El nuevo informe de WatchGuard Threat Lab detecta un aumento del 94% del malware de red

WatchGuard Technologies ha publicado las conclusiones de su último Internet Security Report, un análisis trimestral que detalla las principales amenazas de seguridad relacionadas con malware, red y endpoints observadas por los investigadores del WatchGuard Threat Lab durante el cuarto trimestre de 2024.

Entre los hallazgos más relevantes del informe destaca un aumento del 94% trimestral en las detecciones de malware basado en red, lo que refleja una tendencia al alza sostenida de las amenazas. Al mismo tiempo, los datos muestran un aumento generalizado en todas las detecciones de malware, incluyendo un 6% más en las detecciones de Gateway AntiVirus (GAV) y un incremento del 74% en las detecciones de APT Blocker (Advanced Persistent Threat), aunque los incrementos más significativos provienen de las capacidades proactivas de detección de machine learning ofrecida por IntelligentAV (IAV), que sube un 315%. Esto pone de relieve el papel cada vez más importante de los servicios antimalware más proactivos a la hora de detectar malware sofisticado y evasivo, como el de tipo zero-day, especialmente cuando se transmite a través de canales cifrados. Estos aumentos reflejan que los atacantes están recurriendo cada vez más a técnicas de ofuscación y cifrado, lo que pone a prueba las defensas tradicionales.

El equipo de Threat Lab también ha observado un incremento significativo en la detección de criptomineros, con una subida del 141% respecto al trimestre anterior. La minería de criptomonedas es un proceso habitual para obtener criptodivisas en algunas blockchains, incluido Bitcoin. Sin embargo, un criptominero malicioso puede ejecutarse sin el conocimiento ni el consentimiento del usuario. A medida que el valor y la popularidad de Bitcoin aumentan, las detecciones de criptomineros se consolidan como una táctica cada vez más empleada por los actores maliciosos.

Perspectivas sobre la seguridad en Internet del cuarto trimestre de 2024.

“Las conclusiones de nuestro Internet Security Report del cuarto trimestre de 2024 revelan un panorama de ciberseguridad en el que los atacantes continúan explotando vulnerabilidades básicas y errores fáciles de aprovechar, al tiempo que recurren a técnicas avanzadas de malware evasivo para esquivar las defensas tradicionales”, explica Corey Nachreiner, Chief Security Officer de WatchGuard Technologies. “Los datos ilustran la importancia de no bajar la guardia: es fundamental mantener los sistemas actualizados de forma proactiva, monitorizar cualquier actividad anómala y aplicar defensas en capas para interceptar los inevitables intentos de explotación tanto en la red como en los endpoints. Así, las empresas podrán mitigar eficazmente las amenazas observadas este trimestre y prepararse ante los desafíos que traerán los ciberatacantes y el cambiante panorama de amenazas”.

Otros hallazgos destacados del Internet Security Report de Q4 de 2024 de WatchGuard incluyen:

• En el último trimestre de año, el malware de tipo Zero-Day repuntó hasta el 53%, una subida significativa frente al mínimo histórico del 20% registrado en el tercer trimestre. Esto refuerza la apreciación previa del informe de que cada vez más malware se transmite a través de conexiones cifradas, que suelen ser el canal preferido para amenazas más sofisticadas y evasivas.
• El total de amenazas de malware únicas descendió de forma notable durante el trimestre, con una caída histórica del 91%. Este descenso podría deberse a una disminución de ataques dirigidos puntuales y un aumento del malware genérico. Sin embargo, un menor volumen de amenazas no implica que las que consigan traspasar las defensas vayan a ser simples o poco dañinas si no se gestionan con rapidez y diligencia.
• Los ataques de red cayeron un 27% respecto al trimestre anterior. WatchGuard Threat Lab detectó que muchos exploits conocidos y eficaces siguen siendo las técnicas de ataque más utilizadas, lo que demuestra que los atacantes siguen confiando en lo que saben que funciona.
• La lista de dominios de phishing más utilizados no experimentó cambios respecto al trimestre anterior, lo que pone de manifiesto la persistencia de infraestructuras de phishing consolidadas y de alto impacto. Muchos de estos dominios simulan portales legítimos de inicio de sesión en SharePoint para robar credenciales, una táctica habitual en ataques de Business Email Compromise (BEC) dirigidos a organizaciones que utilizan servicios de Office 365.
• Los ataques de tipo Living off the Land (LotL), que utilizan herramientas legítimas del sistema como PowerShell, Windows Management Instrumentation (WMI) o macros de Office en lugar de malware externo, siguen en aumento. Esto se refleja en el hecho de que el 61% de las técnicas de ataque en endpoints emplearon scripts o inyecciones mediante PowerShell, lo que representa cerca del 83% de todos los vectores de ataque en endpoints. De ese 83%, el 97% provino específicamente de PowerShell, consolidándolo como uno de los vectores más explotados por los ciberdelincuentes.
• Más de la mitad del Top 10 de detecciones en red se corresponde con firmas genéricas que identifican vulnerabilidades comunes en aplicaciones web. Esta tendencia demuestra que los atacantes continúan apostando por ataques masivos comunes, básicos y recurrentes que buscan maximizar el impacto con técnicas simples y repetidas.

En línea con el enfoque de Unified Security Platform de WatchGuard y con anteriores actualizaciones de investigación de WatchGuard Threat Lab, los datos analizados en este informe trimestral provienen de inteligencia de amenazas agregada y anonimizada, recopilada de productos activos de red y endpoints de WatchGuard cuyos propietarios han optado por compartir dicha información para apoyar directamente los esfuerzos de investigación de la compañía.