What’s New in SonicOS 7.1.1

The SonicOS 7 operating system was already the most secure, versatile and easy-to-use operating system SonicWall has ever produced. But the latest release, SonicOS 7.1.1, offers improved security and performance, a superior customer experience and cloud enablement features.

These features are designed to provide a superior customer experience through ease of use, deployments, policy management and day-to-day operations. Here’s a high-level look at SonicOS 7.1.1 benefits:

Superior Threat Protection:

  • New CFS 5.0 engine ​
  • Advanced DNS filtering​
  • Secure boot
  • Enhanced filesystem security ​
  • Storage enhancements​
  • Virtual TPM​
  • OS hardening with new toolchain
  • Improved console application​
  • Maintenance key for both virtual and hardware firewalls

Enhanced Usability:

  • Firewall-managed Wi-Fi 6 APs​
  • More intuitive user experience​
  • Turnkey integrations with third-party NAC solutions ​
  • Storage enhancements​
  • Automatic firmware updates​
  • No more separate SonicOS and SonicCore upgrades

New Multi-Cloud Deployment:

  • NSv Bootstrapping​
  • Support for virtual TPM on-cloud firewall​
  • Token-based registrations
  • New driver and increased performance for NSv

SonicOS 7.1.1 Common Use Cases:

FeatureUse CaseBusiness Outcome
Wi-Fi 6 unified authentication and securityMSP requires the current SonicWave 621, 641 and 681 access points to be managed by SonicWall firewalls in order to avoid using multiple management solutions (for example, having to use NSM to manage firewalls and WNM to manage SonicWave APs)Ease of management and seamless integration with SonicWall wireless products
NAC integration, offering synergy between SonicWall and Aruba solutions and providing health posture telemetryNeed to apply enhanced user and device context (including role, device health and more) to next-generation firewall rules and policies for protection against unsanctioned traffic

Need to protect users on the network from threats such as phishing, malware and exploits

Need to stop unauthorized users and devices by implementing a single policy of authorization and enforcement for users and IoT devices across wired and wireless networks, up to the application level

Need to enable closed-loop attack detection via next-generation firewall and policy-based response with ClearPass

Enable enterprises and educational segments to integrate with their Aruba solutions and get more value from their Gen 7 firewall with Health Posture
DNS security that enables blocking websites at DNS layer without enabling TLS/SSL decryptionAdmin wishes to maximize performance by blocking bad websites at DNS layer without enabling TLS decryption.

MSP – Actively looking to help their customers avoid malicious domains

ISP – Wanting to safeguard against DoS and DDoS attacks

Enterprises – Wish to protect users without affecting user experience or speed

K-12 – Required to provide safe browsing experiences for students and staff while controlling what domains can be accessed

Government – To safeguard systems from malware and bad actors

Delivering DNS layer protection without the need to enable TLS decryption
Stronger content filtering solution with additional categories and reputation-based filtering​Defining which websites are malicious or undesirable within a web filtering gateway requires the use of static lists of known bad URLs and IP—which can’t keep up with websites and IPs with statuses that switch from benign to malicious and back very quicklyImproved content filtering capabilities for Gen7, resulting in more accurate website/URL rating
Secondary storage enhancements to support PCAP (Packet Captures), TSR (Tech-Support Reports) and LogsLimited primary storage space restricts the ability of diagnostics and troubleshooting on Gen 7 firewalls

Customer must purchase secondary storage to have additional abilities beyond just saving settings and image

Admins require logs, TSR and PCAP storing ability on the firewall

Added secondary storage so customers don’t have to purchase separate secondary storage

Enhanced diagnostics and troubleshooting experience

Enables logging and reporting on local firewall

Policy mode profiles for gateway antivirus and anti-spyware to simplify rule creations from security rule pageEnterprises require ability to have security profile for antivirus and anti-spyware when using policy mode in order to simplify security policy creation at layer 7Simplifies unified policy on enterprise deployments using 15700 and NSv firewalls
Virtual TPM and enhanced securityUsers require not just the OS but also the underlying kernel to be secureImproved security and performance
Automated SonicOS image upgradeMSPs require automatic SonicOS upgrade notifications so they can easily identify and schedule new OS upgradeOffers MSPs and others a more convenient user experience

The SonicOS 7.1.1 release is now available for installation on any SonicWall Gen 7 NGFW. Learn more about what makes Gen 7 our most secure, stable and scalable lineup yet, or reach out to your SonicWall partner or sales rep to upgrade today.

