El gigante de la ciberseguridad Fortinet descubrió que Log4j tenía casi 50 veces el volumen de actividad en comparación con ProxyLogon según el volumen promedio máximo de 10 días en la segunda mitad de 2021. El hallazgo fue parte del Informe de panorama global de amenazas de FortiGuard Labs de la compañía publicado esta semana.
El informe de Fortinet también destacó los ataques a los sistemas Linux, muchos de los cuales se presentan en forma de archivos binarios ejecutables y enlazables (ELF).
«La tasa de nuevas firmas de malware de Linux en el cuarto trimestre cuadruplicó la del primer trimestre de 2021 con la variante ELF Muhstik, el malware RedXOR e incluso Log4j como ejemplos de amenazas dirigidas a Linux. La prevalencia de ELF y otras detecciones de malware de Linux se duplicó durante 2021», explica el informe. .
Además: Múltiples vulnerabilidades encontradas en la función Snap-confine en sistemas Linux
«Este crecimiento en variantes y volumen sugiere que el malware de Linux es cada vez más parte del arsenal de los adversarios».
Los actores de amenazas también están evolucionando en el uso de botnets más allá de los ataques DDoS. En lugar de ser «principalmente monolíticas», Fortinet dijo que las botnets «ahora son vehículos de ataque multipropósito que aprovechan una variedad de técnicas de ataque más sofisticadas, incluido el ransomware».
«Por ejemplo, los actores de amenazas, incluidos los operadores de botnets como Mirai, integraron exploits para la vulnerabilidad Log4j en sus kits de ataque. Además, se rastreó la actividad de botnet asociada con una nueva variante del malware RedXOR, que apunta a los sistemas Linux para la exfiltración de datos. Detecciones de botnets que entregan una variante del malware RedLine Stealer también aumentaron a principios de octubre y se transformaron para encontrar nuevos objetivos utilizando un archivo con el tema de COVID», dice el informe.
El informe detalló cómo los atacantes cibernéticos están maximizando los vectores de ataque asociados con el trabajo y el aprendizaje remotos. Fortinet vio una explosión en varias formas de malware basado en navegador que aparecieron en forma de señuelos de phishing, así como scripts que inyectan código o redirigen a los usuarios a sitios maliciosos.
Los investigadores dividieron los mecanismos de distribución en tres grandes categorías: ejecutables de Microsoft Office (MSExcel/, MSOffice/), archivos PDF y scripts de navegador (HTML/, JS/).
«Tales técnicas continúan siendo una forma popular para que los ciberdelincuentes exploten el deseo de las personas por las últimas noticias sobre la pandemia, política, deportes u otros titulares, y luego encuentren vías de entrada de regreso a las redes corporativas. Con el trabajo híbrido y el aprendizaje siendo una realidad, hay menos capas de protección entre el malware y las posibles víctimas», dijo Fortinet.
Fortinet dijo que continúa viendo una combinación de cepas de ransomware nuevas y antiguas utilizadas en ataques cuando se trata de ransomware.
FortiGuard Labs dijo que «observó un nivel constante de actividad maliciosa que involucraba múltiples cepas de ransomware, incluidas nuevas versiones de Phobos, Yanluowang y BlackMatter».
Los investigadores de Fortinet señalaron que las vulnerabilidades de Log4j y otras eran un ejemplo de la rapidez con la que los ciberdelincuentes y los estados-nación se mueven para explotar fallas generalizadas.
Derek Manky, jefe de conocimientos de seguridad y alianzas de amenazas globales en FortiGuard Labs, dijo que las técnicas de ataque nuevas y en evolución abarcan toda la cadena de destrucción, pero especialmente en la fase de armamento, lo que muestra la evolución hacia una estrategia de ciberdelincuencia persistente más avanzada que es más destructiva e impredecible.