Escuelas, las más afectadas por ransomware: el 60% fueron atacadas en 2021

Compartí esta noticia !

Sophos, líder mundial en ciberseguridad de última generación, publicó el Estado del Ransomware en la Educación 2022, que revela que el 60% de las instituciones educativas, tanto en el nivel básico como superior, se vieron afectadas por el ransomware en 2021, un incremento considerable desde el 44 % en 2020. 

El reporte indica, además, que las instituciones educativas enfrentaron la tasa de cifrado de datos más alta (73%) en comparación con el promedio global de los sectores investigados por Sophos (65%); además, el tiempo de recuperación es el más largo, ya que el 7% tardó al menos tres meses en recuperarse, casi el doble del tiempo medio del resto de las industrias (4%).

Los principales hallazgos del reporte señalan que:

  • Las instituciones educativas son las más propensas a experimentar impactos operativos y comerciales de los ataques de ransomware en comparación con otros sectores; el 97% de los encuestados de educación superior y el 94% de los encuestados de nivel básico dicen que los ataques afectaron su capacidad para operar.
  • En el caso de las organizaciones privadas de educación superior, el 96% informaron que tuvieron pérdidas comerciales y de ingresos. Ese porcentaje es del 92% en el caso de las organizaciones privadas de nivel básico.
  • Apenas el 2% de las instituciones educativas recuperaron todos sus datos cifrados después de pagar un rescate (frente al 4% en 2020); las escuelas, en promedio, pudieron recuperar el 62% de los datos cifrados después de pagar rescates (frente al 68% en 2020)
  • Las instituciones de educación superior, en particular, registran el tiempo de recuperación de ransomware más largo; mientras que el 40% dice que se tarda al menos un mes en recuperarse (20% para otros sectores), el 9% informa que se tarda de tres a seis meses.

Las escuelas se encuentran entre las más afectadas por el ransomware. Son los principales objetivos de los atacantes debido a su falta general de fuertes defensas de ciberseguridad y la ‘mina de oro’ de los datos personales que poseen”, dijo Chester Wisniewski, científico investigador principal de Sophos. “Las instituciones educativas tienen menos probabilidades que otras de detectar ataques en curso, lo que naturalmente conduce a mayores tasas de éxito en la vulneración y en el cifrado de datos”, añade.

“Considerando que los datos cifrados generalmente son registros confidenciales de los estudiantes, el impacto es mucho mayor de lo que experimentaron la mayoría de las industrias. Incluso si se restaura una parte de los datos, no hay garantía de qué información devolverán los atacantes, lo que incrementa aún más los costos de recuperación y, a veces, incluso las puede llevar a la bancarrota. Desafortunadamente, estos ataques no se detendrán, por lo que la única forma de salir adelante es priorizar la creación de defensas contra el ransomware para identificar y mitigar los ataques antes de que sea posible el cifrado”, explica.

Curiosamente, las instituciones educativas informan la tasa más alta de pago de seguro cibernético en reclamos de ransomware (100% educación superior, 99% educación básica). Sin embargo, en su conjunto, el sector tiene una de las tasas más bajas de cobertura de seguros cibernéticos contra ransomware (78% frente al 83% de otros sectores).

“Cuatro de cada 10 escuelas dicen que menos proveedores de seguros les ofrecen cobertura, mientras que casi la mitad (49%) informan que el nivel de seguridad cibernética que necesitan para calificar para la cobertura ha aumentado”, dijo Wisniewski. “Los proveedores de seguros cibernéticos se están volviendo más selectivos cuando se trata de aceptar clientes, y las organizaciones educativas necesitan ayuda para cumplir con estos estándares más altos. Con presupuestos limitados, las escuelas deben trabajar en estrecha colaboración con profesionales de seguridad confiables para garantizar que los recursos se asignen a las soluciones correctas que brindarán los mejores resultados de seguridad y también ayudar a cumplir con los estándares de seguros”.

