WatchGuard Technologies anunció el lanzamiento de su Informe de seguridad de Internet para el tercer trimestre de 2020.
La investigación clave revela cómo el COVID-19 ha impactado el panorama de amenazas a la seguridad, lo que sugiere que a pesar del cambio al trabajo remoto y un aumento en las redes, los atacantes continúan atacando dominios maliciosos relacionados con la pandemia y campañas de phishing.
«A medida que el impacto de COVID-19 continúa desarrollándose, nuestra inteligencia de amenazas proporciona información crítica sobre cómo los atacantes están adaptando sus tácticas«, dijo Corey Nachreiner, director de tecnología de watchGuard.
«Si bien no existe una ‘nueva normalidad’ en lo que respecta a la seguridad, las organizaciones pueden tener la seguridad de que aumentar la protección tanto para el EndPoint como para la red será una prioridad a partir de 2021.
También será importante adoptar un enfoque en capas para establecer la información de seguridad con servicios que pueden mitigar ataques evasivos y encriptados, sofisticadas campañas de phishing y más».
Los informes de seguridad de Internet de WatchGuard brindan a las empresas, sus socios y clientes finales datos sólidos, análisis de expertos e información sobre las últimas tendencias en malware y ataques a la red a medida que surgen y afectan el panorama de amenazas en evolución.
Los hallazgos clave del informe del tercer trimestre de 2020 incluyen:
Los ataques de red y las detecciones únicas alcanzaron máximos de dos años:
Los ataques a la red aumentaron a más de 3,3 millones en el tercer trimestre, un aumento del 90% con respecto al trimestre anterior y el nivel más alto en dos años. Las firmas únicas de ataques a la red también continuaron, también alcanzando un máximo de dos años en el tercer trimestre.
Estos resultados subrayan el hecho de que las organizaciones deben priorizar el mantenimiento y el fortalecimiento de la protección de los activos y servicios basados en la red, incluso cuando la fuerza laboral se aleja.
El fraude COVID-19 está en aumento:
En el tercer trimestre, se agregó una campaña de software publicitario con referencia al COVID-19 en sitios web utilizados con fines legítimos en apoyo por la pandemia a la lista de los 10 sitios web más vulnerables de WatchGuard.
WatchGuard también descubrió un ataque de phishing utilizando Microsoft SharePoint para alojar una página de pseudo inicio de sesión disfrazada de la ONU, y el enlace de correo electrónico contenía mensajes sobre el alivio de la ONU por parte de pequeñas empresas debido al COVID 19.
Estos resultados subrayan aún más que los atacantes seguirán utilizando el miedo, la incertidumbre y las dudas que rodean la crisis sanitaria mundial para atraer y engañar a sus víctimas.
Las empresas hacen clic en cientos de ataques de phishing y enlaces maliciosos:
Durante el tercer trimestre, el servicio DNSWatch de WatchGuard bloqueó un total de 2.764.736 conexiones de dominio maliciosas, lo que resultó en un total de 499 conexiones bloqueadas por la organización.
Para desglosarlo aún más, cada empresa podría haber llegado a 262 dominios con código malicioso, 71 sitios web comprometidos y 52 campañas de phishing.
En combinación con el aumento mencionado anteriormente en estafas convincentes de COVID-19, estos resultados ilustran la importancia de implementar servicios de filtrado de DNS y capacitación en conciencia de seguridad de los usuarios.
Los atacantes investigan los sistemas SCADA vulnerables en los Estados Unidos:
La nueva incorporación a la lista de ataques de red más extendida de WatchGuard en el tercer trimestre explota una vulnerabilidad de omisión de autenticación parcheada previamente en un sistema popular de monitoreo y recopilación de datos (SCADA).
Aunque esta clase de vulnerabilidad no es tan grave como un código de error de ejecución de código, aún puede permitir que un atacante tome el control del software SCADA que se ejecuta en el servidor.
Los atacantes atacaron casi el 50% de la red de EE. UU. Con esta amenaza en el tercer trimestre, enfatizando que los sistemas de control industrial podrían ser un área de enfoque importante para los malos actores en el próximo año.
La apariencia de LokiBot parece una de las variantes maliciosas más comunes:
Farelt, un ladrón de contraseñas que se parece a LokiBot, se dirigió a la lista de WatchGuard de las cinco detecciones de malware más frecuentes en el tercer trimestre. Si bien no está claro si la botnet Farelt utiliza la misma estructura de comando y control que LokiBot, existe una alta probabilidad de que el mismo grupo, SilverTerrier, haya creado ambas variantes de malware.
Esta botnet toma muchos pasos para evitar las comprobaciones de antivirus y engañar a los usuarios para que instalen malware. Durante su investigación de la amenaza, WatchGuard encontró pruebas sólidas de que el malware probablemente apuntó a muchas más víctimas de las que sugieren los datos.
Emotet persiste:
Emotet, un prolífico troyano bancario y conocido ladrón de contraseñas, debutó en la lista de los diez principales malware de WatchGuard por primera vez en el tercer trimestre y se perdió por poco la distribución de malware de la lista de los diez dominios principales (solo por unas pocas conexiones).
A pesar de estar en el puesto 11 en la última lista, esta apariencia es particularmente notable, ya que WatchGuard Threat Lab y otros equipos de investigación han visto que las infecciones actuales de Emotet desencadenan otros ataques/cargas útiles adicionales como Trickbot e incluso el ransomware Ryuk. No hay signos de desaceleración.
Los informes de investigación trimestrales de WatchGuard se basan en datos de alimentación de Firebox anónimos de dispositivos WatchGuard activos cuyos propietarios han optado por compartir datos para ayudar en los esfuerzos de investigación de Threat Lab.
En el tercer trimestre, casi 48.000 dispositivos WatchGuard contribuyeron con datos al informe (la mayor cantidad jamás registrada), bloqueando más de 21,5 millones de variantes de malware (450 por dispositivo) y más de 3,3 millones de amenazas de red (o alrededor de 70 detecciones por dispositivo).
Los dispositivos Firebox también continuaron su tendencia ascendente en el reconocimiento de firmas únicas, identificando y bloqueando colectivamente 438 firmas de ataques únicas. Esto corresponde a un aumento del 6,8% en comparación con el segundo y desde el cuarto trimestre de 2018.
El informe completo proporciona una investigación en profundidad y las mejores prácticas de defensa clave que pueden ayudar a las organizaciones de todos los tamaños a protegerse contra las amenazas de seguridad modernas.
El informe también incluye un análisis detallado del histórico ataque de Twitter que comprometió 130 cuentas de alto perfil para promover una estafa de bitcoin en julio de 2020.
