De los botnets al phishing: la evolución del panorama de amenazas en la era covid19

En 2020 se produjo un cambio imprevisible en las estructuras de la red y en las estrategias de ataque en la industria de la ciberseguridad. La irrupción de la pandemia de covid19 sigue pasando factura a organizaciones e individuos de todo el mundo, al tenernos que enfrentar a un panorama de amenazas más intenso, complejo y saturado que nunca. A muchas organizaciones les resulta difícil asignar recursos suficientes para gestionar y mitigar estas amenazas crecientes y en evolución, ya que han sufrido reveses operativos provocados por la repentina transición al teletrabajo.   

Teniendo en cuenta la naturaleza siempre cambiante de las actuales ciberamenazas, las organizaciones deben familiarizarse con la información actualizada sobre las mismas e invertir en los recursos necesarios para proteger lo que ahora es -y seguirá siendo indefinidamente- una superficie de ataque más grande y más fluida. Esta vez, los cambios que se producen en el panorama de las ciberamenazas son más dramáticos, y los riesgos debidos a los recientes cambios en la red son mayores que nunca. Esto hace que la información precisa y procesable sobre las amenazas sea aún más crucial. 

Aprovechar la tecnología doméstica como una puerta de entrada a la empresa

Hasta ahora, los equipos de seguridad se centraban principalmente en proteger a los usuarios de las amenazas de las aplicaciones y las redes, y en reforzar los recursos conectados que se encontraban a salvo dentro del perímetro de la red. Pero esto ya no es así. Durante la pandemia ha habido un aumento exponencial en el uso de IoT y una dependencia de las redes domésticas y los dispositivos de consumo, como los routers y módems domésticos, algo de lo que los ciberdelincuentes no tardaron en darse cuenta. El aumento del teletrabajo también ha centrado una atención considerable en la seguridad de los dispositivos personales que se utilizan para conectarse a la red corporativa, incluidos los smartphones, las tablets, los portátiles y los PC. Para los atacantes, este cambio ha presentado una oportunidad única de explotar esos dispositivos y de afianzarse en las redes empresariales (o, al menos, en los dispositivos utilizados para acceder a esas redes). Estos dispositivos se ven fácilmente comprometidos, y los expertos están viendo la formación de grandes redes de bots que pueden utilizarse para lanzar ataques DDoS o distribuir malware dirigido a la empresa.

Con el tiempo, los ciberdelincuentes no solo comprenden mejor la tecnología, sino que también tienen acceso a recursos más sofisticados que en el pasado, lo que hace que la tarea de proteger los recursos distribuidos sea más difícil que nunca. Mediante el uso de la IA y las herramientas de aprendizaje automático, por ejemplo, están aprovechando al máximo la creciente superficie de ataque y eludiendo con éxito las salvaguardas tradicionales. Debido a estos avances en los métodos y tecnologías de ataque, los equipos de TI están luchando ahora por mantenerse a la vanguardia en ataques como los de tipo ransomware y phishing que aprovechan para comprometer los dispositivos IoT domésticos.

Los ataques ransomware se sofistican

Los ataques ransomware siempre han sido una preocupación importante para las empresas. Pero en los últimos meses se han vuelto más frecuentes y costosos, tanto en términos de tiempo de inactividad como de daños. ¿Por qué esta amenaza no solo ha persistido durante tanto tiempo, sino que recientemente se ha vuelto aún más desafiante? Porque el software ransomware está aún más disponible para los atacantes a través de los mercados en la DarkNet. Las nuevas tecnologías de ransomware, incluido el ransomware as a service, son baratas y relativamente fáciles de implementar.

El ransomware se ha descubierto oculto en mensajes, archivos adjuntos y documentos relacionados con covid19. Tres muestras específicas de software ransomware entraron en esta categoría: NetWalker, Ransomware-GVZ y CoViper. De los tres, CoViper era especialmente preocupante, ya que se descubrió que reescribía el registro maestro de arranque del ordenador (MBR) antes de cifrar los datos. Aunque nuestro equipo de expertos ha observado varios ataques en el pasado en los que los adversarios han utilizado limpiadores MBR combinados con ransomware para inutilizar eficazmente los PCs objetivo, se trata de una estrategia inusualmente agresiva. 

Hacia el final de la primera mitad del año, también hubo varios informes sobre amenazas potencialmente respaldados por estados que atacaron a organizaciones involucradas en investigaciones relacionadas con covid19 en los Estados Unidos y otros países. Además, los atacantes se han dedicado a trasladar datos críticos a servidores públicos y a amenazar con hacerlos públicos a menos que se cumplan las exigencias de rescate, una forma de eludir la decisión de las víctimas de recuperar sus sistemas por sí mismas en lugar de ceder a las exigencias.

A medida que estas amenazas evolucionan, los equipos de seguridad deben asegurarse de que tienen acceso a información sobre amenazas en tiempo real actualizadas con las últimas tendencias y métodos de ataque. Esto incluye estar al día sobre las herramientas que utilizan los ciberdelincuentes como medio para maximizar el impacto de sus ataques, incluidas las redes sociales y los motores de búsqueda en Darknet. Y también significa modificar las estrategias actuales. Se aconseja a las organizaciones que mantengan todos los datos cifrados, ya sea en movimiento o en reposo, para frustrar las recientes estrategias de ataque.

