La vulnerabilidad de la brecha Equifax, principal ataque de red en el tercer trimestre

SEATTLE –  WatchGuard® Technologies, líder mundial en seguridad e inteligencia de red, Wi-Fi seguro y autenticación multifactor, ha presentado su Informe de seguridad de Internet correspondiente al tercer trimestre de 2019. En medio de un aumento significativo del malware y los ataques de red, múltiples vulnerabilidades de Apache Struts – incluida una utilizada en la devastadora brecha de datos de Equifax – aparecieron por primera vez en la lista de WatchGuard de los ataques de red más populares en el tercer trimestre de 2019.

El informe también destaca un incremento importante de las detecciones de malware zero-day, el aumento del uso de exploits de Microsoft Office y de las herramientas de prueba de penetración legítimas, y mucho más.

“Nuestro último informe de amenazas muestra el aumento en la variedad y sofisticación de las tácticas empleadas por los ciberdelincuentes. No solo están aprovechando ataques muy conocidos, sino que también están lanzando campañas evasivas de malware y secuestrando productos, herramientas y dominios que utilizamos a diario”, explica Corey Nachreiner, Director de Tecnología de WatchGuard Technologies. “A medida que los autores de las amenazas continúan modificando sus tácticas, las organizaciones de todos los tamaños deben protegerse a sí mismas, a sus clientes y a sus partners con un conjunto de servicios de seguridad en capas que lo cubra todo, desde la red central hasta los endpoints y los propios usuarios”.

El Informe de Seguridad en Internet de WatchGuard proporciona a las empresas los datos, las tendencias, la investigación y el asesoramiento en materia de defensa que necesitan para comprender mejor el panorama de seguridad actual y mantenerse alerta y protegido contra las amenazas emergentes.

A continuación se presentan varias conclusiones clave del informe del tercer trimestre de 2019:

Nuevo ataque de red se dirige a una vulnerabilidad importante utilizada en la brecha de datos de Equifax: Debutando en el Top Ten de WatchGuard sobre ataques de red más populares, la Ejecución Remota de Código Apache Struts 2 permite a los atacantes instalar Python o hacer una solicitud HTTP personalizada para explotar la vulnerabilidad con solo unas pocas líneas de código y obtener acceso shell a un sistema expuesto. Esta amenaza fue acompañada por dos vulnerabilidades adicionales de Apache Struts en la lista de los diez principales ataques de red en el tercer trimestre, ya que el volumen total de ataques de red aumentó un 8%. Las consecuencias masivas de la brecha de Equifax ponen a la vista la gravedad de esta vulnerabilidad y deberían servir como recordatorio de lo importante que es para los administradores web parchear los fallos conocidos tan pronto como sea posible.

Los atacantes continúan favoreciendo los exploits de Microsoft Office: Dos variantes de malware que afectan a los productos de Microsoft Office entraron en la lista de WatchGuard de los diez principales malware por volumen, así como en el ranking de los diez malware más extendidos el pasado trimestre. Esto indica que los agentes de amenazas están duplicando tanto la frecuencia con la que aprovechan los ataques basados en Office, como en el número de víctimas a las que se dirigen. Ambos ataques se produjeron principalmente a través del correo electrónico, lo que pone de relieve por qué las organizaciones deben centrarse cada vez más en la formación y educación de los usuarios para ayudarles a identificar los intentos de phishing y otros ataques que aprovechan los archivos adjuntos maliciosos.

Las muestras de malware zero-day aumentan hasta un 50%, a medida que crecen aumentan las detecciones de malware en general: Después de estabilizarse en alrededor del 38% de todas las detecciones de malware en los últimos trimestres, el malware zero-day representó la mitad de todas las detecciones en el tercer trimestre de 2019. El volumen total de malware detectado aumentó un 4% en comparación con el segundo trimestre de 2019, con un aumento masivo del 60% respecto al tercer trimestre de 2018. El hecho de que la mitad de los ataques de malware en el tercer trimestre fueran capaces de eludir las soluciones tradicionales basadas en firmas ilustra la necesidad de servicios de seguridad en capas que puedan proteger contra amenazas avanzadas y en constante evolución.

