Comunicado de prensa
Jan
20

WatchGuard Threat Lab informa que el volumen de malware y ransomware para endpoint superó el total de 2020 a finales del tercer trimestre de 2021

Los ataques de scripting a endpoints han batido un récord, la mayoría de los ataques de red se dirigieron a América y las conexiones cifradas se están convirtiendo en el principal mecanismo de distribución del malware zero-day

MADRID – 20 de enero de 2022WatchGuard® Technologies, líder global en seguridad e inteligencia de red, protección avanzada de endpoint, autenticación multifactor (MFA) y Wi-Fi seguro, ha publicado el último Informe trimestral sobre Seguridad en Internet, en el que se destacan las principales tendencias de malware y amenazas de seguridad de red del tercer trimestre de 2021, analizadas por los investigadores de WatchGuard Threat Lab. Los datos indican que, si bien el volumen total de detección de malware en el perímetro disminuyó con respecto a los máximos alcanzados en el trimestre anterior, las detecciones de malware en el endpoint ya han superado el volumen total observado en 2020 (con los datos del cuarto trimestre de 2021 aún por comunicar). Además, un porcentaje significativo de malware sigue llegando a través de conexiones cifradas, continuando la tendencia de los trimestres anteriores.

"Aunque el volumen total de ataques de red se redujo ligeramente en el tercer trimestre, el malware por dispositivo aumentó por primera vez desde que comenzó la pandemia", apunta Corey Nachreiner, director de seguridad de WatchGuard. "Si analizamos el año en su conjunto, el entorno de seguridad sigue siendo desafiante. Es importante que las organizaciones vayan más allá de los altibajos a corto plazo y de la estacionalidad de las métricas específicas, y se centren en las tendencias persistentes y preocupantes que influyen en su postura de seguridad. Un ejemplo importante es la aceleración del uso de las conexiones cifradas para conseguir zero days. Seguimos creyendo que la plataforma de seguridad unificada de WatchGuard ofrece la mejor protección integral para combatir la variedad de amenazas a las que se enfrentan las organizaciones hoy en día”.  

Entre las conclusiones más destacadas, el Informe de Seguridad en Internet del tercer trimestre de 2021 de WatchGuard revela:

  • Casi la mitad del malware zero-day se distribuye ahora a través de conexiones cifradas – Mientras la cantidad total de malware zero-day aumentó un modesto 3% hasta el 67,2% en el tercer trimestre, el porcentaje de malware que llegó a través de Transport Layer Security (TLS) saltó del 31,6% al 47%. Un porcentaje menor de zero-days cifrados se considera avanzado, pero sigue siendo preocupante dado que los datos de WatchGuard muestran que muchas organizaciones no están descifrando estas conexiones y, por tanto, tienen poca visibilidad de la cantidad de malware que llega a sus redes.
     
  • A medida que los usuarios se actualizan a versiones más recientes de Microsoft Windows y Office, los atacantes se centran en las nuevas vulnerabilidades – Mientras las vulnerabilidades no parcheadas en el software más antiguo siguen proporcionando un buen territorio de caza para los atacantes, también están buscando explotar las debilidades en las últimas versiones de los productos ampliamente utilizados de Microsoft. En el tercer trimestre, el CVE-2018-0802 -que aprovecha una vulnerabilidad en Equation Editor de Microsoft Office- se coló en la lista de los 10 principales malware para el antivirus del gateway de WatchGuard por volumen, alcanzando el número 6, después de aparecer en la lista de malware más extendidos en el trimestre anterior. Además, dos inyectores de código de Windows (Win32/Heim.D y Win32/Heri) ocuparon el número 1 y 6 de la lista de los más detectados, respectivamente.
     
  • Los atacantes apuntaron desproporcionadamente a América – La inmensa mayoría de los ataques de red tuvieron como objetivo América en el tercer trimestre (64,5%), frente a Europa (15,5%) y APAC (20%).
     
