WatchGuard Technologies presentó los resultados de su último Informe de Seguridad en Internet. En el que se detallan las principales tendencias de malware y amenazas de seguridad de red y endpoint analizadas por los investigadores de WatchGuard Threat Lab durante el primer trimestre de 2023.
Las principales conclusiones de los datos revelan que los phishers aprovechan las estrategias de ingeniería social basadas en navegadores, la existencia de nuevo malware vinculado a estados-nación, grandes cantidades de malware zero-day, un aumento de los ataques ‘living-off-the-land’ y mucho más.
Las organizaciones necesitan prestar atención activa y continua a las soluciones y estrategias de seguridad existentes en las que confían sus negocios para mantenerse protegidas frente a amenazas cada vez más sofisticadas. “Los temas principales y las mejores prácticas correspondientes que nuestro Threat Lab ha esbozado para este informe en el que se enfatizan fuertemente las defensas de malware en capas para combatir los ataques living-off-the-land, lo que se puede hacer de manera sencilla y eficaz con una plataforma de seguridad unificada a cargo de proveedores de servicios gestionados”, afirma Corey Nachreiner, CSO de WatchGuard Technologies.
Entre las conclusiones más destacadas, el Informe de Seguridad en Internet del Q1 de 2023 reveló:
Nuevas tendencias de ingeniería social basadas en el navegador. Ahora que los navegadores web tienen más protecciones que evitan el abuso de ventanas emergentes, los atacantes han pasado a utilizar las funciones de notificaciones del navegador para forzar tipos de interacciones similares. En la lista de los principales dominios maliciosos de este trimestre también destaca un nuevo destino relacionado con la actividad de envenenamiento SEO.
Actores de amenazas de China y Rusia detrás del 75% de las nuevas amenazas en la lista Top-10 del primer trimestre. Tres de las cuatro nuevas amenazas que debutaron en la lista de los diez principales malware de este trimestre tienen fuertes vínculos con estados-nación, aunque esto no significa necesariamente que esos actores maliciosos se encuentren patrocinados por el estado.
Un ejemplo proveniente del último informe de WatchGuard es la familia de malware Zusy, que aparece por primera vez en la lista de los diez principales malware de este trimestre. Una de las muestras de Zusy encontradas por el Threat Lab se dirige a la población china con adware que instala un navegador infectado; el navegador se utiliza para secuestrar la configuración de Windows del sistema y como navegador predeterminado.
Persistencia de los ataques contra productos de Office, fin de la vida útil (EOL) del firewall ISA de Microsoft. Los analistas de Threat Lab observaron amenazas basadas en documentos y dirigidas contra productos de Office en la lista de programas maliciosos más extendidos este trimestre. En cuanto a la red, el equipo también observó que el firewall de Microsoft, Internet Security and Acceleration (ISA) Server, ya descatalogado, recibía un número relativamente alto de ataques. Teniendo en cuenta que este producto lleva mucho tiempo descatalogado y sin actualizaciones, resulta sorprendente que los atacantes lo tengan como objetivo.
Aumentan los ataques living-off-the-land. El malware ViperSoftX revisado en el análisis DNS del primer trimestre es el último ejemplo de malware que aprovecha las herramientas integradas en los sistemas operativos para completar sus objetivos. La continua aparición de malware basado en Microsoft Office y PowerShell en estos informes subraya la importancia de una protección de los endpoints que pueda diferenciar el uso legítimo del malicioso de herramientas populares como PowerShell.
Droppers de malware dirigidos a sistemas basados en Linux. Uno de los nuevos malware más detectados durante el primer trimestre fue un dropper de malware dirigido a sistemas basados en Linux. Lo anterior es un recordatorio de que el hecho de que Windows reine en el espacio empresarial no significa que las organizaciones puedan permitirse hacer la vista gorda ante Linux y macOS. Por ello es necesario incluir máquinas que no sean Windows cuando despliegue Endpoint Detection and Response (EDR) para mantener una cobertura completa de su entorno.
El malware de día cero es responsable de la mayoría de las detecciones. Este trimestre, el 70% de las detecciones procedían de malware de día cero en el tráfico web sin cifrar, y el 93% de las detecciones de malware de día cero en el tráfico web cifrado. El malware de día cero puede infectar dispositivos IoT, servidores mal configurados y otros dispositivos que no utilizan defensas robustas basadas en host como WatchGuard EPDR (Endpoint Protection Defense and Response).
Nuevas perspectivas basadas en datos de seguimiento de ransomware. Durante el Q1 de 2023, el Threat Lab contabilizó 852 víctimas publicadas en sitios de extorsión y descubrió 51 nuevas variantes de ransomware. Estos grupos de ransomware siguen publicando víctimas a un ritmo alarmantemente alto; algunas son organizaciones y empresas muy conocidas que figuran en la lista Fortune 500
De acuerdo con el enfoque de la Plataforma Unificada de Seguridad de WatchGuard y las actualizaciones de investigación trimestrales anteriores de WatchGuard Threat Lab, los datos analizados en este informe trimestral se basan en inteligencia de amenazas anonimizada y agregada de productos activos de red y endpoint de WatchGuard, cuyos propietarios han optado por compartir directamente los esfuerzos de investigación de WatchGuard.
Para este análisis del primer trimestre de 2023, el equipo de Threat Lab actualizó los métodos utilizados para normalizar, analizar y presentar los resultados del informe. Mientras que los resultados de investigaciones trimestrales anteriores se han presentado principalmente de forma agregada (como volúmenes totales globales), a partir de este trimestre y en adelante los resultados de seguridad de red se presentarán como promedios “por dispositivo” para todos los dispositivos de red informantes.
El informe completo incluye detalles adicionales sobre esta evolución y la justificación de la metodología actualizada, así como detalles sobre tendencias adicionales de malware, redes y ransomware del primer trimestre de 2023, estrategias de seguridad recomendadas, consejos de defensa críticos para empresas de todos los tamaños y de cualquier sector, y mucho más.
