Por Derek Manky | 31 de octubre de 2018
Es hora de volver a emprender otro viaje trimestral por los paisajes salvajes de la amenaza cibernética. A medida que los profesionales de la seguridad trabajan para ponerse en la piel de los piratas informáticos para anticipar mejor de dónde provendrán los ataques, estos actores maliciosos comienzan a pensar más como desarrolladores para evadir la detección.
Y últimamente, son más precisos en su orientación, confiando menos en intentos generales para encontrar víctimas explotables. ¿Cómo pueden los equipos de seguridad de TI seguir el ritmo de los cibercriminales de desarrollo ágil que emplean y señalar las vulnerabilidades recicladas que se están utilizando? El último Informe sobre el paisaje de amenazas globales de Fortinet arroja luz sobre la actividad criminal actual y sugiere cómo las organizaciones pueden mantenerse un paso adelante.
Agile Attacks
Los autores de malware han confiado durante mucho tiempo en el polimorfismo (la capacidad del malware para cambiar constantemente su propio código a medida que se propaga) para evadir la detección, pero con el tiempo, los sistemas de defensa de la red han hecho mejoras que los hacen más difíciles de eludir. Los autores de malware nunca han echado a perder sus laureles, recientemente han recurrido a un desarrollo ágil para hacer que su malware sea más difícil de detectar y para contrarrestar rápidamente las últimas tácticas de los productos antimalware. Para abordar estos ataques de enjambres polimórficos emergentes se requiere una defensa de colmena, donde todos los componentes de seguridad desplegados puedan verse y comunicarse entre sí, y luego trabajar de manera cooperativa para defender la red.
Los ciberdelincuentes están utilizando no solo el desarrollo ágil sino la automatización para avanzar en sus ataques. El malware está en aumento y está completamente escrito por máquinas basadas en la detección automatizada de vulnerabilidades, análisis de datos complejos y desarrollo automatizado de la mejor explotación posible basada en las características únicas de esa debilidad. Las organizaciones deben contrarrestar con la automatización propia, usar el aprendizaje automático para comprender e incluso predecir los últimos ataques de los actores malos para que puedan mantenerse por delante de estas amenazas avanzadas.
Un buen ejemplo de desarrollo ágil malicioso es la versión 4.0 de GandCrab .
GandCrab
Los actores detrás de GandCrab son el primer grupo en aceptar la criptomoneda Dash. Parece que utilizan el enfoque de desarrollo ágil para vencer a los competidores para comercializar y resolver problemas y errores cuando surgen. Otro aspecto único de GandCrab es su modelo de ransomware-as-a-service, que se basa en un modelo de participación en los beneficios 60/40 entre los desarrolladores y los delincuentes que desean utilizar sus servicios. Y, por último, GandCrab usa .BIT, un dominio de nivel superior no reconocido por la ICANN, que se sirve a través de la infraestructura de criptomoneda Namecoin y utiliza varios servidores de nombres para ayudar a resolver el DNS y redirigir el tráfico. Las versiones de GandCrab 2.x fueron las más frecuentes durante el segundo trimestre, pero al cierre del trimestre, v3 estaba en libertad, y la serie v4 siguió a principios de julio.
Nos dimos cuenta de que cuando hay un <8hex-chars> .lock en la carpeta de APPDATA COMÚN del sistema, los archivos no se bloquearán. Esto ocurre generalmente después de que el malware determina que la distribución del teclado está en el idioma ruso, junto con otras técnicas para determinar las computadoras en los países de habla rusa. Especulamos que agregar este archivo podría ser una solución temporal. Basados en nuestro análisis, los investigadores de la industria crearon una herramienta que evita que los archivos se cifren con el ransomware. Desafortunadamente, GandCrab 4.1.2 fue lanzado uno o dos días después, lo que hace que el archivo de bloqueo sea inútil.
Vulnerabilidades valiosas Los
ciberdelincuentes se están volviendo más inteligentes y más rápidos en la forma en que aprovechan las explotaciones. Además de usar servicios de red oscura como malware-como-un-servicio, están perfeccionando sus técnicas de focalización para enfocarse en exploits (por ejemplo, exploits severos) que generarán la mayor inversión. La realidad es que ninguna organización puede parchear las vulnerabilidades lo suficientemente rápido. Más bien, deben convertirse en estratégicos y centrarse en los que importan utilizando inteligencia de amenazas.
Para seguir el ritmo de los métodos de desarrollo ágil que utilizan los ciberdelincuentes, las organizaciones necesitan capacidades avanzadas de detección y protección contra amenazas que les ayuden a identificar estas vulnerabilidades actualmente dirigidas. De acuerdo con nuestra investigación, se examinaron las vulnerabilidades de la lente de la prevalencia y el volumen de detecciones relacionadas con la explotación, solo el 5.7% de las vulnerabilidades conocidas se explotaron en la naturaleza. Si la gran mayoría de las vulnerabilidades no se explotarán, las organizaciones deberían considerar adoptar un enfoque mucho más proactivo y estratégico para remediar la vulnerabilidad.
Pintar un nuevo entorno de seguridad
Esto requiere inteligencia avanzada sobre amenazas que se comparte a toda velocidad y escala en todos los elementos de seguridad, y un espacio aislado que proporciona inteligencia en capas e integrada. Este enfoque reduce las ventanas de detección necesarias y proporciona la reparación automática requerida para las explotaciones de multivectores actuales. La Cyber Threat Alliance , un grupo de compañías de seguridad que comparte información avanzada sobre amenazas, fue creada por esta razón.
Si bien muchas organizaciones están trabajando arduamente para recopilar la mayor cantidad de datos posible de una variedad de fuentes, incluida la suya, gran parte del trabajo en el procesamiento, la correlación y la conversión en políticas todavía se realiza de forma manual. Esto hace que sea muy difícil responder rápidamente a una amenaza activa. Idealmente, el procesamiento y la correlación de la inteligencia de amenazas que resulta en una política efectiva debe ser automatizado.
La ciberseguridad efectiva también requiere diligencia en los parches. Con los datos sobre qué vulnerabilidades se están explotando actualmente, los equipos de seguridad de TI pueden ser estratégicos con su tiempo y endurecer, ocultar, aislar o proteger sistemas y dispositivos vulnerables. Si son demasiado viejos para parchear, reemplazarlos.
La segmentación de la red, y la microsegmentación, también es una necesidad. Estos pasos garantizan que cualquier daño causado por una infracción permanezca localizado. Además de esta forma pasiva de segmentación, implemente macrosegmentación para una defensa dinámica y adaptable contra el ataque sin fin de nuevos ataques inteligentes.
Los ciberdelincuentes son implacables, utilizan y adaptan la última tecnología para ejercer su oficio. Los equipos de seguridad de TI pueden vencerlos en su propio juego mediante el uso de la información y las recomendaciones descritas anteriormente.
