mié. Mar 11th, 2026

MALWARE

Una nueva investigación de WatchGuard revela que las soluciones anti-malware tradicionales pasan por alto casi el 75% de las amenazas

By Cristian Milciades 5 años ago
Compartí esta noticia !

WatchGuard Technologies, líder mundial en seguridad e inteligencia de redes, autenticación multifactor (MFA), protección avanzada de terminales y Wi-Fi seguro, publicó su Informe de seguridad de Internet para el primer trimestre de 2021. Hallazgos notables incluyen que el 74% de las amenazas detectadas en el último trimestre fueron malware de día cero, o aquellas para las que una solución antivirus basada en firmas no lo detectó en el momento del lanzamiento del malware, capaces de eludir las soluciones antivirus convencionales. 

El informe también cubre nueva inteligencia de amenazas sobre el aumento de las tasas de ataques a la red, cómo los atacantes están tratando de disfrazar y reutilizar exploits antiguos, los principales ataques de malware del trimestre y más.

El trimestre pasado se registró el nivel más alto de detecciones de malware de día cero que jamás hayamos registrado. Las tasas de malware evasivo en realidad han eclipsado a las de las amenazas tradicionales, lo que es una señal más de que las organizaciones necesitan desarrollar sus defensas para adelantarse a los actores de amenazas cada vez más sofisticados”, dijo Corey Nachreiner, Director de Seguridad de WatchGuard. “Las soluciones anti-malware tradicionales por sí solas son simplemente insuficientes para el entorno de amenazas actual. Toda organización necesita una estrategia de seguridad proactiva por capas que involucre aprendizaje automático y análisis de comportamiento para detectar y bloquear amenazas nuevas y avanzadas“.

Otros hallazgos clave del Informe de Seguridad de Internet del Primer Trimestre de 2021 de WatchGuard incluyen:

  • La variante de malware sin archivos explota en popularidad: XML.JSLoader es una carga útil maliciosa que apareció por primera vez en las listas de malware más importantes de WatchGuard por volumen y en las listas de detecciones de malware más extendidas. También fue la variante que WatchGuard detectó con mayor frecuencia a través de la inspección HTTPS en el primer trimestre. El WatchGuard de muestra identificado usa un ataque de entidad externa XML (XXE) para abrir un shell para ejecutar comandos para eludir la política de ejecución local de PowerShell y se ejecuta de una manera no interactiva, oculta al usuario o víctima real. Este es otro ejemplo de la creciente prevalencia del malware sin archivos y la necesidad de capacidades avanzadas de detección y respuesta de endpoints.
  • El truco simple del nombre de archivo ayuda a los piratas informáticos a hacer pasar el cargador de ransomware como archivos adjuntos legítimos de PDF: el cargador de ransomware Zmutzy surgió como una de las dos principales variantes de malware cifrado por volumen en el primer trimestre. Asociado específicamente con el ransomware Nibiru, las víctimas encuentran esta amenaza como un archivo comprimido adjunto a un correo electrónico o una descarga de un sitio web malicioso. Al ejecutar el archivo zip, se descarga un ejecutable, que para la víctima parece ser un PDF legítimo. Los atacantes utilizaron una coma en lugar de un punto en el nombre del archivo y un icono ajustado manualmente para pasar el archivo zip malicioso como PDF. Este tipo de ataque resalta la importancia de la educación y capacitación sobre phishing, así como la implementación de soluciones de respaldo en caso de que una variante como esta desate una infección de ransomware.
  • Los actores de amenazas continúan atacando los dispositivos de IoT: si bien no se incluyó en la lista de los 10 principales programas maliciosos de WatchGuard para el primer trimestre, los adversarios han utilizado recientemente la variante Linux.Ngioweb.B para atacar dispositivos de IoT. La primera versión de este ejemplo estaba dirigida a servidores Linux que ejecutaban WordPress, llegando inicialmente como un archivo de lenguaje de formato extendido (EFL). Otra versión de este malware convierte los dispositivos IoT en una botnet con servidores de comando y control rotativos.
  • Vuelve una vieja técnica de ataque transversal de directorio: WatchGuard detectó una nueva firma de amenaza en el primer trimestre que implica un ataque transversal de directorio a través de archivos gabinete (CAB), un formato de archivo diseñado por Microsoft destinado a la compresión de datos sin pérdidas y certificados digitales integrados. Una nueva adición a la lista de los 10 principales ataques de red de WatchGuard, este exploit engaña a los usuarios para que abran un archivo CAB malicioso usando técnicas convencionales o falsificando una impresora conectada a la red para engañar a los usuarios para que instalen un controlador de impresora a través de un archivo CAB comprometido.
  • Los cero días de HAFNIUM brindan lecciones sobre tácticas de amenazas y mejores prácticas de respuesta: el último trimestre, Microsoft informó que los adversarios utilizaron las cuatro vulnerabilidades de HAFNIUM en varias versiones de Exchange Server para obtener una ejecución remota de código del sistema completo y no autenticado y acceso arbitrario de escritura de archivos a cualquier servidor expuesto sin parche a Internet, como la mayoría de los servidores de correo electrónico. El análisis de incidentes de WatchGuard se sumerge en las vulnerabilidades y destaca la importancia de la inspección HTTPS, el parcheo oportuno y el reemplazo de sistemas heredados.
  • Los atacantes incorporan dominios legítimos en campañas de criptominería: en el primer trimestre, el servicio DNSWatch de WatchGuard bloqueó varios dominios comprometidos y claramente maliciosos asociados con amenazas de criptominería. El malware Cryptominer se ha vuelto cada vez más popular debido a los recientes picos de precios en el mercado de las criptomonedas y la facilidad con la que los actores de amenazas pueden desviar recursos de víctimas desprevenidas.

