El informe de ciberseguridad de WatchGuard Q3 encuentra un aumento en los ataques de red y el malware entregado a través de TLS


El informe encuentra que más de la mitad de los ataques de malware en el tercer trimestre podrían eludir la protección contra malware basada en firmas.

watchguard-graphic2.jpg

Imagen: WatchGuard

El último Informe de seguridad de Online de WatchGuard encuentra que los ciberdelincuentes cambiaron su enfoque hacia los ataques a la crimson y el envío de malware a través de canales encriptados durante el tercer trimestre. Los investigadores de seguridad notaron que más de la mitad del malware que vieron en el tercer trimestre podría eludir la protección básica de malware basada en firmas, incluso si los equipos de seguridad escanean el tráfico cifrado. El informe también señaló que ha habido un aumento constante en los ataques de pink en el perímetro desde el primer trimestre, y gran parte del volumen proviene de herramientas automatizadas.

El informe se basa en datos de dispositivos de ciberseguridad utilizados por los clientes de WatchGuard, un flujo de datos que la empresa llama Firebox Feed. Esto incluye datos de DNSWatch, que tiene un componente de red y de cliente.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Otros aspectos destacados del informe del tercer trimestre de 2020 incluyen:

  • El 50% de los archivos maliciosos son malware de día cero, en comparación con el 64% del segundo trimestre, pero siguen siendo altos
  • El 54% del malware llegó a través de canales de comunicación cifrados.
  • Los ataques de purple y las detecciones de exploits únicos alcanzan máximos de dos años
  • DNSWatch bloqueó 2,7 millones de conexiones de dominio maliciosas
  • DNSWatch bloqueó 262 dominios de malware, 71 sitios world wide web comprometidos y 52 phishing por organización en el tercer trimestre
  • El ladrón de contraseñas FareIt apareció en las cinco principales detecciones de malware más extendidas de WatchGuard en el tercer trimestre

WatchGuard recomienda seguir estos pasos para aumentar las defensas de ciberseguridad:

  1. Realice una auditoría de datos para determinar qué datos corporativos son más importantes y dónde se encuentran en la purple.
  2. Proteja a sus usuarios con soluciones de protección de endpoints y autenticación multifactor
  3. No relajes tus defensas perimetrales
  4. Realice un seguimiento de las amenazas en evolución para mantener actualizada su estrategia de defensa

Aquí hay más detalles sobre cómo evolucionaron las amenazas de ciberseguridad durante el tercer trimestre.

Los ataques de pink más generalizados en el tercer trimestre de 2020

WatchGuard encontró un aumento del 90% en los ataques a la crimson durante el tercer trimestre. El número de firmas de ataques únicos también aumentó de 410 en el segundo trimestre de 2020 a 438 en el tercer trimestre. Las detecciones de malware han disminuido durante este mismo tiempo, ya que los ciberdelincuentes ajustan sus tácticas en respuesta a la tendencia del trabajo remoto. Los ataques de purple más generalizados que afectaron a la mayoría de las redes individuales de todo el mundo en el tercer trimestre fueron:

  1. Intento de inyección World-wide-web SQL -97.2
  2. Intento de inyección Website SQL -33
  3. Scripting Web entre sitios -36
  4. Scripting World wide web entre sitios -9
  5. Inyección World wide web de bytes nulos -7

WatchGuard señaló que uno de los ataques de purple más recientes apunta a una vulnerabilidad en un sistema de manage de handle de supervisión y adquisición de datos (SCADA) preferred. Este ataque es el número cinco en la lista anterior, también conocido como Signature 1133499. En 2016, la compañía que construyó este application parcheó una vulnerabilidad que podría haber permitido a un pirata informático eludir la autenticación y leer archivos en el servidor, según el informe de WatchGuard. Las plantas de energía, las empresas de petróleo y gas y las empresas de aviación utilizan estos sistemas SCADA. WatchGuard descubrió que el 46% de las redes SCADA en los EE. UU. Fueron blanco de esta amenaza en el tercer trimestre de 2020.

Actividad de malware y análisis de DNS en el tercer trimestre de 2020

El último informe de WatchGuard también revisó las tendencias generales de malware y realizó un análisis de DNS para detectar actividad maliciosa. En normal, el malware se redujo, pero hubo un aumento en el malware que llegó a través de conexiones de pink cifradas en comparación con el segundo trimestre.

Las cinco detecciones de malware más extendidas fueron:

  1. Adware.Popundr.B
  2. CVE-2017-11883.Gen
  3. RTF-obfsStrm.Gen
  4. Adware.Popunder.D
  5. Delf.Fareit.Gen.7

Las cinco principales detecciones de malware cifrado en el tercer trimestre fueron:

  1. GenéricoKD
  2. Adware.Popunder
  3. Mail.RKR
  4. Trohjan.MultiDrop
  5. SpamMalware

El malware evasivo y de día cero sigue siendo una amenaza, ya que muchas muestras de malware de día cero cambian con frecuencia, mientras que otras se transforman en cada copia, lo que hace que el anti-malware basado en firmas sea menos efectivo, como señala el informe.

La sección DNS del informe analizó los dominios que se han bloqueado con mayor frecuencia por alojar malware, alojar campañas de phishing y servir como servidores de comando y handle de malware. Estos servidores de comando y management son a menudo dominios que han sido secuestrados o modificados por piratas informáticos para cumplir este propósito. No hay nuevos participantes en la lista de dominios de malware principales, pero hay dos nuevos sitios en la lista de sitios comprometidos y seis nuevos dominios en la lista de phishing.

La violación de Twitter ilustra la necesidad de capacitación de los empleados

WatchGuard usó la brecha de Twitter en julio como un ejemplo de las vulnerabilidades de seguridad que vienen con las plataformas de redes sociales: «Todo lo que se necesita es que un empleado caiga en una trampa para deshacer por completo gran parte de las protecciones que puso en marcha para asegurar sus sistemas». Las empresas deben priorizar la formación periódica de phishing para evitar esto. WatchGuard también recomienda que las empresas también utilicen herramientas de visibilidad para detectar comportamientos sospechosos, como que varios empleados inicien sesión en una VPN desde la misma dirección IP.

Finalmente, las cuentas de alto perfil necesitan seguridad adicional. Esto va desde los miembros del equipo de TI hasta el director ejecutivo. WatchGuard señala que Twitter podría haber utilizado la detección de anomalías para evitar infracciones como esta, dada la enorme cantidad de datos que tiene la empresa sobre las publicaciones de los usuarios y el comportamiento histórico de los usuarios.

El informe del tercer trimestre revisa los errores que cometieron los piratas informáticos, así como las fallas en la respuesta de Twitter.

Ver también



Enlace a la noticia initial