Connect with us
Watchguard analiza el último trimestre del 2020 y arroja datos alarmantes sobre malware, rasonware y minería de criptomonedas. Watchguard analiza el último trimestre del 2020 y arroja datos alarmantes sobre malware, rasonware y minería de criptomonedas.

Seguridad

Nueva investigación: los ataques de malware sin archivos aumentan en un 900%

Watchguard analiza el último trimestre del 2020 y arroja datos alarmantes sobre malware, rasonware y minería de criptomonedas.

WatchGuard Technologies, líder mundial en seguridad e inteligencia de redes, autenticación multifactor (MFA), protección avanzada de terminales y Wi-Fi seguro, publicó hoy su Informe de Seguridad de Internet para el cuarto trimestre de 2020. El informe incluye nuevos y emocionantes conocimientos basados en terminales. inteligencia de amenazas luego de la adquisición de Panda Security por WatchGuard en junio de 2020. Entre sus hallazgos más notables, el informe revela que las tasas de ataque de malware sin archivos y criptomineros aumentaron en casi un 900% y 25% respectivamente, mientras que las cargas útiles de ransomware únicas se desplomaron en un 48% en 2020 en comparación con 2019.

Además, WatchGuard Threat Lab descubrió que el cuarto trimestre de 2020 trajo un aumento del 41% en las detecciones de malware cifrado con respecto al trimestre anterior y los ataques de red alcanzaron sus niveles más altos desde 2018.

“El aumento de las tácticas de amenazas evasivas y sofisticadas en el último trimestre y durante 2020 muestra lo vital que es implementar protecciones de seguridad en capas de extremo a extremo”, dijo Corey Nachreiner, director de tecnología de WatchGuard. “Los ataques llegan en todos los frentes, ya que los ciberdelincuentes aprovechan cada vez más el malware sin archivos, los criptomineros, los ataques cifrados y más, y se dirigen a los usuarios tanto en ubicaciones remotas como en activos corporativos detrás del perímetro de la red tradicional. La seguridad efectiva hoy en día significa priorizar la detección y respuesta de endpoints, las defensas de la red y las precauciones fundamentales, como la capacitación en conciencia de seguridad y la administración estricta de parches».

Los informes trimestrales de seguridad en Internet de WatchGuard informan a las empresas, sus socios y clientes finales sobre las últimas tendencias de ataques de redes, puntos finales y malware a medida que surgen.

Los hallazgos clave del informe del cuarto trimestre de 2020 incluyen:

Los ataques de malware sin archivos se disparan: las tasas de malware sin archivos en 2020 aumentaron un 888% con respecto a 2019. Estas amenazas pueden ser particularmente peligrosas debido a su capacidad para evadir la detección por parte de los clientes tradicionales de protección de endpoints y porque pueden tener éxito sin que las víctimas hagan nada más que hacer clic en un enlace malicioso o visitar sin saberlo un sitio web comprometido. Los kits de herramientas como PowerSploit y CobaltStrike permiten a los actores de amenazas inyectar fácilmente código malicioso en otros procesos en ejecución y permanecer operativos incluso si las defensas de la víctima identifican y eliminan el script original.

La implementación de soluciones de respuesta y detección de endpoints junto con un anti-malware preventivo puede ayudar a identificar estas amenazas.

Criptomineros en aumento después de la pausa de 2019: después de que prácticamente todos los precios de las criptomonedas se desplomaran a principios de 2018, las infecciones de criptomineros se volvieron mucho menos frecuentes y alcanzaron un mínimo de 633 detecciones de variantes únicas en 2019. Dicho esto, los atacantes continuaron agregando módulos de criptomineros a las infecciones de botnet existentes y extrajeron ingresos pasivos de las víctimas mientras abusan de sus redes para otros delitos cibernéticos. Como resultado, y con la tendencia al alza de los precios nuevamente en el cuarto trimestre de 2020, el volumen de detecciones de malware cryptominer aumentó más del 25% con respecto a los niveles de 2019 para alcanzar 850 variantes únicas el año pasado.

