Los cibercriminales persiguen a las apps más populares
Casi 60% de amenazas comparten al menos un dominio, así que la mayoría de botnets aprovechan infraestructuras previas.
Fortinet, líder global en soluciones de ciberseguridad integradas y automatizadas, ha publicado hoy las conclusiones extraídas de su último informe trimestral Global Threat Landscape Report. De acuerdo con sus investigaciones, los cibercriminales continúan sofisticando sus métodos de ataque, desde un ransomware a la medida y una codificación personalizada para determinados ataques, hasta herramientas tipo living-off-the-land (LoTL) o infraestructura compartida para maximizar sus oportunidades.
Para Phil Quade, Chief Information Security Officer en Fortinet, “Por desgracia seguimos viendo a la comunidad de cibercriminales reflejar las estrategias y las metodologías que utilizan los gobiernos, con los dispositivos y redes a los que se dirigen. Las organizaciones necesitan rediseñar sus estrategias futuras y gestionar los ciberriesgos. Un primer paso consiste en tratar la ciberseguridad más como una ciencia - con sus fundamentos claros - , lo que implica aprovechar la velocidad y la conectividad del ciberespacio para su defensa. Adoptar un enfoque de arquitectura de seguridad con segmentación micro y macro, y aprovechar el aprendizaje automático y la automatización como elementos fundamentales de la IA, es una gran oportunidad para obligar a nuestros adversarios a retroceder”.
Entre los principales descubrimientos del Informe Global de Amenazas destacan:
Tráfico pre y post comprometido: El análisis para ver si los cibercrimnales llevan a cabo las distintas fases de sus ataques en diferentes días de la semana demuestra que los ciberdelincuentes siempre buscan maximizar las oportunidades en su beneficio. Al comparar el volumen de filtrado web en dos momentos concretos, durante los días laborables y los fines de semana, la actividad de compromiso previo es aproximadamente tres veces más probable que ocurra durante la semana laboral, mientras que el tráfico posterior al compromiso muestra menos diferenciación en ese sentido. Esto se debe principalmente a que la actividad de explotación a menudo requiere que alguien realice una acción, como hacer clic en un correo electrónico de phishing. En contraste, la actividad de comando y control (C2) no tiene este requisito y puede producirse en cualquier momento. Los ciberdelincuentes son conscientes de ello y trabajan para maximizar las oportunidades durante la semana cuando la actividad en Internet es más frecuente. La diferencia de filtrado web entre días laborables y los fines de semana es importante para comprender el modus operandi de los ataques.
La mayoría de las amenazas comparten infraestructura: El grado en el que las diferentes amenazas comparten infraestructura es una tendencia a tener en cuenta. Algunos ataques aprovechan la infraestructura que utiliza la comunidad en mayor medida que una propia o dedicada. Casi el 60% de las amenazas comparten al menos un dominio, lo que indica que la amplia mayoría de las botnets están aprovechando una infraestructura ya consolidada. IcedID es un ejemplo de este comportamiento de “por qué comprar o desarrollar si lo puedo tomar prestado”. Además, cuando las amenazas comparten infraestructura tienen a hacerlo en la misma etapa del ataque. No es usual que una amenaza aproveche un dominio para explotar y después lo aproveche para tráfico de comando y control. De esto se deduce que la infraestructura juega un papel clave en las campañas maliciosas. Entender que las amenazas comparten infraestructura y en qué punto de la cadena del ataque, facilita a las organizaciones predecir a futuro en qué potenciales puntos puede encontrarse malware o botnets.
La gestión de contenido 24/7: Los cibercriminales tienden a pasar de una oportunidad a otra en clusters próximos, focalizándose en objetivos, vulnerabilidades y tecnologías ya explotadas con el objetivo de maximizar la oportunidad. Por ejemplo, una nueva tecnología que atrae cada vez a más criminales son las plataformas web que facilitan a usuarios y empresas crear su propia web. Siguen siendo dirigidos, incluso asociados a plugins de terceros. Esto refuerza el hecho de que es crítico aplicar los parches de forma inmediata y comprender la evolución de los exploits para adelantarnos a los movimientos de los cibercriminales.
