0

Analizando el panorama de amenazas del primer trimestre de 2019, realizado por Fortinet podemos ver que los ciberdelincuentes no solo son cada vez más sofisticados en términos de sus métodos y herramientas de ataque, sino que también se están volviendo muy diversos. Los atacantes utilizan cada vez más una amplia gama de estrategias de ataque como ransomware dirigido a codificación personalizada, ataques Living-Of-The-Land (LoTL) y compartir infraestructura para maximizar oportunidades con herramientas preinstaladas que les permiten moverse lateralmente a través de una red antes de un ataque.

El informe de amenazas del primer cuatrimestre del 2019 realizado por Fortinet, proporciona información sobre cada una de estas estrategias, junto con un análisis más profundo de algunas de las tendencias más populares que los profesionales de la ciberseguridad y los administradores de sistemas deben entender para proteger adecuadamente sus redes.

Insights de la investigación:

El Ransomware está muy lejos de desaparecer

En general, las altas tasas anteriores de ransomware se han reemplazado con ataques más dirigidos, pero el ransomware está lejos de desaparecer. De hecho, varios ataques demuestran que se está personalizando para lograr objetivos de alto valor y para que el atacante tenga acceso privilegiado a la red. LockerGoga es un ejemplo de un ransomware dirigido, realizado en un ataque en varias etapas. Hay poco de LockerGoga que lo distinga de otros ransomware en términos de sofisticación funcional, pero mientras la mayoría de las herramientas de ransomware usan algún nivel de ofuscación para evitar la detección, se detectó muy poco en el análisis. Esto sugiere la naturaleza específica del ataque y la predeterminación de que el malware no se detecte fácilmente. En el caso de Anatova, el objetivo principal es cifrar tantos archivos como sea posible en el sistema víctima, excepto que evita sistemáticamente el cifrado de todo lo que pueda afectar la estabilidad del sistema que está infectando. También evita infectar computadoras que parecen estar siendo utilizadas para el análisis de malware, o como honeypots. Estas dos variantes de ransomware demuestran que los líderes de seguridad deben permanecer enfocados en la aplicación de parches y copias de seguridad contra el ransomware básico, pero las amenazas dirigidas requieren defensas más personalizadas para protegerse contra métodos de ataque únicos.

Tráfico previo y posterior al compromiso

La investigación para conocer si los atacantes realizan fases de sus ataques en diferentes días de la semana, demostró que los ciberdelincuentes buscan maximizar las oportunidades en su beneficio. Al comparar el volumen de filtrado web para dos fases de la cadena de ciberataques durante los días de semana y los fines de semana, la actividad de compromiso previo es aproximadamente tres veces más probable durante  semana laboral, mientras que el tráfico posterior al compromiso muestra menos diferenciación. Esto se debe principalmente a que la actividad de explotación a menudo requiere que alguien realice una acción, como hacer clic en un correo electrónico de phishing. En contraste, la actividad de mando y control (C2) no tiene este requisito y puede ocurrir en cualquier momento. Los ciberdelincuentes entienden esto y trabajarán para maximizar las oportunidades durante la semana, cuando la actividad de Internet es más frecuente. La diferenciación entre las prácticas de filtrado web entre semana y los fines de semana es importante para comprender completamente la cadena de eliminación de varios ataques.

La mayoría de las amenazas comparten infraestructura

El grado en que las diferentes amenazas comparten infraestructura muestra algunas tendencias valiosas. Algunas amenazas aprovechan la infraestructura de uso de la comunidad en mayor medida que la infraestructura exclusiva o dedicada. Casi el 60% de las amenazas compartieron al menos un dominio, indicando que la mayoría de botnets aprovechan la infraestructura establecida. IcedID es un ejemplo de este comportamiento de “por qué comprar o construir cuando puedes pedir prestado”. Además, cuando las amenazas comparten infraestructura, tienden a hacerlo dentro de la misma etapa en la cadena de eliminación. Es inusual que una amenaza aproveche un dominio para su explotación y luego lo aproveche para el tráfico C2. Esto sugiere que la infraestructura desempeña un papel o función particular cuando se utiliza para campañas maliciosas. Comprender qué amenazas comparten la infraestructura -y en qué puntos de la cadena de ataques-, permite a las organizaciones predecir posibles puntos evolutivos para el malware o las redes de bots en el futuro.

