Nuevo informe de amenazas encuentra el vehículo principal de correo electrónico para el malware | La seguridad cibernética


Por John P. Mello Jr.

16 de marzo de 2021 6:05 a.m. PT

Los actores en línea maliciosos utilizaron el correo electrónico como su vehículo principal para entregar malware a sus víctimas en el último trimestre de 2020, informaron HP y Bromium el martes.

El HP-Bromium Informe de conocimientos sobre amenazas descubrió que el 88 por ciento del malware se enviaba por correo electrónico a las bandejas de entrada de sus objetivos, muchas veces evadiendo las medidas en las pasarelas de correo electrónico para filtrar la correspondencia infectada.

“En última instancia, los atacantes se están aprovechando del hecho de que es normal compartir y abrir documentos por correo electrónico”, observó Alex Holland, analista senior de malware de HP.

“Los departamentos de finanzas y TI tienden a ser grandes usuarios de macros para automatizar los procesos comerciales, por lo que prohibirlos en todos los ámbitos a menudo no es una opción realista”, dijo a TechNewsWorld.

El correo electrónico seguirá siendo un vehículo de entrega principal debido a la debilidad de los humanos involucrados, sostuvo Joseph Neumann, director de seguridad ofensiva en Fuego de carbón, un proveedor de servicios de asesoría en ciberseguridad con sede en Westminster, Colorado.

“A diferencia de los firewalls o servidores, la conciencia de seguridad de cada persona es diferente y cambia cada hora debido a la cantidad de café que pueden tomar o no”, dijo a TechNewsWorld.

Dvir Sayag, jefe de investigación de amenazas cibernéticas en Cazadores, una empresa abierta de búsqueda de amenazas XDE con oficinas en Tel Aviv y Lexington, Massachusetts, agregó que los piratas informáticos comprenden que los ataques de phishing por correo electrónico, especialmente el uso de ingeniería social, se encuentran entre las formas más rentables de compromiso.

“Las macros de Word son fáciles de comprar o codificar desde cero, y hacer que las víctimas hagan clic en una a través de un simple ataque de correo electrónico de ingeniería social es, en la mayoría de los casos, fácil”, dijo a TechNewsWorld.

Detección de esquiva

El informe de HP-Bromium observó un aumento del 12 por ciento con respecto al trimestre anterior en el uso de malware que explotó una falla utilizada para ejecutar scripts maliciosos cuando se abre un documento de Microsoft Word.

Los investigadores de HP también encontraron un aumento del 12 por ciento en el uso de archivos ejecutables maliciosos, con casi tres cuartas partes de ellos explotando una falla de corrupción de memoria en el Editor de ecuaciones de Microsoft Office.

“La principal ventaja de un ejecutable es que elimina la necesidad de etapas intermedias de malware y alojamiento de la carga útil, que son susceptibles de ser eliminados por registradores de dominio y hosts web”, explicó Holland.

El informe de HP también reveló que el tiempo promedio para que las amenazas sean conocidas por hash en los motores antivirus fue de más de una semana (8.8 días).

“Las amenazas toman tanto tiempo debido a la capacidad del malware para cambiar las firmas”, explicó Neumann.

“Los hashes de AV deben ser generados por alguien que identifique el malware y luego lo envíe como malo”, continuó. “Las detecciones AV basadas únicamente en valores hash son un animal moribundo y están siendo reemplazadas con mayor frecuencia por sistemas que detectan y responden a detecciones de comportamiento basadas en heurísticas”.

Holland agregó que los atacantes han encontrado en repetidas ocasiones nuevas formas de eludir las herramientas tradicionales basadas en la detección.

“Por cada nueva variante de malware que crean los piratas informáticos, tienen unos días de ventaja para capitalizar sus campañas, infectando las máquinas antes de que las herramientas de detección se pongan al día”, dijo. “Con la automatización, este proceso ahora es más fácil que nunca”.

Técnicas de ofuscación

Los investigadores de HP también informaron que el 29 por ciento del malware capturado para el análisis era desconocido anteriormente, principalmente debido al uso generalizado de empaquetadores y técnicas de ofuscación utilizadas para evadir la detección.

“Los actores maliciosos utilizan una variedad de técnicas para ocultar sus ataques. Los detalles dependen de las defensas que encuentren en el entorno de la víctima”, explicó Saryu Nayyar, director ejecutivo de Gurucul, una empresa de inteligencia de amenazas en El Segundo, California.