Los informes de investigación trimestrales de WatchGuard se basan en datos anónimos de Firebox Feed de WatchGuard Fireboxes activos cuyos propietarios han optado por compartir datos para respaldar los esfuerzos de investigación del Threat Lab. 

En el primer trimestre, WatchGuard bloqueó un total de más de 17.2 millones de variantes de malware (461 por dispositivo) y casi 4.2 millones de amenazas de red (113 por dispositivo). 

El informe completo incluye detalles sobre el malware adicional y las tendencias de la red del primer trimestre de 2021, un análisis detallado de las vulnerabilidades de HAFNIUM Microsoft Exchange Server, consejos de defensa críticos para los lectores y más.

Compartí esta noticia !

Ataque masivo al software CCleaner afectó a cerca de 56.000 computadoras en Argentina

By Administrador Economis 8 años ago
Compartí esta noticia !

Durante casi un mes la aplicación que optimiza el rendimiento de los dispositivos al eliminar “archivos basura” fue suplantada por una copia maliciosa que robaba datos de los dueños de los equipos.

Alrededor de 56.000 computadoras resultaron afectadas en Argentina por el hackeo a CCleaner, una aplicación que optimiza el rendimiento de los dispositivos -al eliminar “archivos basura”- y que fue suplantada durante casi un mes por una copia maliciosa que robaba datos de los dueños de los equipos. El ataque, que ocurrió el 15 agosto y afectó a nivel global a 2,27 millones de equipos, se dirigió a los servidores de la empresa de seguridad informática Avast (propietaria de CCleaner) y fue descubierto el 12 de septiembre por investigadores de Cisco Talos, que hoy publicaron un reporte técnico del incidente.

