Más del 90% del malware del segundo trimestre se ocultó en el tráfico cifrado



Las organizaciones que no han implementado controles para detectar malware oculto en el tráfico de pink cifrado corren el riesgo de que una gran mayoría de herramientas maliciosas se distribuyan de forma salvaje y afecten a sus dispositivos terminales.

Un estudio de la actividad de amenazas realizado por WatchGuard Systems utilizando datos anónimos recopilados de las redes de los clientes mostró que el 91,5% de las detecciones de malware en el segundo trimestre de 2021 involucraron malware que llegó a través de conexiones cifradas HTTPS. Solo el 20% de las organizaciones tienen actualmente mecanismos para descifrar y escanear el tráfico HTTPS en busca de malware, lo que significa que el 80% restante corre el riesgo de perder nueve décimas partes del malware que llega a sus redes a diario, dijo WatchGuard.

Corey Nachreiner, director de seguridad de WatchGuard, dice que una de las razones por las que más organizaciones no han habilitado los controles de descifrado HTTPS basados ​​en la pink se debe a la complejidad percibida y algo serious de esta configuración.

«[For] El descifrado de intermediario funciona sin estropear la santidad de los certificados HTTPS que aseguran ese tráfico, debe configurar un certificado CA intermedio o raíz que sea parte del proceso oficial de verificación del certificado «, dice.

Hay varias formas de hacer esto, algunas de las cuales son complicadas y otras no tan complicadas.

«En resumen, se necesita algo de trabajo para hacer esto por primera vez, y crear excepciones para que comience a funcionar bien, por lo que algunos no hacen el esfuerzo», dice Nachreiner. «Pero creemos firmemente que vale la pena el esfuerzo porque, de lo contrario, la seguridad de su pink se perderá mucho».

El punto de datos sobre malware cifrado es uno entre varios en un informe WatchGuard lanzado esta semana que destacó tendencias preocupantes para las organizaciones en el frente del malware.

El análisis de WatchGuard, por ejemplo, mostró que el número de ataques basados ​​en scripts o sin archivos en los primeros seis meses de este año ya había alcanzado el 80% del whole para todo 2020. Los datos del último trimestre sugirieron que el malware sin archivos está activo. pista para duplicar su volumen este año en comparación con 2020.

Al igual que el malware cifrado, los ataques sin archivos, como los que involucran el uso de JavaScript, PowerShell y Visual Primary, son otra amenaza que algunas herramientas antivirus (AV) no detectan fácilmente.

«Si bien no siempre es así, muchos de estos scripts pueden diseñarse para lanzar ataques que viven fuera de la tierra, lo que significa que nunca dejan archivos maliciosos en un endpoint», señala Nachreiner. «Más bien, continúan usando secuencias de comandos y acceso privilegiado, las credenciales elevadas o de la víctima, para continuar con sus actividades maliciosas».

Por lo tanto, las herramientas de detección de malware centradas en archivos pueden pasarlas por alto, dice.

Malware de día cero y otras tendencias
Las detecciones de malware de día cero disminuyeron un 9% con respecto al trimestre anterior, pero aún representaron un alarmante 64% de todas las muestras de malware en el segundo trimestre. Ese número es otra razón por la que las herramientas de detección de AV basadas en firmas no son suficientes.

“Los atacantes han reempaquetado de malware automatizado, lo que significa que el mismo malware se puede hacer para que se vea diferente en la superficie para cada víctima”, dice Nachreiner.

Las organizaciones necesitan cada vez más tecnologías de detección, como modelos de aprendizaje automático o análisis de comportamiento, que puedan detectar de forma proactiva el malware que parece nuevo sin tener que esperar a que el proveedor de antivirus publique una firma.

A nivel macro, las detecciones de malware en el perímetro de la empresa disminuyeron casi un 4%, incluso cuando los volúmenes de ataques a la purple aumentaron más allá de los volúmenes del último trimestre a otro máximo de tres años. El número overall de ataques a la crimson el último trimestre alcanzó los 5,2 millones, lo que representa un aumento del 22,3% con respecto al primer trimestre. Los números destacaron una tendencia que otros proveedores han notado sobre un cambio en el enfoque de los atacantes después de que la pandemia de COVID-19 forzó un cambio a un entorno de trabajo más distribuido.

«Creemos que esto se debe simplemente a la pandemia, que ha hecho que la mayoría de los empleados basados ​​en el conocimiento trabajen desde casa», dice Nachreiner. Dado que el malware tiende a apuntar a los usuarios dondequiera que reciban correo electrónico o naveguen por la Internet, agrega, los atacantes se han centrado en los empleados remotos.

«Ahora que están haciendo esas cosas desde casa. Están fuera del perímetro de la crimson de su organización, por lo que no vemos tanto malware en el perímetro», dice. Eso no significa necesariamente que los volúmenes de malware en normal hayan disminuido, advierte. Los datos solo indican que los productos de seguridad de punto remaining, y no los controles de pink perimetral, ahora están viendo la mayor parte del malware, señala Nachreiner.

Mientras tanto, los atacantes de crimson continuaron atacando servidores y servicios que todavía están en la oficina o en la nube. Varios investigadores de seguridad han notado cuántos de estos servidores y servicios están algo menos protegidos que antes porque hay más empleados, incluido el individual de seguridad de la información, que trabajan desde casa.



Enlace a la noticia primary