Fortinet ha hecho públicos los últimos resultados de su Índice Global de Amenazas. La investigación revela que los ciberdelincuentes aprovechan las técnicas de evasión y anti análisis con una mayor sofisticación de las mismas para tener nuevas oportunidades de ataque. El Índice Global de Amenazas marcó un hito incrementándose casi un 4% interanual. El punto más alto registrado en el último año coincide con el obtenido a cierre del segundo trimestre de 2019. Este aumento está provocado por la mayor actividad de malware y exploits en estos últimos meses.
Con respecto a estos datos, Phil Quade, Chief Information Security Office en Fortinet, ha declarado “La continuada mejora en sofisticación de los métodos de ataque de los cibercriminales es un indicativo de cómo intentan aprovechar la velocidad y la conectividad en su beneficio. Por lo tanto, es importante que los defensores hagan lo mismo y prioricen sin descanso estos fundamentos de ciberseguridad, para dotar a las organizaciones de capacidad para gestionar y mitigar mejor los riesgos. Una estrategia que contemple una arquitectura con todos los elementos de seguridad que abarca la segmentación y la integración, la inteligencia de amenazas accionable y la automatización combinada con el aprendizaje automático es esencial para permitir que estos fundamentos den el fruto deseado”.
Muchas herramientas modernas de malware ya incorporan características para evadir u otras medidas de detección de amenazas, a lo que se suma el que los ciberdelincuentes son cada vez más sofisticados en sus prácticas de ofuscación y anti análisis para evitar la detección.
Por ejemplo, una campaña de spam mostró cómo los ciberdelincuentes utilizan estas técnicas. El modus operandi fue el siguiente: utilizaron un correo electrónico phishing con un archivo adjunto que resultó ser un documento de Excel que contenía una macro maliciosa. La macro tenía atributos diseñados para deshabilitar herramientas de seguridad, ejecutar comandos arbitrariamente, causar problemas de memoria y garantizar que solo se ejecutara en sistemas japoneses. Una propiedad que busca en concreto, una variable xlDate, parece no estar documentada.
En otro caso se incluía una variante del troyano bancario Dridex que cambiaba los nombres y los hashes de los archivos cada vez que la víctima iniciaba sesión, lo que dificultaba detectar el malware en los sistemas host infectados.
En definitiva, el uso cada vez mayor de tácticas de anti análisis y evasión alerta sobre la necesidad de implementar un sistema de defensa en varias capas y de detección de amenazas basadas en el comportamiento.
Bajo el radar, apuntando a larga distancia
El malware Zegost es la piedra angular de una campaña de spear phishing y aplica técnicas muy interesantes. Al igual que otros `ladrones de información´ o infostealers, el objetivo principal de Zegost es recopilar información sobre el dispositivo de la víctima y filtrarla. Sin embargo, en comparación con otros infostealers, Zegost está configurado para permanecer bajo el radar. Por ejemplo, Zegost incluye una funcionalidad diseñada para borrar registros de eventos. Este tipo de limpieza no se produce en un malware al uso. Otro desarrollo interesante en las capacidades de evasión de Zegost es un comando que mantuvo al infostealer “en letargo” hasta después del 14 de febrero de 2019, fecha tras la cual inició su rutina de infección.
Los cibercriminales que están detrás de Zegost utilizan un arsenal de exploits para garantizar que establecen y mantienen una conexión con las víctimas objetivo, lo que lo convierte en una amenaza a largo plazo en comparación con sus contemporáneos.
El crimen perfecto: un secuestro con cobro de rescate asegurado
Los ataques a múltiples ciudades, gobiernos locales y sistemas educativos nos recuerdan que el ransomware no solo no va a desaparecer, sino que continuará representando una seria amenaza para muchas organizaciones en el futuro. El ransomware sigue alejándose de los ataques oportunistas de gran volumen para centrarse en ataques más dirigidos a organizaciones concretas, que los cibercriminales perciben con capacidad o el especial interés para pagar rescates. En algunos casos, los ciberdelincuentes han realizado un reconocimiento considerable antes de implementar su ransomware en sistemas cuidadosamente seleccionados para maximizar las oportunidades.
Por ejemplo, el ransomware RobbinHood está diseñado para atacar la infraestructura de red de una organización y es capaz de deshabilitar los servicios de Windows que impiden el cifrado de datos y desconectarse de las unidades compartidas.
Sodinokibi, un ransomware conocido recientemente, podría convertirse en una nueva amenaza para las organizaciones. A nivel funcional no es muy diferente de la mayoría de las herramientas de ransomware. Su singularidad radica en el vector de ataque ya que explota una vulnerabilidad más nueva que permite la ejecución de código arbitrario y no necesita ninguna interacción del usuario como otros ransomwares que entran vía correo electrónico phishing.
Independientemente del vector, el ransomware seguirá representando una grave amenaza para las organizaciones en el futuro, por lo que es cada vez más urgente priorizar la concienciación a los usuarios sobre los parches y la seguridad de la información. Además, las vulnerabilidades del Protocolo de escritorio remoto (RDP), como BlueKeep, son una advertencia de que los servicios de acceso remoto son una oportunidad para los ciberdelincuentes al poder ser aprovechados como vector de ataque para propagar el ransomware.