La evolución del malware para explotar las criptomonedas

La evolución del malware de criptominería se duplicó al 28% y afectó a más de 1 de cada 4 organizaciones en el primer trimestre de 2018, con mayor frecuencia en América Latina, Medio Oriente y África.

Fortinet, anunció hoy los hallazgos de su último Informe sobre Panorama de Amenazas Global. La investigación revela que la evolución de los ciberdelincuentes que están mejorando sus métodos de ataque para aumentar sus índices de éxito y acelerar las infecciones.

Mientras que el ransomware continúa impactando a las organizaciones de manera destructiva, hay indicios de que algunos ciberdelincuentes ahora prefieren secuestrar sistemas y usarlos para la criptominería en lugar de retenerlos para obtener un rescate. A continuación, siguen los puntos destacados del informe:

Los métodos de ataque del cibercrimen evolucionan a velocidad y escala

 Los datos indican que los ciberdelincuentes se están volviendo más eficientes y sofisticados en el uso de malware y en el aprovechamiento de las vulnerabilidades de día cero recientemente anunciadas para atacar a gran velocidad y escala.

Si bien el número de detecciones de exploits por empresa disminuyó en un 13% en el primer trimestre de 2018, el número de detecciones únicas de exploits creció más del 11%, mientras que el 73% de las empresas experimentó un grave exploit.

  • Aumento en cryptojacking:

el malware está evolucionando y cada vez es más difícil de prevenir y detectar.

La prevalencia del malware de criptominería más que se duplicó de trimestre a trimestre, del 13% al 28%. Además, el cryptojacking fue bastante frecuente en América Latina, Medio Oriente y África.

El malware de criptominería también muestra una diversidad increíble para una amenaza relativamente nueva.

Los cibercriminales están creando malware más sigiloso y sin archivos para inyectar código infectado en buscadores con menos detección.

Los mineros se dirigen a múltiples sistemas operativos, así como a diferentes criptomonedas como Bitcoin y Monero.

También están ajustando y adoptando técnicas de entrega y propagación de otras amenazas basadas en lo que fue exitoso o no, para mejorar las tasas de éxito en el futuro.

  • Ataques dirigidos para un impacto máximo:

el impacto del malware destructivo sigue siendo alto, especialmente porque los delincuentes lo combinan con ataques de diseño.

Para este tipo de ataques más específicos, los delincuentes realizan reconocimientos significativos en una organización antes de lanzar un ataque, lo que les ayuda a aumentar las tasas de éxito.

Después, una vez que se infiltran en la red, los atacantes se mueven lateralmente a través de la red antes de desencadenar la parte más destructiva de su ataque.

El malware de Olympic Destroyer y el más reciente ransomware de SamSam son ejemplos donde los ciberdelincuentes combinaron un ataque de diseño con una carga destructiva para lograr el máximo impacto.

  • Ransomware continúa causando problemas:

el crecimiento tanto en volumen como en sofisticación del ransomware continúa siendo un desafío de seguridad significativo para las organizaciones.

El ransomware continúa evolucionando, aprovechando los nuevos canales de entrega como la ingeniería social y las nuevas técnicas como los ataques en varias etapas para evadir la detección e infectar los sistemas.

GandCrab ransomware surgió en enero con la distinción de ser el primer ransomware que requiere criptomoneda Dash como forma de pago.

BlackRuby y SamSam fueron otras dos variantes de ransomware que surgieron como amenazas principales durante el primer trimestre de 2018.