  • Las detecciones de ataques de red en general retomaron una trayectoria más normal, pero siguen planteando riesgos importantes – Tras trimestres consecutivos de crecimiento superior al 20%, el Servicio de Prevención de Intrusiones (IPS) de WatchGuard detectó aproximadamente 4,1 millones de explotaciones de red únicas en el tercer trimestre. El descenso del 21% hizo que los volúmenes descendieran a los niveles del primer trimestre, que seguían siendo altos en comparación con el año anterior. Este cambio no significa necesariamente que los adversarios estén cediendo, ya que posiblemente estén cambiando su enfoque hacia ataques más específicos.
     
  • Las 10 principales firmas de ataques de red representan la gran mayoría de los ataques – De los 4.095.320 impactos detectados por el IPS en el tercer trimestre, el 81% se atribuyeron a las 10 firmas principales. De hecho, solo hubo una nueva firma entre las 10 primeras en el tercer trimestre, "WEB Remote File Inclusion /etc/passwd" (1054837), que se dirige a servidores web de Microsoft Internet Information Services (IIS); más antiguos, pero aún muy utilizados. Una firma (1059160), una inyección SQL, ha seguido manteniendo la posición que ha ocupado en lo más alto de la lista desde el segundo trimestre de 2019.
     
  • Los ataques de scripting a endpoints continúan a un ritmo récord – A finales del tercer trimestre, la inteligencia de amenazas AD360 de WatchGuard y WatchGuard Endpoint Protection Detection and Response (EPDR) ya habían visto un 10% más de scripts de ataque que en todo el año 2020 (que, a su vez, registró un aumento del 666% respecto al año anterior). A medida que las fuerzas de trabajo híbridas comienzan a parecer la norma y no la excepción, un perímetro fuerte ya no es suficiente para detener las amenazas. Aunque los ciberdelincuentes tienen varias formas de atacar los endpoints -desde los exploits de aplicaciones hasta los ataques basados en scripts-, incluso aquellos con habilidades limitadas pueden ejecutar completamente una carga útil de malware con herramientas de scripting como PowerSploit, PowerWare y Cobalt Strike, mientras evaden la detección básica de los endpoints.
     
  • Incluso los dominios normalmente seguros pueden verse comprometidos – Un fallo de protocolo en el sistema de descubrimiento automático del servidor Exchange de Microsoft permitió a los atacantes recopilar credenciales de dominio y comprometer varios dominios normalmente fiables. En general, en el tercer trimestre los Fireboxes de WatchGuard bloquearon 5,6 millones de dominios maliciosos, incluyendo varios nuevos dominios de malware que intentan instalar software para criptominería, registradores de claves y troyanos de acceso remoto (RAT), así como dominios de phishing que se hacen pasar por sitios de SharePoint para recoger las credenciales de inicio de sesión de Office365. Aunque ha bajado un 23% respecto al trimestre anterior, el número de dominios bloqueados sigue siendo varias veces superior al nivel observado en el cuarto trimestre de 2020 (1,3 millones).

    Esto pone de manifiesto la necesidad crítica de que las organizaciones se centren en mantener los servidores, las bases de datos, los sitios web y los sistemas actualizados con los últimos parches para limitar las vulnerabilidades que pueden explotar los atacantes.
     
  • Ransomware, ransomware, ransomware – Después de un fuerte descenso en 2020, los ataques de ransomware alcanzaron el 105% del volumen total de 2020 a finales de septiembre (como WatchGuard predijo a finales del trimestre anterior) y están en camino de alcanzar el 150% una vez que se analicen los datos de todo el año 2021. Las operaciones de ransomware como servicio, como REvil y GandCrap, siguen bajando el listón para los delincuentes con escasos o nulos conocimientos de codificación, proporcionando la infraestructura y las cargas útiles de malware para llevar a cabo ataques a nivel mundial a cambio de un porcentaje del rescate.
     
