El análisis de WatchGuard Threat Lab revela un aumento del malware evasivo

Las conclusiones más destacadas de la investigación también muestran el resurgimiento de los ataques de tipo «living-off-the-land», la continua mercantilización de los ciberataques y el declive del ransomware.

WatchGuard Technologies ha anunciado los resultados de su último Informe de Seguridad en Internet, que detalla las principales tendencias de malware y amenazas de seguridad de red y endpoints analizadas por los investigadores de WatchGuard Threat Lab.

Las principales conclusiones de los datos muestran un terrible incremento del malware evasivo que impulsó un gran aumento del malware total, los actores de amenazas que apuntan a los servidores de correo electrónico en las instalaciones como objetivos principales para explotar, y las detecciones de ransomware que continúan disminuyendo, potencialmente como resultado de los esfuerzos de desmantelamiento internacional de los grupos de extorsión de ransomware por parte de las fuerzas de seguridad.

«La última investigación del Threat Lab destaca que los actores de amenazas están empleando diversas técnicas en su búsqueda de vulnerabilidades, incluso en software y sistemas antiguos, por lo que las organizaciones deben adoptar un enfoque de defensa en profundidad para protegerse contra este tipo de amenazas», explica Corey Nachreiner, director de seguridad de WatchGuard. «Actualizar los sistemas y el software en los que confían las organizaciones es un paso vital para hacer frente a estas vulnerabilidades. Además, las plataformas de seguridad modernas que son operadas por proveedores de servicios gestionados pueden ofrecer la seguridad integral y unificada que las organizaciones necesitan y permitirles combatir las amenazas más recientes». 

Entre las principales conclusiones, el último Informe de Seguridad en Internet de WatchGuard, con datos del cuarto trimestre de 2023, muestra:

• El malware evasivo, básico y cifrado aumentó en el cuarto trimestre, impulsando un incremento del malware total. La media de detecciones de malware por Firebox aumentó un 80% con respecto al trimestre anterior, lo que ilustra el importante volumen de amenazas de malware que llegan al perímetro de la red. Desde el punto de vista geográfico, la mayoría del aumento de casos de malware afectó a América y Asia-Pacífico.

• También aumentan los casos de malware TLS y zero-day. Aproximadamente el 55% del malware llegó a través de conexiones cifradas, lo que supuso un incremento del 7% respecto al tercer trimestre. Las detecciones de malware zero-day  aumentaron hasta el 60% de todas las detecciones de malware, frente al 22% del trimestre anterior. Sin embargo, las detecciones de malware zero-day con TLS cayeron al 61%, un 10% menos que en el tercer trimestre, lo que demuestra la imprevisibilidad del malware que se propaga en el mundo real.

• Dos de las 5 variantes de malware más detectadas redirigen a la red DarkGate. Entre los 5 programas maliciosos más detectados se encuentran JS.Agent.USF y Trojan.GenericKD.67408266. Ambas variantes redirigen a los usuarios a enlaces maliciosos, y ambos cargadores de malware intentan cargar malware de DarkGate en el ordenador de la víctima.

• Aumento de las técnicas living-off-the-land. El cuarto trimestre mostró un resurgimiento de las amenazas basadas en secuencias de comandos, ya que éstas fueron las que más aumentaron como vector de ataque a endpoints, con un incremento de las amenazas detectadas del 77% con respecto al tercer trimestre. PowerShell fue el principal vector de ataque que el equipo del Threat Lab de WatchGuard vio utilizar a los hackers en los endpoints. Los exploits basados en navegadores también aumentaron significativamente, hasta un 56%.

• Cuatro de los cinco ataques de red más extendidos fueron ataques a servidores Exchange. Estos ataques están asociados específicamente a uno de los exploits ProxyLogon, ProxyShell y ProxyNotShell. Una firma ProxyLogon que apareció por primera vez entre los 5 ataques de red más extendidos en el cuarto trimestre de 2022 en el número 4 y ascendió al número 2 en el cuarto trimestre de 2023. Estos ataques ilustran la necesidad de reducir la dependencia de los servidores de correo electrónico locales para mitigar las amenazas a la seguridad.

• Continúa la mercantilización de los ciberataques, con una tendencia hacia las ofertas de «víctimas como servicio». Glupteba y GuLoader volvieron a figurar entre el top 10 de tipos de malware para endpoints más frecuentes en el cuarto trimestre, y regresaron como dos de las variantes más prolíficas analizadas durante el trimestre. Glupteba es un adversario particularmente formidable y sofisticado, debido en parte a que se dirige a víctimas de todo el mundo. Glupteba es un malware-as-a-service (MaaS) polifacético cuyas capacidades maliciosas incluyen la descarga de malware adicional, hacerse pasar por una botnet, robar información confidencial y minar criptomonedas con enorme sigilo.

• Los esfuerzos de desmantelamiento sofocan a los grupos de extorsión de ransomware. Una vez más, en el cuarto trimestre, nuestro Threat Lab informó de un descenso en las detecciones de ransomware en comparación con el trimestre anterior, observando una disminución del 20% en el volumen total durante los últimos tres meses de 2023. Los analistas de amenazas de WatchGuard también observaron un descenso en las infracciones públicas de ransomware y atribuyen esta tendencia a los continuos esfuerzos de las fuerzas de seguridad por desmantelar los grupos de extorsión de ransomware.

En consonancia con el enfoque de la Unified Security Platform de WatchGuard y las anteriores actualizaciones trimestrales de investigación de WatchGuard Threat Lab, los datos analizados en este informe trimestral se basan en inteligencia de amenazas anonimizada y agregada de productos activos de red y endpoint de WatchGuard cuyos propietarios han optado por compartir en apoyo directo a los esfuerzos de investigación de WatchGuard.

Para obtener una visión más detallada de la investigación de WatchGuard, descarga el Informe completo de Seguridad en Internet del cuarto trimestre de 2023 aquí: https://www.watchguard.com/wgrd-resource-center/security-report-q4-2023