Así, las personas que durante ese lapso de poco más de un mes descargaron alguna de las dos versiones afectadas (la 5.33.6162 de CCleaner y la 1.07.3191 de CCleaner Cloud), probablemente hayan instalado la versión infectada del programa. “Estimamos que, en general, 2,27 millones de usuarios en todo el mundo y alrededor de 56K (56.000) en Argentina tenían el software afectado instalado en máquinas con Windows de 32 bits. Creemos que estos usuarios están seguros ahora, ya que nuestra investigación indica que pudimos desarmar la amenaza antes de que fuera capaz de hacer daño”, informaron a Télam fuentes de Avast.

La versión maliciosa de CCleaner contenía un malware que robaba datos de los equipos infectados y los enviaba a los servidores de los atacantes. Entre esos datos figuraban el nombre de la computadora, una lista de los programas instalados (con las actualizaciones de Windows), una lista de los procesos en ejecución, las direcciones IP e información adicional vinculada a si los programas se ejecutaban con privilegios de administrador, precisó en un comunicado Piriform, la empresa británica que creó el CCleaner y que en julio fue adquirida por Avast.

Compartí esta noticia !

El ‘malware’ malicioso que espía a los usuarios de las computadoras Mac

By Administrador Economis 9 años ago
Compartí esta noticia !

Los usuarios de Mac normalmente piensan que son inmunes al malware. Pero una nueva cepa utilizada para espiar nos recuerda que incluso los ordenadores Mac pueden verse comprometidos por estos programas informáticos.

Selena Larson, CNN – Los investigadores han encontrado una pieza inusual de malware, llamada FruitFly, que ha estado infectando computadoras Mac durante años.

FruitFly opera en silencio en segundo plano, espía a los usuarios a través de la cámara de la computadora, captura imágenes de lo que se muestra en la pantalla y registra golpes clave.

La empresa de seguridad Malwarebytes descubrió la primera cepa a principios de este año, pero recientemente apareció una segunda versión llamada FruitFly 2.

Patrick Wardle, investigador jefe de seguridad de la firma de seguridad Synack, encontró 400 computadoras infectadas con la nueva cepa y cree que es probable que haya muchos más casos por ahí.

No está claro cuánto tiempo FruitFly ha estado infectando computadoras, pero los investigadores encontraron que el código fue modificado para trabajar en el sistema operativo Mac, Yosemite, que fue lanzado en octubre de 2014. Esto sugiere que el malware existió antes de ese tiempo.

No se sabe quién está detrás de él o cómo llegó a las computadoras. Thomas Reed de Malwarebytes llamó a la primera versión “diferente de todo lo que he visto antes.”

Wardle dice que hay múltiples versiones de FruitFly. El software malicioso tiene las mismas técnicas de espionaje, pero el código es diferente en cada variedad.

Después de meses de analizar la nueva cepa, Wardle descifró partes del código y configuró un servidor para calcular el tráfico de computadoras infectadas.

“Inmediatamente, toneladas de víctimas que habían sido infectadas con este malware empezaron a conectarse conmigo”, dijo Wardle, añadiendo que podría ver cerca de 400 nombres de equipos infectados y direcciones IP.

Él cree que esto refleja sólo un pequeño subconjunto de usuarios infectados.

El descubrimiento de FruitFly recuerda a los usuarios que aunque el software malicioso de Mac es considerablemente menos extendido que Windows, todavía existe.

“Los usuarios de Mac tienen más confianza”, dijo Wardle. “Podríamos no ser tan cuidadosos como deberíamos estar en internet o abrir archivos adjuntos en un correo electrónico”.

Apple no respondió a una solicitud de comentario.

El malware para Mac ha aumentado en los últimos años.

Según un informe de McAfee, el que afecta a las Mac se disparó en 2016, pero la mayoría de ellos eran adware, es decir publicidad maliciosa en lugar de campañas de espionaje dirigidas.

Wardle dijo que FruitFly es completamente nuevo para Mac. El FBI dijo que no confirma ni niega la existencia de investigaciones sobre esto.

No está claro cómo se puso en las máquinas y si se dirigió a las personas al azar o directamente.

