WatchGuard Technologies, líder mundial en seguridad e inteligencia de red, Wi-Fi seguro y autenticación multifactor, anunció el lanzamiento de su informe trimestral de seguridad de Internet para el segundo trimestre de 2019.
Por primera vez, el informe revela y clasifica los dominios más comunes que usan los atacantes para alojar malware y lanzar ataques de phishing, incluidos varios subdominios de sitios legítimos y redes de entrega de contenido (CDN) como CloudFlare.net, SharePoint y Amazonaws.com.
También destaca que los módulos de la popular herramienta de prueba de penetración de Kali Linux se ubicó en la lista de los diez principales malware por primera vez en el año, registrándose un aumento en el volumen de malware en un 64% y más.
«Esta edición del Informe de seguridad de Internet expone los detalles más oscuros de los métodos que los hackers utilizan para infiltrar malware o correos electrónicos de phishing en redes, ocultándose en contenido legítimo hospedado en servidores«, dijo Corey Nachreiner, Director de Tecnología de WatchGuard Technologies.
«Afortunadamente, hay varias formas de defenderse contra esto, incluido el filtrado de nivel DNS para bloquear conexiones a sitios web maliciosos conocidos, servicios avanzados antimalware, factores múltiples de autenticación para evitar ataques aprovechando credenciales comprometidas y capacitación para ayudar a los empleados a reconocer los correos electrónicos de phishing.
Ninguna defensa evitará cada ataque, así que lo mejor forma en que las organizaciones pueden protegerse es con una plataforma de seguridad unificada que ofrece múltiples servicios de seguridad en capas«.
El Informe de seguridad de Internet de WatchGuard proporciona datos del mundo real sobre las principales amenazas de seguridad, también como análisis detallados de los principales incidentes de seguridad y las mejores prácticas para ayudar a las organizaciones de todos los tamaños a proteger sus negocios y los datos de sus clientes.
Los hallazgos claves del informe del segundo trimestre de 2019 incluyen:
1–Ataques de malware y phishing que abusan de dominios legítimos:
El servicio DNSWatch intercepta conexiones destinadas a dominios maliciosos conocidos en el Nivel DNS y los redirige. Al rastrear los dominios maliciosos más comunes bloqueados por DNSWatch, WatchGuard puede identificar los principales dominios que alojan ataques de malware y phishing.
Es de destacar que varios de estos dominios son subdominios de CDN legítimos como CloudFront.net (que pertenece a Amazon) y sitios web legítimos para compartir archivos como mi [.] mixtape [.] moe. Si bien este método de ataque no es nuevo, la investigación de WatchGuard arroja luz sobre los dominios específicos utilizados en estos ataques.
2–Kali Linux hace su debut en la lista de los diez principales programas maliciosos:
Por primera vez, los dos módulos del popular sistema operativo de piratería Kali Linux aparecen en la lista de WatchGuard como el malware más común.
Trojan.GenericKD, que cubre una familia de malware que crea una puerta trasera para un servidor de comando y control, y Backdoor.Small.DT, una web shell script utilizado para crear puertas traseras en servidores web, eran los números seis y siete en la lista. Esto podría indicar una creciente adopción entre actores maliciosos o más en las pruebas de penetración realizadas por hackers de sombrero blanco con Kali Linux.
3-Aumento significativo año tras año en el volumen general de malware:
En general, el volumen total de malware que WatchGuard Fireboxes ha visto ha aumentado significativamente en comparación al año pasado.
Dos de los tres servicios de detección de malware de WatchGuard vieron aumento de malware en el segundo trimestre de 2019 más que en el segundo trimestre de 2018; uno bloqueó 58% más y el otro bloqueó 68% más, resultando en un aumento general interanual del 64% de ataques.
4-El phishing generalizado y el malware de explotación de Office aumentan: Dos piezas de malware (un ataque de phishing que amenaza con liberar información falsa que compromete la víctima y un exploit de Microsoft Office) ha aparecido como el más extendido.
La lista de malware en Q1 2019 y Q4 2018 se ha graduado a la lista de los diez más vistos por volumen. Esta ilustra que estas campañas están en aumento, enviando un gran volumen de ataques en una amplia gama de objetivos. Los usuarios deben actualizar Office regularmente e invertir en anti phishing y soluciones de seguridad de filtrado de DNS.
5-La inyección de SQL domina los ataques de red:
Los ataques de inyección de SQL representan el 34% de todos ataques de red detectados en el segundo trimestre de 2019 y han aumentado significativamente en volumen año tras año (un ataque específico aumentó más del 29,000% del segundo trimestre de 2018 al segundo trimestre de 2019).
Cualquiera que mantenga una base de datos SQL, o un servidor web con acceso a una base de datos, debería actualizar los sistemas regularmente e invertir en un firewall de aplicaciones web.
6-El malware se dirige cada vez más a Europa y APAC:
En el segundo trimestre de 2019, casi el 37% del malware apuntó a la región EMEA, con varios ataques individuales centrados en el Reino Unido, Italia, Alemania y Mauricio. APAC quedó en segundo lugar, objetivo del 36% del total ataques de malware. Las variantes de malware Razy y Trojan.Phishing.MH en particular principalmente dirigido a la región APAC, con el 11% de las detecciones Trojan.Phishing.MH encontradas en Japón.
El Informe de seguridad de Internet de WatchGuard se basa en datos anónimos de Firebox Feed de un subconjunto de dispositivos activos WatchGuard UTM cuyos propietarios han optado por compartir datos para apoyar los esfuerzos de investigación de Threat Lab.
Hoy, 41,229 electrodomésticos en todo el mundo contribuyen al grupo de datos del Informe de seguridad de Internet. En total, esos electrodomésticos bloquearon más de 22,619,836 variantes de malware, a una tasa de 549 muestras por dispositivo. Además, los dispositivos Firebox evitaron 2.265.425 ataques de red (60 por dispositivo), un aumento significativo desde el primer trimestre 2019 que va en contra de las tendencias pasadas en el volumen de ataques a la red.
El informe completo incluye estadísticas más detalladas sobre el malware más impactante y tendencias de ataque de red del segundo trimestre de 201; un análisis del ataque de ransomware RobbinHood que paralizó la ciudad de Baltimore en mayo de 2019 (y costó aproximadamente $17 millones en total en daños); consejos y mejores prácticas que los lectores pueden utilizar para protegerse mejor y a sus organizaciones.
Análisis de los ataques de MSP Sodinokibi Ransomware
El informe también contiene un análisis detallado del malware real utilizado en Sodinokibi MSP ataques de ransomware. La investigación de WatchGuard Threat Lab muestra que los atacantes aprovecharon las credenciales débiles, robadas o filtradas para obtener acceso administrativo a legítimas herramientas de administración que estos MSP utilizaron para monitorear y administrar las redes de sus clientes, luego usaron estas herramientas para deshabilitar los controles de seguridad, organizando y entregando el ransomware Sodinokibi a través de PowerShell.
Para obtener más información, descargue el informe completo aquí.