Los volúmenes de ataques de ransomware continúan reduciéndose: por segundo año consecutivo, el número de cargas útiles de ransomware únicas tuvo una tendencia a la baja en 2020, cayendo a 2.152 cargas útiles únicas desde 4.131 en 2019 y el máximo histórico de 5.489 en 2018. Estas cifras representan variantes individuales de ransomware que pueden haber infectado cientos o miles de terminales en todo el mundo. La mayoría de estas detecciones resultaron de firmas implementadas originalmente en 2017 para detectar WannaCry y sus variantes relacionadas, lo que muestra que las tácticas de ransomworm siguen prosperando durante tres años después de que WannaCry irrumpiera en escena. La disminución constante en el volumen de ransomware indica el cambio continuo de los atacantes de las campañas generalizadas y desenfocadas del pasado hacia ataques altamente dirigidos contra organizaciones de atención médica, empresas de fabricación y otras víctimas para las que el tiempo de inactividad es inaceptable.

Los ataques de malware evasivos y encriptados experimentan un crecimiento de dos dígitos: a pesar de ser el cuarto trimestre consecutivo de disminución de los volúmenes de malware en general, casi la mitad (47%) de todos los ataques que WatchGuard detectó en el perímetro de la red en el cuarto trimestre fueron encriptados. Además, el malware entregado a través de conexiones HTTPS aumentó en un 41%, mientras que el malware cifrado de día cero (variantes que eluden las firmas de antivirus) creció en un 22% durante el tercer trimestre.

El malware de botnet dirigido a dispositivos y enrutadores de IoT se convierte en una cepa superior: en el cuarto trimestre, el virus Linux. Generic (también conocido como «La Luna») hizo su debut en la lista de WatchGuard de las 10 principales detecciones de malware. Este malware es parte de una red de servidores que se dirige directamente a los dispositivos de IoT y a los dispositivos de red de nivel de consumidor, como los enrutadores, para aprovechar cualquier vulnerabilidad abierta.

La investigación de WatchGuard descubrió malware específico de Linux diseñado para procesadores ARM y otra carga útil diseñada para procesadores MIPS dentro de la infraestructura del atacante, lo que indica un claro enfoque en los ataques evasivos contra dispositivos IoT.

Watchguard analiza el último trimestre del 2020 y arroja datos alarmantes sobre malware, rasonware y minería de criptomonedas.

La violación de SolarWinds ilustra los peligros de los ataques a la cadena de suministro: la sofisticada violación de la cadena de suministro de SolarWinds, supuestamente patrocinada por el estado, tendrá amplias implicaciones en toda la industria de la seguridad en los próximos años. Sus efectos se extendieron mucho más allá de SolarWinds a casi 100 empresas, incluidas algunas importantes de Fortune 500, grandes empresas de seguridad e incluso el gobierno de los EE. UU.

El desglose detallado de incidentes de WatchGuard muestra la importancia de defenderse de los ataques a la cadena de suministro en el ecosistema digital interconectado actual.

Un nuevo troyano engaña a los escáneres de correo electrónico con un enfoque de carga múltiple: Trojan.Script.1026663 se abrió camino en la lista de las cinco principales detecciones de malware más extendidas de WatchGuard en el cuarto trimestre. El ataque comienza con un correo electrónico pidiendo a las víctimas que revisen un archivo adjunto de lista de pedidos. El documento desencadena una serie de cargas útiles y código malicioso que finalmente llevan a la máquina víctima a cargar el ataque final: el troyano de acceso remoto Agent Tesla (RAT) y el registrador de teclas.

El volumen de ataques a la red se acerca al pico de 2018: las detecciones totales de ataques a la red crecieron un 5% en el cuarto trimestre, alcanzando su nivel más alto en más de dos años. Además, el total de firmas de ataques de red únicos también mostró un crecimiento constante con un aumento del 4% con respecto al tercer trimestre. Esto muestra que incluso cuando el mundo continúa operando de forma remota, el perímetro de la red corporativa todavía está muy en juego a medida que los actores de amenazas continúan apuntando a los activos locales.

En el cuarto trimestre, los dispositivos WatchGuard bloquearon un total de más de 20,6 millones de variantes de malware (456 por dispositivo) y casi 3,5 millones de amenazas de red (77 detecciones por dispositivo). WatchGuard Fireboxes bloqueó colectivamente 455 firmas de ataques únicos en el cuarto trimestre, un aumento del 4% con respecto al tercer trimestre y el mayor desde el cuarto trimestre de 2018. Los informes de investigación trimestrales de WatchGuard se basan en datos anónimos de Firebox Feed de dispositivos WatchGuard activos cuyos propietarios han optado por compartir datos para respaldar el Esfuerzos de investigación de Threat Lab. Además, la nueva inteligencia de amenazas de endpoints del informe proporciona una visión más profunda de las tendencias y ataques de malware específicos a lo largo del año 2020 en función de más de 2,5 millones de alertas de carga útil únicas recopiladas de 1,7 millones de endpoints en 92 países.

Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Seguridad

Preocupación: el ransomware vuelve a atacar el rubro de la salud

El nuevo informe de Kroll reveló que Kroll observó un aumento del 90% en cuanto a ataques cibernéticos realizados hacía organizaciones de la salud.

El nuevo informe de Kroll, Q2 Threat Landscape, Ransomware Returns, Healthcare Hit, reveló que, durante el segundo trimestre del 2022, Kroll observó un aumento equivalente al 90% en cuanto a ataques cibernéticos realizados hacía organizaciones de la salud refiere.

Los constantes ataques perpetrados hacía la sanidad la han vuelto el sector más afectado del cuatrimestre, representando el 21 % de los casos totales de Kroll. Una cifra preocupante si se la compara con el 11 % que significó en el primer trimestre. Respaldando estos hallazgos, el Centro de Coordinación de Ciberseguridad del Sector de la Salud de EE. UU. emitió una nota en abril, alertando que el grupo de ransomware Hive apuntaba agresivamente hacía el sector.

El método de ataque principal utilizado por los grupos de hackers es el ransomware, donde se emplean malwares encargados de confiscar y encriptar todos los datos existentes en el sistema seleccionado. Estos casos de ransomware suelen implicar una doble extorsión, donde no solo se extraen los datos antes de cifrar la red, sino que se amenaza con filtrarlos al público durante la negociación.

Los malwares tienen distintas formas de acceder a los sistemas, siendo los métodos de phising y los servicios remotos externos las vías de acceso más frecuentes.

En los casos de phising, es común el uso de correos falsificados, los cuales contienen archivos ZIP ocultos que al ser descargados introducen malwares al equipo, como Bumbelblee o Qakbot.

En cuanto a este último, Kroll detectó un aumento exponencial de su uso por parte de grupos de reciente aparición, como Black Basta. Consecuentemente, la identificación de este u otro tipos de troyanos en un sistema operativo puede significar un anticipador a eventos de ransomware.

Si bien el phishing continúa siendo el método principal de acceso inicial, Kroll evidenció que los servicios remotos externos también tuvieron un incremento notable, usándose como vía de introducción un 700 % más en comparación al trimestre pasado. Sin embargo, este aumento paralelo entre prácticas de ransomware y servicios remotos externos indica una correlación entre el incidente y su causa raíz, hecho que no siempre es tan claro.

Pese a que se los ataques hacía el servicio sanitario se hayan disparado como nunca antes, el sector ha sido un blanco atractivo histórico para pandillas de ransomware, puesto que se interrumpen redes ligadas a servicios esenciales para el rescate de vidas humanas, lo cual motiva a las organizaciones respectivas a realizar el pago del rescate.

El rejuvenecimiento de las ransomware gangs viene dotada no solo de la aparición de nuevos actores, sino por la desintegración de antiguas bandas, como Conti. La misma apagó sus servidores el 23 de junio y sus integrantes se dispersaron en pequeños grupos separados. BlackCat, QuantumLocker y Hive son otros grupos que aumentaron su actividad durante el segundo trimestre.

Retomando con los servicios remotos externos, sus vulnerabilidades han sido explotadas por los ciberdelincuentes debido a la falta de prevenciones tomadas por las compañías en materia de ciberseguridad. Esto se debe a que la pandemia del coronavirus obligó a gran parte de la población mundial a digitalizar sus contenidos a toda prisa, saltándose las precauciones básicas.

Gracias a la reciente efectividad demostrada por los antivirus y herramientas de control (EDR), los ciberataques se han vuelto más sofisticados. Un ejemplo de ello es la complejización en la cadena de infección del troyano, a fin de que este pase desapercibido.