Wardle, un exanalista de la NSA, descartó la posibilidad de un hacker del estado que apunta a los usuarios a interceptar datos para el ciberespionaje. Tampoco cree que sea un criminal usando los datos de la gente para ganar dinero.

“Creo que sus objetivos eran mucho más insidiosos y enfermos: espiar a la gente”, dijo Wardle.

Compartí esta noticia !

Masivo ciberataque golpeó a empresas en 74 países

By Administrador Economis 9 años ago
Compartí esta noticia !

El ransomware, como se denomina al tipo de malware que afectó este viernes a varias organizaciones y empresas de más de 70 países, es un tipo de código malicioso que, una vez que infecta el dispositivo contra el que se dirige, encripta la información -archivos, textos, fotos- y pide el pago de un “rescate” a la víctima para desencriptarla, generalmente a través de bitcoins.

Si bien en un inicio este tipo de malware se detectaba en computadoras, con el tiempo fue llegando a celulares e incluso a televisores inteligentes. Se trata de un tipo de código malicioso cuyo uso, debido a su efectividad, aumentó fuertemente durante los últimos años.

El gobierno de España informó que en las últimas horas varias empresas de ese país fueron atacadas, mientras que al menos 16 hospitales ingleses fueron víctimas del mismo código. Sin embargo, con el pasar de las horas se supo que el ataque fue masivo y alcanzó a 74 países, entre los que figuraban EEUU, China, Rusia, España, Italia, Vietnam y Taiwán, entre otros. Estiman 57.000 ataque simultáneos.

La Cámara Argentina de Centros de Contacto confirmó que en el país se activaron acciones “reactivas y preventivas” ante el ciberataque que sufrieron entidades españolas con un “ransomware”, que “secuestra” virtualmente terminales con sistema operativo Windows, y pide un rescate para reintegrarlos a sus dueños.

Según fuentes de la Cámara, todas las empresas argentinas que mantienen relación como filiales o proveedoras de españolas han reaccionado a la alerta, activando protocolos y apagando servidores. En ese sentido, aclararon que esa situación afecta los intercambios, y que se registran dificultades también en atención al cliente que estén radicados o que necesiten comunicación de datos con España y otras naciones.

Al respecto, el Centro Criptológico Nacional (CCN) español, organismo que controla la ciberseguridad en el país ibérico, recomendó a las empresas “actualizar los sistemas a su última versión o parchear según informa el fabricante: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx Para máquinas que poseen sistemas sin soporte o parche, como Windows 7, se recomienda “aislar de la red o apagar según sea el caso”.

Sólo en 2016 analistas del Kaspersky Lab detectaron un total de 62 familias de ransomware distintas (de las cuales 47, es decir el 75% del total, fueron desarrolladas por “cibercriminales ruso parlantes”).

Según el especialista en malware Anton Ivanov, “lo que hace la cifra aún más asombrosa es que estas familias de ransomware, según la telemetría Kaspersky Lab, atacaron a más de 1,4 millones de personas en todo el mundo en 2016”.

Gracias a la buena performance del ransomware -las víctimas suelen pagar los rescates para no perder sus fotos y demás documentos-, durante el año pasado el promedio de los pagos exigidos más que se triplicó, al pasar de 294 dólares en 2015 a 1.077 en 2016, según un informe de la empresa Symantec.

Según el informe, el 69% de los casos registrados de ransomware en 2016 afectaron a computadoras personales, mientras que los restantes recayeron sobre empresas y otro tipo de organizaciones. De estos afectados alrededor del mundo, más de un tercio pagaron los rescates exigidos.

Los analistas recomiendan, para protegerse de este tipo de ataques, realizar de forma periódica copias de los archivos, sea en alguna plataforma de la nube o en algún dispositivo externo, aunque hay que tener en cuenta que si el dispositivo en cuestión está conectado, el ransomware lo puede afectar.

Compartí esta noticia !

Categorías

Solverwp- WordPress Theme and Plugin