Los ciberdelincuentes pueden estar aprovechando herramientas legítimas de pentesting para ataques: Dos nuevas variantes de malware que incluyen herramientas de pruebas de penetración de Kali Linux debutaron en la lista de los diez principales malware por volumen de WatchGuard en el tercer trimestre. El primero fue Boxter, un troyano PowerShell utilizado para descargar e instalar programas potencialmente no deseados en el dispositivo de una víctima sin su consentimiento. El segundo fue Hacktool.JQ, que representa la única otra herramienta de ataque de autenticación, además de Mimikatz (que disminuyó su prevalencia un 48% en comparación con el segundo trimestre y un 16% en comparación con el tercer trimestre de 2018), para hacer la lista. No está claro si el aumento de estas detecciones proviene de actividades de pentesting legítimas o de atacantes maliciosos que aprovechan herramientas de código abierto fácilmente disponibles. Las organizaciones deben seguir aprovechando los servicios antimalware para evitar el robo de datos.

Los ataques de malware dirigidos a América aumentan drásticamente: Más del 42% de todos los ataques de malware en el tercer trimestre de 2019 se dirigieron a América del Norte, Central y del Sur, frente al 27% en el segundo trimestre. Esto representa un cambio geográfico significativo en el enfoque de los atacantes en comparación con el último trimestre, ya que EMEA y APAC (que estaban empatadas en el top regional de malware en el segundo trimestre) representaron el 30% y el 28% de todos los ataques de malware en el tercer trimestre, respectivamente. Aunque las motivaciones específicas no están claras, esta tendencia indica que los atacantes están lanzando nuevas campañas de malware online dirigidas específicamente a los usuarios en la región de América.

Los hallazgos incluidos en el Informe de Seguridad en Internet de WatchGuard provienen de datos anónimos de Firebox Feed de los dispositivos WatchGuard UTM activos cuyos propietarios han optado por compartir datos para apoyar los esfuerzos de investigación de Threat Lab. En la actualidad, casi 37.000 dispositivos en todo el mundo aportan datos de inteligencia de amenazas al informe.

En el tercer trimestre de 2019, bloquearon más de 23.000.000 variantes de malware en total (623 muestras cada una) y casi 2.400.000 ataques de red (65 por dispositivo).

El informe completo presenta las tendencias de ataque de red y malware más impactantes de la industria, los datos de DNSWatch sobre los principales dominios maliciosos asociados con malware, sitios web comprometidos y enlaces de phishing, un análisis de la campaña de descifrado HTTPS de Kazajstán y las mejores prácticas de defensa clave que organizaciones de todos los tamaños pueden utilizar para protegerse en el panorama de amenazas actual.

Análisis de la campaña de descifrado HTTPS a nivel nacional de Kazajstán

El informe incluye un desglose en profundidad de la decisión de Kazajstán de comenzar a interceptar y descifrar todo el tráfico HTTPS dentro de sus fronteras en el tercer trimestre. El Laboratorio de amenazas de WatchGuard detalla los entresijos del cifrado y descifrado HTTPS, programas similares lanzados por otros países, el papel del cifrado HTTPS en la seguridad de la red empresarial y las mejores prácticas que toda organización debería eliminar de este ejemplo.

Para obtener más información, descargue el informe completo aquí.

Sobre WatchGuard Technologies, Inc.

WatchGuard® Technologies, Inc. es un líder mundial en seguridad de red, Wi-Fi seguro, autenticación multifactor e inteligencia de red. Los galardonados productos y servicios de la compañía son confiables en todo el mundo por casi 10,000 revendedores de seguridad y proveedores de servicios para proteger a más de 80,000 clientes.

La misión de WatchGuard es hacer que la seguridad de nivel empresarial sea accesible para las empresas de todo tipo y tamaño a través de la simplicidad, haciendo de WatchGuard una solución ideal para las empresas del mercado medio y las empresas distribuidas.

La compañía tiene su sede en Seattle, Washington, con oficinas en América del Norte, Europa, Asia Pacífico y América Latina.

Para obtener más información, visite WatchGuard.com.

Para obtener información adicional, promociones y actualizaciones, siga WatchGuard en Twitter @WatchGuard en Facebook o en la página de la empresa LinkedIn. Además, visite nuestro blog de InfoSec, Secplicity, para obtener información en tiempo real sobre las últimas amenazas y cómo enfrentarlas en www.secplicity.org. Suscríbase al podcast The 443 – Security Simplified en Secplicity.org, o donde quiera que encuentre sus podcasts favoritos.