seguridad recomendadas, consejos críticos de defensa para empresas de todos los tamaños y en cualquier sector, y mucho más.

Para obtener una visión más profunda de la investigación de WatchGuard, lee el Informe completo de Seguridad en Internet del cuarto trimestre de 2022 aquí.

 

Acerca de WatchGuard Technologies

WatchGuard® Technologies, Inc. es un líder mundial en seguridad cibernética unificada. Nuestra Unified Security Platform® está diseñada exclusivamente para que los proveedores de servicios administrados brinden seguridad de primer nivel que aumente la escala y la velocidad de su negocio al mismo tiempo que mejore la eficiencia operativa. Con la confianza de más de 17.000 revendedores de seguridad y proveedores de servicios para proteger a más de 250.000 clientes, los productos y servicios galardonados de la empresa abarcan seguridad e inteligencia de red, protección avanzada de endpoints, autenticación multifactor y Wi-Fi seguro. Juntos, ofrecen cinco elementos que son vitales en una plataforma de seguridad: seguridad integral, conocimiento compartido, claridad y control, alineación operativa y automatización. La empresa tiene su oficina central en Seattle, Washington, y posee oficinas en Norteamérica, Europa, Asia-Pacífico y Latinoamérica. Para obtener más información, visite WatchGuard.com/es.

Para obtener información adicional, promociones y actualizaciones, siga a WatchGuard en Twitter @WatchGuard, en Facebook, o en la página de LinkedIn de la compañía. Visite también nuestro blog de InfoSec, Secplicity, para obtener información en tiempo real de las últimas amenazas y cómo hacerlas frente en www.secplicity.org. Suscríbase al podcast The 443 – Security Simplified en Secplicity.org, o dondequiera que encuentre sus podcasts favoritos.

WatchGuard es una marca registrada de WatchGuard Technologies, Inc. Todas las demás marcas son propiedad de sus respectivos dueños.