El Informe de Seguridad en Internet del primer trimestre de 2020 destaca el peligro del malware cifrado

WatchGuard® Technologies ha hecho públicos los resultados de su Informe de Seguridad en Internet correspondientes al primer trimestre de 2020. Por primera vez, este informe incluye datos sobre el porcentaje de malware que se extiende entre los equipos en el mundo real entregado a través de conexiones HTTPS cifradas. La inteligencia de amenazas de WatchGuard muestra que el 67% de todo el malware del primer trimestre se entregó a través de HTTPS, por lo que las organizaciones sin soluciones de seguridad capaces de inspeccionar el tráfico cifrado se perderán dos tercios de las amenazas entrantes. Además, el 72% del malware cifrado fue clasificado como de día cero (lo que significa que no existe una firma antivirus para él, y evadirá las protecciones basadas en firmas). Estos hallazgos muestran que la inspección HTTPS y las soluciones avanzadas de detección y respuesta a amenazas basadas en el comportamiento son ahora requisitos para toda organización consciente de la seguridad.

«Algunas organizaciones son reacias a configurar la inspección HTTPS debido al trabajo adicional que implica, pero nuestros datos de amenazas muestran claramente que la mayoría del malware se entrega a través de conexiones cifradas y que dejar pasar el tráfico sin inspeccionar simplemente ya no es una opción», apunta Corey Nachreiner, director de tecnología de WatchGuard. «A medida que el malware se hace más avanzando y evasivo, el único enfoque fiable para la defensa es la implementación de un conjunto de servicios de seguridad en capas, incluyendo métodos avanzados de detección de amenazas e inspección HTTPS».

El Informe de Seguridad en Internet de WatchGuard prepara a las empresas medianas, a los proveedores de servicios que las apoyan y a los usuarios finales que trabajan para ellas con datos sobre las tendencias, investigación y mejores prácticas que necesitan para defenderse de las amenazas modernas de seguridad. A continuación se presentan las principales conclusiones del informe del primer trimestre de 2020:

• Los criptomineros Monero aumentan en popularidad. Cinco de los diez principales dominios que distribuyen malware en el Q1 (identificados por el servicio de filtrado DNS de WatchGuard, DNSWatch) alojaron o controlaron criptomineros Monero. Este repentino salto en la popularidad de los criptomineros podría deberse simplemente a su utilidad; añadir un módulo de criptominería al malware es una forma fácil de que los delincuentes online generen ingresos pasivos.
• Las variantes de malware Flawed-Ammyy y Cryxos se unen a las listas principales. El troyano Cryxos ocupó el tercer lugar en la lista de los cinco principales malware cifrados de WatchGuard y también el tercero en la lista de las cinco detecciones de malware más extendidas, dirigido principalmente a Hong Kong. Se entrega como un archivo adjunto de correo electrónico disfrazado de factura y pide al usuario que introduzca su correo electrónico y contraseña, que luego almacena. Flawed-Ammyy es una estafa de soporte en la que el atacante utiliza el software de control remoto multitareas Ammyy Admin para obtener acceso remoto al equipo de la víctima. 
• La vulnerabilidad de Adobe de hace tres años aparece entre los principales ataques de red. Un exploit de Adobe Acrobat Reader que fue parcheado en agosto de 2017 apareció en la lista de los principales ataques de red de WatchGuard por primera vez en el primer trimestre. Esta vulnerabilidad que resurge varios años después de haber sido descubierta y resuelta ilustra la importancia de parchear y actualizar los sistemas regularmente. 
• Mapp Engage, AT&T y Bet365 objetivos de campañas de spear phishing. Tres nuevos dominios que alojan campañas de phishing aparecieron en la lista de los diez principales de WatchGuard en el primer trimestre de 2020. Se hicieron pasar por el producto de análisis y marketing digital Mapp Engage, la plataforma de apuestas online Bet365 (esta campaña estaba en chino) y una página de inicio de sesión de AT&T (en el momento de la publicación del informe esta campaña ya no se encuentra activa).  
• Impacto del COVID-19. El primer trimestre de 2020 ha sido solo el comienzo de los cambios masivos en el panorama de las ciberamenazas provocadas por la pandemia de la COVID-19. Solo en estos tres primeros meses de 2020, hemos visto un aumento masivo de los trabajadores remotos y de los ataques dirigidos a individuos. 
• Disminuyen los ataques de malware y los ataques de red. En general, hubo un 6,9% menos de ataques de malware y un 11,6% menos de ataques de red en el primer trimestre, a pesar de un aumento del 9% en el número de Fireboxes que aportan datos. Esto podría atribuirse a una menor cantidad de objetivos potenciales que operan dentro del perímetro de la red tradicional por las políticas globales de trabajo remoto en plena vigencia durante la pandemia de COVID-19. 
• Gran Bretaña y Alemania, fuertemente atacadas por amenazas generalizadas de malware. La lista de malware más extendida de WatchGuard mostró que Alemania y Gran Bretaña han sido  los principales objetivos de casi todo el malware más frecuente en el primer trimestre.