Volumen total ransomware 2021 duplicó en transcurso primer trimestre 2022

SEATTLE, EUA., junio 2022.- WatchGuard Technologies, líder mundial en inteligencia y seguridad de red avanzada, anunció hoy los resultados del Informe de Seguridad en Internet trimestral, que detalla las principales tendencias de malware y amenazas de seguridad de red analizadas por los investigadores de WatchGuard Threat Lab.

Los principales hallazgos de la investigación revelaron que las detecciones de ransomware en el primer trimestre de este año duplicaron el volumen total informado para 2021, la red de bots Emotet regresó a gran escala, la vulnerabilidad del Log4Shell triplicó sus esfuerzos de ataque, aumentando la actividad maliciosa de cryptomining y mucho más.

“Basándonos en el aumento inicial de ransomware de este año y los datos de trimestres anteriores, predecimos que 2022 romperá nuestro récord de detecciones anuales de ransomware”, mencionó Corey Nachreiner, Director de Seguridad de WatchGuard.“Seguimos instando a las empresas a que no solo se comprometan a implementar medidas simples pero de importancia crítica, sino que también adopten un verdadero enfoque de seguridad unificado que pueda adaptarse rápida y eficientemente a las amenazas crecientes y en evolución”.

Otros hallazgos clave de este Informe de Seguridad de Internet que analiza datos del primer trimestre de 2022, incluyen:

Ransomware nuclear – Aunque los hallazgos del Informe de Seguridad de Internet del cuarto trimestre de 2021 de Threat Lab mostraron que los ataques de ransomware han tenido una tendencia a la baja año tras año, todo eso cambió en el primer trimestre de 2022 con una explosión masiva en las detecciones de ransomware. Sorprendentemente, la cantidad de ataques de ransomware detectados en el primer trimestre ya ha duplicado la cantidad total de detecciones para 2021.

LAPSUS$ surge tras la caída de REvil – El cuarto trimestre de 2021 vio la caída de la infame cuadrilla cibernética REvil, que, en retrospectiva, abrió la puerta para que surgiera otro grupo: LAPSUS$. El análisis del primer trimestre de WatchGuard sugiere que el grupo de ransomware LAPSUS$, junto con muchas nuevas variantes de ransomware como BlackCat, primer ransomware conocido en el lenguaje escrito de programación Rust, que podrían ser factores que contribuyen a un panorama de amenazas de ransomware en constante aumento.

Log4Shell hace su debut en la lista de los 10 principales ataques a la red- Publicada a principios de diciembre de 2021, la vulnerabilidad Apache Log4j2, también conocida como Log4Shell, debutó en la lista de los 10 principales ataques a la red, a finales de este trimestre. En comparación con las detecciones de IPS agregadas en el cuarto trimestre de 2021, la firma de Log4Shell prácticamente se triplicó en el primer trimestre de este año. Destacado como el principal incidente de seguridad en el Informe de Seguridad de Internet anterior de WatchGuard, Log4Shell atrajo la atención por obtener un puntaje perfecto de 10.0 en CVSS, la máxima crítica posible para una vulnerabilidad por su uso generalizado en programas Java y el nivel de facilidad en la ejecución de código arbitrario.

Regreso de Emotet – Emotet representa tres de las 10 detecciones principales y el malware más extendido este trimestre, luego de su resurgimiento en el cuarto trimestre de 2021. Las detecciones de Trojan.Vita, apuntaron fuertemente a Japón, apareció en la lista de los cinco principales programas maliciosos cifrados y Trojan.Valyria, en la que ambos usan exploits en Microsoft Office para descargar el botnet Emotet. La tercera muestra de malware relacionada con Emotet, MSIL.Mensa.4, puede propagarse a través de dispositivos de almacenamiento conectados y, en su mayoría, redes específicas en los EE. UU. Los datos de Threat Lab indican que Emotet actúa como cuentagotas, descargando e instalando el archivo desde un servidor de entrega de malware.

Los scripts de PowerShell lideran el aumento de los ataques a endpoints – Las detecciones generales de endpoints para el primer trimestre aumentaron aproximadamente un 38 % con respecto al trimestre anterior. Los scripts, específicamente de PowerShell, fueron el vector de ataque dominante. Los scripts, que representan el 88 % de todas las detecciones, superaron por sí solos la cantidad de detecciones generales de puntos de conexión más allá de la cifra informada para el trimestre anterior. Las secuencias de comandos de PowerShell fueron responsables del 99,6 % de las detecciones de secuencias de comandos en el primer trimestre, lo que muestra cómo los atacantes se están moviendo hacia ataques sin archivos y sin conexión utilizando herramientas legítimas. Aunque estos scripts son la elección clara para los atacantes, los datos de WatchGuard muestran que no se deben pasar por alto otras fuentes de origen de malware.

Operaciones legítimas de cryptomining asociadas con actividad maliciosa – Las tres nuevas incorporaciones a la lista de principales dominios de malware en el primer trimestre estaban relacionadas con Nanopool. Esta popular plataforma agrega actividad de minería de criptomonedas para permitir rendimientos constantes. Estos dominios son técnicamente legítimos asociados a una organización legítima. Sin embargo, las conexiones a estos grupos de minería casi siempre se originan en una red comercial o educativa a partir de infecciones de malware versus operaciones de minería legítimas.

Las empresas aún enfrentan una amplia gama de ataques de red únicos – Mientras que las 10 principales firmas IPS representaron el 87% de todos los ataques de red; las detecciones únicas alcanzaron su conteo más alto desde el primer trimestre de 2019. Este aumento indica que los ataques automatizados se están enfocando en un subconjunto más pequeño de vulnerabilidades potenciales en lugar de probar todo menos el fregadero de la cocina. Sin embargo, las empresas todavía están experimentando una amplia gama de detecciones.

EMEA continúa siendo un punto de acceso para las amenazas de malware – Las detecciones regionales generales de malware básico y evasivo muestran que los Firebox en Europa, Medio Oriente y África (EMEA) fueron más afectados que los de América del Norte, Central y del Sur (AMER) en 57 % y 22%, respectivamente, seguida por Asia-Pacífico (APAC) con 21%.

Los informes de investigación trimestrales de WatchGuard se basan en datos anónimos de Firebox Feed de WatchGuard Fireboxes activos cuyos propietarios han optado por compartir datos en apoyo directo de los esfuerzos de investigación de Threat Lab. En el primer trimestre, WatchGuard bloqueó un total de más de 21,5 millones de variantes de malware (274 por dispositivo) y casi 4,7 millones de amenazas de red (60 por dispositivo). El informe completo incluye detalles sobre malware adicional y tendencias de red del primer trimestre de 2022, estrategias de seguridad recomendadas y consejos de defensa críticos para empresas de todos los tamaños, en cualquier sector, y más.