Los cibercriminales construyen su Ejército de Cosas impulsados por la economía digital sumergida
Grabadoras de vídeo, impresoras y routers ocupan los primeros puestos de los dispositivos IoT más atacados. 86 por ciento de las compañías registraron ataques a vulnerabilidades existentes desde hace más de una década.
Fortinet, compañía líder en soluciones de ciberseguridad de alto rendimiento, ha hecho públicos los resultados de su último Informe Global de Amenazas en el que revela que los métodos y estrategias empleadas por los cibercriminales provocarán un gran impacto en el futuro en la economía digital. La pregunta “¿Cuál es mi mayor amenaza?” sigue siendo complicada de contestar cuando resurgen viejas amenazas a la vez que se identifican nuevos ataques automatizados y de alto volumen.
Phil Quade, director de seguridad de la información en Fortinet, declaró que “los desafíos de ciberseguridad a los que se enfrentan actualmente las organizaciones son complejos. Las amenazas, que se encuentran en continua evolución, son cada vez más inteligentes, autónomas y difíciles de detectar. A las nuevas amenazas se suman antiguas que vuelven a resurgir con capacidades mejoradas. La accesibilidad a las herramientas y servicios para la creación de amenazas combinado con el potencial de la recompensa que se puede conseguir está impulsando el crecimiento del mercado del cibercrimen en decenas de miles de millones de dólares. Para protegerse a sí mismos, los CISOs necesitan asegurar que los datos y los elementos de seguridad en todos sus entornos y dispositivos están integrados, automatizados y con capacidad para compartir inteligencia a toda la organización, desde el IoT a la nube”.
Un Ejército de Cosas impulsado por la economía digital sumergida
Los dispositivos IoT son los bienes más preciados por los cibercriminales de todo el mundo. La construcción de sus propios ejércitos de "cosas" y su capacidad para replicar de forma barata ataques a una velocidad y escala increíble, se han convertido en el pilar central del actual ecosistema del cibercrimen. En el último trimestre de 2016, la industria todavía estaba recuperándose de la brecha de seguridad que afectó a Yahoo! y el ataque DDoS a Dyn. Antes que terminar dicho trimestre, los registros de ambos eventos no solo se habían roto sino que se habían duplicado.
Los dispositivos Internet of Things (IoT) comprometidos por la red bonet Mirai iniciaron una serie de ataques DDoS múltiples. El lanzamiento del código fuente de Mirai aumentó 25 veces la actividad de la botnet en una semana, que se incrementó en 125 veces a finales de año.
La actividad de exploit relacionada con IoT en varias categorías de dispositivos mostró la elevada vulnerabilidad de routers e impresoras domésticas que encabezaron la lista, pero los grabadores de video (DVRs/NVRs) eclipsaron brevemente a los routers como la opción elegida con un salto masivo que abarcaba más de 6 órdenes de magnitud.
El malware móvil se convierte en un gran problema. Aunque representaba solo un 1,7% del volumen total de malware, una de cada cinco organizaciones que reportaron malware confirmó una variante para móvil, casi todas para Android. A nivel regional, las diferencias se registraron en ataques de malware para móvil, el 36% procedente de organizaciones africanas, el 23% de Asia, 16% de Norteamérica y tan sólo el 8% de Europa. Este dato tiene importantes implicaciones en cuanto a la confianza de los dispositivos en las redes corporativas.
El Ransomware no nos abandona
El ransomware seguirá siendo uno de los métodos de ataque con más valor y crecimiento en la modalidad de ransomware-as-a-service (RaaS), permitiendo que criminales sin conocimientos puedan descargarse las herramientas que necesitan y atacar a su víctima.
El 36% de las organizaciones detectaron actividad de botnets relacionadas con ransomware. TorrentLocker ocupó el primer lugar y Locky la tercera posición. Dos familias de malware, Nemucod y Agent, fueron especialmente dañinas. El 81,4% de las muestras de malware detectado pertenecía a estas dos familias. La familia Nemucod está íntimamente ligada al ransomware.
El Ransomware estuvo presente en todas las regiones y sectores, pero especialmente se extendió entre instituciones sanitarias. Cuando los datos del paciente se ven comprometidos, las consecuencias pueden ser muy graves, ya que los datos tienen más valor personal y repercusión que otros.
