El malware de día cero aumentó un 12% en el segundo trimestre

Recomendados:  La persistencia del ransomware Webinar El dato: piedra angular de una experiencia customer-centric Webinar Protección avanzada de datos y continuidad de negocio con Nutanix y Veeam Webinar

El estudio realizado por los expertos de WatchGuard destaca que, a pesar de un descenso del 8% en las detecciones de malware en general en el segundo trimestre, el 70% de todos los ataques se refería a amenazas de día cero (variantes que eluden las firmas de los antivirus), lo que representa un aumento del 12% con respecto al trimestre anterior.

Las conclusiones apuntan que las empresas no son las únicas que han ajustado sus operaciones debido a la pandemia, los ciberdelincuentes también lo han hecho. Así, según los datos del especialista, “los atacantes continúan aprovechando las amenazas evasivas y cifradas”. El malware de día cero constituyó más de dos tercios del total de detecciones en el segundo trimestre, mientras que los ataques lanzados a través de conexiones HTTPS cifradas representaron el 34%. Las organizaciones que no sean capaces de inspeccionar el tráfico cifrado se perderán un tercio de las amenazas entrantes. Aunque el porcentaje de amenazas que utilizan cifrado disminuyó del 64% en el primer trimestre, el volumen de malware cifrado con HTTPS aumentó espectacularmente. “Parece que hay más administradores tomando las medidas necesarias para permitir la inspección HTTPS en los dispositivos de seguridad Firebox (de la compañía), pero todavía queda trabajo por hacer”, dice el informe.   

Los ataques basados en JavaScript van también en aumento. El script de estafa Trojan.Gnaeus hizo su debut en la parte superior de la lista de los diez principales programas maliciosos de WatchGuard en el trimestre, lo que representa casi una de cada cinco detecciones de malware. Este malware permite a los agentes de amenazas secuestrar el control del navegador de la víctima con código ofuscado, y redirigir a la fuerza desde sus destinos web previstos a dominios bajo el control del atacante. Otro ataque JavaScript de estilo pop-up, J.S. PopUnder, fue una de las variantes de malware más extendidas el pasado trimestre. En este caso, un script ofuscado escanea las propiedades del sistema de la víctima y bloquea los intentos de depuración como una táctica antidetección. Para combatir estas amenazas, las organizaciones deben evitar que los usuarios carguen una extensión del navegador desde una fuente desconocida, mantener los navegadores actualizados con los últimos parches, utilizar adblockers de confianza y mantener un motor antimalware actualizado.

Por otro lado, el informe destaca que los atacantes utilizan cada vez más archivos de Excel cifrados para ocultar el malware. XML-Trojan.Abracadabra es una nueva incorporación al Top 10 de principales detecciones de malware de WatchGuard, que muestra un rápido crecimiento en popularidad desde que la técnica surgiera en abril. Abracadabra es una variante de malware que se entrega como un archivo Excel cifrado con la contraseña "VelvetSweatshop" (la contraseña predeterminada para los documentos de Excel). Una vez abierto, Excel descifra automáticamente el archivo y un script macro VBA dentro de la hoja de cálculo descarga y ejecuta un ejecutable. El uso de una contraseña predeterminada permite a este malware eludir muchas soluciones antivirus básicas, ya que el archivo se cifra y luego es descifrado por Excel. Las organizaciones nunca deben permitir que los macros provengan de una fuente no fiable, y aprovechar el sandboxing basado en cloud para verificar con seguridad la verdadera intención de los archivos potencialmente peligrosos antes de que puedan provocar una infección.

Otro de los hallazgos de la firma es que ha regresado un antiguo ataque DoS altamente explotable. Una vulnerabilidad de denegación de servicio (DoS) de hace seis años que afecta a WordPress y Drupal apareció también en la lista de los diez principales ataques de red por volumen en el segundo trimestre. Es particularmente grave porque afecta a todas las instalaciones de Drupal y WordPress sin parches y crea escenarios DoS en los que los agentes maliciosos pueden causar el agotamiento de la CPU y la memoria en el hardware subyacente. A pesar del alto volumen de estos ataques, se centraron en unas pocas docenas de redes, principalmente en Alemania. Dado que los escenarios DoS requieren un tráfico sostenido a las redes víctimas, esto significa que hay una gran probabilidad de que los atacantes estuvieran seleccionando sus objetivos intencionadamente.

Por último, la inverstigación resalta que los dominios de malware aprovechan los servidores de comando y control para causar estragos. Dos nuevos destinos han pasado a ocupar el primer lugar en la lista de dominios de malware más importantes de WatchGuard en el segundo trimestre. El más común fue findresults[.]site, que utiliza un servidor C&C para una variante del troyano Dadobra que crea un archivo ofuscado y un registro asociado para garantizar que el ataque se ejecute y pueda filtrar datos sensibles y descargar malware adicional cuando los usuarios inicien los sistemas Windows. Un usuario alertó al equipo de WatchGuard sobre Cioco-froll[.]com, que utiliza otro servidor C&C para soportar una variante de botnet Asprox (que a menudo se entrega a través de un documento PDF) y proporciona una baliza C&C para que el atacante sepa que ha ganado en persistencia y está listo para participar en la botnet. El firewall de DNS puede ayudar a las organizaciones a detectar y bloquear este tipo de amenazas independientemente del protocolo de aplicación de la conexión.