Lectura oscura | Seguridad | Proteja el negocio



Las organizaciones que dependen de herramientas tradicionales basadas en firmas para detectar amenazas de seguridad probablemente habrían pasado por alto aproximadamente tres cuartas partes de las muestras de malware que afectaron a sus redes y sistemas el último trimestre, según muestra un nuevo análisis.

WatchGuard Technologies analizó recientemente los datos de amenazas recopilados de las redes de los clientes durante el primer trimestre de 2021 y descubrió que el 74% de las amenazas detectadas eran malware de día cero para el que no había firmas antivirus disponibles en el momento del lanzamiento del malware. Como resultado, el malware fue capaz de eludir las herramientas de detección de amenazas basadas en firmas y violar los sistemas empresariales.

El nivel de detecciones de malware de día cero en el primer trimestre fue el más alto que WatchGuard haya observado en un solo trimestre y eclipsó por completo el volumen de amenazas tradicionales, dijo el proveedor de seguridad en un informe esta semana.

«La conclusión principal es que las empresas, y las organizaciones de todos los tamaños en realidad, deben tomarse en serio la detección proactiva de malware», dice Corey Nachreiner, director de seguridad de WatchGuard. Los atacantes han mejorado constantemente en el reempaquetado de malware antiguo de manera que su perfil binario no coincide con las huellas dactilares y los patrones anteriores utilizados para detectarlo. En el pasado, este tipo de «empaquetado y cifrado» requería delincuentes inteligentes. En estos días, las herramientas están fácilmente disponibles en los mercados clandestinos que facilitan a los atacantes seguir alterando digitalmente el mismo malware para que pueda eludir los sistemas basados ​​en firmas, dice.

Hace unos años, dicho malware de día cero representaba alrededor del 30% de todas las muestras de malware detectadas. Más recientemente, ese número ha rondado el rango del 50% y ocasionalmente alcanzó el 60%. Ver que ese número alcanzó el 74% en el primer trimestre fue un poco sorprendente, dice Nachreiner. «La detección de malware basada en patrones ya no es suficiente con los volúmenes de malware nuevo que vemos hoy», dice. «Los productos antivirus tradicionales por sí solos evitarán muchas amenazas».

Lo que agrava el problema es el uso continuo de técnicas sin archivos o de vivir fuera de la tierra (LotL) que están diseñadas explícitamente para evadir las herramientas de detección tradicionales, que se centran en inspeccionar archivos y entradas de registro.

Un ejemplo particularmente atroz de tal amenaza sin archivos en el primer trimestre fue XML.JSLoader. «En última instancia, fue JavaScript oculto en un archivo XML lo que generó PowerShell, una de las técnicas LotL más comunes que existen», dice Nachreiner. El malware fue una de las cinco nuevas familias de malware que rompió la lista de WatchGuard de los 10 principales malware por volumen en el primer trimestre. Los otros fueron Ursu, Trojan.IFrame, Zmutzy y Zum.Androm.

«Es difícil decir exactamente por qué esta amenaza alcanzó un volumen tan alto y se extendió», señala sin embargo, probablemente tuvo que ver con el hecho de que XML.JSLoader no contenía archivos y los atacantes tuvieron éxito al infectar sistemas con él.

Aumentan los volúmenes de ataques de crimson

En otros desarrollos, los volúmenes de ataques a la pink alcanzaron un máximo de tres años en el primer trimestre de este año. Análisis de WatchGuard mostró más de 4,2 millones de visitas a sus sistemas de prevención de intrusiones en las suites de clientes. En promedio, los dispositivos Firebox de la compañía bloquearon 113 ataques por dispositivo, un aumento del 47% con respecto al trimestre anterior. El aumento common en los volúmenes de ataques a la crimson se produjo en medio de una disminución en los volúmenes de malware en la red.

«Creemos que este patrón habla de los cambios en el trabajo remoto que siguieron a la pandemia», señala Nachreiner.

Antes del segundo trimestre de 2020, los ataques a la pink y la detección de malware aumentaban trimestre tras trimestre en la puerta de enlace de la purple. Desde que comenzó la pandemia, los atacantes se han centrado más en los puntos finales de los empleados remotos. La tendencia ha provocado una disminución en las detecciones de malware en la purple. Sin embargo, los ataques a la pink, como los que explotan las vulnerabilidades del application en los servidores empresariales y los servicios de crimson, han seguido creciendo. De hecho, es posible que las empresas incluso hayan expuesto más servicios de crimson para permitir un mejor acceso remoto a los recursos corporativos.

«En otras palabras, algunas de estas tendencias hablan más de dónde detectamos ahora ciertas amenazas debido al trabajo remoto», dice Nachreiner. «La detección de malware en la actualidad se basa más en el punto closing, ya que los empleados domésticos no tienen una seguridad de purple sofisticada, pero aún necesita el perímetro de su red para proteger sus servidores en la nube y la oficina».

Curiosamente, y en contra de una tendencia que al menos un par de otros proveedores han informado, WatchGuard dice que observó una disminución en el malware que usa comunicaciones cifradas durante el primer trimestre de 2021. Según el proveedor, el malware enviado a través de comunicaciones cifradas se redujo a menos de 44 % en el último trimestre, marcando una caída del 10% desde el tercer trimestre de 2020 y una caída del 3% desde el cuarto trimestre de 2020. WatchGuard dice que también observó el mismo patrón con el malware de día cero. Otras empresas, como como Sophos, han informado todo lo contrario: un fuerte aumento del malware que utiliza comunicación cifrada entre el último trimestre y los trimestres anteriores.

Nachreiner dice que una posible razón es que muchos clientes de WatchGuard simplemente no han habilitado la inspección HTTPS en su dispositivo Firebox porque implica cierto grado de trabajo. De lo contrario, WatchGuard también ha observado, en basic, un aumento constante del malware que usa TLS en los últimos años. «Esperamos que cada vez más malware aproveche el cifrado a medida que más y más sitios internet legítimos utilizan solo HTTPS», afirma.

El panorama de amenazas en el primer trimestre de 2021 destaca la necesidad de que las organizaciones implementen protecciones que vayan más allá de las herramientas basadas en firmas y patrones. Las organizaciones necesitan cada vez más controles para bloquear las amenazas antes de que se ejecuten y para detectarlas y responder a ellas después de la ejecución.

«En normal, las soluciones de protección de endpoints (EPP) se enfocan en prevenir la ejecución previa de malware, mientras que las soluciones de detección y respuesta de endpoints (EDR) se enfocan en detectar malware que podría haber ingresado a su sistema y se está ejecutando», dice Nachreiner.



Enlace a la noticia initial