
Actores maliciosos en línea utilizaron el correo electrónico como su herramienta principal para entregar malware a las víctimas en el último trimestre de 2020, informaron HP y Bromium el martes.
HP-Bromo Informe de información sobre amenazas Se descubrió que el 88% del malware se enviaba por correo electrónico a la bandeja de entrada de su objetivo, evadiendo repetidamente los esfuerzos de las puertas de enlace de correo electrónico para filtrar las cartas infectadas.
«En última instancia, los atacantes se están aprovechando del hecho de que compartir y abrir documentos por correo electrónico es normal», dijo Alex Holland, analista senior de malware de HP.
«Los departamentos de finanzas y TI tienden a hacer un uso intensivo de las macros para automatizar los procesos comerciales, por lo que prohibirlas por completo no suele ser una opción realista», dijo a TechNewsWorld.
El correo electrónico seguirá siendo la principal herramienta de entrega debido a las debilidades de las personas involucradas, dice Joseph Neumann, Director de Seguridad Ofensiva Joseph Neumann fuego de carbónun proveedor de servicios de consultoría de ciberseguridad con sede en Westminster, Colorado.
«A diferencia de los cortafuegos o los servidores, la conciencia de seguridad de todos es diferente y cambia cada hora debido a la cantidad de café que hayan tomado o no», dijo a TechNewsWorld.
Dvir Sayag, Jefe de Investigación de Amenazas Cibernéticas cazadoruna firma abierta de seguimiento de amenazas XDR con oficinas en Tel Aviv y Lexington, Massachusetts, agregó que los piratas informáticos entienden que los ataques de phishing por correo electrónico, especialmente utilizando ingeniería social, son una de las formas más rentables de comprometerse.
«Las macros de Word son fáciles de comprar o codificar desde cero para que las víctimas hagan clic en una a través de un simple ataque de correo electrónico de ingeniería social y, en la mayoría de los casos, sin esfuerzo», dijo a TechNewsWorld.
detección de esquivar
El informe de HP-Bromium señaló que el uso de malware que explota una vulnerabilidad que ejecuta un script malicioso al abrir un documento de Microsoft Word aumentó un 12 por ciento con respecto al trimestre anterior.
Los investigadores de HP también encontraron un aumento del 12 por ciento en el uso de ejecutables maliciosos, con casi tres cuartas partes de ellos explotando una vulnerabilidad de corrupción de memoria en el Editor de ecuaciones de Microsoft Office.
«La principal ventaja de los ejecutables es que no necesita malware intermediario ni cargas útiles alojadas que los registradores de dominios y los servidores web pueden eliminar fácilmente», explica Holland.
El informe de HP también muestra que el tiempo promedio para que las amenazas sean identificadas mediante hash a los motores antivirus es de más de una semana (8,8 días).
«Las amenazas tardan mucho tiempo debido a la capacidad del malware para cambiar las firmas», explicó Neumann.
«El hash AV tiene que ser generado por alguien que identifique el malware y luego lo envíe como malware», continuó. «La detección AV basada solo en hash es un animal moribundo y está siendo reemplazada cada vez más por sistemas que detectan y responden a la detección basada en el comportamiento heurístico».
Los atacantes han encontrado repetidamente nuevas formas de eludir las herramientas de detección tradicionales, agregó Holland.
«Por cada nueva variante de malware que crean los piratas informáticos, tienen unos días para explotar su actividad e infectar máquinas antes de que las herramientas de detección se pongan al día», dijo. «Con la automatización, el proceso ahora es más fácil que nunca».
ofuscación
Los investigadores de HP también informaron que el 29 por ciento del malware capturado para el análisis se desconocía anteriormente, en gran parte debido al uso generalizado de empaquetadores y técnicas de ofuscación para evadir la detección.
«Los actores maliciosos usan una variedad de técnicas para encubrir sus ataques. Los detalles dependen de las defensas que encuentren en el entorno de la víctima», explicó Saryu Nayyar, Gurukuluna firma de inteligencia de amenazas en El Segundo, California.
«El desafío con una amenaza ‘anteriormente desconocida’ es que inicialmente no hay indicadores conocidos de compromiso, lo que significa que la detección inicial debe provenir del comportamiento de un atacante u otra actividad que revele su existencia», dijo a TechNewsWorld.
Una forma en que los atacantes ocultan su actividad es usar canales encubiertos, observa Brian Kime, analista senior de la firma. Bosque Investigar.
«Pueden usar los servicios de DNS para codificar comandos maliciosos en solicitudes de DNS aparentemente benignas», dijo a TechNewsWorld. «Todas las empresas tienen que usar DNS. Así es como funciona Internet». DNS (Servicio de nombres de dominio) traduce los nombres web en direcciones IP para que los navegadores puedan llegar a los destinos deseados.
Una técnica de ofuscación citada en el informe de HP es DOSfuscation.Es una colección de técnicas de ofuscación descritas por investigadores de seguridad. Daniel Bohanon 2018.
«Están diseñados para eludir las estrictas reglas de detección al ocultar cadenas sospechosas en el intérprete de la línea de comandos y los registros», explicó Holland.
«Las características distintivas de DOSfuscation incluyen el uso de subcadenas de variables de entorno, inserción de caracteres, inversión y codificación de bucle for», continuó.
«Esta tecnología funciona porque SIEM [Security Information and Event Management] Las reglas a menudo se basan en la coincidencia de palabras clave sospechosas para distinguir la actividad maliciosa y legítima de procesos como PowerShell», dijo.
defectos tradicionales
Neumann insiste en que la mayoría de los piratas informáticos no necesitan encubrir su actividad de amenazas.
«La mayoría de los exploits y técnicas explotan vulnerabilidades comunes o utilizan la ingeniería social para obtener acceso y saquear la red», dijo.
«Debido a que el ciberespacio es tan vasto», continuó, «algunas cosas están abiertas, sin supervisión o sin parches, y solo los actores pueden ingresar».
«La mayoría de las redes carecen de una visibilidad completa del tráfico o las amenazas de la red y no saben cuándo se explotan o explotan activamente», agregó Neumann.
Ian Pratt, jefe global de seguridad de sistemas personales de HP, señaló que el informe trimestral destacó las deficiencias de las defensas tradicionales que se basan en la detección para evitar que el malware llegue a los puntos finales.
«Tratar de detectar todas las amenazas es inútil, y siempre habrá algo que se deslice por la red», dijo en un comunicado.
«Las organizaciones están comenzando a reconocer esto y buscan cada vez más implementar principios de diseño de confianza cero en su arquitectura de seguridad», continuó.
«El aislamiento de aplicaciones a través de la virtualización aplica el acceso con privilegios mínimos a las actividades de riesgo en los puntos finales, lo que hace que el malware sea inofensivo aislándolo en pequeñas máquinas virtuales. El aislamiento reforzado por hardware elimina la exposición del malware al host. La oportunidad para que las PC hagan daño: incluso con malware nuevo, porque no depende de la detección para proteger el modelo de seguridad”.
sobreinvertir en prevención
Mientras existan vulnerabilidades de día cero, las estrategias de prevención tienen una alta tasa de fallas, dijo Tim Wade, director técnico del equipo de CTO. inteligencia artificial weidaun proveedor de soluciones automatizadas de gestión de amenazas con sede en San José, California.
«La inversión excesiva actual en prevención por parte de las organizaciones es casi siempre una mejora marginal y costosa de la capacidad a costa de sofocar los objetivos comerciales y una productividad cada vez más restringida», afirma.
«Más importante que la prevención», continuó, «es la resiliencia, que implica identificar inversiones en seguridad que minimicen el impacto de un ataque».