El 30% de los ataques de malware son exploits zero-day

WatchGuard Technologies, líder en soluciones avanzadas de seguridad de red, ha presentado las conclusiones de su primer Informe de Seguridad en Internet, una investigación con carácter trimestral en la que explora las amenazas de seguridad informática y de red más recientes que afectan a las pequeñas y medianas empresas (PYMES), y a organizaciones distribuidas.

El informe abarca las principales tendencias de malware desde del cuatro trimestre de 2016, analiza las historias y casos de ciberseguridad más destacados, detalla las nuevas investigaciones de WatchGuard Threat Lab y ofrece consejos prácticos de defensa para los profesionales de la seguridad. Los resultados del informe se basan en datos anónimos de Firebox Feed procedentes de los dispositivos de gestión unificada de amenazas (UTM) activos de WatchGuard en todo el mundo.

"Estamos muy emocionados y orgullos de presentar el Informe de Seguridad en Internet de WatchGuard", comenta Corey Nachreiner, director de tecnología de WatchGuard Technologies. "Nuestro Laboratorio de Amenazas ha estado monitorizando las amenazas y tendencias más frecuentes del mercado de seguridad durante años y ahora, al añadir la tecnología Firebox Feed -las analíticas de amenazas anónimas de los Fireboxes desplegados por todo el mundo- tenemos un conocimiento profundo y de primera mano de la evolución de los ciberataques y de cómo se comportan los agentes de amenazas. Cada trimestre, nuestro informe conjugará los nuevos datos de Firebox Feed con investigaciones originales y análisis de información de los principales eventos de seguridad para revelar las principales tendencias de amenazas y ofrecer las mejores prácticas de defensa”.

Con ciberataques como el de la Botnet Mirai, los ataques a SWIFT bancarios y la supuesta interferencia rusa en las elecciones presidenciales, los ciberdelincuentes estuvieron muy ocupados en 2016 y el último trimestre del año no fue una excepción. Los intentos de ransomware a través de correos electrónicos de phishing y websites maliciosass coparon los titulares, los bancos y organizaciones sanitarias fueron blanco de ataques cada vez más devastadores, y los estados-nación se siguieron atacando unos a otros con sofisticados ciberataques.

La perspectiva de las tendencias, la investigación y los consejos de seguridad comentados en el Informe Trimestral de Seguridad en Internet de WatchGuard está diseñada para ayudar a las compañías a mantener la formación y conciencia, así como para estar vigilantes en un escenario tan dinámico y cambiante como es el de las amenazas. A continuación se incluye el Top 5 de las principales conclusiones del informe:

• Alrededor del 30% del malware se clasificó como nuevo o "zero-day" porque no fue descubierto por una solución antivirus (AV) heredada. Esto confirma que la capacidad de los cibercriminales para reempaquetar o transformar automáticamente su malware ha superado a la capacidad de la industria antivirus para mantenerse al día con las nuevas firmas. Sin una solución avanzada de prevención de amenazas, que identifique el malware de forma proactiva empleando modernas técnicas de detección, las empresas pasarían por alto casi 1/3 del malware.

• Las viejas amenazas se convierten en nuevas. En primer lugar, el malware basado en macros sigue siendo muy frecuente. A pesar de ser un viejo truco, muchos intentos de phishing todavía incluyen documentos con macros maliciosas, y los atacantes han adaptado sus trucos para incluir el nuevo formato de documento de Microsoft. En segundo lugar, los atacantes todavía utilizan web shells maliciosos para secuestrar servidores web. Los scripts PHP gozan de buena salud, pues los estado-nación atacantes han estado desarrollando esta vieja técnica de ataque con nuevos métodos de ocultación.

• JavaScript es un mecanismo popular de entrega y ocultación de malware. Firebox Feed detectó un aumento de JavaScript malicioso, tanto en correo electrónico como en Internet.
• La mayoría de los ataques de red se dirigen a servicios web y navegadores. El 73% de los principales ataques apuntan a los navegadores web en los ataques por drive-by download.
• El principal ataque de red, la ejecución de código remoto Wscript.shell, afectó casi exclusivamente a Alemania. Atendiendo al desglose porpaises, ese ataque se dirigió a Alemania en el 99% de las ocasiones.

El Informe de Seguridad en Internet de WatchGuard se basa en datos anónimos procedentes de los más de 24.000 appliances UTM que la compañía tiene activos en todo el mundo. Estos dispositivos bloquearon más de 18,7 millones de variantes de malware en el cuarto trimestre de 2016 con un promedio de 758 variantes por dispositivo participante. También bloquearon más de 3 millones de ataques de red en el cuarto trimestre, con un promedio de 123 ataques por dispositivo participante.

El informe incluye un desglose detallado de las principales tendencias de ataque y malware del trimestre, los principales incidentes de seguridad y las tendencias de ataque vía correo electrónico y web. En respuesta a la rápida propagación de la botnet Mirai, WatchGuard Threat Lab también ha puesto en marcha un proyecto de investigación que analiza los dispositivos IoT en búsqueda de fallos de seguridad. La investigación destaca en este informe la evaluación de cámaras WiFi, accesorios de fitness y dispositivos nuevos con capacidad de red. Esto incluye un estudio más profundo de las vulnerabilidades encontradas por el Threat Lab en las relativamente populares cámaras IP inalámbricas y los pasos que los consumidores deberían dar para asegurar los dispositivos IoT que compran.