WatchGuard avisa del aumento del malware evasivo a través de conexiones cifradas

La empresa de ciberseguridad unificada para MSP WatchGuard Technologies ha publicado los resultados de su último informe de seguridad en Internet, un análisis trimestral que señala los principales malwares y amenazas de seguridad para el endpoint y la red detectados por sus investigadores del WatchGuard Threat Lab entre abri y junio. Entre sus resultados destaca un aumento trimestral del 40% en el malware avanzado y evasivo.

Además, los datos destacan los canales cifrados como el vector de ataque que prefieren los ciberdelincuentes. Para ello suelen utilizar cada vez más el protocolo de cifrado TLS (Transport Layer Security, o Seguridad de la capa de transporte) para enmascarar las cargas maliciosas.

En general, la detección de malware subió un 15% en el periodo analizado en el informe de WatchGuard, gracias al aumento del 85% de GAV (Gatewat AntiVirus) y una mejora del 10% de IntelligentAV (IAV), lo que señala el papel creciente de IAV en la detección de amenazas sofisticadas.

Además, como el 70% del malware se distribuye mediante conexiones cifradas, los resultados señalan la cada vez mayor dependencia de los atacantes de la ocultación y el sigilo. También la necesidad de que las empresas mejoren la visibilidad del tráfico cifrado flexibilicen sus estrategias de protección.

En WatchGuard Threat Lab también han observado un aumento de un 8,3% en los ataques de red, y una reducción de la diversidad de ataques. En este caso, detectaron 380 firmas únicas, menos que las 412 del trimestre anterior. Además, destaca la aparición de una nueva detección de JavaScript malicioso, «WEB-CLIENT JavaScript Obfuscation in Exploit Kits», una amenaza nueva que emplea la ofuscación como técnica de evasión para saltarse los controles heredados.

Los resultados muestran además que, aunque aparecen exploits nuevos, los atacantes siguen apostando por vulnerabilidades antiguas y empleadas ampliamente en navegadores, marcos web y herramientas open source. Por otro lado, han subido un 26% las amenazas de malware nuevas y únicas. Esto muestra que el uso de técnicas de cifrado de empaquetado, un tipo de evasión de malware, es cada vez más habitual. Estas amenazas eluden la detección basada en firmas.

Además, los ataqus de ransomware bajaron un 47%, lo que refleja un cambio hacia ataques menos numerosos pero de más impacto, enfocados a objetivos de perfil alto, lo que ocasiones consecuencias más graves. También merece la pena destacar que el número de grupos de extorsión ha aumentado, con Akira y Qilin entre los más agresivos.

Los droppers dominaron el malware de red, lo que indica la preferencia de los atacantes con infecciones en varias. etapas. Un 70% de las detecciones más comunes correspondieron a cargas útiles de primera fase. Entre ellos Trojan.VBA, Agent.BIZ y el ladrón de credenciales PonyStealer. Estas cargas aprovechan macros activadas por el usuario para conseguir una primera intrusión.

La botnet Mirai apareció de nuevo después de cinco años, con una concentración de actividad sobre todo en Asia-Pacífico, mientras que el malware zero-day sigue dominando el panorama con más del 76% de todas las detecciones y casi el 90% del malware cifrado.Además, las amenazas basadas en DNS persisitieron en el periodo analizado en el informe de WatchGuard. Entre ellas hay dominios relacionados con el troyano de acceso remoto DarkGate, lo que refuerza la importancia del filtrado DNS como capa defensiva de gran importancia.