 

La administración de contenido necesita una administración constante

Los adversarios tienden a moverse de una oportunidad a la siguiente en clusters, enfocándose en vulnerabilidades y tecnologías atacadas con éxito, para maximizar rápidamente la oportunidad. Un ejemplo de cómo las nuevas tecnologías han recibido mucha atención de los ciberdelincuentes, son las plataformas que facilitan a los consumidores y las empresas la creación de presencia web, como los Sistemas de Administración de Contenido (CMS, por sus siglas en inglés). Estas plataformas siguen siendo atacadas, incluso a través de plugins de terceros. Esto refuerza lo fundamental de que los parches se apliquen de inmediato y que se entienda completamente el mundo en evolución de los ataques, para lograr adelantarse a las amenazas.

Herramientas y trucos Living-Of-The-Land

Debido a que los creadores de amenazas operan utilizando los mismos modelos de negocios que sus víctimas, los métodos de ataque a menudo continúan desarrollándose incluso después de una entrada inicial. Para lograr esto, los atacantes aprovechan cada vez más las herramientas que ya están preinstaladas en los sistemas específicos para llevar a cabo ataques cibernéticos. Esta táctica de aprovechar la actividad típica del sistema (llamada Living-Of-The-Land, en inglés) permite a los piratas informáticos ocultar sus actividades en procesos legítimos y dificulta la detección de los defensores. Estas herramientas también hacen que la atribución de ataque sea mucho más difícil. Desafortunadamente, los adversarios pueden usar una amplia gama de herramientas legítimas para lograr sus objetivos y esconderse a simple vista. Los defensores inteligentes deberán limitar el acceso a las herramientas administrativas sancionadas y el uso de registros en sus entornos.

Puntos claves para recordar:

Practique la buena higiene cibernética: quienes lideran la seguridad deben asegurarse de priorizar y responder ante nuevas vulnerabilidades, especialmente aquellas en las tecnologías más nuevas que brindan acceso a amplias muestras de usuarios (por ejemplo, plataformas de CMS). Los atacantes buscarán esas vulnerabilidades mucho después de que se publiquen los parches para identificar dispositivos y sistemas no protegidos.

Defensa intencional de ransomware: detectar y prevenir el ransomware es cada vez más un “juego de elección” en lugar de un “juego de azar”. Los líderes de seguridad deben comprender el objetivo de los ataques de ransomware (geografía y vulnerabilidades) para priorizar parches y establecer copias de seguridad, almacenamiento y actividades de recuperación.

Desconfíe de las herramientas preinstaladas: Las organizaciones deben prestar especial atención a las herramientas preinstaladas como PowerShell, VB, IronPython y otras herramientas que pueden ser explotadas para aumentar los privilegios y ocultar los códigos maliciosos y los ataques. La segmentación basada en la intención, que utiliza la lógica empresarial para segmentar la red, los dispositivos, los usuarios y las aplicaciones, puede evitar el movimiento lateral de los ataques Living-Of-The-Land, lo que evita que accedan a datos e infraestructura críticos.

Enfatice la inteligencia de amenazas: la inteligencia debe pasar del análisis para la detección, al análisis para predecir posibles puntos evolutivos para ese malware. Los líderes de seguridad deben buscar inteligencia de amenazas que no solo sea amplia y profunda, sino que utilice las capacidades de inteligencia artificial y machine learning para modelar los estados futuros. Esta inteligencia externa luego debe combinarse con datos locales, como el uso de la tecnología sandbox para detectar y evitar que estas “nuevas” amenazas afecten sus entornos.

La necesidad de inteligencia dinámica y proactiva de amenazas:

Establecer y mantener defensas adecuadas en un panorama de amenazas en rápida evolución requiere comprender las amenazas antes de que ocurran, y eso requiere inteligencia confiable y oportuna. Mejorar la capacidad de una organización para defenderse adecuadamente contra las tendencias actuales de amenazas y además prepararse para la evolución de los ataques a lo largo del tiempo, requiere una inteligencia de amenazas dinámica, proactiva y disponible en toda la red distribuida. Este conocimiento puede ayudar a identificar tendencias que muestran la evolución de los métodos y contribuye a identificar las prioridades de higiene cibernética en función de dónde los atacantes están centrando sus esfuerzos. Solo un tejido de seguridad que sea amplio, integrado y automatizado puede brindar protección para todo el entorno de red, desde IoT hasta el borde, pasando por el núcleo de la red y las nubes múltiples a velocidad y escala.

 

Traducido y adaptado del blog de Fortinet.

5