El phishing evoluciona a través del Machine Learning

Muchos de los ataques de phishing del pasado han sido poco sofisticados y fáciles de prevenir, lo que solo supone un grave riesgo para los crédulos. Estas estafas generalmente emplean tácticas de ingeniería social para robar credenciales de usuarios desprevenidos, a menudo a través del correo electrónico. En otros casos, se utiliza un mensaje convincente para convencer a la víctima de que siga un enlace que instale el malware o exponga datos sensibles.

Pero cada vez más, se están utilizando para preparar el escenario para los ataques tanto en las instalaciones como en los servicios en la nube. Las recientes tácticas de phishing son mucho más sofisticadas y han evolucionado para dirigirse a los eslaboles más débiles dentro del perímetro de la red empresarial. Si bien los empleados de la mayoría de las organizaciones están ahora mejor formados sobre los peligros del phishing de correo electrónico y toman más precauciones cuando se encuentran con un enlace de aspecto sospechoso, los hackers han comenzado a alterar su enfoque. Por ejemplo, los ciberdelincuentes se dirigen a las redes domésticas no seguras y a los teletrabajadores principiantes que carecen de la formación básica en materia de ciberseguridad para robar información personal y lanzar ataques contra las redes comerciales a las que están conectados.

Muchos también están utilizando el aprendizaje automático para elaborar, probar y distribuir rápidamente mensajes con un contenido visual cada vez más realista que confunde a los receptores. De hecho, pueden analizar diferentes versiones de los ataques y modificar sus métodos para asegurar la máxima efectividad. Los nuevos ataques de phishing incluyen estafas que afirman ayudar para la obtención de acceso a suministros médicos o equipos de protección personal difíciles de encontrar, u ofrecer apoyo al servicio de asistencia técnica para teletrabajadores.

La mayoría de estos ataques de phishing contienen cargas útiles maliciosas, como programas ransomware, virus y troyanos de acceso remoto (RAT), diseñados para proporcionar a los delincuentes acceso remoto a los dispositivos del usuario, permitiéndoles explotar vulnerabilidades del protocolo de escritorio remoto (RDP).

Nuestro equipo también documentó un aumento significativo en el phishing basado en la web, comenzando con la familia de la ciberamenaza HTML/Phishing en enero y febrero de 2020 y que se mantuvo hasta finales de mayo. Primos similares de HTML – /ScrInject (ataques de inyección de scripts de navegadores) y /REDIR (esquemas de redireccionamiento de navegadores) – también han contribuido al aumento de los intentos de phishing este año. El malware basado en la web tiende a anular o pasar por alto la mayoría de los programas antivirus comunes, dándole una mayor posibilidad de supervivencia y de éxito en la infección.

Los profesionales de la seguridad deben tomar nota: el navegador ha sido un vector de entrada clave para el malware en lo que va de 2020, y es probable que esta tendencia continúe durante el próximo año. Esto se debe a la disminución documentada del tráfico web corporativo, que en general fue inspeccionado y saneado, y al aumento del tráfico web en el hogar debido a la transición a una estrategia de trabajo a distancia. Este cambio refuerza el hecho de que los ciberdelincuentes han cambiado intencionadamente sus metodologías de ataque al dirigirse al tráfico que ahora inunda las redes menos seguras. Por este motivo, las organizaciones no solo deben proporcionar a los trabajadores remotos los conocimientos y la capacitación necesarios para asegurar sus propias redes personales y la red empresarial conectada, sino que también deben proporcionar recursos adicionales, como nuevas soluciones de detección y respuesta de endpoints (EDR) que puedan neutralizar las amenazas avanzadas.

Con la vista en el futuro

La pandemia ha reforzado lo que muchos profesionales de la industria han reconocido y defendido durante bastante tiempo: que la ciberseguridad efectiva requiere una vigilancia constante y la capacidad de adaptarse a las cambiantes estrategias de las amenazas. Si bien la seguridad debería haber sido una prioridad desde el principio, ahora puede ser el momento de considerar la posibilidad de invertir en soluciones más amplias, avanzadas y adaptables, especialmente cuando los ciberdelincuentes modifican sus métodos de ataque para aprovechar los dispositivos personales como trampolín hacia las redes empresariales. Teniendo esto en cuenta, el apuntalamiento de los sistemas y redes remotas debería ser la prioridad en la lista de tareas pendientes. 

Independientemente del estado del mundo que nos rodea, la mejor manera de protegerse contra la actividad maliciosa en constante evolución es adoptar un enfoque global e integrado de la ciberseguridad. Un componente vital de esto es el acceso continuo a la información actualizada sobre amenazas y a la capacitación en materia de ciberseguridad. 

La entrada De los botnets al phishing: la evolución del panorama de amenazas en la era covid19 aparece primero en Globb Security.