WatchGuard Technologies revela que 2/3 partes del malware están cifrados
WatchGuard Technologies, líder mundial en seguridad e inteligencia de red, Wi-Fi seguro, autenticación multifactor y protección avanzada de punto final, anunció hoy el lanzamiento de su Informe de Seguridad de Internet para el primer trimestre de 2020.
Por primera vez, este informe incluye datos sobre el porcentaje de malware que anda rondando, entregado a través de conexiones HTTPS cifradas. La inteligencia de amenazas de WatchGuard muestra que el 67% de todo el malware en Q1 se entregó a través de HTTPS, por lo que las organizaciones sin soluciones de seguridad capaces de inspeccionar el tráfico encriptado no verán dos tercios de las amenazas entrantes. Además, el 72% del malware cifrado se clasificó como día cero (lo que significa que no existe una firma antivirus contra él, y evadirá las protecciones basadas en firmas).
Estos hallazgos muestran que la inspección HTTPS y las soluciones avanzadas de detección y respuesta de amenazas basadas en el comportamiento son ahora requisitos para todas las organizaciones conscientes de la seguridad. El informe también incluye una sección especial que detalla el impacto de COVID-19 en el panorama de amenazas.
«Algunas organizaciones son reacias a configurar la inspección HTTPS debido al trabajo adicional involucrado, pero nuestros datos de amenazas muestran claramente que la mayoría del malware se entrega a través de conexiones encriptadas y que dejar pasar el tráfico sin inspeccionar ya no es una opción«, dijo Corey Nachreiner, Director de Tecnología de WatchGuard. «A medida que el malware continúa siendo más avanzado y evasivo, el único enfoque confiable para la defensa es implementar un conjunto de servicios de seguridad en capas, que incluyen métodos avanzados de detección de amenazas e inspección HTTPS«.
El Informe de seguridad de Internet de WatchGuard prepara a las empresas medianas, los proveedores de servicios que los respaldan y los usuarios finales que trabajan para ellos con datos sobre las tendencias, la investigación y las mejores prácticas que necesitan para defenderse de las amenazas de seguridad modernas.
Estos son los hallazgos clave del informe Q1 2020:
• Los criptomineros Monero aumentan en popularidad. Cinco de los diez principales dominios que distribuyen malware en Q1 (identificados por el servicio de filtrado de DNS de WatchGuard, DNSWatch), ya sea criptomineros Monero alojados o controlados. Este salto repentino en la popularidad de cryptominer podría deberse simplemente a su utilidad. Agregar un módulo de criptominería al malware es una manera fácil para que los delincuentes en línea generen ingresos pasivos.
• Las variantes de malware Flawed-Ammyy y Cryxos se unen a las listas principales. El troyano Cryxos fue tercero en la lista de los cinco principales códigos maliciosos cifrados de WatchGuard y también tercero en su lista de las cinco detecciones de malware más extendidas, principalmente dirigido a Hong Kong. Se entrega como un archivo adjunto de correo electrónico disfrazado de factura y le pedirá al usuario que ingrese su correo electrónico y contraseña, que luego almacena. Flawed-Ammyy es una estafa de soporte en la que el atacante usa el software de soporte Ammyy Admin para obtener acceso remoto a la computadora de la víctima.
• Vulnerabilidad de Adobe de tres años aparece en los principales ataques de red. Un exploit de Adobe Acrobat Reader que fue parcheado en agosto de 2017 apareció por primera vez en la lista de ataques de red principales de WatchGuard en el primer trimestre. Esta vulnerabilidad que resurgió varios años después de ser descubierta y resuelta ilustra la importancia de parchear y actualizar regularmente los sistemas.
• Mapp Engage, AT&T y Bet365 atacados con campañas de spear phishing. Tres nuevos dominios que alojan campañas de phishing aparecieron en la lista de los diez principales de WatchGuard en el primer trimestre de 2020. Se hicieron pasar por el producto de análisis y marketing digital Mapp Engage, la plataforma de apuestas en línea Bet365 (esta campaña estaba en chino) y una página de inicio de sesión de AT&T (esta campaña ya no está activa en el momento de la publicación del informe).
• Impacto COVID-19. El primer trimestre de 2020 fue solo el comienzo de los cambios masivos en el panorama de amenazas cibernéticas provocados por la pandemia COVID-19. Incluso en estos primeros tres meses de 2020, aún vimos un aumento masivo de trabajadores remotos y ataques contra individuos.
• Los ataques de malware y ataques de red disminuyen. En general, hubo un 6,9% menos de ataques de malware y un 11,6% menos de ataques de red en el primer trimestre, a pesar de un aumento del 9% en el número de Firebox que aportan datos. Esto podría atribuirse a una menor cantidad de objetivos potenciales que operan dentro del perímetro de la red tradicional con políticas mundiales de trabajo desde el hogar en plena vigencia durante la pandemia de COVID-19.
• Gran Bretaña y Alemania fuertemente atacadas por amenazas generalizadas de malware. La lista de malware más extendida de WatchGuard mostró que Alemania y Gran Bretaña eran los principales objetivos de casi todo el malware más frecuente en el primer trimestre.
Las pruebas de terceros han encontrado que los productos WatchGuard mantienen constantemente un alto rendimiento al inspeccionar el tráfico HTTPS. Muchos productos de la competencia muestran una degradación significativa en el rendimiento en este escenario. Por ejemplo, una prueba independiente realizada por Miercom encontró que el Firebox M370 superó a los productos de la competencia al inspeccionar el tráfico HTTPS con los servicios de seguridad completos habilitados.
Los hallazgos en los Informes de seguridad de Internet de WatchGuard provienen de datos anónimos de Firebox Feed de dispositivos activos de WatchGuard cuyos propietarios han optado por compartir datos para respaldar los esfuerzos de investigación de Threat Lab. Hoy, más de 44,000 dispositivos en todo el mundo aportan datos de inteligencia de amenazas al informe. En el primer trimestre de 2020, bloquearon más de 32,148,519 variantes de malware en total (730 muestras por dispositivo) y más de 1,660,000 ataques de red (38 ataques por dispositivo).
El informe completo incluye las mejores prácticas defensivas clave que las organizaciones de todos los tamaños pueden usar para protegerse en el panorama de amenazas actual y un análisis detallado de cómo la pandemia de COVID-19 y el cambio asociado a trabajar desde casa afectaron el panorama de seguridad cibernética.