“El desafío con las amenazas ‘previamente desconocidas’ es que inicialmente no hay indicadores conocidos de compromiso, lo que significa que la detección inicial debe provenir del comportamiento del atacante o alguna otra actividad que revele su presencia”, dijo a TechNewsWorld.

Una forma en que los atacantes ocultan sus actividades es mediante el uso de canales encubiertos, observó Brian Kime, analista senior de Investigación de Forrester.

“Pueden usar el servicio DNS para codificar comandos maliciosos dentro de una solicitud de DNS aparentemente benigna”, dijo a TechNewsWorld. “Toda empresa tiene que usar DNS. Así es como funciona Internet”. DNS, el servicio de nombres de dominio, convierte los nombres web en direcciones IP para que un navegador pueda llegar al destino deseado.

Una técnica de ofuscación citada en el informe de HP es la fusión de DOS. Es una colección de técnicas de ofuscación descritas por un investigador de seguridad. Daniel Bohannon en 2018.

“Están diseñados para evadir reglas de detección rígidas al ocultar cadenas sospechosas en intérpretes de línea de comandos y registros”, explicó Holland.

“Los indicadores reveladores de la fusión de DOS incluyen el uso de subcadenas de variables ambientales, inserciones de caracteres, reversiones y codificación de bucle for”, continuó.

“La técnica es eficaz porque SIEM [Security Information and Event Management] las reglas a menudo se basan en la coincidencia de palabras clave sospechosas para distinguir la actividad maliciosa y legítima de procesos como PowerShell “, dijo.

Deficiencias tradicionales

Neumann sostuvo que la mayoría de los piratas informáticos no necesitan ocultar su actividad de amenaza.

“La mayoría de las vulnerabilidades y técnicas explotan vulnerabilidades comunes o utilizan la ingeniería social para obtener acceso y saquear redes”, dijo.

“Dado que el ciberespacio es del gran tamaño que es”, continuó, “hay cosas que quedan abiertas, sin supervisar o sin parchear que solo permiten la entrada de los actores”.

“La mayoría de las redes carecen de visibilidad total del tráfico de red o de las amenazas y no saben cuándo se están explotando o se han explotado activamente”, añadió Neumann.

El director global de seguridad para sistemas personales de HP, Ian Pratt, señaló que el informe trimestral destaca las deficiencias en las defensas tradicionales que dependen de la detección para evitar que el malware llegue a los puntos finales.

“Tratar de detectar todas las amenazas es inútil, siempre se escapará algo a través de la red”, dijo en un comunicado.

“Las organizaciones están comenzando a reconocer esto y buscan cada vez más implementar principios de diseño de confianza cero en su arquitectura de seguridad”, continuó.

“El aislamiento de aplicaciones a través de la virtualización aplica el acceso con privilegios mínimos a actividades de riesgo en el endpoint, lo que hace que el malware sea inofensivo al aislarlo en máquinas microvirtuales”, explicó. “El aislamiento reforzado por hardware elimina la oportunidad de que el malware cause daño a la PC host, incluso del malware novedoso, porque no depende de un modelo de seguridad de detección para proteger”.

Sobreinvertir en prevención

Mientras existan vulnerabilidades de día cero, las estrategias de prevención tendrán una alta tasa de fallas, sostuvo Tim Wade, director técnico del equipo de CTO en Vectra AI, un proveedor de soluciones automatizadas de gestión de amenazas con sede en San José, California.

“El estado actual de sobreinversión organizacional en prevención es casi siempre un ejercicio de costosos aumentos marginales en la capacidad con un costo sofocante de objetivos comerciales paralizados y una productividad cada vez más limitada”, afirmó.

“Lo que es más importante que la prevención”, continuó, “es la resiliencia, que implica identificar inversiones en seguridad que minimicen el impacto de un ataque”.


John P. Mello Jr. ha sido reportero de ECT News Network desde 2003. Sus áreas de enfoque incluyen ciberseguridad, problemas de TI, privacidad, comercio electrónico, redes sociales, inteligencia artificial, big data y electrónica de consumo. Ha escrito y editado para numerosas publicaciones, incluida la Boston Business Journal, la
Boston Phoenix, Megapixel.Net y Noticias de seguridad del gobierno. Envíe un correo electrónico a John.

.



Source link