Teniendo todo ello en cuenta, se resalta la importancia de las soluciones de detección y respuesta gestionadas (MDR), así como su constante actualización a fin de evitar uno de estos ataques. En relación con las tendencias que Kroll detecta en cuanto a métodos de acceso refiere, sería prudentes que las organizaciones (y específicamente las relacionadas con salud) se centren en la seguridad de sus servicios remotos, implementando un cronograma regular de chequeos, parches y escaneos de vulnerabilidades en materia de VPN.

El segundo trimestre del 2022 enfatiza la relevancia de no descuidar en ningún momento la seguridad cibernética, así como revisar los sistemas que apresuradamente se descargaron al inicio de la cuarentena, así se evita un posible foco de acceso para ciberdelitos.

Continue Reading

Seguridad

Como es el peor virus informático de la historia: Mydoom

Conocé la historia detrás de la pesadilla virtual más importante de la historia.

Conocé la historia detrás de la pesadilla virtual más importante de la historia.

Si estamos conectados a Internet, estamos expuestos. Las amenazas de seguridad informática no han hecho más que crecer durante los últimos años. Cada día, según el instituto AV-TEST, se registran más de 450.000 nuevas muestras malware y crapware (software potencialmente no deseado).

Virus, gusanos, troyanos, spyware, ransomware; en la red hay peligros de todos los tipos y colores, y somos testigos (o víctimas) de estos.

Pero antes de que FluBot se hiciera famoso por «la estafa SMS de FedEx«, de que un jóven de 17 años encabezara la banda de ransomware Lapsus$ que apuntó a grandes empresas como Microsoft, Samsung o Nvidia, e incluso antes de que el phishing fuera utilizado como una herramienta militar, existía el gusano Mydoom. Estamos hablando del gusano más rápido y más dañino de la historia, un dolor de cabeza que todavía no ha sido igualado.

En enero de 2004, cuando muchos de nosotros utilizábamos ordenadores con Windows XP y navegábamos a velocidades de entre 256 y 1.024 Kbps, algunos usuarios empezaron a recibir correos electrónicos con el asunto “Message could not be delivered” y un archivo adjunto «Message.zip» (el asunto y el archivo adjunto también podían tener otros nombres). Como el mensaje parecía inofensivo, muchas personas lo habrían sin precaución.

Algunos podrían imaginarse que se trataba de una advertencia de un mail legítimo que había rebotado. Y, si por ejemplo nos centramos en entornos laborales, nadie quiere recibir una reprimenda por un mensaje que debería haber salido y no salió, ¿no? Lo que no sabían quienes ingresaban a este correo electrónico es que estaban cerca de caer en una trampa, en otras palabras, de que su ordenador iba a caer infectado.

De acuerdo a la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA, por sus siglas en inglés), Mydoom era capaz de infectar cualquier ordenador con sistema operativo Windows 95 o superior. Al abrir el archivo adjunto se ejecutaba un código malicioso que se encargaba de enviar el malware a otras direcciones de correo electrónico, sentaba las bases para ataques de denegación de servicio y se camuflaba para no ser detectado.

Una serie de tareas cuya efectividad y complejidad tenían pocas posibilidades de comparación. Desde el punto de vista técnico, Mydoom colocaba una copia de sí mismo en C:\Windows\ y modificaba el registro del sistema para pasar desapercibido y persistir incluso después de reinicio. Además abría dos backdoors (puertas traseras) en los puertos TCP 3127 a 3198, lo que permitía el acceso remoto a los ordenadores infectados.

Este malware tenía la capacidad de buscar en el ordenador direcciones de correo electrónico para enviarse desde los sistemas comprometidos y así alcanzar un mayor nivel de infección. Asimismo, una variante podía propagarse a través de Kazaa, una aplicación de intercambio de archivos P2P (generalmente música, imágenes y vídeos) muy utilizada en la época, y bloqueaba el acceso a cientos de páginas web de antivirus.

Un análisis exhaustivo del código por parte de investigadores de ciberseguridad reveló que MyDoom estaba programado para comenzar un ataque de denegación de servicio (DDoS) contra la empresa SCO Group el 1 de febrero de 2004.

Una variante del malware también incluía un ataque DDoS contra Microsoft para el 3 de febrero de 2004. Esto hizo saltar las alarmas y provocó una investigación por parte del FBI.

Antes de los potenciales ataques de DDoS, según CNN, SCO Group ofreció una recompensa de 250.000 dólares «información que conduzca al arresto y condena de los responsables de este delito«.