Derivado de los resultados de la encuesta, los expertos de Sophos recomiendan las siguientes prácticas para todas las organizaciones, de este y otros sectores:

  • Instalar y mantener defensas de alta calidad en todos los puntos del entorno. Revisar los controles de seguridad regularmente y asegurarse de que continúen satisfaciendo las necesidades de la organización.
  • Buscar amenazas de manera proactiva para identificar y detener a los adversarios antes de que puedan ejecutar ataques; si el equipo no tiene el tiempo o las habilidades para hacerlo internamente, se debe subcontratar a un equipo de Detección y respuesta administrada (MDR).
  • Reforzar el entorno de TI buscando y cerrando brechas de seguridad clave: dispositivos sin parches, máquinas sin protección y puertos RDP abiertos, por ejemplo. Las soluciones de detección y respuesta extendidas (XDR) son ideales para este propósito.
  • Prepararse para lo peor y tener un plan actualizado para un incidente.
  • Realizar copias de seguridad y practicar la restauración a partir de ellas para garantizar que se minimicen las interrupciones y el tiempo de recuperación.

El Estado del Ransomware en Educación 2022 se hizo mediante encuestas a 5600 profesionales de TI, incluidos 320 encuestados de educación básica y 410 encuestados de educación superior, en organizaciones medianas (100-5000 empleados) en 31 países.

Compartí esta noticia !

El 2022 romperá el récord de detecciones anuales de ransomware

Compartí esta noticia !

WatchGuard Technologies, líder mundial en inteligencia y seguridad de red avanzada, anunció hoy los resultados del Informe de Seguridad en Internet trimestral, que detalla las principales tendencias de malware y amenazas de seguridad de red analizadas por los investigadores de WatchGuard Threat Lab. 

Los principales hallazgos de la investigación revelaron que las detecciones de ransomware en el primer trimestre de este año duplicaron el volumen total informado para 2021, la red de bots Emotet regresó a gran escala, la vulnerabilidad del Log4Shell triplicó sus esfuerzos de ataque, aumentando la actividad maliciosa de cryptomining y mucho más. 

“Basándonos en el aumento inicial de ransomware de este año y los datos de trimestres anteriores, predecimos que 2022 romperá nuestro récord de detecciones anuales de ransomware”, mencionó Corey Nachreiner, Director de Seguridad de WatchGuard.“Seguimos instando a las empresas a que no solo se comprometan a implementar medidas simples pero de importancia crítica, sino que también adopten un verdadero enfoque de seguridad unificado que pueda adaptarse rápida y eficientemente a las amenazas crecientes y en evolución”.

Otros hallazgos clave de este Informe de Seguridad de Internet que analiza datos del primer trimestre de 2022, incluyen:

