El 67% de todo el malware que surgió durante el primer trimestre del año se entregó a través de HTTPS y un 72% del malware cifrado se clasificó como día cero (lo que significa que no existe una firma antivirus contra él, y evadirá las protecciones basadas en firmas), son algunos resultados del Informe de Seguridad de Internet para el primer trimestre de 2020, realizado por WatchGuard Technologies.
Estos hallazgos muestran que la inspección HTTPS y las soluciones avanzadas de detección y respuesta de amenazas basadas en el comportamiento son ahora requisitos para todas las organizaciones conscientes de la seguridad. El informe también incluyó una sección especial que detalla el impacto de COVID-19 en el panorama de amenazas.
“Algunas organizaciones son reacias a configurar la inspección HTTPS debido al trabajo adicional involucrado, pero nuestros datos de amenazas muestran claramente que la mayoría del malware se entrega a través de conexiones encriptadas y que dejar pasar el tráfico sin inspeccionar ya no es una opción”, dijo Corey Nachreiner, director de Tecnología de WatchGuard.
“A medida que el malware continúa siendo más avanzado y evasivo, el único enfoque confiable para la defensa es implementar un conjunto de servicios de seguridad en capas, que incluyen métodos avanzados de detección de amenazas e inspección HTTPS”.
Estos son los hallazgos clave del informe Q1 2020:
• Los criptomineros Monero aumentan en popularidad. Cinco de los diez principales dominios que distribuyen malware en Q1 (identificados por el servicio de filtrado de DNS de WatchGuard, DNSWatch), ya sea criptomineros Monero alojados o controlados. Este salto repentino en la popularidad de cryptominer podría deberse simplemente a su utilidad. Agregar un módulo de criptominería al malware es una manera fácil para que los delincuentes en línea generen ingresos pasivos.
• Las variantes de malware Flawed-Ammyy y Cryxos se unen a las listas principales. El troyano Cryxos fue tercero en la lista de los cinco principales códigos maliciosos cifrados de WatchGuard y también tercero en su lista de las cinco detecciones de malware más extendidas, principalmente dirigido a Hong Kong. Se entrega como un archivo adjunto de correo electrónico disfrazado de factura y le pedirá al usuario que ingrese su correo electrónico y contraseña, que luego almacena. Flawed-Ammyy es una estafa de soporte en la que el atacante usa el software de soporte Ammyy Admin para obtener acceso remoto a la computadora de la víctima.
• Vulnerabilidad de Adobe de tres años aparece en los principales ataques de red. Un exploit de Adobe Acrobat Reader que fue parcheado en agosto de 2017 apareció por primera vez en la lista de ataques de red principales de WatchGuard en el primer trimestre. Esta vulnerabilidad que resurgió varios años después de ser descubierta y resuelta ilustra la importancia de parchear y actualizar regularmente los sistemas.
• Mapp Engage, AT&T y Bet365 atacados con campañas de spear phishing. Tres nuevos dominios que alojan campañas de phishing aparecieron en la lista de los diez principales de WatchGuard en el primer trimestre de 2020. Se hicieron pasar por el producto de análisis y marketing digital Mapp Engage, la plataforma de apuestas en línea Bet365 (esta campaña estaba en chino) y una página de inicio de sesión de AT&T (esta campaña ya no está activa en el momento de la publicación del informe).
• Impacto COVID-19. El primer trimestre de 2020 fue solo el comienzo de los cambios masivos en el panorama de amenazas cibernéticas provocados por la pandemia COVID-19. Incluso en estos primeros tres meses de 2020, aún vimos un aumento masivo de trabajadores remotos y ataques contra individuos.
• Los ataques de malware y ataques de red disminuyen. En general, hubo un 6,9% menos de ataques de malware y un 11,6% menos de ataques de red en el primer trimestre, a pesar de un aumento del 9% en el número de Firebox que aportan datos. Esto podría atribuirse a una menor cantidad de objetivos potenciales que operan dentro del perímetro de la red tradicional con políticas mundiales de trabajo desde el hogar en plena vigencia durante la pandemia de COVID-19.
• Gran Bretaña y Alemania fuertemente atacadas por amenazas generalizadas de malware. La lista de malware más extendida de WatchGuard mostró que Alemania y Gran Bretaña eran los principales objetivos de casi todo el malware más frecuente en el primer trimestre.
El informe completo incluye las mejores prácticas defensivas clave que las organizaciones de todos los tamaños pueden usar para protegerse en el panorama de amenazas actual y un análisis detallado de cómo la pandemia de COVID-19 y el cambio asociado a trabajar desde casa afectaron el panorama de seguridad cibernética.