Desciende el volumen de malware y aumentan los exploits de Office y los ataques a SCADA

  • Actualidad

Malware

Durante el segundo trimestre del año, se produjo un descenso del volumen de malware, aunque aumentó el que explota los navegadores aumentó colectivamente en un 23% y las vulnerabilidades de Office explotadas activamente. Son las principales conclusiones del último informe sobre seguridad en Internte, de WatchGuard, que dedica también un espacio al regreso de Emotet.

El informe realizado por los investigadores de WatchGuard Threat Lab, destaca que en el segundo trimestre del año se ha registrado una reducción en las detecciones de malware en general desde los picos observados en la primera mitad de 2021, pero que se ha producido un aumento de las amenazas para Chrome y Microsoft Office. Además, asegura que Emotet sigue siendo una de las mayores amenazas para la seguridad de la red y que los actores de amenazas están apuntando a los sistemas SCADA.

Según el CSO de la firma, Corey Nachreiner, aunque los ataques de malware en general en el segundo trimestre se redujeron respecto a los máximos históricos observados en trimestres anteriores, más del 81% de las detecciones se produjeron a través de conexiones cifradas TLS, continuando una preocupante tendencia al alza. "Esto podría reflejar que los actores de amenazas están cambiando sus tácticas para confiar en un malware más escurridizo”, sostiene.

De forma más pormenorizada, del contenido del informe se extraen las siguientes conclusiones:

- Los exploits de Office siguen propagándose más que cualquier otra categoría de malware. De hecho, el principal incidente del trimestre fue el exploit Follina Office (CVE-2022-30190), del que se informó por primera vez en abril y que no fue parcheado hasta finales de mayo. Distribuido a través de un documento malicioso, fue capaz de eludir Windows Protected View y Windows Defender y ha sido explotado activamente por actores de amenazas, incluyendo estados-nación. Otros tres exploits de Office (CVE-2018-0802, RTF-ObfsObjDat.Gen y CVE-2017-11882) fueron ampliamente detectados en Alemania y Grecia.

- Las detecciones de malware en los endpoints se redujeron en general, pero no en la misma medida. A pesar de un descenso del 20% en el total de detecciones de malware en endpoints, el malware que explota los navegadores aumentó colectivamente en un 23%, con un aumento del 50% en Chrome.Una posible razón del aumento de las detecciones de Chrome es la persistencia de varios exploits zero-day. Los scripts siguieron representando la mayor parte de las detecciones de endpoints (87%) en el segundo trimestre.

- El Top 10 de firmas representaron más del 75% de las detecciones de ataques de red. Este trimestre se ha producido un aumento de los ataques a sistemas ICS y SCADA que controlan equipos y procesos industriales, incluyendo nuevas firmas (WEB Directory Traversal-7 y WEB Directory Traversal-8). Las dos firmas son muy similares; la primera aprovecha una vulnerabilidad descubierta por primera vez en 2012 en un software de interfaz SCADA específico, mientras que la segunda es la más detectada en Alemania.

- El resurgimiento de Emotet se hace notar. Aunque que el volumen de Emotet ha disminuido desde el último trimestre, Emotet sigue siendo una de las mayores amenazas para la seguridad de la red. XLM.Trojan.abracadabra, un inyector de código Win que propaga la botnet Emotet, fue uno de los diez programas maliciosos más detectados del trimestre y uno de los cinco más codificados.