WatchGuard Technologies lanzó de su Informe de Seguridad de Internet para el tercer trimestre de 2020. Principales hallazgos de la investigación revelan cómo COVID-19 ha impactado en el panorama de amenazas a la seguridad, con evidencia de que los atacantes continúan atacando las redes corporativas a pesar del cambio al trabajo remoto y un aumento en los dominios maliciosos relacionados con la pandemia y las campañas de phishing.

“A medida que el impacto de COVID-19 continúa desarrollándose, nuestra inteligencia de amenazas proporciona información clave sobre cómo los atacantes están ajustando sus tácticas”, dijo Corey Nachreiner, director de Tecnología de WatchGuard.

“Si bien no existe ‘la nueva normalidad’ en lo que respecta a la seguridad, las empresas pueden estar seguras de que aumentar la protección tanto para el End point como para la red será una prioridad en 2021 y más allá. También será importante establecer un enfoque en capas para la seguridad de la información, con servicios que puedan mitigar ataques evasivos y encriptados, sofisticadas campañas de phishing y más”, agregó.

Los Informes de Seguridad de Internet de WatchGuard informan a las empresas, sus socios y clientes finales con datos concretos, análisis de expertos e información útil sobre las últimas tendencias de ataques de red y malware a medida que surgen e influyen en el panorama de amenazas en constante evolución.

Hallazgos clave del informe del tercer trimestre de 2020

Los ataques de red y las detecciones únicas alcanzaron máximos de dos años:

Los ataques de red aumentaron a más de 3,3 millones en el tercer trimestre, lo que representa un aumento del 90% con respecto al trimestre anterior y el nivel más alto en dos años. Las firmas únicas de ataques a la red también continuaron en una trayectoria ascendente, alcanzando también un máximo de dos años en el tercer trimestre.

Estos hallazgos destacan el hecho de que las empresas deben priorizar el mantenimiento y el fortalecimiento de las protecciones para los activos y servicios basados en la red, incluso cuando la fuerza laboral se vuelve cada vez más remota.

Las estafas de COVID-19 aumentan en prevalencia:

En el tercer trimestre, una campaña de software publicitario COVID-19 que se ejecuta en sitios web utilizados con fines legítimos de apoyo a la pandemia se incluyó en la lista de WatchGuard de los 10 sitios web más comprometidos.

WatchGuard también descubrió un ataque de phishing que aprovecha Microsoft SharePoint para alojar una página de pseudo-inicio de sesión que se hace pasar por las Naciones Unidas (ONU), y el enlace de correo electrónico contenía mensajes sobre el alivio de las pequeñas empresas de la ONU debido al COVID-19. Estos hallazgos enfatizan aún más que los atacantes continuarán aprovechando el miedo, la incertidumbre y las dudas que rodean la crisis de salud global para atraer y engañar a sus víctimas.

Las empresas hacen clic en cientos de ataques de phishing y enlaces defectuosos:

En el tercer trimestre, el servicio DNSWatch de WatchGuard bloqueó un total de 2.764.736 conexiones de dominio malicioso, lo que se traduce en 499 conexiones bloqueadas por organización en total.

Desglosándolo aún más, cada empresa hubiera podido llegar a 262 dominios de malware, 71 sitios web comprometidos y 52 campañas de phishing. En combinación con el aumento mencionado anteriormente de estafas convincentes de COVID-19, estos hallazgos ilustran la importancia de implementar servicios de filtrado de DNS y capacitación en conciencia de seguridad de los usuarios.

Los atacantes investigan sistemas SCADA vulnerables en los EE. UU.

La nueva adición a la lista de ataques de red más extendida de WatchGuard en el tercer trimestre explota una vulnerabilidad de omisión de autenticación parcheada previamente en un popular sistema de control de supervisión y adquisición de datos (SCADA).

Si bien esta clase de vulnerabilidad no es tan grave como una falla de ejecución remota de código, aún podría permitir que un atacante tome el control del software SCADA que se ejecuta en el servidor.

Los atacantes apuntaron a casi el 50% de las redes estadounidenses con esta amenaza en el tercer trimestre, destacando que los sistemas de control industrial podrían ser un área de enfoque importante para los malos actores en el próximo año.

El look-a-like de LokiBot debuta como una de las variantes de malware más generalizadas:

Farelt, un ladrón de contraseñas que se parece a LokiBot, se abrió camino en la lista de las cinco principales detecciones de malware más extendidas de WatchGuard en el tercer trimestre.

Aunque no está claro si la botnet Farelt usa la misma estructura de comando y control que LokiBot, existe una alta probabilidad de que el mismo grupo, SilverTerrier, haya creado ambas variantes de malware.

Esta botnet toma muchos pasos para eludir los controles antivirus y engañar a los usuarios para que instalen el malware. Mientras investigaba la amenaza, WatchGuard encontró evidencia sólida que indica que el malware probablemente se ha dirigido a muchas más víctimas de las que sugieren los datos.

Emotet persiste:

Emotet, un prolífico troyano bancario y conocido ladrón de contraseñas, hizo su debut en la lista de los diez principales malware de WatchGuard por primera vez en el tercer trimestre y se perdió por poco de la lista de los diez principales dominios que distribuyen malware (por solo unas pocas conexiones).

A pesar de estar en el puesto 11 en la última lista, esta apariencia es particularmente notable, ya que WatchGuard Threat Lab y otros equipos de investigación han visto que las infecciones actuales de Emotet liberan otros ataques/payloads adicionales como Trickbot e incluso el ransomware Ryuk sin signos de desaceleración.

Los informes de investigación trimestrales de WatchGuard se basan en datos anónimos de Firebox Feed de dispositivos WatchGuard activos cuyos propietarios han optado por compartir datos para respaldar los esfuerzos de investigación de Threat Lab.

En el tercer trimestre, casi 48,000 dispositivos WatchGuard contribuyeron con datos al informe (la mayor cantidad jamás registrada), bloqueando un total de más de 21,5 millones de variantes de malware (450 por dispositivo) y más de 3,3 millones de amenazas de red (o aproximadamente 70 detecciones por dispositivo).

Los dispositivos Firebox también continuaron su tendencia ascendente de detecciones de firmas únicas, identificando y bloqueando colectivamente 438 firmas de ataques únicas, un aumento del 6.8% con respecto al segundo trimestre y el mayor desde el cuarto trimestre de 2018.

El informe completo incluye una investigación en profundidad y las mejores prácticas defensivas clave que las empresas de todos los tamaños pueden utilizar para protegerse contra las amenazas de seguridad modernas. El informe también presenta un análisis detallado del histórico ataque a Twitter que comprometió 130 cuentas de alto perfil para promover una estafa de Bitcoin en julio de 2020.