Los ataques de ransomware en endpoints suben mientras baja el malware en red

WatchGuard Technologies ha publicado los resultados de su Informe de Seguridad en Internet correspondiente al último trimestre de 2022. En él se ve que según las últimas tendencias de malware y amenazas de seguridad en red, el ransomware en endpoints aumentó nada menos que un 627%, mientras que el malware asociado al phishing y sus campañas sigue siendo una amenaza problemática.

Los investigadores que han elaborado el informe han analizado los Fireboxes que descifran el tráfico HTTPS y han detectado más malware. Esto implica que la actividad del malware ha pasado al tráfico cifrado. Además, como solo el 20% de los Fireboxes que enviaron datos para la elaboración del informe tienen activo el descifrado, queda claro que la mayoría de programas dañinos no se logran detectar.

El 93% del malware está oculto tras el cifrado. La mayor parte de este está oculta en el cifrado SSL/TLS que usan las web seguras. en cuanto a las detecciones de malware basado en la red, en el último trimestre de 2022 bajaron un 9,2% con respecto al trimestre anterior. Eso sí, cuando se considera el tráfico web, el malware aumenta. En cuanto a las detecciones de malware en endpoint subieron un 22%, lo que refuerza que el malware ha cambiado para moverse por canales encriptados. Mientras, se calcula que el 70% del malware sobre conexiones cifradas evade las firmas.

Entre los principales vectores de ataque, la mayoría de detecciones se asociaron con secuencias de comandos (90% de los casos). En cuando a detecciones de malware del navegador, los actores de amenazas se centraron más en Internet Explorer, que sumó el 42% de detecciones. Le sigue Firefox, con un 38% de las detecciones.

El informe señala también que las campañas de phishing han aumentado, ya que tres de las 10 variantes de malware más utilizadas por los ciberatacantes colaboran en campañas de este tipo. La familia de malware más detectada, JS-A gent.UNS, contiene HTML malicioso que dirige a los usuarios a dominios que parecen auténticos y que suplantan a webs conocidas.

Otra variante, Agent.GBPM, crea una página de phishing de SharePoint titulada PDF Salary Increase y que intenta conseguir información de la cuenta de los usuarios. La tercera que aparece en esta lista de las variantes más populares de malware es HTML.Agent.WR, se ocupa de generar una página de notificación falsa de DHL en francés. Contiene un inicio de sesión que conduce a un dominio de phishing que ya es bastante conocido. El phishing y el correo electrónico siguen siendo los principales medios de ataque.

Los exploits del problema de Exchange ProxyLogin siguen en aumento, pues un exploit para él subió del octavo al cuatro puesto de un trimestre a otro en la lista de popularidad de malware. Por otra parte, el volumen de ataques de red sigue manteniéndose estable. En realidad, el número de ataques de este tipo solo ha aumentado en 35, el 0,0015%.

En cuanto a grupos de ransomware, LockBit sigue siendo prevalente, también como variante de malware. Siguen apareciendo variantes de LockBit con frecuencia, y el grupo parece ser el que más éxito tiene en vulneración de empresas con ransomware, a través también de sus filiales. LockBit volvió a tener en el trimestre el mayor número de víctimas de extorsión: 149. En cuanto a nuevos grupos dedicados a la extorsión y los ciberataques, WatchGuard Threat Lab detectó 31.