Más del 90% del ‘malware’ llegó a través de conexiones cifradas

Redacción

El segundo trimestre de 2021 ha experimentado un incremento en la llegada de ‘malware’ a través de conexiones cifradas, una tendencia que se une al aumento del ‘malware’ sin archivo, de los ataques de ‘ransomware’ a servicios vitales y la popularidad de las amenazas basadas en Microsoft Office.

El último Informe Trimestral sobre Seguridad en Internet de WatchGuard Technologies analiza las principales tendencias de ‘malware’ y amenazas de seguridad de red durante el segundo trimestre de 2021, e incluye nuevas perspectivas basadas en la inteligencia de amenazas para ‘endpoints’ detectadas en dicho periodo.

Los principales hallazgos de la investigación recogen que el 91,5 por ciento de ‘malware’ llega a través de conexiones cifradas HTTPS -un protocolo de privacidad que cifra las comunicaciones de extremo a extremo-. Esto supone, según los investigadores, un «aumento espectacular» respecto a los datos del trimestre anterior.

La compañía apela directamente a los administradores de TI que no aprovechan las capacidades de descifrado TLS de sus Firebox o controles de seguridad de red, ya que si no descifran las conexiones web para los análisis de seguridad, los controles de su red pueden perder la mayor parte del ‘malware’ que llega.

La familia de ‘malware’ AMSI.Disable.A, que desde WatchGuard vigilan desde el primer trimestre del año, utiliza herramientas de PowerShell para eludir las protecciones y explotar diversas vulnerabilidades de Windows.

El informe destaca su técnica de evasión, ya que AMSI.Disable.A utiliza un código capaz de desactivar Antimalware Scan Interface (AMSI) en PowerShell, lo que le permite eludir los controles de seguridad de los scripts con su carga útil de ‘malware’ sin ser detectada, como explican desde WatchGuard en un comunicado.

Los investigadores también han subrayado el incremento de las amenazas sin archivo. Solo en os primeros seis meses de 2021, las detecciones de ‘malware’ que se originan en motores de ‘scripting’ como PowerShell han alcanzado el 80 por ciento del volumen total de ataques iniciados por ‘scripts’ del año pasado, lo que a su vez representó un aumento «sustancial» con respecto al año anterior.

Por ello, desde la compañía advierten de que si siguen al ritmo actual, las detecciones de ‘malware’ sin archivo en 2021 van camino de duplicar su volumen interanual.

También están en auge los ataques de red a pesar del cambio a fuerzas de trabajo principalmente remotas. Los equipos de WatchGuard detectaron un aumento del 22 por ciento en este tipo de ataques respecto al trimestre anterior, cuando se registraron casi 4,1 millones de ataques de red.

El ‘ransomware’, un tipo de programa malicioso que encripta un equipo y pide un pago a cambio de liberar los archivos, mantiene su trayectoria ascendente. La compañía señala que si las detecciones diarias de ‘ransomware’ se mantienen estables en lo que queda de 2021, el volumen de este año registrará un aumento de más del 150 por ciento en comparación con 2020.

Los ciberdelincuentes, además, dirigen sus ataques de ‘ransomware’ cada vez más a los servicios más vitales, como los hospitales, el control industrial y la infraestructura.

Los servicios antiguos también están en el punto de mira de los ciberdelincuentes, lo que puede suponer un riesgo si no se aplican los parches oportunos. En concreto, la compañía cita una vulnerabilidad del servidor Oracle GlassFish de 20ll, un fallo de inyección SQL de 2013 en la aplicación de registros médicos OpenEMR y una vulnerabilidad de ejecución remota de código (RCE) de 2017 en Microsoft Edge. Y la más reciente, una vulnerabilidad de 2020 en el popular lenguaje de programación web PHP.

Son populares las amenazas basadas en Microsoft Office en lo que respecta al ‘malware’, que según la compañía «afortunadamente» siguen siendo detectados por las defensas IPS probadas. Se este tipo, en la lista de los diez ataques de red más extendidos se ha incluido la vulnerabilidad RCE de 2017, que afecta a los navegadores de Microsoft.

La compañía pone como ejemplo de una gravedad similar el fallo de seguridad RCE rastreado como CVE-2021-40444, que fue noticia a principios de este mes cuando se explotó activamente en ataques dirigidos contra Microsoft Office y Office 365 en ordenadores con Windows 10.

Otra de las principales amenazas tiene que ver con el ‘phishing’ o la suplantación de fuentes legítimas. WatchGuard ha observado un aumento en el uso de ‘malware’ dirigido a los servidores de Microsoft Exchange y a los usuarios de correo electrónico genérico para descargar troyanos de acceso remoto (RAT) en lugares altamente sensibles, un dato que vincula con el regreso de los trabajadores y los estudiantes remotos a las oficinas híbridas y los entornos académicos.

Ante esta situación, aconseja, en cualquier caso, una fuerte concienciación sobre la seguridad y la supervisión de las comunicaciones salientes en los dispositivos que no están necesariamente conectados directamente a los dispositivos vinculados.

«Con gran parte del mundo todavía operando firmemente bajo un modelo de fuerza de trabajo móvil o híbrido, el perímetro de la red tradicional no siempre es un factor en la ecuación de defensa de la ciberseguridad», asegura Corey Nachreiner, director de seguridad de WatchGuard.

En total, y como recoge la investigación trimestral de WatchGuard, la compañía bloqueó más de 16,6 millones de variantes de ‘malware’ (438 por dispositivo) y casi 5,2 millones de amenazas de red (137 por dispositivo).

Las + leídas