Blog de WatchGuard

Go to 

ISR: El malware en endpoints crece un 300% en el tercer trimestre de 2024

Img_blog_ISR Q3 24.jpg

Si bien el aumento de malware es algo que venimos experimentando a lo largo de los últimos años, el incremento observado por el equipo del laboratorio de amenazas de WatchGuard, en el tercer trimestre de 2024, ha sido el mayor registrado hasta la fecha. En Q3 se produjo un crecimiento astronómico en el total de amenazas de malware en endpoints alcanzando un 300,48% con 420.304 amenazas. 

El récord anterior pertenecía al primer trimestre de 2024, donde se produjo un aumento del 81,77%, casi el doble que el trimestre anterior. Este Q, en cambio, fue casi cuatro veces mayor que el segundo trimestre de 2024 donde se registraron 104.951 amenazas. 

¿A qué se deben estas cifras?

Teniendo en cuenta el aumento en el número de amenazas totales, es lógico pensar que se debe a un incremento de nuevas amenazas. Sin embargo, este no solo no fue el caso, sino que además hubo una disminución atípica (74%) en las nuevas amenazas detectadas, con solo 36 nuevas amenazas en este Q. 

El hecho de que se haya registrado un incremento masivo en el volumen total de malware, pero un descenso en las nuevas amenazas, quiere decir que los atacantes están reciclando malware existente, en lugar de desarrollar nuevas variantes. Esto puede ser un indicio del uso de servicios Malware-as-a-Service (MaaS), donde cibercriminales menos experimentados pueden comprar o alquilar malware sin la necesidad de crear código propio. De esta forma, los operadores de MaaS distribuyen malware a múltiples compradores, que luego lo personalizan mínimamente y lo despliegan en distintas campañas. 

Por otra parte, hubo un aumento considerable (773%) en las detecciones basadas en comportamiento y aprendizaje automático. Que estas detecciones hayan aumentado, significa que el malware modificado utiliza patrones reconocibles para las herramientas avanzadas. Esto también podría deberse a que el MaaS no solo implica la compra de malware, sino también el acceso a herramientas para crear y personalizar malware sin tener que ser un experto. Estos kits muchas veces incluyen funciones que permiten modificar automáticamente el malware para evadir detecciones basadas en firmas. 

Los 10 malware más frecuentes del Q3 2024

Protegerse de las ciberamenazas depende también de conocer contra qué nos enfrentamos. Por esta razón, ofrecemos el ranking de las 10 principales muestras de malware observadas en este periodo: 

  • Trj/Agent.OOW (Malicious Cryptominer): este malware estuvo presente en 1.440 detecciones.  Actúa como un minero de criptomonedas malicioso, explotando los recursos del sistema infectado sin el conocimiento del usuario.
  • Trj/WLT.A (Conficker): detectado 556 veces este trimestre. Se trata de un gusano que sigue activo desde 2008, propagándose a través de dispositivos USB y redes vulnerables para comprometer sistemas.
  • Trj/Chgt.AD (Unknown Malware): se detectó en 398 ocasiones. Esta amenaza se encuentra en análisis todavía y su comportamiento anómalo ha sido detectado sin una clasificación exacta.
  • HackingTool/AutoKMS (Malicious KMSTool - SECOPatcher): hubo 344 detecciones de este tipo de malware. Es una herramienta utilizada para activar software sin licencia, que también puede ser explotada para actividades maliciosas.
  • Trj/RnkBend.A (Glupteba): este malware modular que opera como botnet, facilitando el robo de datos y el uso no autorizado de recursos para minado de criptomonedas, fue detectado 241 veces.
  • Trj/CI.A (Downloader): hubo 178 detecciones de este troyano. Actúa como descargador de otras amenazas, facilitando la infección con malware adicional en los sistemas afectados.
  • PUP/Conduit.A (Malicious Toolbar Installer): es un programa potencialmente no deseado que instala barras de herramientas invasivas y puede modificar la configuración del navegador. Fue detectado 159 veces en este trimestre.
  • Trj/CI.A (Trojanized SLOW-PCfighter): hubo 140 detecciones de esta variante de un software de optimización que, en realidad, oculta un troyano para ejecutar acciones maliciosas en el sistema.
  • Trj/Agent.OOW (Malicious Cryptominer): es otra variante del malware de minería de criptomonedas. Está diseñado para operar en segundo plano y aprovechar la capacidad de procesamiento del equipo infectado y fue encontrado en 123 detecciones.
  • PUP/Conduit.A (Malicious Toolbar Installer): es similar a la otra variante detectada. Este software instala barras de herramientas no deseadas y recopila información del usuario sin permiso. Fue detectado 121 veces.

Para conocer más sobre el panorama de amenazas y los hallazgos del equipo de laboratorio de amenazas de WatchGuard, accede a nuestro Internet Security Report Q3 2024. 

Archivado bajo: Tendencias de Ciberseguridad, Cybersecurity Insights, Malware, WatchGuard Research
Blog Inicio

Posts relacionados

Blog Inicio