Dos tercios del malware está cifrado y es invisible sin inspección HTTPS

La inteligencia de amenazas de WatchGuard muestra que el 67% de todo el malware del primer trimestre se entregó a través de HTTPS, por lo que las organizaciones sin soluciones de seguridad capaces de inspeccionar el tráfico cifrado se perderán dos tercios de las amenazas entrantes.

Además, el 72% del malware cifrado fue clasificado como de día cero (lo que significa que no existe una firma antivirus para él, y evadirá las protecciones basadas en firmas). Estos hallazgos muestran que la inspección HTTPS y las soluciones avanzadas de detección y respuesta a amenazas basadas en el comportamiento son ahora requisitos para toda organización consciente de la seguridad.

"Algunas organizaciones son reacias a configurar la inspección HTTPS debido al trabajo adicional que implica, pero nuestros datos de amenazas muestran claramente que la mayoría del malware se entrega a través de conexiones cifradas y que dejar pasar el tráfico sin inspeccionar simplemente ya no es una opción", apunta Corey Nachreiner, director de tecnología de WatchGuard.

"A medida que el malware se hace más avanzando y evasivo, el único enfoque fiable para la defensa es la implementación de un conjunto de servicios de seguridad en capas, incluyendo métodos avanzados de detección de amenazas e inspección HTTPS".

El Informe de Seguridad en Internet de WatchGuard prepara a las empresas medianas, a los proveedores de servicios que las apoyan y a los usuarios finales que trabajan para ellas con datos sobre las tendencias, investigación y mejores prácticas que necesitan para defenderse de las amenazas modernas de seguridad. A continuación se presentan las principales conclusiones del informe del primer trimestre de 2020:

Los criptomineros Monero aumentan en popularidad. Cinco de los diez principales dominios que distribuyen malware en el Q1 (identificados por el servicio de filtrado DNS de WatchGuard, DNSWatch) alojaron o controlaron criptomineros Monero. Este repentino salto en la popularidad de los criptomineros podría deberse simplemente a su utilidad; añadir un módulo de criptominería al malware es una forma fácil de que los delincuentes online generen ingresos pasivos.

Las variantes de malware Flawed-Ammyy y Cryxos se unen a las listas principales. El troyano Cryxos ocupó el tercer lugar en la lista de los cinco principales malware cifrados de WatchGuard y también el tercero en la lista de las cinco detecciones de malwere más extendidas, dirigido principalmente a Hong Kong.

Se entrega como un archivo adjunto de correo electrónico disfrazado de factura y pide al usuario que introduzca su correo electrónico y contraseña, que luego almacena. Flawed-Ammyy es una estafa de soporte en la que el atacante utiliza el software de control remoto multitareas Ammyy Admin para obtener acceso remoto al equipo de la víctima.

La vulnerabilidad de Adobe de hace tres años aparece entre los principales ataques de red. Un exploit de Adobe Acrobat Reader que fue parcheado en agosto de 2017 apareció en la lista de los principales ataques de red de WatchGuard por primera vez en el primer trimestre. Esta vulnerabilidad que resurge varios años después de haber sido descubierta y resuelta ilustra la importancia de parchear y actualizar los sistemas regularmente.

Mapp Engage, AT&T y Bet365 objetivos de campañas de spear phishing. Tres nuevos dominios que alojan campañas de phishing aparecieron en la lista de los diez principales de WatchGuard en el primer trimestre de 2020. Se hicieron pasar por el producto de análisis y marketing digital Mapp Engage, la plataforma de apuestas online Bet365 (esta campaña estaba en chino) y una página de inicio de sesión de AT&T (en el momento de la publicación del informe esta campaña ya no se encuentra activa).

Impacto del COVID-19. El primer trimestre de 2020 ha sido solo el comienzo de los cambios masivos en el panorama de las ciberamenazas provocadas por la pandemia de la COVID-19. Solo en estos tres primeros meses de 2020, hemos visto un aumento masivo de los trabajadores remotos y de los ataques dirigidos a individuos.

Disminuyen los ataques de malware y los ataques de red. En general, hubo un 6,9% menos de ataques de malware y un 11,6% menos de ataques de red en el primer trimestre, a pesar de un aumento del 9% en el número de Fireboxes que aportan datos.

Esto podría atribuirse a una menor cantidad de objetivos potenciales que operan dentro del perímetro de la red tradicional por las políticas globales de trabajo remoto en plena vigencia durante la pandemia de COVID-19.

Gran Bretaña y Alemania, fuertemente atacadas por amenazas generalizadas de malware. La lista de malware más extendida de WatchGuard mostró que Alemania y Gran Bretaña han sido los principales objetivos de casi todo el malware más frecuente en el primer trimestre.

Pruebas de terceros han encontrado que los productos de WatchGuard mantienen constantemente un alto rendimiento al inspeccionar el tráfico HTTPS. Muchos productos de la competencia muestran una degradación significativa en el rendimiento en este escenario. Por ejemplo, una prueba independiente realizada por Miercom encontró que el Firebox M370 superó a los productos de la competencia al inspeccionar el tráfico HTTPS con todos los servicios de seguridad habilitados.

Los hallazgos de los Informes de Seguridad en Internet de WatchGuard provienen de datos anónimos de Firebox Feed de dispositivos activos de WatchGuard cuyos propietarios han optado por compartir datos para respaldar los esfuerzos de investigación del Threat Lab.

Hoy en día, más de 44.000 dispositivos en todo el mundo aportan datos de inteligencia de amenazas al informe. En el primer trimestre de 2020, bloquearon más de 32.148.519 variantes de malware en total (730 muestras por dispositivo) y más de 1.660.000 ataques de red (38 ataques por dispositivo).

El informe completo también incluye las mejores prácticas de defensa que las organizaciones de todos los tamaños pueden utilizar para protegerse en el panorama de amenazas actual y un análisis detallado de cómo la pandemia de la COVID-19 y el cambio asociado al teletrabajo afectaron al panorama de la ciberseguridad.