Actualizado el 20/09/2019

icon Facebook icon Twiiter icon RSS icon EMAIL
  1. Portada
  2. >
  3. Noticias
  4. >
  5. Los cibercriminales apuestan por la evasión y el anti análisis

Los cibercriminales apuestan por la evasión y el anti análisis

Escrito por Agencias Externas el 03/09/2019 a las 15:02:54
207

Fortinet, líder global en soluciones de ciberseguridad automatizadas e integradas, ha hecho públicos los últimos resultados de su Índice Global de Amenazas.


La investigación revela que los ciberdelincuentes aprovechan las técnicas de evasión y anti análisis con una mayor sofisticación de las mismas para tener nuevas oportunidades de ataque.


El Índice Global de Amenazas marcó un hito incrementándose casi un 4% interanual. El punto más alto registrado en el último año coincide con el obtenido a cierre del segundo trimestre de 2019. Este aumento está provocado por la mayor actividad de malware y exploits en estos últimos meses.


Con respecto a estos datos, Phil Quade, Chief Information Security Office en Fortinet, ha declarado “La continuada mejora en sofisticación de los métodos de ataque de los cibercriminales es un indicativo de cómo intentan aprovechar la velocidad y la conectividad en su beneficio. Por lo tanto, es importante que los defensores hagan lo mismo y prioricen sin descanso estos fundamentos de ciberseguridad, para dotar a las organizaciones de capacidad para gestionar y mitigar mejor los riesgos. Una estrategia que contemple una arquitectura con todos los elementos de seguridad que abarca la segmentación y la integración, la inteligencia de amenazas accionable y la automatización combinada con el aprendizaje automático es esencial para permitir que estos fundamentos den el fruto deseado”.


¡Suban sus apuestas! Todo a las técnicas de evasión


Muchas herramientas modernas de malware ya incorporan características para evadir u otras medidas de detección de amenazas, a lo que se suma el que los ciberdelincuentes son cada vez más sofisticados en sus prácticas de ofuscación y anti análisis para evitar la detección.


Por ejemplo, una campaña de spam mostró cómo los ciberdelincuentes utilizan estas técnicas.


El modus operandi fue el siguiente: utilizaron un correo electrónico phishing con un archivo adjunto que resultó ser un documento de Excel que contenía una macro maliciosa. La macro tenía atributos diseñados para deshabilitar herramientas de seguridad, ejecutar comandos arbitrariamente, causar problemas de memoria y garantizar que solo se ejecutara en sistemas japoneses. Una propiedad que busca en concreto, una variable xlDate, parece no estar documentada.


En otro caso se incluía una variante del troyano bancario Dridex que cambiaba los nombres y los hashes de los archivos cada vez que la víctima iniciaba sesión, lo que dificultaba detectar el malware en los sistemas host infectados.


En definitiva, el uso cada vez mayor de tácticas de anti análisis y evasión alerta sobre la necesidad de implementar un sistema de defensa en varias capas y de detección de amenazas basadas en el comportamiento.


Bajo el radar, apuntando a larga distancia


El malware Zegost es la piedra angular de una campaña de spear phishing y aplica técnicas muy interesantes. Al igual que otros `ladrones de información´ o infostealers, el objetivo principal de Zegost es recopilar información sobre el dispositivo de la víctima y filtrarla. Sin embargo, en comparación con otros infostealers, Zegost está configurado para permanecer bajo el radar. Por ejemplo, Zegost incluye una funcionalidad diseñada para borrar registros de eventos. Este tipo de limpieza no se produce en un malware al uso. Otro desarrollo interesante en las capacidades de evasión de Zegost es un comando que mantuvo al infostealer "en letargo" hasta después del 14 de febrero de 2019, fecha tras la cual inició su rutina de infección.


Los cibercriminales que están detrás de Zegost utilizan un arsenal de exploits para garantizar que establecen y mantienen una conexión con las víctimas objetivo, lo que lo convierte en una amenaza a largo plazo en comparación con sus contemporáneos.


