Las investigaciones indican que las conexiones cifradas se han convertido en el método preferido para la distribución de programas maliciosos, lo que supone un mayor riesgo para las organizaciones que no descifran el tráfico.
Así se destaca en el Informe de Seguridad en Internet de WatchGuard Technologies, donde se detallan las principales tendencias de malware y amenazas de seguridad de red y endpoint en el cuarto trimestre de 2022.
«Una tendencia continua y preocupante en nuestros datos e investigaciones muestra que el cifrado -o, más exactamente, la falta de descifrado en el perímetro de la red- está ocultando la imagen completa de las tendencias de ataque de malware«, explica Corey Nachreiner, director de seguridad de WatchGuard.
Conexiones cifradas y seguridad
Aunque ha habido una disminución general del malware, el WatchGuard Threat Lab ha descubierto que hay una mayor incidencia de malware detectado en el tráfico cifrado, según se analizaron los Fireboxes que descifran el tráfico HTTPS (TLS/SSL).
Solo el 20% de los Fireboxes que proporcionaron datos para el informe tenían activado el descifrado, lo que sugiere que la mayoría de los programas maliciosos no se detectan. Otros hallazgos importantes del Informe de Seguridad en Internet del cuarto trimestre incluyen:
- Las detecciones de ransomware en endpoints aumentaron un 627%. Este repunte pone de relieve la necesidad de defensas contra el ransomware, como modernos controles de seguridad para la prevención proactiva, así como buenos planes de recuperación ante desastres y continuidad de la actividad empresarial (copias de seguridad)
- El 93% del malware se oculta tras el cifrado. Las investigaciones del Threat Lab siguen indicando que la mayor parte del malware se oculta en el cifrado SSL/TLS utilizado por los sitios web seguros. En el cuarto trimestre se mantuvo esta tendencia, con un aumento del 82% al 93%. Es probable que los profesionales de la seguridad que no inspeccionan este tráfico estén pasando por alto la mayor parte del malware, lo que aumenta la responsabilidad de la seguridad de los endpoints a la hora de detectarlo
- Las detecciones de programas maliciosos basados en la red descendieron aproximadamente un 9,2% trimestre a trimestre durante el cuarto trimestre. Se mantiene así un descenso general de las detecciones de programas maliciosos en los dos últimos trimestres. Pero, como ya se ha mencionado, cuando se considera el tráfico web cifrado, el malware aumenta. El equipo del Threat Lab cree que esta tendencia a la baja puede no ilustrar el panorama completo y necesita más datos que aprovechen la inspección HTTPS para confirmar esta afirmación
Las investigaciones indican que las conexiones cifradas se han convertido en el método preferido para la distribución de programas maliciosos
- Las detecciones de malware en endpoints aumentaron un 22%. Si bien las detecciones de malware de red cayeron, la detección en endpoints aumentó en el cuarto trimestre. Esto respalda la hipótesis del equipo del Threat Lab de que el malware cambia a canales encriptados. En el endpoint, el cifrado TLS es un factor menor, ya que un navegador lo descifra para que lo vea el software de endpoint del Threat Lab.
- El malware de día cero o evasivo se ha reducido al 43% en el tráfico no cifrado. Aunque sigue siendo un porcentaje significativo de las detecciones de malware en general, es el más bajo que el equipo del Threat Lab ha visto en años. Dicho esto, la historia cambia por completo al observar las conexiones TLS. El 70% del malware sobre conexiones cifradas evade las firmas.
- Las campañas de phishing han aumentado. Tres de las variantes de malware que se ven en la lista del top 10 del informe (algunas también se muestran en la lista generalizada) colaboran en diversas campañas de phishing. La familia de malware más detectada, JS.A gent.UNS, contiene HTML malicioso que dirige a los usuarios a dominios que parecen legítimos y que se hacen pasar por sitios web conocidos. Otra variante, Agent.GBPM, crea una página de phishing de SharePoint titulada «PDF Salary Increase», que intenta acceder a la información de la cuenta de los usuarios. La última variante nueva en el top 10, HTML.Agent.WR, abre una página de notificación falsa de DHL en francés con un enlace de inicio de sesión que conduce a un dominio de phishing conocido.
- Los exploits de ProxyLogin siguen creciendo. Un exploit para este conocido y crítico problema de Exchange pasó del octavo puesto en el tercer trimestre al cuarto el trimestre pasado. Hace tiempo que debería estar parcheado, pero si no es así, los profesionales de seguridad deben saber que los atacantes lo tienen en el punto de mira. Las vulnerabilidades antiguas pueden ser tan útiles para los atacantes como las nuevas si son capaces de lograr un compromiso. Además, muchos atacantes siguen teniendo como objetivo los servidores Microsoft Exchange o los sistemas de gestión. Las organizaciones deben ser conscientes y saber dónde poner sus esfuerzos para defender estas áreas
- El volumen de ataques de red se mantiene estable trimestre tras trimestre. Técnicamente, ha aumentado en 35 ataques, lo que supone un aumento de tan sólo el 0,0015%. El ligero cambio es notable, ya que el siguiente cambio más pequeño fue de 91,885 del primer al segundo trimestre de 2020
- LockBit sigue siendo un grupo de ransomware y una variante de malware prevalentes. El equipo del Threat Lab sigue observando variantes de LockBit con frecuencia, ya que este grupo parece ser el que más éxito tiene a la hora de vulnerar empresas (a través de sus filiales) con ransomware. Aunque menos que en el trimestre anterior, LockBit volvió a tener el mayor número de víctimas públicas de extorsión, con 149 rastreadas por WatchGuard Threat Lab (frente a las 200 del tercer trimestre). También en el cuarto trimestre, el equipo del Lab detectó 31 nuevos grupos de ransomware y extorsión.