  • Ransomware nuclear – Aunque los hallazgos del Informe de Seguridad de Internet del cuarto trimestre de 2021 de Threat Lab mostraron que los ataques de ransomware han tenido una tendencia a la baja año tras año, todo eso cambió en el primer trimestre de 2022 con una explosión masiva en las detecciones de ransomware. Sorprendentemente, la cantidad de ataques de ransomware detectados en el primer trimestre ya ha duplicado la cantidad total de detecciones para 2021.
  • LAPSUS$ surge tras la caída de REvil – El cuarto trimestre de 2021 vio la caída de la infame cuadrilla cibernética REvil, que, en retrospectiva, abrió la puerta para que surgiera otro grupo: LAPSUS$. El análisis del primer trimestre de WatchGuard sugiere que el grupo de ransomware LAPSUS$, junto con muchas nuevas variantes de ransomware como BlackCat, primer ransomware conocido en el lenguaje escrito de programación Rust, que podrían ser factores que contribuyen a un panorama de amenazas de ransomware en constante aumento. 
  • Log4Shell hace su debut en la lista de los 10 principales ataques a la red- Publicada a principios de diciembre de 2021, la vulnerabilidad Apache Log4j2, también conocida como Log4Shell, debutó en la lista de los 10 principales ataques a la red, a finales de este trimestre. En comparación con las detecciones de IPS agregadas en el cuarto trimestre de 2021, la firma de Log4Shell prácticamente se triplicó en el primer trimestre de este año. Destacado como el principal incidente de seguridad en el Informe de Seguridad de Internet anterior de WatchGuard, Log4Shell atrajo la atención por obtener un puntaje perfecto de 10.0 en CVSS, la máxima crítica posible para una vulnerabilidad por su uso generalizado en programas Java y el nivel de facilidad en la ejecución de código arbitrario. 
  • Regreso de Emotet –  Emotet representa tres de las 10 detecciones principales y el malware más extendido este trimestre, luego de su resurgimiento en el cuarto trimestre de 2021. Las detecciones de Trojan.Vita, apuntaron fuertemente a Japón, apareció en la lista de los cinco principales programas maliciosos cifrados y Trojan.Valyria, en la que ambos usan exploits en Microsoft Office para descargar el botnet Emotet. La tercera muestra de malware relacionada con Emotet, MSIL.Mensa.4, puede propagarse a través de dispositivos de almacenamiento conectados y, en su mayoría, redes específicas en los EE. UU. Los datos de Threat Lab indican que Emotet actúa como cuentagotas, descargando e instalando el archivo desde un servidor de entrega de malware.
  • Los scripts de PowerShell lideran el aumento de los ataques a endpoints – Las detecciones generales de endpoints para el primer trimestre aumentaron aproximadamente un 38 % con respecto al trimestre anterior. Los scripts, específicamente de PowerShell, fueron el vector de ataque dominante. Los scripts, que representan el 88 % de todas las detecciones, superaron por sí solos la cantidad de detecciones generales de puntos de conexión más allá de la cifra informada para el trimestre anterior. Las secuencias de comandos de PowerShell fueron responsables del 99,6 % de las detecciones de secuencias de comandos en el primer trimestre, lo que muestra cómo los atacantes se están moviendo hacia ataques sin archivos y sin conexión utilizando herramientas legítimas. Aunque estos scripts son la elección clara para los atacantes, los datos de WatchGuard muestran que no se deben pasar por alto otras fuentes de origen de malware.
  • Operaciones legítimas de cryptomining asociadas con actividad maliciosa – Las tres nuevas incorporaciones a la lista de principales dominios de malware en el primer trimestre estaban relacionadas con Nanopool. Esta popular plataforma agrega actividad de minería de criptomonedas para permitir rendimientos constantes. Estos dominios son técnicamente legítimos asociados a una organización legítima. Sin embargo, las conexiones a estos grupos de minería casi siempre se originan en una red comercial o educativa a partir de infecciones de malware versus operaciones de minería legítimas.
  • Las empresas aún enfrentan una amplia gama de ataques de red únicos – Mientras que las 10 principales firmas IPS representaron el 87% de todos los ataques de red; las detecciones únicas alcanzaron su conteo más alto desde el primer trimestre de 2019. Este aumento indica que los ataques automatizados se están enfocando en un subconjunto más pequeño de vulnerabilidades potenciales en lugar de probar todo menos el fregadero de la cocina. Sin embargo, las empresas todavía están experimentando una amplia gama de detecciones.
  • EMEA continúa siendo un punto de acceso para las amenazas de malware – Las detecciones regionales generales de malware básico y evasivo muestran que los Firebox en Europa, Medio Oriente y África (EMEA) fueron más afectados que los de América del Norte, Central y del Sur (AMER) en 57 % y 22%, respectivamente, seguida por Asia-Pacífico (APAC) con 21%.

Los informes de investigación trimestrales de WatchGuard se basan en datos anónimos de Firebox Feed de WatchGuard Fireboxes activos cuyos propietarios han optado por compartir datos en apoyo directo de los esfuerzos de investigación de Threat Lab. En el primer trimestre, WatchGuard bloqueó un total de más de 21,5 millones de variantes de malware (274 por dispositivo) y casi 4,7 millones de amenazas de red (60 por dispositivo). El informe completo incluye detalles sobre malware adicional y tendencias de red del primer trimestre de 2022, estrategias de seguridad recomendadas y consejos de defensa críticos para empresas de todos los tamaños, en cualquier sector, y más.