Los documentos de Office siguen ocasionando problemas de ciberseguridad

Ha vuelto Emotet. Los archivos de Word, Excel y otros formatos de Office 365 siguen siendo vectores críticos de las ciberamenazas. ¿Cómo lo evitamos?

Aunque casi con una semana de retraso, Tom finalmente recibió el presupuesto de Tetome Supply.

Estaba deseando echarle un vistazo, pero sabía, gracias a los cursos trimestrales sobre ciberseguridad, que debía tener cuidado. Así que estudió cuidadosamente la dirección de correo y el nombre del remitente y se aseguró de que el archivo adjunto era un documento Word y no un archivo .exe. Se sintió más seguro por el texto del mensaje, en el que el remitente le daba las gracias por su paciencia y le preguntaba por su nuevo perrito.

Tom se tomaba el primer café de la mañana mientras echaba un vistazo a los titulares del día en su teléfono. Apareció un mensaje en el monitor que le informaba de que el .doc se había creado en iOS y que tenía que habilitar la edición y el contenido. Finalmente, pudo ver el contenido del documento, pero también puso en marcha una reacción en cadena.

Por lo que Tom veía, el documento solo contenía la información sobre el precio. Nada indicaba que Emotet se había descargado desde una web comprometida, a través de un comando Powershell. Ni que se había utilizado Trickbot como respaldo para Emotet.

Ya era demasiado tarde. Unos días más tarde, cuando Tom abrió su portátil, una nota le informaba de que todos sus archivos estaban cifrados y que los hackers no los desbloquearían hasta que les pagase 150.000 dólares en bitcoins. La nota iba firmada por Ryuk.

No es momento de relajarse.

Durante la primera mitad de 2019, los PDF maliciosos superaron a los archivos maliciosos de Office 365, con una diferencia de 36.488 a 25.461. Después, en 2020, el número de PDF descendió un 8% respecto al mismo período de 2019, mientras que el número de archivos maliciosos de Microsoft Office subía como la espuma a 70.184, una subida del 176%.

La revista Wired dijo de Emotet que es el malware más peligroso del mundo. Por eso, no es sorprendente que en enero de 2021 las fuerzas de seguridad de los principales países se unieran para desbaratar la infraestructura de Emotet, que se incrustaba en los servidores y equipos de más de 90 países. Como resultado de la operación se detuvieron algunos delincuentes y se confiscaron equipos, dinero en efectivo e incluso barras de oro que las bandas habían acumulado.

Es verdad que descendió el uso de los archivos de Microsoft Office en los ataques. Según el Informe de Ciberamenazas 2022 de SonicWall, los PDF volvieron a ser el vector preferido para los ataques, y su uso con fines maliciosos aumentó el 52%, mientras que el uso de archivos Microsoft Office maliciosos se redujo en un 64%. Esa tendencia suponía una inversión marcada y, aun así, todavía no podíamos suspirar de alivio.

A graph showing the rise of never-seen-before malware variants.

Vuelven los ataques de Emotet

Según unos informes recientes de Bleeping Computer, Threatpost y el SansTechnology Institute, en los 10 meses siguientes desde su publicitado desmantelamiento en enero de 2021, Emotet volvió para vengarse. Los ciberdelincuentes están distribuyendo de forma activa documentos de Microsoft Office infectados, archivos ZIP y otros archivos cargados con código Emotet.

Aunque todavía es demasiado pronto para observar una tendencia, de forma anecdótica podemos decir que se ven cambios significativos, como el cifrado de los activos de malware y una nueva estrategia que incluye ataques de phishing dirigidos con avisos de envío, documentación fiscal, informes de contabilidad, incluso invitaciones a fiestas y ataques mediante la cadena de respuestas de los mensajes.

En menos de 10 meses, los anteriores esfuerzos por controlar Emotet se han desvanecido, y hemos vuelto a la casilla de salida.

Cómo protegerse de archivos maliciosos de Office 365

Bastan unas cuantas sencillas medidas para protegerse a sí mismo y a otros usuarios de su red contra amenazas complejas. Puede empezar por cambiar la configuración de Office 365 para deshabilitar los scripts y las macros y asegurarse de que sus endpoints y sistemas operativos tengan las últimas actualizaciones para Windows.

Puede definir como política de la empresa el no enviar documentos y otros archivos por correo electrónico. Asimismo, puede mantenerse al día con la distribución periódica de parches y actualizaciones de Windows. Todos estamos ocupados, pero cuando dejamos que las actualizaciones se espacien, estamos literalmente permitiendo que los ataques exploten esas vulnerabilidades para tener éxito.

