Los ataques de malware sin fichero se disparan y los criptomineros reaparecen

Silvia

Redactora especializada en Seguridad y Tecnología.

Guardar

ciberseguridad cloud
ciberseguridad cloud

La compañía de ciberseguridad WatchGuard Technologies ha publicado una nueva edición de sus Informes trimestrales de Seguridad en Internet, el cual da a conocer a las empresas, a sus partners y a los clientes finales las últimas tendencias de malware, ataques a endpoints y a la red a medida que van surgiendo.

Esta última edición corresponde al cuarto trimestre de 2020 y uno de sus hallazgos más relevantes es que las tasas de ataques de malware sin fichero y criptomineros se dispararon casi un 900% y un 25% respectivamente, mientras que las cargas útiles de ransomware únicas  cayeron un 48% en 2020 en comparación con 2019. Además, ha descubierto que durante el cuarto trimestre de 2020 se produjo un aumento del 41% en las detecciones de malware cifrado con respecto al trimestre anterior, y que los ataques de red alcanzaron sus niveles más altos desde 2018.

"Los ataques están llegando a todos los frentes"

"El aumento de las tácticas con amenazas sofisticadas y evasivas en el último trimestre y a lo largo de 2020 muestra lo vital que es implementar soluciones de seguridad en capas de extremo a extremo", ha advertido Corey Nachreiner, director de tecnología de WatchGuard. "Los ataques están llegando a todos los frentes, ya que los ciberdelincuentes aprovechan cada vez más el malware sin fichero, los criptomineros, los ataques cifrados y más, y se dirigen a los usuarios tanto en ubicaciones remotas como a los activos corporativos detrás del perímetro de la red tradicional. La seguridad efectiva hoy en día significa dar prioridad a la detección y respuesta en los endpoints, a las defensas de red y a las precauciones fundamentales, como la formación en materia de seguridad y la gestión estricta de parches".

WatchGuard ha destacado las siguientes conclusiones de su informe de seguridad en internet correspondiente al cuarto trimestre del 2020. A continuación las repasamos siguiendo su información.

Los ataques de malware sin fichero se disparan

En 2020, los índices de malware sin fichero aumentaron un 888% respecto a 2019. "Estas amenazas pueden ser particularmente peligrosas debido a su capacidad para evadir la detección por parte de los clientes tradicionales de seguridad endpoint y porque pueden tener éxito sin que las víctimas hagan nada más allá de un clic en un enlace malicioso o visitar un sitio web comprometido sin saberlo", subraya WatchGuard.

Asimismo, indica que los kits de herramientas como PowerSploit y CobaltStrike permiten a los agentes de amenazas inyectar fácilmente código malicioso en otros procesos en ejecución y seguir operando incluso si las defensas de la víctima identifican y eliminan el script original. "El despliegue de soluciones de detección y respuesta en el endpoint, junto con el antimalware preventivo, pueden ayudar a identificar estas amenazas".

Los criptomineros aumentan tras la pausa de 2019

Según WatchGuard, a principios de 2018 se desplomaron prácticamente todos los precios de las criptomonedas y en 2019 las infecciones por criptomineros se volvieron mucho menos frecuentes y alcanzaron un mínimo de 633 detecciones de variantes únicas. Sin embargo, señala que posteriormente los atacantes continuaron añadiendo módulos de criptominería a las infecciones de botnets existentes y extrayendo ingresos pasivos de las víctimas mientras abusan de sus redes para cometer otros ciberdelitos.

"Como resultado, y con la tendencia al alza de los precios de nuevo en el cuarto trimestre de 2020, el volumen de detecciones de malware criptominero subió más de un 25% respecto a los niveles de 2019, hasta alcanzar 850 variantes únicas el año pasado".

El volumen de ataques de ransomware continúa reduciéndose

"Por segundo año consecutivo, el número de cargas útiles únicas de ransomware siguió una tendencia a la baja en 2020, cayendo a 2.152 cargas útiles únicas desde las 4.131 en 2019, y el máximo histórico de 5.489 en 2018", indica la firma de ciberseguridad, que aclara que estas cifras representan variantes individuales de ransomware que pueden haber infectado cientos o miles de endpoints en todo el mundo.