Para obtener una vista detallada de la investigación de WatchGuard, lea el Informe de seguridad de Internet completo del primer trimestre de 2022 aquí, o visite: https://www.watchguard.com/wgrd-resource-center/security-report-q1-2022

Compartí esta noticia !

El volumen de ransomware y malware de endpoint ya superó los totales de 2020 a fines del tercer trimestre de 2021

Compartí esta noticia !

WatchGuard Technologies, líder mundial en seguridad e inteligencia de redes, protección avanzada de terminales, autenticación multifactor (MFA) y Wi-Fi seguro, publicó su último Informe Trimestral de Seguridad de Internet, que destaca las principales tendencias de malware y amenazas a la seguridad de la red para el tercer trimestre de 2021, según lo analizado por los investigadores del WatchGuard Threat Lab.

Los datos indican que, si bien el volumen total de detección de malware perimetral disminuyó desde los máximos alcanzados en el trimestre anterior, las detecciones de malware de endpoint ya superaron el volumen total visto en 2020 (con datos del cuarto trimestre de 2021 aún por informar). Además, un porcentaje significativo de malware continúa llegando a través de conexiones encriptadas, continuando la tendencia de trimestres anteriores.

“Si bien el volumen total de ataques a la red se redujo ligeramente en el tercer trimestre, el malware por dispositivo aumentó por primera vez desde que comenzó la pandemia”, dijo Corey Nachreiner, Director de Seguridad de WatchGuard. “Mirando el año hasta ahora en su conjunto, el entorno de seguridad sigue siendo un desafío.

Es importante que las organizaciones vayan más allá de los altibajos a corto plazo y la estacionalidad de métricas específicas, y se centren en tendencias persistentes y preocupantes que tengan en cuenta su postura de seguridad. Un ejemplo importante es el uso acelerado de conexiones cifradas para enviar Zero-Day. Seguimos creyendo que WatchGuard Unified Security Platform ofrece la mejor protección integral para combatir la variedad de amenazas que enfrentan las organizaciones hoy en día”.

Entre sus hallazgos más notables, el Informe de Seguridad de Internet del tercer trimestre de 2021 de WatchGuard revela:

-Casi la mitad del malware de día cero “Zero-Day” ahora se entrega a través de conexiones encriptadas: mientras que la cantidad total de malware de día cero aumentó en un modesto 3 % al 67,2 % en el tercer trimestre, el porcentaje de malware que llegó a través de Transport Layer Security (TLS) saltó de 31,6% a 47%. Un porcentaje menor de días cero cifrados se considera avanzado, pero sigue siendo preocupante dado que los datos de WatchGuard muestran que muchas organizaciones no están descifrando estas conexiones y, por lo tanto, tienen poca visibilidad de la cantidad de malware que llega a sus redes.

-A medida que los usuarios se actualizan a las versiones más recientes de Microsoft Windows y Office, los atacantes se centran en las vulnerabilidades más nuevas: si bien las vulnerabilidades sin parches en el software anterior continúan proporcionando un rico campo de caza para los atacantes, también buscan explotar las debilidades en las últimas versiones de Microsoft. Productos usados en el tercer trimestre, CVE-2018-0802, que explota una vulnerabilidad en el Editor de ecuaciones en Microsoft Office, rompió la lista de los 10 principales malware antivirus de puerta de enlace de WatchGuard por volumen, alcanzando el número 6, después de aparecer en la lista de malware más extendida en el trimestre anterior. Además, dos inyectores de código de Windows (Win32/Heim.D y Win32/Heri) ocuparon los puestos 1 y 6 en la lista de los más detectados, respectivamente.

-Los atacantes se dirigieron desproporcionadamente a las Américas: la gran mayoría de los ataques a la red se dirigieron a las Américas en el tercer trimestre (64,5 %) en comparación con Europa (15,5 %) y APAC (20 %).

