WatchGuard anunció los hallazgos de su último Informe de Seguridad en Internet, que detalla las principales tendencias de malware y amenazas de seguridad en redes y puntos finales analizadas por los investigadores del WatchGuard Threat Lab en el primer trimestre de 2023.
«Las organizaciones deben prestar una atención más activa y continua a las soluciones de seguridad existentes y a las estrategias en las que confían sus negocios para mantenerse protegidos contra amenazas cada vez más sofisticadas», sostuvo Corey Nachreiner, director de Seguridad de WatchGuard.
Los principales hallazgos de los datos muestran a los estafadores aprovechando estrategias de ingeniería social basadas en navegadores, nuevos malwares con vínculos a estados nacionales, altas cantidades de malware zero day, un aumento en los ataques que aprovechan los recursos del sistema, y más.
Nuevas tendencias de ingeniería social basada en navegadores
Ahora que los navegadores web tienen más protecciones contra el abuso de ventanas emergentes, los atacantes han cambiado a utilizar las funciones de notificaciones del navegador para forzar interacciones similares. También es destacable de la lista de dominios maliciosos de este trimestre una nueva actividad relacionada con el envenenamiento SEO.
Nuevos actores de amenazas
Tres de las cuatro nuevas amenazas que debutaron en la lista de los diez primeros malwares de este trimestre tienen fuertes vínculos con estados nacionales, aunque esto no significa necesariamente que esos actores maliciosos estén respaldados por el gobierno. Un ejemplo del último informe de WatchGuard es la familia de malware Zuzy, que aparece por primera vez en la lista de los diez primeros malwares de este trimestre.
Una muestra de Zusy que el Laboratorio de Amenazas encontró se dirige a la población de China con adware que instala un navegador comprometido, luego se utiliza el navegador para secuestrar la configuración de Windows del sistema y como navegador predeterminado.
Persistencia de ataques contra productos de Office
Los analistas del Laboratorio de Amenazas continúan viendo amenazas basadas en documentos que apuntan a productos de Office en la lista de malware más extendido de este trimestre. En el ámbito de la red, el equipo también observó ataques contra el firewall Internet Security and Acceleration (ISA) de Microsoft, que ya ha sido descontinuado, y que recibió un número relativamente alto de ataques. Teniendo en cuenta que este producto ha sido descontinuado desde hace mucho tiempo y no recibe actualizaciones, resulta sorprendente ver que lo sigan atacando.
Aumento de los ataques de «living-off-the-land»
El malware ViperSoftX, revisado en el análisis de DNS del primer trimestre, es el último ejemplo de malware que aprovecha las herramientas integradas en los sistemas operativos para cumplir sus objetivos. La presencia continua de malware basado en Microsoft Office y PowerShell en estos informes trimestre tras trimestre subraya la importancia de contar con una protección de punto final que pueda diferenciar el uso legítimo y malicioso de herramientas populares como PowerShell.
Malware de distribución dirigido a sistemas basados en Linux
Una de las nuevas detecciones de programas malignos más frecuentes en el primer trimestre fue un distribuidor de malware dirigido a sistemas basados en Linux. Es un recordatorio impactante de que, aunque Windows sea el rey en el ámbito empresarial, esto no significa que las organizaciones puedan ignorar a Linux y macOS.
La mayoría de las detecciones son de malware de día cero
Durante los últimos tres meses, el 70% de las detecciones provinieron de malware de día cero a través de tráfico web no cifrado, y un asombroso 93% de las detecciones fueron de malware de día cero a través de tráfico web cifrado. El malware de día cero puede infectar dispositivos IoT, servidores mal configurados y otros dispositivos que no utilizan defensas sólidas basadas en el host como WatchGuard EPDR (Defensa y Respuesta de Punto Final).
Es preciso mencionar que, para este primer análisis del 2023, Threat Lab ha actualizado los métodos utilizados para normalizar, analizar y presentar los hallazgos del informe. Mientras que los resultados de investigaciones trimestrales anteriores se presentaban principalmente de forma agregada (como volúmenes totales globales), para esta ocasión -y en lo sucesivo-, los resultados de seguridad de la red se presentarán como promedios «por dispositivo» para todos los dispositivos de red informados.