Ransomware y más allá: En general, las altas tasas de ransomware anteriores se han reemplazado con ataques más dirigidos, pero el ransomware está lejos de desaparecer. En cambio, múltiples ataques demuestran que está siendo personalizado para alcanzar objetivos de alto valor y para que el atacante tenga un acceso privilegiado a la red. LockerGoga es un ejemplo de ransomware dirigido desplegado en varias fases. LockerGoga se distingue muy poco de otros ransomware en cuanto a sofisticación funcional, pero mientras que la mayoría de las herramientas de ransomware usan algún nivel de ofuscación para evitar la detección, en este se usó poco. Esto sugiere la naturaleza específica del ataque y la predeterminación de que el malware no se detectaría fácilmente. Además, como la mayoría de los otros ransomware, el objetivo principal de Anatova es cifrar tantos archivos como sea posible en el sistema de la víctima, excepto que evita sistemáticamente el cifrado de todo lo que pueda afectar la estabilidad del sistema que está infectando. Así evita infectar a los ordenadores que parece que están siendo utilizados para analizar malware como los honeypots. Ambas variantes de ransomware demuestran que los expertos en seguridad tienen que seguir aplicando los parches y realizando los backups para luchar contra un tipo de ataques que se han convertido en un commodity, a la vez que deben personalizar sus defensas para protegerse frente a métodos de ataque nuevos.
Herramientas y trucos para Living Off the Land: Dado que los cibercriminales utilizan los mismos modelos de negocio que sus víctimas, para maximizar sus esfuerzos, los métodos de ataque siguen operando incluso después de haber conseguido su entrada en el sistema. Para conseguirlo, los atacantes aprovechan cada vez más las herramientas de doble uso o las ya pre-instaladas en los sistemas objetivo para desplegar sus ciberataques. Esta táctica de “living off the land” (LoTL) permite a los hackers camuflar sus actividades como procesos legítimos y dificulta en gran medida su detección a la vez que complican la atribución del ataque. Desafortunadamente, nuestros adversarios pueden utilizar una amplia variedad de herramientas legítimas para alcanzar sus objetivos y mantenerse ocultos. Las defensas inteligentes necesitarán limitar el acceso a las herramientas administrativas autorizadas y el acceso a sus entornos.
Inteligencia de amenazas dinámica y proactiva
Mejorar la capacidad de la organización no solo para defenderse de las amenazas actuales, sino también para prepararse ante la evolución y automatización de los ataques requiere una inteligencia de amenazas que sea dinámica, proactiva y disponible a través de la red distribuida. Este conocimiento puede ayudar a identificar tendencias que muestren la evolución de los métodos de ataque dirigidos a la superficie de ataque digital y para señalar las prioridades de ciberhigiene en base a dónde se dirigen sus esfuerzos.
El valor y la capacidad para tomar medidas con respecto a la inteligencia de amenazas se ven gravemente disminuidos si no se puede actuar en tiempo real en cada dispositivo de seguridad. Solo un tejido de seguridad amplio, integrado y automatizado puede brindar protección para todo el entorno de red, desde IoT hasta el perímetro, el núcleo de la red y las nubes múltiples a velocidad y escala.
Metodología del informe
El informe “Fortinet Global Threat Landscape” es un análisis trimestral que analiza la inteligencia colectiva de FortiGuard Labs, extraída de la amplia gama de sensores de Fortinet diseminados por todo el mundo durante el primer trimestre de 2019. Los datos de investigación abarcan perspectivas globales y regionales. En el informe también se incluye el Índice de panorama de amenazas de Fortinet (TLI), compuesto por índices individuales que incluye tres aspectos centrales y complementarios: explotaciones, malware y botnets, que muestran la prevalencia y el volumen en un trimestre determinado.