-Las detecciones generales de ataques a la red reanudaron una trayectoria más normal, pero aún representan riesgos significativos: después de trimestres consecutivos de más del 20 % de crecimiento, el Servicio de prevención de intrusiones (IPS) de WatchGuard detectó aproximadamente 4,1 millones de vulnerabilidades de red únicas en el tercer trimestre. La caída del 21% redujo los volúmenes a los niveles del primer trimestre, que aún eran altos en comparación con el año anterior. El cambio no significa necesariamente que los adversarios estén cediendo, ya que posiblemente estén cambiando su enfoque hacia ataques más específicos.

-Los 10 principales ataques de firmas a la red representan la gran mayoría de los ataques: de los 4.095.320 accesos detectados por IPS en el tercer trimestre, el 81 % se atribuyó a las 10 principales firmas. De hecho, solo hubo una nueva firma entre las 10 principales en el tercer trimestre, ‘WEB Remote File Inclusion /etc/passwd’ (1054837), que apunta a servidores web de Microsoft Internet Information Services (IIS) más antiguos, pero aún ampliamente utilizados. Una firma (1059160), una inyección SQL, ha seguido manteniendo la posición que ocupaba en la cima de la lista desde el segundo trimestre de 2019.

-Los ataques de secuencias de comandos en puntos finales continúan a un ritmo récord: para fines del tercer trimestre, la inteligencia de amenazas AD360 de WatchGuard y la detección y respuesta de puntos finales (EPDR) de WatchGuard ya habían visto un 10 % más de secuencias de comandos de ataque que en todo 2020 (que, a su vez, vio un 666 % de incremento respecto al año anterior). A medida que las fuerzas de trabajo híbridas comienzan a parecer la regla en lugar de la excepción, un perímetro fuerte ya no es suficiente para detener las amenazas.

Si bien los ciberdelincuentes pueden atacar los endpoints de varias maneras, desde exploits de aplicaciones hasta ataques de tipo living-off-the-land basados  en secuencias de comandos, incluso aquellos con habilidades limitadas, a menudo pueden ejecutar completamente una carga útil de malware con herramientas de secuencias de comandos como PowerSploit, PowerWare y Cobalt Strike., mientras evade la detección básica de punto final.

-Incluso los dominios normalmente seguros pueden verse comprometidos: una falla de protocolo en el sistema de detección automática de Exchange Server de Microsoft permitió a los atacantes recopilar credenciales de dominio y comprometer varios dominios normalmente confiables. En general, en el tercer trimestre, WatchGuard Fireboxes bloqueó 5,6 millones de dominios maliciosos, incluidos varios dominios de malware nuevos que intentan instalar software para criptominería, registradores de claves y troyanos de acceso remoto (RAT), así como dominios de phishing que se hacen pasar por sitios de SharePoint para recolectar credenciales de inicio de sesión de Office 365.

Si bien disminuyó un 23 % con respecto al trimestre anterior, la cantidad de dominios bloqueados sigue siendo varias veces mayor que el nivel observado en el cuarto trimestre de 2020 (1,3 millones). Esto destaca la necesidad crítica de que las organizaciones se concentren en mantener actualizados los servidores, las bases de datos, los sitios web y los sistemas con los parches más recientes para limitar las vulnerabilidades que pueden aprovechar los atacantes.

-Ransomware, Ransomware, Ransomware: después de una fuerte caída en 2020, los ataques de ransomware alcanzaron el 105 % del volumen de 2020 a fines de septiembre (como predijo WatchGuard a fines del trimestre anterior) y están en camino de alcanzar el 150 % una vez que finalice el año. Se analizan los datos de 2021. Las operaciones de ransomware como servicio, como REvil y GandCrap, continúan bajando el listón para los delincuentes con poca o ninguna habilidad de codificación, proporcionando la infraestructura y las cargas útiles de malware para llevar a cabo ataques a nivel mundial a cambio de un porcentaje del rescate.

