Internacional. WatchGuard Technologies publicó su último Informe Trimestral de Seguridad de Internet, que destaca las principales tendencias de malware y amenazas a la seguridad de la red para el tercer trimestre de 2021, según lo analizado por los investigadores del WatchGuard Threat Lab.
Los datos indican que, si bien el volumen total de detección de malware perimetral disminuyó desde los máximos alcanzados en el trimestre anterior, las detecciones de malware de endpoint ya superaron el volumen total visto en 2020 (con datos del cuarto trimestre de 2021 aún por informar). Además, un porcentaje significativo de malware continúa llegando a través de conexiones encriptadas, continuando la tendencia de trimestres anteriores.
“Si bien el volumen total de ataques a la red se redujo ligeramente en el tercer trimestre, el malware por dispositivo aumentó por primera vez desde que comenzó la pandemia”, dijo Corey Nachreiner, Director de Seguridad de WatchGuard. “Mirando el año hasta ahora en su conjunto, el entorno de seguridad sigue siendo un desafío. Es importante que las organizaciones vayan más allá de los altibajos a corto plazo y la estacionalidad de métricas específicas, y se centren en tendencias persistentes y preocupantes que tengan en cuenta su postura de seguridad”.
Entre sus hallazgos más notables, el Informe de Seguridad de Internet del tercer trimestre de 2021 de WatchGuard revela:
- Casi la mitad del malware de día cero “Zero-Day” ahora se entrega a través de conexiones encriptadas: mientras que la cantidad total de malware de día cero aumentó en un modesto 3 % al 67,2 % en el tercer trimestre, el porcentaje de malware que llegó a través de Transport Layer Security (TLS) saltó de 31,6% a 47%. Un porcentaje menor de días cero cifrados se considera avanzado, pero sigue siendo preocupante dado que los datos de WatchGuard muestran que muchas organizaciones no están descifrando estas conexiones y, por lo tanto, tienen poca visibilidad de la cantidad de malware que llega a sus redes.
- A medida que los usuarios se actualizan a las versiones más recientes de Microsoft Windows y Office, los atacantes se centran en las vulnerabilidades más nuevas: si bien las vulnerabilidades sin parches en el software anterior continúan proporcionando un rico campo de caza para los atacantes, también buscan explotar las debilidades en las últimas versiones de Microsoft.
- Los atacantes se dirigieron desproporcionadamente a las Américas: la gran mayoría de los ataques a la red se dirigieron a las Américas en el tercer trimestre (64,5 %) en comparación con Europa (15,5 %) y APAC (20 %).
- Las detecciones generales de ataques a la red reanudaron una trayectoria más normal, pero aún representan riesgos significativos: después de trimestres consecutivos de más del 20 % de crecimiento, el Servicio de prevención de intrusiones (IPS) de WatchGuard detectó aproximadamente 4,1 millones de vulnerabilidades de red únicas en el tercer trimestre. La caída del 21% redujo los volúmenes a los niveles del primer trimestre, que aún eran altos en comparación con el año anterior. El cambio no significa necesariamente que los adversarios estén cediendo, ya que posiblemente estén cambiando su enfoque hacia ataques más específicos.
- Los 10 principales ataques de firmas a la red representan la gran mayoría de los ataques: de los 4.095.320 accesos detectados por IPS en el tercer trimestre, el 81 % se atribuyó a las 10 principales firmas. De hecho, solo hubo una nueva firma entre las 10 principales en el tercer trimestre, 'WEB Remote File Inclusion /etc/passwd' (1054837), que apunta a servidores web de Microsoft Internet Information Services (IIS) más antiguos, pero aún ampliamente utilizados. Una firma (1059160), una inyección SQL, ha seguido manteniendo la posición que ocupaba en la cima de la lista desde el segundo trimestre de 2019.
- Los ataques de secuencias de comandos en puntos finales continúan a un ritmo récord: para fines del tercer trimestre, la inteligencia de amenazas AD360 y la detección y respuesta de puntos finales (EPDR) de WatchGuard ya habían visto un 10 % más de secuencias de comandos de ataque que en todo 2020 (que, a su vez, vio un 666 % de incremento respecto al año anterior). A medida que las fuerzas de trabajo híbridas comienzan a parecer la regla en lugar de la excepción, un perímetro fuerte ya no es suficiente para detener las amenazas.
- Incluso los dominios normalmente seguros pueden verse comprometidos: una falla de protocolo en el sistema de detección automática de Exchange Server de Microsoft permitió a los atacantes recopilar credenciales de dominio y comprometer varios dominios normalmente confiables. En general, en el tercer trimestre, WatchGuard Fireboxes bloqueó 5,6 millones de dominios maliciosos, incluidos varios dominios de malware nuevos que intentan instalar software para criptominería, registradores de claves y troyanos de acceso remoto (RAT), así como dominios de phishing que se hacen pasar por sitios de SharePoint para recolectar credenciales de inicio de sesión de Office 365. Si bien disminuyó un 23 % con respecto al trimestre anterior, la cantidad de dominios bloqueados sigue siendo varias veces mayor que el nivel observado en el cuarto trimestre de 2020 (1,3 millones).
- Ransomware, Ransomware, Ransomware: después de una fuerte caída en 2020, los ataques de ransomware alcanzaron el 105 % del volumen de 2020 a fines de septiembre (como predijo WatchGuard a fines del trimestre anterior) y están en camino de alcanzar el 150 % una vez que finalice el año. Se analizan los datos de 2021. Las operaciones de ransomware como servicio, como REvil y GandCrap, continúan bajando el listón para los delincuentes con poca o ninguna habilidad de codificación, proporcionando la infraestructura y las cargas útiles de malware para llevar a cabo ataques a nivel mundial a cambio de un porcentaje del rescate.
El principal incidente de seguridad del trimestre, Kaseya, fue otra demostración de la amenaza constante de los ataques a la cadena de suministro digital. Justo antes del inicio del largo fin de semana festivo del 4 de julio en los EE. UU., decenas de organizaciones comenzaron a informar sobre ataques de ransomware contra sus terminales. El análisis de incidentes de WatchGuard describió cómo los atacantes que trabajaban con la operación REvil ransomware-as-a-service (RaaS) habían explotado tres vulnerabilidades de día cero (incluidas CVE-2021-30116 y CVE-2021-30118) en Kaseya VSA Remote Monitoring and Management (RMM) para entregar ransomware a unas 1.500 organizaciones y potencialmente a millones de terminales.