Asimismo, podemos reforzar aún más nuestra resistencia ante los ataques. 2021 fue otro año importante para la tecnología patentada por SonicWall Real-Time Deep Memory Inspection™ (RTDMI), que detectó 442.151 variantes de malware completamente nuevas en 2021, un 65% más que en 2020, con un promedio de 1.211 al día.

A graph showing new malicious file type detections in 2021.

Capture ATP, 100 % capturas y 0 % falsos positivos

Lo mejor de RTDMI es que está integrado en Capture Advanced Threat Protection (ATP) de SonicWall. Además, en unas pruebas trimestrales independientes realizadas por ICSA Labs, RTDMI identificó el 100 % de las amenazas maliciosas, sin dar un solo falso positivo durante cinco trimestres seguidos.

Capture ATP con RTDMI utiliza soluciones propietarias para la inspección de memoria, seguimiento de instrucciones en la CPU y prestaciones de aprendizaje automático para detectar y parar ciberataques nunca antes vistos, incluidas aquellas amenazas que no presentan un comportamiento malicioso y que ocultan su comportamiento mediante el cifrado, precisamente los ataques que los sandboxes tradicionales muy probablemente pasarían por alto.

Esto es particularmente importante en casos como el de Tom, ya que tanto Trickbot como Emotet utilizan el cifrado para ocultar sus acciones. Asimismo, Emotet se da cuenta cuando es ejecutado dentro de una máquina virtual (VM) y permanece inactivo si detecta un entorno sandbox.

La inteligencia de amenazas 2021 muestra el ascenso generalizado de los ataques

Mientras el mundo seguía abordando los desafíos de 2020, como la pandemia de COVID 19 y el cambio hacia el teletrabajo, los ciberdelincuentes se basaban en lo aprendido ese año para ser más versátiles y eficaces en 2021.

Mientras los cibercriminales seguían la dinámica de un mundo siempre en evolución, los investigadores de amenazas de SonicWall Capture Labs, a su vez, estudiaban las estrategias de los delincuentes y registraban dónde se producían los ataques, a quiénes iban dirigidos y qué clases de nuevas técnicas desarrollaban. Al compilar esos hallazgos en el Informe de Ciberamenazas 2022 de SonicWall, ofrecemos a las organizaciones la inteligencia sobre amenazas necesaria para combatir la creciente oleada de ciberdelincuencia.

«Es imprescindible comprender el conjunto de habilidades de los delincuentes para contrarrestar sus ataques, cada vez más sofisticados y dirigidos», dijo Bill Conner, President y CEO de SonicWall. «El Informe de Ciberamenazas 2022 de SonicWall pone de manifiesto la creciente plaga de ransomware y otros intentos de extorsión digital».

Estos son algunos hallazgos del informe:

Ransomware

En 2021, los investigadores de amenazas de SonicWall Capture Labs registraron 623,2 millones de intentos de ransomware en todo el mundo, un aumento del 105 % respecto al año anterior. Este aumento se vio impulsado por grandes volúmenes de ataques de Ryuk, SamSam y Cerber, que juntos representaron el 62 % del volumen total de ransomware.

El crecimiento del ransomware ha sido inusualmente agresivo, igual que muchas de las técnicas que las bandas de ransomware utilizaron para quitarle el dinero a las organizaciones legítimas. La doble extorsión siguió creciendo en 2021, y además empezaron a proliferar las nuevas y terroríficas técnicas de triple extorsión. También aumentaron los ataques a la cadena de suministro y a la infraestructura esencial, lo que supuso una mayor presión en los organismos legislativos de todo el mundo para unificar la política contra la creciente amenaza del ransomware.

Malware

Mientras casi todos los tipos de ataque crecían en los últimos dos años, pudimos ver algo esperanzador: «al menos, el volumen de malware está descendiendo». No obstante, si echamos un vistazo a los datos de 2021, vemos señales de que esa caída continuada puede terminar pronto.

Aunque el malware seguía bajando un 4 % respecto al año anterior, es la caída porcentual más pequeña que hemos visto en algún tiempo, con una recuperación en el segundo semestre que casi borró por completo la caída del 22 % registrada en el primer semestre del año. Además, el malware no descendió en todas partes: en el Reino Unido y la India se vieron aumentos del 48 % y el 41 %, respectivamente.