El principal incidente de seguridad del trimestre, Kaseya, fue otra demostración de la amenaza constante de los ataques a la cadena de suministro digital. Justo antes del inicio del largo fin de semana festivo del 4 de julio en los EE. UU., decenas de organizaciones comenzaron a informar sobre ataques de ransomware contra sus terminales. El análisis de incidentes de WatchGuard describió cómo los atacantes que trabajaban con la operación REvil ransomware-as-a-service (RaaS) habían explotado tres vulnerabilidades de día cero (incluidas CVE-2021-30116 y CVE-2021-30118) en Kaseya VSA Remote Monitoring and Management (RMM) para entregar ransomware a unas 1500 organizaciones y potencialmente a millones de terminales.

Si bien el FBI finalmente comprometió los servidores de REvil y obtuvo la clave de descifrado unos meses después, el ataque proporcionó otro claro recordatorio de la necesidad de que las organizaciones tomen medidas proactivas como adoptar la confianza cero, emplear el principio de privilegio mínimo para el acceso del proveedor y garantizar los sistemas que están parcheados y actualizados para minimizar el impacto de los ataques a la cadena de suministro.

Compartí esta noticia !

WatchGuard presentó los nuevos firewalls de gama media para protegerse contra el malware cifrado

Compartí esta noticia !

WatchGuard Technologies, líder mundial en seguridad e seguridad e inteligencia de red, autenticación  multifactor (MFA), protección avanzada de endpoints y Wi-Fi seguro, ha anunciado  el lanzamiento de sus nuevos dispositivos de gestión unificada de amenazas (UTM) Firebox M290, M390, M590, y M690.

Estos nuevos firewalls, una solución asequible pero muy eficaz para las pequeñas y medianas empresas, ofrecen una mayor seguridad y el rendimiento más rápido de todos los dispositivos Firebox de gama media, con la capacidad de procesamiento necesaria para gestionar el tráfico cifrado y HTTPS. Además, los nuevos puertos ampliables y la integración con WatchGuard Cloud permiten que estos firewalls ofrezcan la flexibilidad necesaria para adaptarse a las cambiantes necesidades de red y seguridad de los clientes y partners proveedores de servicios.

“A medida que el panorama de amenazas evoluciona, tanto el rendimiento como la flexibilidad son fundamentales para las organizaciones que buscan asegurar su red. Nuestro Internet Security Report del segundo trimestre de 2021 reveló que más del 91% del malware que ataca las redes está cifrado”, apunta Corey Nachreiner, CSO de WatchGuard.

“Por lo tanto, es esencial que las organizaciones pequeñas y medianas, o los partners que las atienden, cuenten con soluciones de seguridad capaces de procesar el tráfico cifrado sin afectar negativamente al rendimiento general. Nuestros nuevos dispositivos de gama media de la serie M ofrecen esta capacidad y proporcionan herramientas para simplificar el despliegue y la gestión continua de estas soluciones como parte de nuestra WatchGuard Unified Security Platform”.

En un ejemplo más del compromiso de WatchGuard con la integración entre plataformas, destaca la capacidad de desplegar, gestionar y crear políticas para estos nuevos Firebox desde WatchGuard Cloud. Los proveedores de servicios pueden compartir configuraciones entre múltiples dispositivos y clientes a través de plantillas y desplegar dispositivos de forma remota desde la nube.

Una vista cohesionada y unificada de 30 días de los datos de registro, la búsqueda rápida de registros y los informes automatizados aumentan enormemente la visibilidad. Además, los nuevos dispositivos Firebox se integran perfectamente con otras soluciones de la cartera de WatchGuard -incluyendo la autenticación de multifactor AuthPoint, los Wi-Fi Access Points de WatchGuard y la telemetría de endpoint de red ThreatSync- para simplificar en gran medida la tradicionalmente compleja gestión de la seguridad.

Los nuevos dispositivos Firebox M290, M390, M590 y M690 ofrecen varias mejoras y ventajas, entre ellas:

Mayor rapidez y potencia. Cada dispositivo ha sido diseñado para optimizar el rendimiento de la inspección de contenidos HTTPS, que es esencial para detectar el malware de hoy en día (como se muestra en el Internet Security Report más reciente).

