Fortinet anunció recientemente los descubrimientos de su más reciente Reporte Global Sobre el Panorama de Amenazas. La investigación reveló con detalle los métodos y estrategias que emplean los cibercriminales y demostró el potencial impacto a futuro para la economía digital. La pregunta “¿Cuál es mi amenaza más grande?” continúa siendo muy difícil de precisar debido a que las viejas amenazas han vuelto a salir a la superficie, pero renovadas, automatizadas y en ataques a gran escala.
Phil Quade, director de Seguridad de la Información de Fortinet, declaró: “los retos de ciberseguridad que enfrentan las organizaciones son muy complejos y con un panorama de amenazas que cambia rápidamente. Las amenazas son inteligentes, autónomas y extremadamente difíciles de detectar, con nuevas amenazas que surgen y con las ya conocidas que regresan con capacidades mejoradas.”
Quade, también acotó: “Además, el acceso a servicios y herramientas para crear amenazas combinado con el potencial de recompensa está generando un crecimiento del mercado mundial de crimen cibernético, el cual alcanza decenas de miles de millones de dólares. Para protegerse, los CISOs necesitan garantizar que la información y los elementos de seguridad dentro de todos sus ambientes y dispositivos estén integrados, automatizados y sean capaces de compartir inteligencia, a lo largo y ancho de la empresa, desde el IoT hasta la nube.”
METODOLOGÍA DEL REPORTE
El reporte de Fortinet sobre el Panorama Global de Amenazas representa la inteligencia colectiva de los Laboratorios FortiGuard recabada durante el último trimestre del 2016 incluyendo información de investigación que cubre desde una perspectiva global hasta una regional, sectorial y organizacional. La metodología se enfoca en tres aspectos centrales y complementarios del panorama de amenazas: aplicaciones de exploits, software malicioso (malware) y botnets.
TENDENCIAS DE INFRAESTRUCTURA Y CÓMO SE RELACIONAN CON LAS AMENAZAS
Considerar las tendencias de infraestructura y cómo se relacionan con el panorama de amenazas es muy importante. Los exploits, el malware y los botnets no ocurren en el vacío y encontrar o prevenir las amenazas se vuelve cada vez más complicado conforme evolucionen las infraestructuras.
Los datos muestran que el tráfico encriptado usando SSL sí permaneció constante cerca del 50%, lo que representó aproximadamente la mitad del total del tráfico web que circuló dentro de la empresa. El uso del tráfico HTTPS es una tendencia importante para monitorear ya que, si bien es una buena herramienta para la privacidad, también presenta algunos desafíos para detectar amenazas capaces de esconderse en comunicaciones codificadas. Con frecuencia, el tráfico SSL pasa desapercibido debido al enorme costo de procesamiento que se requiere para abrir, inspeccionar y re-codificar el tráfico, forzando a los equipos a elegir entre protección y desempeño.
En términos del total de aplicaciones detectadas por empresa, el número de aplicaciones de nube llegaron casi a 63, lo que es aproximadamente un tercio de todas las que son detectadas. Esta tendencia tiene implicaciones significativas para la seguridad ya que los equipos de TI cuentan con menos visibilidad de la información que reside en las aplicaciones de nube, de cómo esta información es utilizada y de quién tiene acceso a ésta. Los medios sociales, la transmisión de audio y video y las aplicaciones P2P no tuvieron una significativa tendencia al alza.
UN EJÉRCITO DE DISPOSITIVOS IMPULSADO POR REDES DIGITALES CLANDESTINAS
Los dispositivos del IoT son codiciados productos básicos para los cibercriminales de todo el mundo. Éstos están formando sus propios ejércitos de “cosas” y la habilidad de replicar los ataques a una velocidad increíble, así como el escalamiento se ha vuelto el principal pilar de los ecosistemas del cibercrimen moderno.
En el último trimestre del 2016, la industria se recuperó de la intrusión que sufrió Yahoo! y de los ataques de denegación de servicio (DDoS) de Dyn. Casi a mitad de ese trimestre, los récords establecidos por ambos eventos no sólo fueron superados, sino duplicados.
Los dispositivos del Internet de las Cosas (IoT) comprometidos por el botnet Mirai iniciaron el establecimiento de múltiples récords de ataques DDoS. La divulgación del código fuente de Mirai incrementó la actividad de botnets cerca de 25 veces en una semana, con un crecimiento de 125 veces para finales de año. La actividad de exploits relacionada con el IoT en varias categorías de dispositivos mostró escaneos de vulnerabilidades, principalmente en impresoras y enrutadores caseros, pero los DVRs/NVRs eclipsaron brevemente los enrutadores como el objeto de elección con un salto masivo alcanzando más de seis órdenes de magnitud.