El crimen perfecto: un secuestro con cobro de rescate asegurado


Los ataques a múltiples ciudades, gobiernos locales y sistemas educativos nos recuerdan que el ransomware no solo no va a desaparecer, sino que continuará representando una seria amenaza para muchas organizaciones en el futuro. El ransomware sigue alejándose de los ataques oportunistas de gran volumen para centrarse en ataques más dirigidos a organizaciones concretas, que los cibercriminales perciben con capacidad o el especial interés para pagar rescates. En algunos casos, los ciberdelincuentes han realizado un reconocimiento considerable antes de implementar su ransomware en sistemas cuidadosamente seleccionados para maximizar las oportunidades.


Por ejemplo, el ransomware RobbinHood está diseñado para atacar la infraestructura de red de una organización y es capaz de deshabilitar los servicios de Windows que impiden el cifrado de datos y desconectarse de las unidades compartidas.


Sodinokibi, un ransomware conocido recientemente, podría convertirse en una nueva amenaza para las organizaciones. A nivel funcional no es muy diferente de la mayoría de las herramientas de ransomware. Su singularidad radica en el vector de ataque ya que explota una vulnerabilidad más nueva que permite la ejecución de código arbitrario y no necesita ninguna interacción del usuario como otros ransomwares que entran vía correo electrónico phishing.


Independientemente del vector, el ransomware seguirá representando una grave amenaza para las organizaciones en el futuro, por lo que es cada vez más urgente priorizar la concienciación a los usuarios sobre los parches y la seguridad de la información. Además, las vulnerabilidades del Protocolo de escritorio remoto (RDP), como BlueKeep, son una advertencia de que los servicios de acceso remoto son una oportunidad para los ciberdelincuentes al poder ser aprovechados como vector de ataque para propagar el ransomware.


El hogar en el punto de mira


Entre la impresora doméstica y la infraestructura crítica hay una línea creciente de sistemas de control para uso residencial y de pequeñas empresas. Estos sistemas inteligentes obtienen una atención comparablemente menor de los atacantes que sus contrapartes industriales, pero este modelo puede estar cambiando. Se ha observado una mayor actividad dirigida a estos dispositivos de control, como controles ambientales, cámaras de seguridad y sistemas de seguridad. De hecho, se descubrió que una firma relacionada con las soluciones de gestión de edificios se activaba en el 1% de las organizaciones, lo que puede no parecer mucho, pero es más alto de lo que se registra típicamente en las soluciones ICS o SCADA.


Los ciberdelincuentes están buscando nuevas oportunidades para hacerse con el mando de los dispositivos de control en hogares y empresas. A veces, estos tipos de dispositivos no tienen tanta prioridad como otros o están fuera del alcance de la administración de TI tradicional. La seguridad de los sistemas inteligentes para el entorno domésticos y de pequeñas empresas merece una mayor atención, especialmente porque el acceso podría tener serias consecuencias de seguridad. Esto es especialmente relevante para entornos de trabajo remotos donde el acceso seguro es clave.


La respuesta: seguridad completa, integrada y automatizada


La inteligencia de amenazas que es dinámica, proactiva y disponible en tiempo real puede ayudar a identificar tendencias que muestran la evolución de los métodos de ataque dirigidos a la superficie de ataque y a identificar las prioridades de ciberhigiene. El valor y la capacidad para aplicar medidas en base a la inteligencia de amenazas se ven severamente disminuidos si no pueden ser procesables en tiempo real en cada dispositivo de seguridad. Solo una arquitectura de seguridad extensa, integrada y automatizada puede proporcionar protección que puede compartirse a velocidad y escala a todo el entorno de red, desde IoT hasta el perímetro, el núcleo de la red y las múltiples nubes.


Metodología del Índice Global de Amenazas


El último informe “Fortinet Global Threat Landscape” es un análisis trimestral que analiza la inteligencia colectiva de FortiGuard Labs, extraída de la amplia gama de sensores de Fortinet diseminados por todo el mundo durante el segundo trimestre de 2019. Los datos de investigación abarcan perspectivas globales y regionales. En el informe también se incluye el Índice de Amenazas de Fortinet, compuesto por índices individuales que incluye tres aspectos centrales y complementarios: exploits, malware y botnets, que muestran la prevalencia y el volumen en un trimestre determinado.