Las estadísticas no dejan lugar a dudas: con 9 millones de URLs maliciosas y 2,4 millones de ataques prevenidos por millón de endpoints al mes por Panda, los ataques de malware son el tipo de ataque más exitoso contra las empresas en 2018.
En este sentido, el año pasado volvieron a repetirse los tipos de ciberataques más comunes en los últimos años, tales como el phishing, el ransomware o el business email compromise, pero también se ha experimentado un auge de nuevas amenazas como los ataques al protocolo RDP y el gran aumento del cryptojacking.
Estas son las conclusiones más destacadas de nuestro informe anual de PandaLabs (el laboratorio anti-malware de Panda Security) que analiza cómo los ciberdelicuentes han intentado atacar a los clientes que cuentan con nuestras soluciones de ciberseguridad. Pero si entramos más en detalle, podemos destacar entre ellos a cinco vectores de ataque con datos muy significativos:
Acciones maliciosas en la fase temprana
Antes de que la amenaza tenga lugar en su forma final, los ataques en su fase temprana realizan una combinación de acciones. Las técnicas preventivas de análisis del comportamiento pueden evitarlo detectando esas acciones previas y han supuesto un éxito importante para evitar amenazas peligrosas para las organizaciones, tales como el malware sin fichero. En este tipo de ataques, el abuso de Powershell, un lenguaje de scripting que todavía usan muchas empresas, ha sido una de las técnicas más utilizadas y ha supuesto un 26% de los bloqueos registrados.
URL maliciosas
La cantidad total de ataques de malware no para de aumentar: crece un 60% desde el principio hasta el final del periodo analizado en nuestro informe. Afortunadamente, se evita que llegue a ejecutarse en el endpoint porque los emails con phishing y URL maliciosas suelen ser automáticamente bloqueados, aunque con distinta frecuencia: el bloqueo de URL relacionadas con malware ocurre en 3,7 ocasiones más que las detecciones de ficheros de malware.
Ficheros ejecutables
Como cada día surgen nuevos tipos de malware, existen infecciones inevitables de esos equipos y dispositivos que se consideran como un “paciente 0” y que en el caso de los ficheros maliciosos, muy frecuentes en correos corporativos, los abren y ejecutan por primera vez. Para evitarlo, desde Panda diseñamos un servicio de 100% atestación para que solo se ejecuten en los endpoints aquellos ficheros clasificados como confiables. En este contexto, 5,8 millones de ficheros ejecutables fueron analizados, de los cuales, cerca de un 20% eran no confiables o desconocidos. Finalmente, un 1,3% acabó siendo clasificado como malware.
Ataques de escritorio remoto
El malware cuyo objetivo es instalarse a través del protocolo de escritorio remoto (Remote Desktop Protocol o RDP en inglés) representa una amenaza cada vez más presente en las empresas. Muchos empleados se conectan de manera externa a sus equipos cuando no se encuentran físicamente en las oficinas y en ocasiones, los servicios de RDP no suelen estar correctamente protegidos, por lo que el RDP se convierte en un vector de ataque muy apetecible para los ciberatacantes. En este sentido, los datos del informe muestran que el 40% de las organizaciones medianas y grandes analizadas son objeto de este tipo de ataques todos los meses.
Minería de criptomonedas: el código Coinhive
El objetivo inicial de Coinhive era que los propietarios de portales y páginas web generasen ingresos con una vía alternativa a la publicidad online, pero a día de hoy se utiliza como una forma pasiva de criptojacking, esto es, de ataques con el objetivo de minar criptomonedas en dispositivos ajenos. Como resultado, los equipos expuestos a este ciberataque ven afectado severamente su rendimiento ya que, con las visitas a las webs infectadas con este código, la minería agota los ciclos de la CPU. En este sentido, los datos del informe subrayan que la minería de criptomonedas ha aumentado 3,5 más veces que en el mismo periodo del año pasado. La minería de Monero, una criptomoneda que paradójicamente nació con el fin de ser más segura que el Bitcoin, representa ahora casi el 70% del número total de este tipo de ataques identificados.
Prevención, detección y respuesta
El informe de Panda Labs también recoge otras cifras relevantes, como la media de más de 8.100 intentos de explotación por millón de endpoints, por mes, donde Internet Explorer y Outlook fueron las aplicaciones que más ataques sufrieron. Otro ejemplo son los 90 tipos de incidentes que incluían el abuso de herramientas legítimas y software presente en la organización mediante técnicas de hacking en vivo y herramientas malwareless.
En cualquier caso, la mayoría de datos del informe de PandaLabs 2018 reflejan que el objetivo principal de los ciberatacantes sigue siendo el endpoint, porque es donde encuentran la información más sensible con mayor facilidad. Esto demuestra la necesidad cada vez mayor de que las organizaciones cuenten con soluciones avanzadas de ciberseguridad en el endpoint como es Panda Adaptive Defense , no basándose únicamente en el perímetro, con prevención, detección y respuesta para ataques con y sin malware, servicios de 100% atestación y capacidades de Threat Hunting y análisis forense. Solo así podrán abortar cualquier tipo de incidente de seguridad que se presente en este 2019.