El malware móvil se volvió un gran problema como nunca antes. A pesar de que sólo es el 1,7% del total del volumen de malware, una de cada cinco empresas reportó haber encontrado malware como una variante móvil, casi todos en plataformas Android. Existen marcadas diferencias regionales referentes a los ataques de malware con 36% en empresas de África, 23% en Asia, 16% en Norteamérica, comparadas con tan sólo el 8% de Europa. Esta información tiene implicaciones para los dispositivos confiables de las redes corporativas actuales.
PREVALECEN LOS ATAQUES AUTOMATIZADOS Y DE ALTO VOLUMEN
La correlación entre el volumen de exploits y su prevalencia implica un incremento de la automatización de los ataques y una disminución de los costos por malware y herramientas de distribución disponibles en la red obscura. Esto hace que sea más barato y fácil que nunca para los criminales cibernéticos iniciar ataques.
El SQL Slammer se encuentra en la cima de la lista para detección de exploits con una alta clasificación de gravedad crítica, afectando, principalmente, a las instituciones educativas.
Los exploits que indican un intento de ataque de fuerza bruta en el Protocolo de Computadoras de Escritorio Remotas del Sistema Operativo Windows (RDP) se ubicaron en segundo lugar de prevalencia. Se lanzaron solicitudes RDP a una tasa de 200 veces cada 10 segundos, explicando el alto volumen detectado a lo largo y ancho de empresas globales.
En tercer lugar se encuentra una firma enlazada a la Corrupción de Memoria que es una vulnerabilidad en el Administrador de Archivos de Windows, el cual permite que un atacante ejecute, de forma remota, un código arbitrario dentro de la aplicación vulnerable a través de un archivo jpg.
Dentro de la familia de botnets, el H-Worm y Zero Access obtuvieron la más alta prevalencia y volumen. Ambos les otorgan a los criminales cibernéticos control de los sistemas afectados para desviar la información o llevar a cabo fraudes en un sólo clic y minar bitcoins. Los sectores gubernamentales y de tecnología fueron los que enfrentaron el mayor número de intención de ataques por parte de estas dos familias de botnets.
EL RANSOMWARE LLEGÓ PARA QUEDARSE
El ransomware debe examinarse independientemente de la industria, ya que este método de ataque de alto valor muy probablemente continúe con el crecimiento del ransomware-como-servicio (RaaS), donde los potenciales criminales sin entrenamiento o habilidades pueden simplemente descargar las herramientas y dirigirlas hacia sus víctimas.
El 36% de las empresas detectaron actividad de botnets relacionada con ransomware. TorrentLocker fue el ganador y Locky quedó en tercer lugar.
Dos familias de malware, Nemucod y Agent, se fueron de juerga criminal. El 81,4% de todas las muestras de malware capturadas pertenecían sólo a estas dos familias. Los Nemucod están afiliados con el ransomware.
El ransomware está presente en todas las regiones y sectores, pero particularmente se ha diseminado en las instituciones de salud. Esto es muy significativo ya que cuando la información de un paciente se ve comprometida, las ramificaciones pueden ser mucho más severas, puesto que posee mayor longevidad y valor personal que cualquier otro tipo de información.
EXPLOITS AUDACES, PERO LO VIEJO ES NUEVO
- Los adversarios utilizaron la política de “no dejar atrás vulnerabilidades”. Desafortunadamente, la atención fue dirigida a los parches de seguridad y a las fallas de los viejos dispositivos o software, lo que significa menos tiempo y atención para enfocarse en la creciente superficie de ataque acelerada por los dispositivos digitales actuales.
- Un total de 86% de firmas registraron ataques de intención de explotar las vulnerabilidades que tenían casi una década de antigüedad. Casi el 40% de ellos vieron exploits contra CVEs incluso más viejos.
- Un promedio de 10.7 de aplicaciones únicas de exploits fueron rastreadas por cada empresa. Alrededor de nueve de cada 10 firmas detectaron exploits críticos o de alta gravedad.
- En resumen, África, el Medio Oriente y América Latina mostraron un mayor número y variedad de encuentros por cada categoría de amenazas cuando se compara con el promedio de exploits únicos, malware y familias de botnets detectadas por organización en cada región del mundo. Estas diferencias aparecieron más pronunciadas para los botnets.