  • Múltiples vectores de ataque:

aunque los ataques del canal lateral apodados Meltdown y Spectre dominaron los titulares de noticias durante el trimestre, algunos de los principales ataques se enfocaron en dispositivos móviles o exploits conocidos en enrutadores, web o tecnología de Internet. El 21% de las organizaciones notificaron malware móvil, un aumento del 7% respecto al trimestre anterior, lo que demuestra que los dispositivos IoT siguen siendo el objetivo. Los ciberdelincuentes también siguen reconociendo el valor de explotar las vulnerabilidades conocidas que no se han corregido, así como las de días cero descubiertas recientemente, para aumentar sus oportunidades. Microsoft siguió siendo el objetivo número uno para los exploits y los enrutadores ocuparon el lugar número dos en el volumen total de ataques. Los sistemas de Gestión de Contenidos (CMS, por sus siglas en inglés) y las tecnologías orientadas a la web también fueron fuertemente atacadas.

  • Ciber higiene – más que solo parches:

medir cuánto tiempo persisten las infecciones de botnets en función de la cantidad de días consecutivos en que se detectan las comunicaciones continuas revela que la higiene implica algo más que el parche.

También se trata de la limpieza. Los datos mostraron que el 58,5% de las infecciones por botnets se detectan y limpian en el mismo día.

El 17,6% persisten por dos días y el 7,3% lo hacen por tres días. Alrededor del 5% duró más de una semana. A modo de ejemplo, la red de bots de Andromeda se eliminó en el cuarto trimestre de 2017, pero los datos del primer trimestre lo posicionan como una amenaza destacada tanto en volumen como en prevalencia.

  • Ataques contra Tecnología Operacional (OT):

si bien los ataques OT son un porcentaje menor del panorama general de ataque, las tendencias son preocupantes. Este sector está cada vez más conectado a Internet, con serias ramificaciones potenciales para la seguridad. En la actualidad, la gran mayoría de las actividades de explotación se dirigen contra los dos protocolos de comunicación industrial más comunes porque están ampliamente implementados y, por lo tanto, son muy específicos. Los datos muestran que en Asia los intentos de explotación de ICS parecen ser algo más frecuentes cuando se compara la prevalencia de la actividad de explotación de ICS con otras regiones.

La lucha contra la evolución del cibercrimen requiere seguridad integrada

Los datos de amenazas en el informe de este trimestre refuerzan muchas de las tendencias de predicción reveladas por el equipo de investigación global Fortinet FortiGuard Labs para 2018, demostrando que la mejor defensa contra amenazas inteligentes y automatizadas es un entramado de seguridad integrado, amplio y automatizado. Se necesita un sistema de defensa de seguridad altamente consciente y proactivo para mantenerse al día con la próxima generación de ataques con capacidad de automatización y basados en inteligencia artificial.

Metodología del reporte

El Informe sobre el Panorama de Amenazas Global es una vista trimestral que representa la inteligencia colectiva de FortiGuard Labs extraída de la amplia gama de sensores de Fortinet durante el primer trimestre de 2018. Los datos de investigación abarcan las perspectivas globales, regionales, del sector industrial y de la organización. Se centra en tres aspectos principales y complementarios de ese panorama: exploits de aplicaciones, software malicioso y botnets. También examina importantes vulnerabilidades de día cero. Para complementar el informe, Fortinet publica un Resumen de Inteligencia de Amenazas basado en suscripción que revisa las principales amenazas de malware, virus y web descubiertas cada semana, junto con enlaces a valiosas investigaciones de amenazas de FortiGuard Labs.

Phil Quade, CISO en Fortinet aseguró “Nos enfrentamos a una preocupante convergencia de tendencias en el panorama de la ciberseguridad. Los actores cibernéticos malintencionados están demostrando su eficacia y agilidad explotando la superficie de ataque digital en expansión, aprovechando las amenazas recién anunciadas de día cero y maximizando el acceso al malware. Además, los equipos de TI y OT a menudo no cuentan con los recursos necesarios para mantener los sistemas debidamente reforzados o protegidos. Afortunadamente, la implementación de un entramado de seguridad que prioriza la velocidad, la integración, el análisis avanzado y la toma de decisiones basada en el riesgo puede permitir una protección integral a la velocidad y escala de máquina”.