Estas han sido las amenazas con más prevalencia en los primeros meses del año

  • Actualidad
ciberseguridad ciberataque

Durante el primer trimestre de 2023 han predominado las estrategias de ingeniería social basadas en navegadores, nuevo malware vinculado a estados-nación, grandes cantidades de malware zero-day y se ha registrado un aumento de los ataques "living-off-the-land", según un informe de WatchGuard Threat Lab.

El especialista en ciberseguridad unificada acaba de presentar los resultados de su último Informe de Seguridad en Internet, que detalla las principales tendencias de malware y amenazas de seguridad de red y endpoint analizadas por sus investigadores en el primer trimestre de 2023. El documento destaca, entre sus principales conclusiones, que los phishers aprovechan las estrategias de ingeniería social basadas en navegadores, la existencia de nuevo malware vinculado a estados-nación, grandes cantidades de malware zero-day y que se ha producido un aumento de los ataques "living-off-the-land".

Así, el estudio confirma que, ahora que los navegadores web tienen más protecciones que evitan el abuso de ventanas emergentes, los atacantes han pasado a utilizar las funciones de notificaciones del navegador para forzar tipos de interacciones similares. En la lista de los principales dominios maliciosos de este trimestre también destaca un nuevo destino relacionado con la actividad de envenenamiento SEO.

Los actores de amenazas chinos y rusos siguen muy activos y están detrás del 75% de las nuevas amenazas que forman la lista Top-10 de la firma en los tres primeros meses del año. Un ejemplo es la familia de malware Zusy, que aparece por primera vez en la lista de los diez principales malware de este trimestre. Una de sus muestras se dirige a la población china con adware que instala un navegador infectado. El navegador se utiliza entonces para secuestrar la configuración de Windows del sistema y como navegador predeterminado.

Por otro lado, los analistas del Threat Lab siguen observando amenazas basadas en documentos y dirigidas contra productos de Office en la lista de programas maliciosos más extendidos este trimestre. En cuanto a la red, el equipo también observó que el firewall de Microsoft, Internet Security and Acceleration (ISA) Server, ya descatalogado, recibía un número relativamente alto de ataques. Teniendo en cuenta que este producto lleva mucho tiempo descatalogado y sin actualizaciones, resulta sorprendente que los atacantes lo tengan como objetivo.

El informe también repara en el aumento de los ataques living-off-the-land. Al respecto, destaca que el malware ViperSoftX revisado en el análisis DNS del primer trimestre es el último ejemplo de malware que aprovecha las herramientas integradas en los sistemas operativos para completar sus objetivos. La continua aparición de malware basado en Microsoft Office y PowerShell en estos informes trimestre tras trimestre evidencia la importancia de una protección de los endpoints que pueda diferenciar el uso legítimo del malicioso de herramientas populares como PowerShell.

Otro de los datos que aporta el estudio es que uno de los nuevos malware más detectados por volumen en el primer trimestre fue un dropper de malware dirigido a sistemas basados en Linux. Esto, según la firma, es "un claro recordatorio de que el hecho de que Windows reine en el espacio empresarial no significa que las organizaciones puedan permitirse hacer la vista gorda ante Linux y macOS. Asegúrese de incluir máquinas que no sean Windows cuando despliegue Endpoint Detection and Response (EDR) para mantener una cobertura completa de su entorno", subraya.

También concluye que el malware de día cero es responsable de la mayoría de las detecciones. Durante el primer trimestre, el 70% de las detecciones procedían de malware de día cero en el tráfico web sin cifrar, y la friolera del 93% de las detecciones de malware de día cero en el tráfico web cifrado. El malware de día cero puede infectar dispositivos IoT, servidores mal configurados y otros dispositivos que no utilizan defensas robustas basadas en host como WatchGuard EPDR (Endpoint Protection Defense and Response).

Por último, en los tres primeros meses de 2023, el Threat Lab de WatchGuard contabilizó 852 víctimas publicadas en sitios de extorsión y descubrió 51 nuevas variantes de ransomware. "Estos grupos de ransomware siguen publicando víctimas a un ritmo alarmantemente alto", confirma la compañía.