El alza de las técnicas de ingeniería social y las funcionalidades maliciosas genera un gran aumento de descargas de malware
Los investigadores de Netskope descubren que los atacantes evaden con éxito la detección, camuflándose con el tráfico de red normal a través de HTTP y HTTPS
Netskope, una empresa líder en soluciones de Secure Access Service Edge (SASE), ha presentado una investigación que destaca la creciente tendencia de los atacantes de usar el protocolo HTTP y HTTPS para distribuir malware y evadir la detección. Según el informe, esto se debe en gran medida al aumento del trabajo remoto y la creciente adopción de la nube, lo que ha dado lugar a una mayor cantidad de tráfico en línea que los atacantes pueden aprovechar para ocultar sus actividades maliciosas.
La investigación también destaca que los atacantes están usando cada vez más técnicas de “living off the land” (viviendo de los recursos disponibles) para evadir la detección, lo que significa que utilizan herramientas y procesos legítimos de la red para llevar a cabo sus ataques, lo que hace que sea más difícil detectarlos. Esto puede incluir el uso de herramientas de administración remota como PowerShell y WMI para ejecutar código malicioso.
Es importante tener en cuenta que la seguridad en línea es un desafío constante y en constante evolución, y los atacantes están constantemente buscando nuevas formas de evadir las defensas de seguridad. Por lo tanto, es fundamental que las empresas implementen soluciones de seguridad integrales y actualizadas que puedan detectar y mitigar estos ataques en tiempo real.
Así, en su último Informe sobre Nube y Amenazas: Global Cloud and Web Malware Trends, Netskope identificó que, en promedio, cinco de cada 1.000 usuarios empresariales intentaron descargar malware en el primer trimestre de 2023, y las nuevas familias y variantes de malware representaron el 72% de dichas descargas.
Aumentan la ingeniería social y los vacíos de datos en motores de búsqueda
Netskope encontró en su investigación que cerca del 10% de todas las descargas de malware en el primer trimestre de 2023 se originaron desde motores de búsqueda.
Según el informe, estas descargas se produjeron principalmente debido a vacíos de datos en los buscadores o combinaciones de términos de búsqueda que tenían muy pocos resultados, lo que significa que cualquier contenido que coincida con esos términos tiene una mayor probabilidad de aparecer en los primeros resultados de búsqueda.
Este es solo uno de los muchos ejemplos de cómo los atacantes están utilizando técnicas de ingeniería social para engañar a los usuarios y hacer que descarguen malware.
Otros ejemplos de técnicas de ingeniería social incluyen correos electrónicos de phishing, sitios web falsos y anuncios maliciosos. Los atacantes están cada vez más sofisticados en sus tácticas, lo que hace que sea más difícil detectar y evitar estas amenazas.
Es importante destacar que la seguridad en línea es un desafío constante y en constante evolución, y los atacantes están siempre buscando nuevas formas de engañar a los usuarios y distribuir malware.
La seguridad en línea es un problema cada vez más importante, y es necesario que tanto las empresas como los usuarios finales tomen medidas para protegerse contra las amenazas. Algunas de las mejores prácticas de seguridad en línea que pueden ayudar a mitigar los riesgos incluyen:
- Implementar soluciones de seguridad basadas en la nube que sean capaces de detectar y proteger contra amenazas en tiempo real.
- Utilizar contraseñas seguras y únicas para cada cuenta, y actualizarlas regularmente.
- Capacitar a los usuarios sobre las mejores prácticas de seguridad en línea, como la identificación de correos electrónicos de phishing y la verificación de la autenticidad de los sitios web antes de ingresar información confidencial.
- Mantener los sistemas y aplicaciones actualizados con las últimas actualizaciones de seguridad y parches de software.
- Implementar políticas de acceso y permisos que limiten el acceso a la información y los sistemas solo a aquellos que necesitan acceder a ellos para realizar su trabajo.
- Realizar copias de seguridad regulares de la información crítica y mantenerlas fuera de línea y fuera del alcance de los atacantes.
La seguridad en línea es una responsabilidad compartida entre las empresas, los usuarios y los proveedores de tecnología. Al trabajar juntos y tomar medidas proactivas para protegerse contra las amenazas, podemos reducir significativamente el riesgo de ataques y proteger mejor nuestra información y nuestros sistemas.
La ingeniería social
sigue siendo uno de los métodos más efectivos para que los atacantes logren infiltrar malware y obtener acceso no autorizado a sistemas y datos empresariales. Como mencionaste, los atacantes están utilizando cada vez más correos electrónicos de phishing, aplicaciones de colaboración y de chat para engañar a sus víctimas.
