Permiten crean puertas traseras en servidores web y de comando y control Autor:
CloudFlare.net, SharePoint y Amazonaws.com. son algunos de los sitios más comunes para alojar malware y lanzar ataques de phishing
Seguridad de Internet
Los subdominios de sitios legítimos y las redes de entrega de contenido son algunos de los dominios más comunes que usan los atacantes para alojar malware y lanzar ataques de phishing, así lo ha revelado informe trimestral de seguridad de Internet para el segundo trimestre de 2019 de WatchGuard Technologies.
Entre los principales dominios donde se alojan ataques de malware y phishing destacan CloudFront.net, perteneciente a Amazon, y sitios web legítimos para compartir archivos como mi [.] mixtape [.] moe.
También reveló que los módulos del popular sistema operativo de piratería Kali Linux, Trojan.GenericKD y Backdoor.Small.DT, que permiten crean puertas traseras en servidores web y de comando y control, se encuentran entre los diez principales programas maliciosos.
El informe arrojó además un aumento significativo en el volumen general de malware, pues dos de los tres servicios de detección de malware de WatchGuard bloquearon 58% y 68% más de ataques en comparación con el año pasado, resultando en un aumento general interanual del 64%.
El phishing generalizado y el malware de explotación de Office también han ido en aumento, pues estas campañas han realizado un gran volumen de ataques en una amplia gama de objetivos. Mientras que la inyección de SQL domina los ataques de red al representar el 34% de todos ataques de red detectados en el segundo trimestre de 2019.
Panorama actual
Durante este segundo trimestre del año, casi el 37% del malware apuntó a la región EMEA, con varios ataques individuales centrados en el Reino Unido, Italia, Alemania y Mauricio. APAC quedó en segundo lugar con el 36% del total de ataques de malware.
Más hallazgos
El informe de seguridad de Internet de WatchGuard Technologies también contiene un análisis detallado del malware real utilizado en Sodinokibi MSP ataques de ransomware. En este se muestra que los atacantes aprovecharon las credenciales débiles, robadas o filtradas para obtener acceso administrativo a legítimas herramientas de administración que estos MSP utilizaron para monitorear y administrar las redes de sus clientes, luego usaron estas herramientas para deshabilitar los controles de seguridad, organizando y entregando el ransomware Sodinokibi a través de PowerShell.