Flexibilidad y preparados para el futuro. La capacidad de añadir bahías de expansión de módulo y los módulos de expansión disponibles permiten una configuración de puertos personalizada para satisfacer las necesidades actuales, al tiempo que garantizan la flexibilidad para adaptarse a medida que la red evoluciona. Los puertos POE+ opcionales (sólo en el M590/M690) facilitan la conexión y alimentación de otros dispositivos, como cámaras de seguridad o puntos de acceso Wi-Fi USP de WatchGuard.

Fáciles de implementar y de gestionar. WatchGuard Cloud permite el despliegue, la monitorización, la generación de informes y la gestión de dispositivos desde la nube. RapidDeploy facilita el despliegue; simplemente encienda el dispositivo y conéctelo a Internet. El resto se puede hacer de forma remota desde cualquier lugar.

Fiabilidad. Las fuentes de alimentación redundantes garantizan la máxima disponibilidad (solo en modelos Firebox M590 y Firebox M690).

“Desde el punto de vista de la relación precio/rendimiento, estos nuevos dispositivos Firebox son una solución inmejorable para las organizaciones, desde las pequeñas empresas hasta los centros de datos de empresas de tamaño medio, con toda la potencia necesaria para hacer frente a la creciente amenaza de malware distribuido a través de HTTPS”, comenta Hayden Johnston, Director de Operaciones de WYSCOM. “Los nuevos puertos de expansión modulares proporcionan una serie de opciones para satisfacer las necesidades actuales de los clientes y el potencial para extender la vida de estos dispositivos en el futuro”.

 Recursos adicionales:

  • Hoja de datos de WatchGuard Firebox M290 y M390
  • Hoja de datos de WatchGuard Firebox M590 y M690
  • Resumen técnico de la modularidad de red.
Compartí esta noticia !

Una nueva investigación de WatchGuard revela que las soluciones anti-malware tradicionales pasan por alto casi el 75% de las amenazas

Compartí esta noticia !

WatchGuard Technologies, líder mundial en seguridad e inteligencia de redes, autenticación multifactor (MFA), protección avanzada de terminales y Wi-Fi seguro, publicó su Informe de seguridad de Internet para el primer trimestre de 2021. Hallazgos notables incluyen que el 74% de las amenazas detectadas en el último trimestre fueron malware de día cero, o aquellas para las que una solución antivirus basada en firmas no lo detectó en el momento del lanzamiento del malware, capaces de eludir las soluciones antivirus convencionales. 

El informe también cubre nueva inteligencia de amenazas sobre el aumento de las tasas de ataques a la red, cómo los atacantes están tratando de disfrazar y reutilizar exploits antiguos, los principales ataques de malware del trimestre y más.

El trimestre pasado se registró el nivel más alto de detecciones de malware de día cero que jamás hayamos registrado. Las tasas de malware evasivo en realidad han eclipsado a las de las amenazas tradicionales, lo que es una señal más de que las organizaciones necesitan desarrollar sus defensas para adelantarse a los actores de amenazas cada vez más sofisticados”, dijo Corey Nachreiner, Director de Seguridad de WatchGuard. “Las soluciones anti-malware tradicionales por sí solas son simplemente insuficientes para el entorno de amenazas actual. Toda organización necesita una estrategia de seguridad proactiva por capas que involucre aprendizaje automático y análisis de comportamiento para detectar y bloquear amenazas nuevas y avanzadas“.

Otros hallazgos clave del Informe de Seguridad de Internet del Primer Trimestre de 2021 de WatchGuard incluyen:

