in

Más del 90% del malware en el segundo trimestre se ocultó en el tráfico cifrado



Las organizaciones que no han implementado controles para detectar malware oculto en el tráfico de red cifrado corren el riesgo de que una gran mayoría de herramientas maliciosas se propaguen libremente y lleguen a sus puntos finales.

Un estudio de actividad de amenazas realizado por WatchGuard Technologies utilizando datos anónimos de las redes de los clientes mostró que el 91,5% de las detecciones de malware en el segundo trimestre de 2021 fueron malware que llegaron a través de conexiones cifradas HTTPS. Solo el 20% de las organizaciones tienen actualmente mecanismos para descifrar y escanear el tráfico HTTPS en busca de malware, lo que significa que el 80% restante corre el riesgo de perder nueve décimas partes del malware que se infiltra en sus redes a diario, dijo WatchGuard.

Corey Nachreiner, director de seguridad de WatchGuard, dice que una de las razones por las que cada vez más empresas no han habilitado los controles de descifrado HTTPS basados ​​en la red se debe a la complejidad real y percibida de esta configuración.

«[For] Para trabajar con el descifrado de intermediario sin poner en peligro la inviolabilidad de los certificados HTTPS que aseguran este tráfico, es necesario configurar un certificado de CA raíz o intermedio que sea parte del proceso de verificación oficial del certificado «, dice.

Hay varias formas de hacer esto, algunas de las cuales son complicadas y otras no tan complicadas.

«En resumen, se necesita algo de trabajo para hacer esto por primera vez, y crear excepciones para que funcione bien, por lo que algunos no se molestan», dice Nachreiner. «Pero estamos firmemente convencidos de que el esfuerzo vale la pena, de lo contrario, la seguridad de su red faltará mucho».

El punto de datos de malware cifrado es uno de varios en un informe publicado por WatchGuard esta semana que destaca tendencias preocupantes para las empresas en el frente del malware.

El análisis de WatchGuard mostró, por ejemplo, que el número de ataques con secuencias de comandos o sin archivos ya había alcanzado el 80% del número total en 2020 solo en los primeros seis meses de este año. Los datos del último trimestre sugieren que el malware sin archivos está activo este año, el volumen se duplicará en comparación con 2020.

Al igual que el malware cifrado, los ataques sin archivos como JavaScript, PowerShell y Visual Basic son otra amenaza que algunas herramientas antivirus (AV) no pueden detectar fácilmente.

«Aunque este no es siempre el caso, muchos de estos scripts pueden diseñarse para lanzar ataques fuera del país, lo que significa que nunca colocan archivos maliciosos en un endpoint», dice Nachreiner. «Más bien, continúan usando scripts y acceso privilegiado – las credenciales de la víctima o credenciales elevadas – para continuar con sus actividades maliciosas».

Por lo tanto, las herramientas de detección de malware centradas en archivos pueden pasarlas por alto, dice.

Malware de día cero y otras tendencias
Las detecciones de malware de día cero disminuyeron un 9% con respecto al trimestre anterior, pero aún representaron un preocupante 64% de todas las muestras de malware en el segundo trimestre. Este número es otra razón por la que las herramientas de reconocimiento AV basadas en firmas no son suficientes.

«Los atacantes han reempaquetado automáticamente el malware, lo que significa que el mismo malware puede verse superficialmente diferente para cada víctima», dice Nachreiner.

Las empresas necesitan cada vez más tecnologías de detección, como modelos de aprendizaje automático o análisis de comportamiento, que puedan detectar de forma proactiva un nuevo malware sin tener que esperar a que el proveedor de antivirus publique una firma.

A nivel macro, las detecciones de malware en el perímetro corporativo cayeron casi un 4%, aunque el volumen de ataques a la red aumentó a otro máximo de tres años con respecto al volumen del trimestre anterior. El número total de ataques a la red alcanzó los 5,2 millones en el último trimestre, un aumento del 22,3% con respecto al primer trimestre. Los números destacan una tendencia que otros proveedores han visto en términos de un cambio de enfoque de los atacantes después de que la pandemia de COVID-19 forzó un cambio a un entorno de trabajo más disperso.

«Creemos que esto se debe simplemente a la pandemia que ha provocado que la mayoría de los empleados basados ​​en el conocimiento trabajen desde casa», dice Nachreiner. Dado que el malware tiende a apuntar a los usuarios en cualquier lugar donde reciben correo electrónico o navegan por Internet, agrega, los atacantes se han centrado en los trabajadores remotos.

“Ahora que haces estas cosas desde casa. Están fuera del perímetro de la red de su empresa, por lo que no vemos tanto malware allí ”, dice. Eso no significa necesariamente que el volumen general de malware haya disminuido, advierte. Los datos solo indican que los productos de seguridad de terminales, y no los controles de la red perimetral, ahora están viendo la mayor parte del malware, señala Nachreiner.

Mientras tanto, los atacantes de red continuaron golpeando servidores y servicios que todavía están en la oficina o en la nube. Varios investigadores de seguridad han descubierto que muchos de estos servidores y servicios están un poco menos protegidos que antes, ya que más empleados, incluidos los empleados de seguridad de la información, trabajan desde casa.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

La actualización de Windows 10 KB5005611 soluciona problemas con Microsoft Outlook

¡Octubre es el mes de la concientización sobre la seguridad cibernética! Por qué es importante ser cibernético