WatchGuard Technologies, líder global en inteligencia y seguridad de red, Wi-Fi seguro y autenticación multifactor, ha presentado su Informe Trimestral de Seguridad en Internet correspondiente al segundo trimestre de 2019. Por primera vez, el informe revela y clasifica los dominios más comunes que los atacantes utilizan para alojar malware y lanzar ataques de phishing, incluidos varios subdominios de sitios legítimos y Redes de Distribución de Contenido (CDN) como CloudFlare.net, SharePoint y Amazonaws.com. También se destaca que los módulos de la popular herramienta de testing de penetración Kali Linux se situaron en el top ten de la lista de malware por primera vez, o que el volumen de malware interanual aumentó un 64%, entre otras cosas.
«Esta edición del Informe de Seguridad en Internet expone los detalles de los métodos que utilizan los hackers para introducir emails con malware o phishing, escondiéndolos en dominios de hosting de contenido legítimo«, señala Corey Nachreiner, director de tecnología de WatchGuard Technologies. «Afortunadamente, hay varias maneras de defenderse contra esto, incluyendo el filtrado a nivel de DNS para bloquear las conexiones a sitios web maliciosos conocidos, servicios antimalware avanzados, autenticación multifactor para evitar ataques que aprovechen credenciales comprometidas y formación para ayudar a los empleados a reconocer los correos electrónicos de phishing. Ninguna defensa impedirá todos los ataques, por lo que la mejor manera de que las organizaciones se protejan es con una plataforma de seguridad unificada que ofrezca servicios de seguridad multicapa.”
El informe de seguridad en Internet de WatchGuard proporciona datos reales sobre las principales amenazas de seguridad, así como análisis detallados de los incidentes de seguridad más destacados y las mejores prácticas para ayudar a las organizaciones de todos los tamaños a proteger sus negocios y los datos de sus clientes. Las principales conclusiones del informe del segundo trimestre de 2019 incluyen:
- Ataques de malware y phishing que abusan de dominios legítimos – El servicio DNSWatch de WatchGuard intercepta las conexiones destinadas a dominios maliciosos conocidos a nivel de DNS y los redirige. Al rastrear los dominios maliciosos más comunes bloqueados por DNSWatch, WatchGuard puede identificar los dominios principales que alojan malware y ataques de phishing. Cabe destacar que varios de estos dominios son subdominios de CDN legítimas como CloudFront.net (que pertenece a Amazon) y sitios web legítimos para compartir archivos como my[.]mixtape[.]moe. Aunque este método de ataque no es nuevo, la investigación realizada por WatchGuard arroja luz sobre los dominios específicos utilizados en estos ataques.
- Kali Linux hace su debut en el top 10 de la lista de malware – Por primera vez en la historia, dos módulos del popular sistema operativo de hacking Kali Linux aparecen en la lista de malware más común de WatchGuard. Trojan.GenericKD, que cubre una familia de malware que crea una puerta trasera en un servidor de comando y control, y Backdoor.Small.DT, un shell-script web utilizado para crear puertas traseras en servidores web, ocuparon los puestos seis y siete de la lista. Esto podría indicar una creciente adopción de Kali Linux entre los atacantes, o más pruebas de penetración con Kali Linux por parte de auditores.
- Aumento significativo año tras año del volumen total de malware – En general, el volumen total de malware que ataca a los Firebox WatchGuard ha aumentado significativamente en comparación con el año pasado. Dos de los tres servicios de detección de malware de WatchGuard registraron un aumento del malware en el segundo trimestre de 2019 frente al segundo trimestre de 2018; uno bloqueó un 58% más y el otro un 68% más, lo que supone un incremento anual del 64%.
- Aumento generalizado del phishing y de exploits de Office – Dos piezas de malware (un ataque de phishing que amenaza con liberar información falsa y comprometedora sobre la víctima y un exploit de Microsoft Office) que aparecieron en la lista de malware más extendida en el primer trimestre de 2019 y en el cuarto trimestre de 2018 se han clasificado en la lista de los diez primeros por volumen. Esto demuestra que estas campañas van en aumento y están enviando un alto volumen de ataques a una amplia variedad de objetivos. Los usuarios deben actualizar Office regularmente e invertir en soluciones de seguridad antiphishing y de filtrado de DNS.
- La inyección SQL domina los ataques de red – Los ataques de inyección SQL representaron el 34% de todos los ataques de red detectados en el segundo trimestre de 2019 y han aumentado significativamente en volumen año tras año. Cualquiera que mantenga una base de datos SQL, o un servidor web con acceso a una, debe parchear los sistemas regularmente e invertir en un firewall de aplicación web.
- El malware se dirige cada vez más a Europa y a la región APAC – En el segundo trimestre de 2019, casi el 37% del malware se dirigió a la región EMEA, y varios ataques individuales se centraron en el Reino Unido, Italia, Alemania y Mauricio. APAC ocupó el segundo lugar, con un 36% de los ataques de malware. Las variantes de malware Razy y Trojan.phishing.MH en particular se dirigieron principalmente a la región APAC, con el 11% de las detecciones de Trojan.phishing.MH en Japón.
El Informe de Seguridad en Internet de WatchGuard se basa en datos anónimos de Firebox proveniente de un subconjunto de dispositivos UTM activos de WatchGuard, cuyos propietarios han aceptado compartir datos para apoyar los esfuerzos de investigación del Threat Lab. En la actualidad, 41.229 dispositivos en todo el mundo contribuyen al conjunto de datos del Informe de Seguridad en Internet. En total, estos dispositivos bloquearon más de 22.619.836 variantes de malware, a razón de 549 muestras por dispositivo. Además, estos dispositivos Firebox evitaron 2.265.425 ataques de red (60 por dispositivo), un aumento significativo desde el primer trimestre de 2019 que va en contra de las tendencias pasadas en el volumen de ataques de red.
El informe completo incluye estadísticas más detalladas sobre las tendencias de malware y ataques de red más impactantes del segundo trimestre de 2019, un análisis del ataque de ransomware RobbinHood que paralizó la ciudad de Baltimore en mayo de 2019 (y costó aproximadamente 17 millones de dólares por los daños causados), y consejos y mejores prácticas que los lectores pueden utilizar para protegerse mejor a sí mismos y a sus organizaciones.
Análisis de los ataques de ransomware Sodinokibi a MSP
El informe también contiene un análisis detallado del malware utilizado en los ataques de ransomware Sodinokibi que se aprovecha de los MSP. La investigación de WatchGuard Threat Lab muestra que los atacantes aprovecharon credenciales débiles, robadas o filtradas para obtener acceso administrativo a las herramientas de gestión legítimas que estos MSP utilizaban para supervisar y gestionar las redes de sus clientes, y luego las utilizaron para desactivar los controles de seguridad y ejecutar el ransomware Sodinokibi via PowerShell.