  • La variante de malware sin archivos explota en popularidad: XML.JSLoader es una carga útil maliciosa que apareció por primera vez en las listas de malware más importantes de WatchGuard por volumen y en las listas de detecciones de malware más extendidas. También fue la variante que WatchGuard detectó con mayor frecuencia a través de la inspección HTTPS en el primer trimestre. El WatchGuard de muestra identificado usa un ataque de entidad externa XML (XXE) para abrir un shell para ejecutar comandos para eludir la política de ejecución local de PowerShell y se ejecuta de una manera no interactiva, oculta al usuario o víctima real. Este es otro ejemplo de la creciente prevalencia del malware sin archivos y la necesidad de capacidades avanzadas de detección y respuesta de endpoints.
  • El truco simple del nombre de archivo ayuda a los piratas informáticos a hacer pasar el cargador de ransomware como archivos adjuntos legítimos de PDF: el cargador de ransomware Zmutzy surgió como una de las dos principales variantes de malware cifrado por volumen en el primer trimestre. Asociado específicamente con el ransomware Nibiru, las víctimas encuentran esta amenaza como un archivo comprimido adjunto a un correo electrónico o una descarga de un sitio web malicioso. Al ejecutar el archivo zip, se descarga un ejecutable, que para la víctima parece ser un PDF legítimo. Los atacantes utilizaron una coma en lugar de un punto en el nombre del archivo y un icono ajustado manualmente para pasar el archivo zip malicioso como PDF. Este tipo de ataque resalta la importancia de la educación y capacitación sobre phishing, así como la implementación de soluciones de respaldo en caso de que una variante como esta desate una infección de ransomware.
  • Los actores de amenazas continúan atacando los dispositivos de IoT: si bien no se incluyó en la lista de los 10 principales programas maliciosos de WatchGuard para el primer trimestre, los adversarios han utilizado recientemente la variante Linux.Ngioweb.B para atacar dispositivos de IoT. La primera versión de este ejemplo estaba dirigida a servidores Linux que ejecutaban WordPress, llegando inicialmente como un archivo de lenguaje de formato extendido (EFL). Otra versión de este malware convierte los dispositivos IoT en una botnet con servidores de comando y control rotativos.
  • Vuelve una vieja técnica de ataque transversal de directorio: WatchGuard detectó una nueva firma de amenaza en el primer trimestre que implica un ataque transversal de directorio a través de archivos gabinete (CAB), un formato de archivo diseñado por Microsoft destinado a la compresión de datos sin pérdidas y certificados digitales integrados. Una nueva adición a la lista de los 10 principales ataques de red de WatchGuard, este exploit engaña a los usuarios para que abran un archivo CAB malicioso usando técnicas convencionales o falsificando una impresora conectada a la red para engañar a los usuarios para que instalen un controlador de impresora a través de un archivo CAB comprometido.
  • Los cero días de HAFNIUM brindan lecciones sobre tácticas de amenazas y mejores prácticas de respuesta: el último trimestre, Microsoft informó que los adversarios utilizaron las cuatro vulnerabilidades de HAFNIUM en varias versiones de Exchange Server para obtener una ejecución remota de código del sistema completo y no autenticado y acceso arbitrario de escritura de archivos a cualquier servidor expuesto sin parche a Internet, como la mayoría de los servidores de correo electrónico. El análisis de incidentes de WatchGuard se sumerge en las vulnerabilidades y destaca la importancia de la inspección HTTPS, el parcheo oportuno y el reemplazo de sistemas heredados.
  • Los atacantes incorporan dominios legítimos en campañas de criptominería: en el primer trimestre, el servicio DNSWatch de WatchGuard bloqueó varios dominios comprometidos y claramente maliciosos asociados con amenazas de criptominería. El malware Cryptominer se ha vuelto cada vez más popular debido a los recientes picos de precios en el mercado de las criptomonedas y la facilidad con la que los actores de amenazas pueden desviar recursos de víctimas desprevenidas.

Los informes de investigación trimestrales de WatchGuard se basan en datos anónimos de Firebox Feed de WatchGuard Fireboxes activos cuyos propietarios han optado por compartir datos para respaldar los esfuerzos de investigación del Threat Lab. 

En el primer trimestre, WatchGuard bloqueó un total de más de 17.2 millones de variantes de malware (461 por dispositivo) y casi 4.2 millones de amenazas de red (113 por dispositivo). 

El informe completo incluye detalles sobre el malware adicional y las tendencias de la red del primer trimestre de 2021, un análisis detallado de las vulnerabilidades de HAFNIUM Microsoft Exchange Server, consejos de defensa críticos para los lectores y más.

Compartí esta noticia !

Categorías

Solverwp- WordPress Theme and Plugin