Malware oculto en redes populares de entrega de contenido
Un informe de WatchGuard reveló que, según su clasificación de los dominios más comunes que usan los atacantes para alojar malware y lanzar ataques de phishing, varios subdominios de sitios legítimos y redes de entrega de contenido (CDN) como CloudFlare.net, SharePoint y Amazonaws.com, se utilizan para atacar. También destaca que los módulos de la popular herramienta de prueba de penetración de Kali Linux se ubicó en la lista de los diez principales malware por primera vez en el año, registrándose un aumento en el volumen de malware en un 64% y más.
“Esta edición del Informe de seguridad de Internet expone los detalles más oscuros de los métodos que los hackers utilizan para infiltrar malware o correos electrónicos de phishing en redes, ocultándose en contenido legítimo hospedado en servidores”, dijo Corey Nachreiner, Director de Tecnología de WatchGuard Technologies.
“Afortunadamente, hay varias formas de defenderse contra esto, incluido el filtrado de nivel DNS para bloquear conexiones a sitios web maliciosos conocidos, servicios avanzados antimalware, factores múltiples de autenticación para evitar ataques aprovechando credenciales comprometidas y capacitación para ayudar a los empleados a reconocer los correos electrónicos de phishing. Ninguna defensa evitará cada ataque, así que lo mejor forma en que las organizaciones pueden protegerse es con una plataforma de seguridad unificada que ofrece múltiples servicios de seguridad en capas”.
El Informe de seguridad de Internet de WatchGuard proporciona datos del mundo real sobre las principales amenazas de seguridad, también como análisis detallados de los principales incidentes de seguridad y las mejores prácticas para ayudar a las organizaciones de todos los tamaños a proteger sus negocios y los datos de sus clientes.
Los hallazgos claves del informe del segundo trimestre de 2019 incluyen:
1-Ataques de malware y phishing que abusan de dominios legítimos:
El servicio DNSWatch intercepta conexiones destinadas a dominios maliciosos conocidos en el Nivel DNS y los redirige. Al rastrear los dominios maliciosos más comunes bloqueados por DNSWatch, WatchGuard puede identificar los principales dominios que alojan ataques de malware y phishing.
Es de destacar que varios de estos dominios son subdominios de CDN legítimos como CloudFront.net (que pertenece a Amazon) y sitios web legítimos para compartir archivos como mi [.] mixtape [.] moe. Si bien este método de ataque no es nuevo, la investigación de WatchGuard arroja luz sobre los dominios específicos utilizados en estos ataques.
2-Kali Linux hace su debut en la lista de los diez principales programas maliciosos:
Por primera vez, los dos módulos del popular sistema operativo de piratería Kali Linux aparecen en la lista de WatchGuard como el malware más común.
Trojan.GenericKD, que cubre una familia de malware que crea una puerta trasera para un servidor de comando y control, y Backdoor.Small.DT, una web shell script utilizado para crear puertas traseras en servidores web, eran los números seis y siete en la lista. Esto podría indicar una creciente adopción entre actores maliciosos o más en las pruebas de penetración realizadas por hackers de sombrero blanco con Kali Linux.
3-Aumento significativo año tras año en el volumen general de malware:
En general, el volumen total de malware que WatchGuard Fireboxes ha visto ha aumentado significativamente en comparación al año pasado.
Dos de los tres servicios de detección de malware de WatchGuard vieron aumento de malware en el segundo trimestre de 2019 más que en el segundo trimestre de 2018; uno bloqueó 58% más y el otro bloqueó 68% más, resultando en un aumento general interanual del 64% de ataques
4-El phishing generalizado y el malware de explotación de Office aumentan:
Dos piezas de malware (un ataque de phishing que amenaza con liberar información falsa que compromete la víctima y un exploit de Microsoft Office) ha aparecido como el más extendido.
La lista de malware en Q1 2019 y Q4 2018 se ha graduado a la lista de los diez más vistos por volumen. Esta ilustra que estas campañas están en aumento, enviando un gran volumen de ataques en una amplia gama de objetivos. Los usuarios deben actualizar Office regularmente e invertir en anti phishing y soluciones de seguridad de filtrado de DNS.
5-La inyección de SQL domina los ataques de red:
Los ataques de inyección de SQL representan el 34% de todos ataques de red detectados en el segundo trimestre de 2019 y han aumentado significativamente en volumen año tras año (un ataque específico aumentó más del 29,000% del segundo trimestre de 2018 al segundo trimestre de 2019).
Cualquiera que mantenga una base de datos SQL, o un servidor web con acceso a una base de datos, debería actualizar los sistemas regularmente e invertir en un firewall de aplicaciones web.
6-El malware se dirige cada vez más a Europa y APAC:
En el segundo trimestre de 2019, casi el 37% del malware apuntó a la región EMEA, con varios ataques individuales centrados en el Reino Unido, Italia, Alemania y Mauricio. APAC quedó en segundo lugar, objetivo del 36% del total ataques de malware. Las variantes de malware Razy y Trojan.Phishing.MH en particular principalmente dirigido a la región APAC, con el 11% de las detecciones Trojan.Phishing.MH encontradas en Japón.