El 67% del malware está cifrado y el 72% es de día cero

 

Recomendados:  WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro  WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

El 67% de todo el malware del primer trimestre del año se entregó a través de HTTPS, por lo que las organizaciones sin soluciones de seguridad capaces de inspeccionar el tráfico cifrado pueden tener un serio problema. Además, el 72% del malware cifrado fue clasificado como de día cero, lo que significa que no existe una firma antivirus para él, y evadirá las protecciones basadas en firmas.

Son datos del último  informe de seguridad en Internet, de WatchGuard Technologies, que llevan a la empresa a concluir que “la  inspección HTTPS y las soluciones avanzadas de detección y respuesta a amenazas basadas en el comportamiento, son ahora requisitos para toda organización consciente de la seguridad”.

Por otro lado, los criptomineros Monero han aumentado en popularidad. Cinco de los diez principales dominios que distribuyeron malware en el trimestre (identificados por el servicio de filtrado DNS de WatchGuard, DNSWatch) alojaron o controlaron criptomineros Monero. “Este repentino salto en la popularidad de los criptomineros podría deberse simplemente a su utilidad; añadir un módulo de criptominería al malware es una forma fácil de que los delincuentes online generen ingresos pasivos”, dice el informe.

Por otro lado, las variantes de malware Flawed-Ammyy y Cryxos se han unido a las listas principales. El troyano Cryxos ocupó el tercer lugar en la lista de los cinco principales malware cifrados de la firma de seguridad y también el tercero en la lista de las cinco detecciones de malware más extendidas, dirigido principalmente a Hong Kong. Se entrega como un archivo adjunto de correo electrónico disfrazado de factura y pide al usuario que introduzca su correo electrónico y contraseña, que luego almacena. En lo que respecta a Flawed-Ammyy, es una estafa de soporte en la que el atacante utiliza el software de control remoto multitareas Ammyy Admin para obtener acceso remoto al equipo de la víctima.

En lo que se refiere a amenazas que vuelven, un exploit de Adobe Acrobat Reader que fue parcheado en agosto de 2017 apareció en la lista de los principales ataques de red por primera vez en los tres primeros meses de año. “Esta vulnerabilidad que resurge varios años después de haber sido descubierta y resuelta, ilustra la importancia de parchear y actualizar los sistemas regularmente”, recuerda el estudio.

WatchGuard destaca también que Mapp Engage, AT&T y Bet365 fueron objetivos de campañas de spear phishing, que Gran Bretaña y Alemania fueron fuertemente atacadas por amenazas generalizadas de malware y, lógicamente, dedica un apartado al impacto del coronavirus. Al respecto, dice que el primimer trimestre de 2020 ha sido solo el comienzo de los cambios masivos en el panorama de las ciberamenazas provocadas por la pandemia. “Solo en estos tres primeros meses de 2020, hemos visto un aumento masivo de los trabajadores remotos y de los ataques dirigidos a individuos”, afirma.

Finalmente, en el periodo disminuyeron los ataques de malware y los de red. En general, hubo un 6,9% menos de los primeros y un 11,6% menos de los segundo, a pesar de un aumento del 9% en el número de Fireboxes que aportan datos. Esto podría atribuirse a una menor cantidad de objetivos potenciales que operan dentro del perímetro de la red tradicional por las políticas globales de trabajo remoto en plena vigencia durante el confinamiento.