Exploits de Log4j

Desde el 11 de diciembre de 2021 hasta el 31 de enero de 2022, los investigadores de amenazas de SonicWall Capture Labs registraron 142,2 millones de intentos de exploit de Log4j, lo que supone un promedio de 2,7 millones de intentos al día. Los datos muestran que los delincuentes reorientan sus recursos para atacar esas vulnerabilidades a un ritmo alarmante, con grandes números de intentos que siguen hasta hoy.

(Como recordatorio: SonicWall ha publicado diversas definiciones para ayudar a los clientes a protegerse contra los intentos de exploit de Log4j; si todavía no ha instalado un parche para esas vulnerabilidades, le recomendamos que lo haga cuanto antes).

Capture ATP y RTDMI

En 2021, SonicWall, gracias a Capture ATP (Advanced Threat Protection) con Inspección profunda de memoria en tiempo real (RTDMI)™, se convirtió en la única empresa en la historia de ICSA Labs ATD en ganar cuatro puntuaciones perfectas seguidas, todas sin un solo falso positivo.

Los datos de SonicWall sobre la evolución de Capture ATP y RTDMI arrojan alguna luz sobre cómo hemos conseguido ese hito. En 2021, RTDMI identificó 442.151 variantes de malware nunca antes vistas, lo que supuso un aumento del 65 % respecto al año anterior y un promedio de 1221 al día.

Cryptojacking

Dados los precios récord de las criptomonedas en 2021, ni siquiera las restricciones contra la criptominería y un escrutinio federal cada vez mayor fueron suficientes para frenar el cryptojacking. Los investigadores de amenazas de SonicWall Capture Labs registraron un aumento del cryptojacking de un 19 % respecto al año anterior, lo que supone un promedio de 338 intentos por cada red de cliente.

Resístase a la trampa del spear phishing de Amazon

Resístase a la trampa del spear phishing de Amazon

Seamos sinceros: prácticamente todos compramos algo en Amazon. En 2019, Amazon se convirtió en el mayor minorista a nivel global, y hoy su marca se reconoce en todo el mundo. Pero esta popularidad tan extendida puede traer consigo consecuencias menos deseables.

Debido a su ubicuidad, Amazon es una de las empresas que más se utilizan en el phishing por correo electrónico. Como tantas personas utilizan Amazon, los hackers pueden crear una plantilla de phishing y utilizarla muchas veces, sencillamente sustituyendo la información personal pertinente por la del destinatario. Y dado que la mayoría de los objetivos potenciales tendrán al menos una cuenta de Amazon, si es que no son usuarios habituales, las posibilidades de que el phishing provoque una acción son mucho mayores.

Aunque estos intentos de phishing adoptan muchas formas, en el siguiente ejemplo, los atacantes han simulado una confirmación de pedido del sitio web de Amazon. Su esperanza es que esta confirmación atraiga la atención de los objetivos y les haga temer que alguien haya realizado una compra no autorizada.

A pesar de que es un intento imperfecto —el logo no es el correcto, y contiene errores gramaticales— se pueden ver las características distintivas del spear phishing. Estos intentos son más sofisticados (y, por tanto, más peligrosos) que los intentos de phishing estándar porque los ciberdelincuentes han dedicado tiempo a conocer mejor a su objetivo y, a su vez, utilizan esta información para confeccionar señuelos más convincentes. Aquí, la información que se aprovecha es un nombre y una dirección, pero en realidad puede ser cualquier otra cosa que haga que el intento parezca genuino.

En este caso, los delincuentes incitan al objetivo a llamar a un número e informar si la transacción es desconocida, y lo hacen en varios lugares del mensaje, incluso con una llamada a la acción destacada para que salte a la vista (porque solo aparece una vez y en una parte del mensaje).

Si el destinatario llama al número indicado, se pondrá en contacto con los delincuentes, que fingirán pertenecer al servicio de atención al cliente de Amazon. Si la treta tiene éxito, los ciberdelincuentes intentarán hacer que la víctima revele credenciales personales u otra información que puedan explotar.

Mientras ataques como este sigan teniendo éxito, serán cada vez más habituales. Aunque es importante que todos los empleados sepan cómo detectar un intento de phishing, dado que este tipo de ataques son más sofisticados cada día, ya no hay una primera línea de defensa fiable.

Al implementar soluciones como SonicWall Cloud App Security (CAS) o SonicWall Email Security, puede impedir que este tipo de intentos lleguen a los buzones y evitar el robo de datos, el ransomware y otros ataques que podrían darse si un spear phishing tuviese éxito. Para saber más sobre cómo reforzar su negocio contra los intentos de spear phishing, contáctenos.