"La mayoría de estas detecciones fueron resultado de firmas implementadas originalmente en 2017 para detectar WannaCry y sus variantes relacionadas, lo que demuestra que las tácticas de ransomworm siguen prosperando más de tres años después de que WannaCry entrara en escena. El descenso constante del volumen de ransomware indica que los atacantes siguen abandonando las campañas generalizadas y desenfocadas del pasado para centrarse en ataques dirigidos contra organizaciones sanitarias, empresas manufactureras y otras víctimas para las que el tiempo de inactividad es inaceptable".

Los ataques de malware cifrado y evasivo experimentan un crecimiento de dos dígitos

Aunque es el cuarto trimestre consecutivo en el que disminuyen los volúmenes de malware en general, casi la mitad (47%) de todos los ataques que WatchGuard detectó en el perímetro de la red en el último trimestre estaban cifrados. Además, la firma resalta que el malware entregado a través de conexiones HTTPS creció un 41%, mientras que el malware zero-day cifrado (variantes que eluden las firmas antivirus) aumentó un 22% con respecto al tercer trimestre.

El malware en las redes de bots dirigido a dispositivos IoT y routers se convierte en una cepa principal

En el cuarto trimestre de 2020, el virus Linux.Generic (también conocido como "The Moon") debutó en la lista de las 10 principales detecciones de malware de WatchGuard. Según explica la compañía, este malware forma parte de una red de servidores que se dirigen directamente a los dispositivos IoT y a los dispositivos de red de consumo, como los routers, para explotar cualquier vulnerabilidad abierta. La investigación de WatchGuard descubrió malware específico para Linux diseñado para procesadores ARM y otra carga útil diseñada para procesadores MIPS dentro de la infraestructura del atacante, lo que evidencia un claro enfoque en los ataques evasivos contra dispositivos IoT.  

La brecha de SolarWinds refleja los peligros de los ataques a la cadena de suministro

"La sofisticada brecha en la cadena de suministro de SolarWinds, ataque supuestamente patrocinado por el Estado, tendrá grandes consecuencias en toda la industria de seguridad durante los próximos años", advierte este informe.

En este sentido también señala que sus efectos se extienden a cerca de un centenar de organizaciones, incluyendo algunas de las principales compañías de Fortune 500, grandes empresas de seguridad, e incluso el gobierno de Estados Unidos. La firma de ciberseguridad ha desglosado detalladamente este incidente y afirma que su análisis muestra la importancia de la defensa contra los ataques a la cadena de suministro en un ecosistema digital interconectado como el actual.

Un nuevo troyano engaña a los escáneres de correo electrónico con un enfoque de carga múltiple

"Script.1026663 entró en la lista de las cinco detecciones de malware más extendidas del cuarto trimestre. El ataque comienza con un correo electrónico en el que se pide a las víctimas que revisen un archivo adjunto con una lista de pedidos. El documento desencadena una serie de cargas útiles y códigos maliciosos que, en última instancia, llevan a la máquina víctima a cargar el ataque final: el troyano de acceso remoto (RAT) Agent Tesla y el keylogger", explica el estudio.

El volumen de ataques de red se acerca al máximo de 2018

Según los datos de WatchGuard, el número total de detecciones de ataques de red creció un 5% en el cuarto trimestre, alcanzando su nivel más alto en más de dos años. Además, la compañía señala que el total de firmas únicas de ataques de red también mostró un crecimiento constante con un aumento del 4% respecto al tercer trimestre. "Esto demuestra que, aunque el mundo siga operando de forma remota, el perímetro de la red corporativa sigue estando muy presente, ya que los agentes de las amenazas siguen apuntando a los activos locales".

El informe completo de seguridad en Internet del cuarto trimestre de 2020 de WatchGuard Technologies incluye detalles sobre tendencias adicionales de malware y ataques durante el cuarto trimestre de 2020, un análisis detallado del célebre ataque a la cadena de suministro de SolarWinds así como buenas prácticas de seguridad para sus lectores.