Agencias / Ciudad de México.- El informe de seguridad de Internet para el segundo trimestre de 2020 de WatchGuard, sostiene, el 70% de los ataques cibernéticos involucraron malware de día cero.

Esto representa un incremento del 12% con respecto al primer trimestre de 2020. Estos malware de día cero buscan eludir las firmas de los antivirus, por ello el apetito de los ciberdelincuentes. Ante esto, a medida que se incrementan las variantes de malware de día cero, el nuevo informe subraya la importancia de la seguridad por capas.

Mediante un comunicado enviado a Corey Nachreiner, director de tecnología de WatchGuard dijo, “las empresas no son las únicas que han ajustado sus operaciones debido a la pandemia global de Covid-19; los ciberdelincuentes también lo han hecho“. El informe de seguridad brinda una visión detallada de las más recientes tendencias de ataques.

Los ataques por malware disminuyeron un 8% en el segundo trimestre, no obstante, los atacantes están ejecutando estrategias bien planeadas, en parte debido a los cambios de hábitos de los usuarios, causados por la pandemia del virus SARS-CoV-2. Esto dificulta las defensas tradicionales de productos antimalware tradicionales por estar basados en firmas. 

“Todas las organizaciones deben priorizar la detección de amenazas basada en el comportamiento, el espacio aislado en la nube y un conjunto de servicios de seguridad en capas para proteger tanto la red central como las fuerzas de trabajo remotas”, agrega el director de tecnología.

Cinco hallazgos del informe de seguridad de internet

Atacantes aprovechan las amenazas evasivas y cifradas: el malware de día cero representó más del 66% de las detecciones totales en el segundo trimestre, mientras que los ataques enviados a través de conexiones HTTPS cifradas representaron el 34%. Las organizaciones que no pueden inspeccionar el tráfico cifrado perderán un tercio de las amenazas entrantes. Aunque el porcentaje de amenazas que utilizan cifrado disminuyó del 64% en el primer trimestre, el volumen de malware cifrado con HTTPS aumentó drásticamente.

JavaScript en aumento: el script de estafa Trojan.Gnaeus hizo su debut en la parte superior de la lista de los 10 principales malware de WatchGuard para el segundo trimestre, representando casi una de cada cinco detecciones. Gnaeus permite a los actores de amenazas secuestrar el control del navegador de la víctima con código ofuscado y redirigir, a la fuerza, lejos de sus destinos web previstos a dominios bajo el control del atacante. Una manera de combatir esta amenaza consiste en evitar que los usuarios carguen extensiones del navegador de fuentes desconocida y mantener los navegadores actualizados.

Microsoft Excel siempre en la mira: Los archivos cifrados sirven para ocultar malware como el XML-Trojan.Abracadabra, una nueva incorporación a la lista de las 10 principales detecciones de malware. Esta metodología muestra un rápido crecimiento en popularidad desde que surgió la técnica en abril de 2020. Abracadabra es una variante del software malicioso que se entrega como un archivo de la popular hoja de cálculos con la contraseña “VelvetSweatshop”. Una vez abierta la hoja de cálculos, la aplicación descifra automáticamente el archivo y un script de macro VBA descarga y ejecuta un archivo. El uso de una contraseña predeterminada permite que este malware eluda muchas soluciones antivirus básicas, ya que el archivo está cifrado y luego descifrado por Excel. WatchGuard recomienda, las organizaciones nunca deben permitir macros de una fuente que no sea de confianza.

Un antiguo ataque DoS (ataque de negación de servicios) altamente explotable regresa: una vulnerabilidad de 2014 cuyo foco es WordPress y Drupal, apareció en el top 10 principales ataques de red por volumen en el segundo trimestre. Esta vulnerabilidad es particularmente grave porque afecta a todas las instalaciones de Drupal y WordPress sin parches y crea escenarios de DoS en los que los malos actores pueden causar el agotamiento de la CPU y la memoria en el hardware subyacente. A pesar del alto volumen de estos ataques, estaban hiperconcentrados en unas pocas docenas de redes principalmente en Alemania. Dado que los escenarios de DoS requieren un tráfico sostenido a las redes de las víctimas, esto significa que existe una gran probabilidad de que los atacantes seleccionaran sus objetivos intencionalmente.

Los dominios de malware aprovechan los servidores de comando y control para causar estragos: dos nuevos destinos se incluyeron en la lista de dominios más importantes del segundo trimestre. El sitio más común fue findresults [.] Com, Que usa un servidor C&C para una variante del troyano Dadobra que crea un archivo ofuscado y un registro asociado para garantizar que el ataque se ejecute y pueda filtrar datos confidenciales y descargar software malicioso adicional cuando los usuarios inician sistemas Windows. Un usuario alertó al equipo de WatchGuard sobre Cioco-froll [.] Com, que utiliza otro servidor C&C para admitir una variante de botnet Asprox y proporciona una baliza C&C para que el atacante sepa que ha ganado persistencia y está listo participar en la botnet. El firewall DNS puede ayudar a las organizaciones a detectar y bloquear este tipo de amenazas independientemente del protocolo de aplicación para la conexión.

WatchGuard informó, la investigación de ataques cibernéticos se basan en datos anónimos de sus dispositivos activos, cuyos propietarios comparten la información. Esto favorece los esfuerzos de investigación de Threat Lab, en particular el de malware de día cero. Según la firma especializada en ciberseguridad, casi 42 mil dispositivos contribuyeron con datos para la elaboración del informe. Además, la tecnología propietaria de la firma de Seattle bloqueó más de 28,5 millones de variantes de malware y más de 1,75 millones de amenazas de red.

Comentarios desactivados en Provienen de malware ‘día cero’ 70% de ataques cibernéticos