Tendencias en infraestructuras y su relación con las amenazas
Las tendencias que se aprecian en las infraestructuras y cómo influyen en el panorama de amenazas es un tema clave. Identificar y prevenir las Exploits, malware, y botnets se complica cada vez más a medida que la propia infraestructura de red evoluciona.
Los datos muestran que el tráfico cifrado con SSL sigue suponiendo aproximadamente un 50% del del tráfico web total que se mueve dentro de una organización. El uso del tráfico HTTPS es una tendencia importante a la que debemos permanecer atentos ya que, si bien es bueno en términos de privacidad, también supone un reto a la hora de detectar amenazas que pueden ir ocultas en comunicaciones cifradas. A menudo, el tráfico cifrado de datos no se examina debido a la enorme sobrecarga de recursos que requiere abrir, inspeccionar y volver a cifrar el tráfico, forzando a los responsables de TI a elegir entre protección y rendimiento.
En cuanto al número total de aplicaciones detectadas por organización, el número de aplicaciones cloud se elevó hasta 63, casi un tercio de todas las aplicaciones detectadas. Esta tendencia tiene significativas implicaciones para la seguridad, ya que los equipos de TI tienen menos visibilidad de los datos que residen dentro de las aplicaciones cloud, cómo se utilizan y quién tiene acceso a ellos. Las redes sociales, audio y vídeo en streaming, y las aplicaciones P2P no subieron tan bruscamente.
Prevalencen los ataques automatizados y de alto volumen
La correlación entre el volumen y la prevalencia del exploit implica una creciente automatización de los ataques y reducción de los costes de las herramientas para desarrollo y distribución de malware disponibles en la web oscura. Esta situación hace más fácil y barato que nunca que los cibercriminales inicien ataques.
SQL Slammer se sitúo en los primeros puestos de la lista de detección de exploits con nivel de severidad alta o crítica, afectando principalmente a las instituciones educativas.
Un exploit que indica intentos de ataques de fuerza bruta en Microsoft Remote Desktop Protocol (RDP) ocupó el segundo lugar en prevalencia. El exploit lanza 200 solicitudes RDP cada 10 segundos, lo que explica el alto volumen detectado en las empresas globales.
El tercer lugar en prevalencia es una firma vinculada a una vulnerabilidad de Corrupción de Memoria en el Administrador de Archivos de Windows que permite a un atacante remoto ejecutar código arbitrario en aplicaciones vulnerables con un archivo jpg.
H-Worm y ZeroAccess tenían la mayor prevalencia y volumen para las familias de botnets. Ambos proporcionan a los cibercriminales el control de los sistemas afectados para desviar los datos o realizar fraude a través de los links y robo de bitcoins. La industria tecnológica y el el sector gubernamental tuvieron que enfrentarse al mayor número de intentos de ataques de estas dos familias de botnets.
Exploits audaces, viejos rejuvenecidos
Tomar una política de “no dejar ninguna vulnerabilidad conocida sin proteger” supone un arma de doble filo, puesto que focalizarse en aplicar parches de seguridad en software y dispositivos antiguos implica menos atención a la nueva superficie de ataque que suponen los dispositivos digitales de hoy en día.
Un 86% de las empresas registraron ataques que intentaban aprovechar vulnerabilidades que tenían más de una década de antigüedad. Casi el 40% detectó exploits contra CVEs incluso más antiguas. Cada organización rastreó un promedio de 10,7 exploits de aplicaciones. Aproximadamente 9 de cada 10 firmas detectaron exploits críticas o de alta severidad.
En general, África, Oriente Medio y Latinoamérica mostraron un mayor número y variedad de cada categoría de amenaza comparando la media de familias de exploits, malware y botnet detectadas por organizaciones en cada región del mundo. Estas diferencias eran incluso más pronunciadas en el caso de las botnets
Metodología del estudio
El informe Fortinet Global Threat Landscape es fruto del trabajo de inteligencia del equipo de expertos de FortiGuard Labs durante el cuarto trimestre de 2016, con datos de investigación que abarcan perspectivas globales, regionales, sectoriales y organizacionales. Se centra en tres aspectos centrales y complementarios del panorama de amenazas: exploits de aplicaciones, software malicioso (malware) y botnets.