Los cibercriminales persiguen a las apps más populares y a las que más usuarios se conectan
El Informe global de Amenazas de Fortinet revela que casi el 60% de las amenazas comparten al menos un dominio, lo que significa que la mayoría de las botnets aprovechan una infraestructura ya existente.
Fortinet publicó las conclusiones extraídas de su último informe trimestral Global Threat Landscape Report. De acuerdo con sus investigaciones, los cibercriminales continúan sofisticando sus métodos de ataque, desde un ransomware a la medida y una codificación personalizada para determinados ataques, hasta herramientas tipo living-off-the-land (LoTL) o infraestructura compartida para maximizar sus oportunidades.
“Por desgracia seguimos viendo a la comunidad de cibercriminales reflejar las estrategias y las metodologías que utilizan los gobiernos, con los dispositivos y redes a los que se dirigen. Las organizaciones necesitan rediseñar sus estrategias futuras y gestionar los ciberriesgos.» —afirma Phil Quade, Chief Information Security Officer en Fortinet
«Un primer paso consiste en tratar la ciberseguridad más como una ciencia – con sus fundamentos claros – , lo que implica aprovechar la velocidad y la conectividad del ciberespacio para su defensa. Adoptar un enfoque de arquitectura de seguridad con segmentación micro y macro, y aprovechar el aprendizaje automático y la automatización como elementos fundamentales de la IA, es una gran oportunidad para obligar a nuestros adversarios a retroceder”, continúa Phil.
Entre los principales descubrimientos del Informe Global de Amenazas destacan:
Tráfico pre y post comprometido
El análisis para ver si los cibercrimnales llevan a cabo las distintas fases de sus ataques en diferentes días de la semana demuestra que los ciberdelincuentes siempre buscan maximizar las oportunidades en su beneficio. Al comparar el volumen de filtrado web en dos momentos concretos, durante los días laborables y los fines de semana, la actividad de compromiso previo es aproximadamente tres veces más probable que ocurra durante la semana laboral, mientras que el tráfico posterior al compromiso muestra menos diferenciación en ese sentido. Esto se debe principalmente a que la actividad de explotación a menudo requiere que alguien realice una acción, como hacer clic en un correo electrónico de phishing. En contraste, la actividad de comando y control (C2) no tiene este requisito y puede producirse en cualquier momento. Los ciberdelincuentes son conscientes de ello y trabajan para maximizar las oportunidades durante la semana cuando la actividad en Internet es más frecuente. La diferencia de filtrado web entre días laborables y los fines de semana es importante para comprender el modus operandi de los ataques.
La mayoría de las amenazas comparten infraestructura
El grado en el que las diferentes amenazas comparten infraestructura es una tendencia a tener en cuenta. Algunos ataques aprovechan la infraestructura que utiliza la comunidad en mayor medida que una propia o dedicada. Casi el 60% de las amenazas comparten al menos un dominio, lo que indica que la amplia mayoría de las botnets están aprovechando una infraestructura ya consolidada. IcedID es un ejemplo de este comportamiento de “por qué comprar o desarrollar si lo puedo tomar prestado”. Además, cuando las amenazas comparten infraestructura tienen a hacerlo en la misma etapa del ataque. No es usual que una amenaza aproveche un dominio para explotar y después lo aproveche para tráfico de comando y control. De esto se deduce que la infraestructura juega un papel clave en las campañas maliciosas. Entender que las amenazas comparten infraestructura y en qué punto de la cadena del ataque, facilita a las organizaciones predecir a futuro en qué potenciales puntos puede encontrarse malware o botnets.
La gestión de contenido 24/7
Los cibercriminales tienden a pasar de una oportunidad a otra en clusters próximos, focalizándose en objetivos, vulnerabilidades y tecnologías ya explotadas con el objetivo de maximizar la oportunidad. Por ejemplo, una nueva tecnología que atrae cada vez a más criminales son las plataformas web que facilitan a usuarios y empresas crear su propia web. Siguen siendo dirigidos, incluso asociados a plugins de terceros. Esto refuerza el hecho de que es crítico aplicar los parches de forma inmediata y comprender la evolución de los exploits para adelantarnos a los movimientos de los cibercriminales.
Ransomware y más allá
En general, las altas tasas de ransomware anteriores se han reemplazado con ataques más dirigidos, pero el ransomware está lejos de desaparecer. En cambio, múltiples ataques demuestran que está siendo personalizado para alcanzar objetivos de alto valor y para que el atacante tenga un acceso privilegiado a la red. LockerGoga es un ejemplo de ransomware dirigido desplegado en varias fases. LockerGoga se distingue muy poco de otros ransomware en cuanto a sofisticación funcional, pero mientras que la mayoría de las herramientas de ransomware usan algún nivel de ofuscación para evitar la detección, en este se usó poco. Esto sugiere la naturaleza específica del ataque y la predeterminación de que el malware no se detectaría fácilmente. Además, como la mayoría de los otros ransomware, el objetivo principal de Anatova es cifrar tantos archivos como sea posible en el sistema de la víctima, excepto que evita sistemáticamente el cifrado de todo lo que pueda afectar la estabilidad del sistema que está infectando. Así evita infectar a los ordenadores que parece que están siendo utilizados para analizar malware como los honeypots. Ambas variantes de ransomware demuestran que los expertos en seguridad tienen que seguir aplicando los parches y realizando los backups para luchar contra un tipo de ataques que se han convertido en un commodity, a la vez que deben personalizar sus defensas para protegerse frente a métodos de ataque nuevos.
Herramientas y trucos para Living Off the Land
Dado que los cibercriminales utilizan los mismos modelos de negocio que sus víctimas, para maximizar sus esfuerzos, los métodos de ataque siguen operando incluso después de haber conseguido su entrada en el sistema. Para conseguirlo, los atacantes aprovechan cada vez más las herramientas de doble uso o las ya pre-instaladas en los sistemas objetivo para desplegar sus ciberataques. Esta táctica de “living off the land” (LoTL) permite a los hackers camuflar sus actividades como procesos legítimos y dificulta en gran medida su detección a la vez que complican la atribución del ataque. Desafortunadamente, nuestros adversarios pueden utilizar una amplia variedad de herramientas legítimas para alcanzar sus objetivos y mantenerse ocultos. Las defensas inteligentes necesitarán limitar el acceso a las herramientas administrativas autorizadas y el acceso a sus entornos.
Inteligencia de amenazas dinámica y proactiva
Mejorar la capacidad de la organización no solo para defenderse de las amenazas actuales, sino también para prepararse ante la evolución y automatización de los ataques requiere una inteligencia de amenazas que sea dinámica, proactiva y disponible a través de la red distribuida. Este conocimiento puede ayudar a identificar tendencias que muestren la evolución de los métodos de ataque dirigidos a la superficie de ataque digital y para señalar las prioridades de ciberhigiene en base a dónde se dirigen sus esfuerzos.
El valor y la capacidad para tomar medidas con respecto a la inteligencia de amenazas se ven gravemente disminuidos si no se puede actuar en tiempo real en cada dispositivo de seguridad. Solo un tejido de seguridad amplio, integrado y automatizado puede brindar protección para todo el entorno de red, desde IoT hasta el perímetro, el núcleo de la red y las nubes múltiples a velocidad y escala.