  • El principal incidente de seguridad del trimestre, el de Kaseya, fue otra demostración de la continua amenaza de los ataques a la cadena de suministro digital– Justo antes del comienzo del largo fin de semana festivo del 4 de julio en Estados Unidos, docenas de organizaciones comenzaron a reportar ataques de ransomware contra sus endpoints. El análisis de incidentes de WatchGuard describió cómo los atacantes que trabajaban con la operación de ransomware como servicio (RaaS) REvil habían explotado tres vulnerabilidades zero-day (incluyendo CVE-2021-30116 y CVE-2021-30118) en el software de monitorización y gestión remota (RMM) Kaseya VSA para distribuir el ransomware a unas 1.500 organizaciones y potencialmente a millones de endpoints. Aunque el FBI acabó comprometiendo los servidores de REvil y obtuvo la clave de descifrado unos meses más tarde, el ataque fue otro duro recordatorio de la necesidad de que las organizaciones tomen medidas proactivas como la adopción de zero-trust, el empleo del principio del mínimo privilegio para el acceso a los proveedores y la garantía de que los sistemas están parcheados y actualizados para minimizar el impacto de los ataques a la cadena de suministro.

 

Los informes de investigación trimestrales de WatchGuard se basan en datos anónimos de Firebox Feed de los Fireboxes activos de WatchGuard cuyos propietarios han optado por compartir los datos para apoyar directamente los esfuerzos de investigación del Laboratorio de Amenazas. En el tercer trimestre, WatchGuard bloqueó un total de más de 16,6 millones de variantes de malware (454 por dispositivo) y más de 4 millones de amenazas de red. El informe completo incluye detalles sobre tendencias adicionales de malware y de red del tercer trimestre de 2021, una inmersión aún más profunda en las amenazas detectadas en el endpoint durante la primera mitad de 2021, estrategias de seguridad recomendadas y consejos de defensa críticos para empresas de todos los tamaños y cualquier sector.

Para una visión detallada de la investigación de WatchGuard, lea el informe completo de seguridad en Internet del tercer trimestre de 2021 aquí: https://www.watchguard.com/es/wgrd-resource-center/security-report-q3-2021

Acerca de WatchGuard Technologies

WatchGuard® Technologies, Inc. es un líder mundial en seguridad cibernética unificada. Nuestra Unified Security Platform™ está diseñada exclusivamente para que los proveedores de servicios administrados brinden seguridad de primer nivel que aumente la escala y la velocidad de su negocio al mismo tiempo que mejore la eficiencia operativa. Con la confianza de más de 17.000 revendedores de seguridad y proveedores de servicios para proteger a más de 250.000 clientes, los productos y servicios galardonados de la empresa abarcan seguridad e inteligencia de red, protección avanzada de endpoints, autenticación multifactor y Wi-Fi seguro. Juntos, ofrecen cinco elementos que son vitales en una plataforma de seguridad: seguridad integral, conocimiento compartido, claridad y control, alineación operativa y automatización. La empresa tiene su oficina central en Seattle, Washington, y posee oficinas en Norteamérica, Europa, Asia-Pacífico y Latinoamérica. Para obtener más información, visite WatchGuard.com/es.

Para obtener información adicional, promociones y actualizaciones, siga a WatchGuard en Twitter @WatchGuard, en Facebook, o en la página de LinkedIn de la compañía. Visite también nuestro blog de InfoSec, Secplicity, para obtener información en tiempo real de las últimas amenazas y cómo hacerlas frente en www.secplicity.org. Suscríbase al podcast The 443 – Security Simplified en Secplicity.org, o dondequiera que encuentre sus podcasts favoritos.

WatchGuard es una marca registrada de WatchGuard Technologies, Inc. Todas las demás marcas son propiedad de sus respectivos dueños.

 

 

Contactos de Medios

América:
Chris Warfield
Director de comunicaciones
Tel: +1.206.876.8380
Email: [email protected]

España:
María Monge
Tel: +34 687 891 639
Email: [email protected]

 


Kit de medios

Todos los comunicados de prensa