Aumenta el ransomware en endpoints y el malware asociado al phishing
- Endpoint
El 93% del malware se oculta en el cifrado SSL/TLS utilizado por los sitios web seguros. Las detecciones de programas maliciosos basados en la red descendieron un 9,2%. Si bien las detecciones de malware de red cayeron, la detección en endpoints aumentó un 22%, señala WatchGuard.
WatchGuard Technologies ha publicado los resultados de su último Informe de Seguridad en Internet, correspondiente al cuarto trimestre de 2022, en el que bloqueó un total de más de 15,7 millones de variantes de malware (194 por dispositivo) y más de 2,3 millones de amenazas de red (28 por dispositivo). Las principales conclusiones de los datos muestran descensos en el malware detectado en la red, mientras que el ransomware en endpoints y el malware asociado a campañas de phishing continuaron siendo sendas amenazas persistentes.
A pesar del descenso general del malware, los investigadores de WatchGuard Threat Lab han analizado los Fireboxes que descifran el tráfico HTTPS (TLS/SSL) y han detectado una mayor incidencia de malware, lo que indica que la actividad del malware se ha desplazado al tráfico cifrado. En el cuarto trimestre se mantuvo esta tendencia, con un aumento del 82% al 93%. Es probable que los profesionales de la seguridad que no inspeccionan este tráfico estén pasando por alto la mayor parte del malware, lo que aumenta la responsabilidad de la seguridad de los endpoints a la hora de detectarlo.
"Una tendencia continua y preocupante en nuestros datos e investigaciones muestra que el cifrado o, más exactamente, la falta de descifrado en el perímetro de la red, está ocultando la imagen completa de las tendencias de ataque de malware", explica Corey Nachreiner, director de seguridad de WatchGuard. "Es fundamental que los profesionales de la seguridad habiliten la inspección HTTPS para garantizar que estas amenazas se identifican y se abordan antes de que puedan hacer daño”.
Tendencias en ciberamenazas
El informe indica que las detecciones de ransomware en endpoints aumentaron un 627%. Este repunte pone de relieve la necesidad de defensas contra el ransomware, como modernos controles de seguridad para la prevención proactiva, así como buenos planes de recuperación ante desastres y copias de seguridad.
Las detecciones de programas maliciosos basados en la red descendieron aproximadamente un 9,2% trimestre a trimestre durante el cuarto trimestre. Se mantiene así un descenso general de las detecciones de programas maliciosos, pero, cuando se considera el tráfico web cifrado, el malware aumenta. Por otra parte, las detecciones de malware en endpoints aumentaron un 22%. Entre los principales vectores de ataque, la mayoría de las detecciones se asociaron con secuencias de comandos, que constituyeron el 90% de todas las detecciones. En las detecciones de malware del navegador, los actores de amenazas se dirigieron más a Internet Explorer con el 42% de las detecciones, seguido de Firefox con el 38%.
El malware de día cero o evasivo se ha reducido al 43% en el tráfico no cifrado. Aunque sigue siendo un porcentaje significativo de las detecciones de malware en general, es el más bajo que el equipo del Threat Lab ha visto en años. Dicho esto, la historia cambia por completo al observar las conexiones TLS. El 70% del malware sobre conexiones cifradas evade las firmas.
Las campañas de phishing han aumentado. La familia de malware más detectada, JS.A gent.UNS, contiene HTML malicioso que dirige a los usuarios a dominios que parecen legítimos y que se hacen pasar por sitios web conocidos. Otra variante, Agent.GBPM, crea una página de phishing de SharePoint titulada "PDF Salary Increase", que intenta acceder a la información de la cuenta de los usuarios. La última variante nueva en el top 10, HTML.Agent.WR, abre una página de notificación falsa de DHL en francés con un enlace de inicio de sesión que conduce a un dominio de phishing conocido. El phishing y el compromiso del correo electrónico empresarial (BEC) siguen siendo uno de los principales vectores de ataque, así que asegúrese de que dispone tanto de las defensas preventivas adecuadas como de programas de formación sobre concienciación de seguridad para defenderse de ellos.
LockBit sigue siendo un grupo de ransomware y una variante de malware prevalentes. El equipo del Threat Lab sigue observando variantes de LockBit con frecuencia, ya que este grupo parece ser el que más éxito tiene a la hora de vulnerar empresas (a través de sus filiales) con ransomware. Aunque menos que en el trimestre anterior, LockBit volvió a tener el mayor número de víctimas públicas de extorsión, con 149 rastreadas por WatchGuard Threat Lab (frente a las 200 del tercer trimestre). También en el cuarto trimestre, el equipo del Lab detectó 31 nuevos grupos de ransomware y extorsión.