Microsoft adoptó una postura similar, también ofreciendo 250.000 dólares. El programador de MyDoom finalmente no apareció, y tampoco datos precisos que pudieran generar una hipótesis sólida, y los días de los ataques finalmente llegaron.

El 1 de febrero comienza el ataque de DDoS contra SCO Group y la página principal de la compañía queda rápidamente fuera de servicio. Como cuenta CNET, esto obliga poner en línea una página alternativa, www.thescogroup.com. «Este ataque a gran escala, causado por el virus informático MyDoom, se estima que infectó a cientos de miles de computadoras en todo el mundo«, dijo en ese momento Jeff Carlon, director de tecnología de SCO Group.

Microsoft, por su parte, resiste el ataque del 3 de febrero, según Computer World. Aparentemente, el músculo de la compañía de Redmond junto a una planificada preparación previa evitó que MyDoom consiguiera su segundo objetivo. La compañía señalaba en su página web que estaba haciendo todo lo posible para permanecer en línea.

De acuerdo al equipo de investigación de amenazas de BlackBerry Cylance, es el gusano de propagación más rápida que jamás haya existido. Además, en su momento pico, generó entre el 16 y el 25% de todos los correos electrónicos enviados en todo el mundo. Esto provocó una ralentización global del rendimiento de Internet que afectó la productividad de millones de personas y pérdidas millonarias.

El análisis de Webfx señala que los costes derivados de protección antivirus, eliminación de la amenaza, tiempo perdido, entre otros factores causados por MyDoom se tradujeron en pérdidas de 38 mil millones de dólares en 2004, cantidad que ajustada a la inflación alcanza los 59 mil millones de dólares hoy.

MyDoom fue una pesadilla, y aunque sigue circulando por la red, su fama ha hecho que todos los antivirus conocidos y actualizados sean capaces de detectarlo.

Fuente: Xataka

Continue Reading

Seguridad

Temor por la filtración de datos de 1000 millones de usuarios de TikTok

Las alertas no para de llegar. Microsoft ya avisó a TikTok y al parecer, fue ignorado.

Las alertas no para de llegar. Microsoft ya avisó a TikTok y al parecer, fue ignorado.

TikTok ha negado una violación de seguridad después de que las publicaciones en foros de piratería afirmaron haber comprometido el código fuente de la aplicación, así como los detalles de la cuenta de potencialmente miles de millones de personas.

En un comunicado publicado en Twitter, la compañía dijo que “no encontró evidencia de incumplimiento”, luego de una investigación de los reclamos. La compañía también le dijo a Bloomberg UK que el presunto código fuente publicado por los piratas informáticos «no tiene ninguna relación con el código fuente del backend de TikTok».

Los reclamos de una posible violación habían estado circulando entre la comunidad de seguridad después de una publicación en un foro de hackers.

En el foro expresaban tener la posesión de una base de datos con más de dos mil millones de entradas relacionadas con las cuentas de TikTok y WeChat. El grupo de hackers afirmó haber obtenido los registros de TikTok de un servidor en la nube inseguro.

Los supuestos piratas informáticos publicaron una muestra de los datos de TikTok pero, como el investigador de seguridad Troy Hunt señaló que contenía datos que ya eran de acceso público y, por lo tanto, «podrían haberse construido sin violación«.

Hunt, que dirige el servicio «haveibeenpwned»,dijo que los datos fueron en general «bastante poco concluyentes».

Si bien TikTok ha negado enérgicamente una violación, la información en la base de datos podría provenir de otros medios.

Riesgo máximo en TikTok para Android

Los reclamos de una brecha de seguridad llegan pocos días después de que los investigadores de Microsoft hayan revelado que habían encontrado una “vulnerabilidad de alta gravedad” en la aplicación de Android de TikTok que ponía en riesgo millones de cuentas.

Microsoft dijo que la vulnerabilidad se solucionó menos de un mes después de que alertó a TikTok sobre el problema en febrero de 2022. TikTok ha enfrentado durante mucho tiempo preguntas sobre sus practicas de seguridad y qué datos de usuario se comparten con la empresa matriz ByteDance.

La compañía dijo el mes pasado que Oracle revisaría sus algoritmos y sistemas de moderación de contenido en un esfuerzo por disipar las preocupaciones.

Fuente: Engadget

Continue Reading

NO TE LO PIERDAS