Los troyanos son un tipo de malware que se utiliza para tomar el control de un sistema sin que el usuario se dé cuenta. Estos programas maliciosos se camuflan como software legítimo, y una vez que se ejecutan en un sistema, pueden permitir a los atacantes robar información, instalar software adicional o incluso tomar el control completo del sistema.
Las descargas de phishing, por su parte, se refieren a descargas de archivos maliciosos que se disfrazan como archivos legítimos o se descargan desde sitios web fraudulentos diseñados para robar información de los usuarios, como contraseñas o información bancaria.
Para protegerse contra estos tipos de amenazas, es importante que las empresas implementen medidas de seguridad integrales, como el filtrado de correo electrónico y la capacitación regular de los usuarios en la identificación de correos electrónicos de phishing. También es importante que los usuarios utilicen contraseñas seguras y actualizadas regularmente, y que se mantengan al día con las últimas técnicas y tendencias de ingeniería social para poder identificar y evitar posibles amenazas.
Evaluación de los principales canales de comunicación de los atacantes
El informe de Netskope destaca que los ciberdelincuentes están aprovechando la popularidad del tráfico HTTP y HTTPS para disfrazar sus actividades maliciosas y evitar la detección por parte de los sistemas de seguridad.
Al utilizar estos puertos comunes y ampliamente utilizados, los atacantes pueden pasar desapercibidos y mezclarse con el tráfico legítimo en la red. Además, el uso de HTTPS les permite cifrar su comunicación para evitar la inspección y análisis del tráfico por parte de los sistemas de seguridad.
Es importante destacar que el uso de HTTP y HTTPS no es intrínsecamente malicioso, ya que estos protocolos son fundamentales para el funcionamiento de la web y se utilizan para una variedad de propósitos legítimos. Sin embargo, el informe de Netskope resalta cómo los delincuentes están abusando de estos protocolos para ocultar sus actividades maliciosas.
Para combatir estas amenazas, es esencial que las organizaciones implementen soluciones de seguridad que sean capaces de inspeccionar y analizar todo el tráfico de red, incluso el que se realiza a través de los puertos 80 y 443. Esto incluye el uso de tecnologías de seguridad avanzadas que puedan detectar y bloquear el tráfico malicioso, así como políticas de seguridad sólidas y prácticas de concienciación y educación para el personal de la empresa.
Los atacantes utilizan técnicas avanzadas para evadir los controles de seguridad, incluyendo el uso de direcciones IP en lugar de nombres de dominio para establecer la comunicación con hosts remotos.
Esta técnica, conocida como “DNS bypass”, les permite eludir los controles de seguridad basados en DNS que se utilizan para bloquear el acceso a sitios web maliciosos o para evitar que el malware se comunique con hosts remotos conocidos por ser maliciosos.
Al comunicarse directamente con hosts remotos utilizando direcciones IP, los atacantes pueden evitar ser detectados y bloqueados por las soluciones de seguridad que se basan en la resolución de nombres de dominio. Además, también pueden utilizar técnicas de ofuscación y cifrado para ocultar la naturaleza maliciosa de su comunicación.
Para protegerse contra estas técnicas de evasión, es esencial que las organizaciones implementen soluciones de seguridad que puedan analizar todo el tráfico de red, incluyendo el que se realiza directamente a través de direcciones IP. Esto incluye el uso de tecnologías de seguridad avanzadas que puedan detectar y bloquear el tráfico malicioso, así como la implementación de políticas de seguridad sólidas y la formación continua del personal de la empresa.
En el primer trimestre de 2023, la mayoría de las muestras de malware que iniciaron comunicaciones externas lo hicieron utilizando una combinación de direcciones IP y nombres de host, con un 61% comunicándose directamente como mínimo, con una dirección IP y un 91% con al menos un host a través de una búsqueda DNS.
“La tarea prioritaria para los atacantes es encontrar nuevas formas de cubrir sus huellas a medida que las empresas dedican más recursos a la detección de amenazas, pero estos resultados reflejan lo sencillo que sigue siendo para ellos hacerlo a plena vista”, afirma Ray Canzanese, Director de Investigación de Amenazas, Netskope Threat Labs.
“A medida que los atacantes gravitan hacia los servicios en la nube utilizados mayoritariamente en la empresa y aprovechan los canales populares para comunicarse, la mitigación del riesgo interfuncional es más necesaria que nunca”.
Análisis en profundidad sobre las tendencias globales de malware web y en la nube
Otros hallazgos notables descubiertos por el equipo de investigación de Netskope incluyen:
Este aumento puede deberse a que muchas organizaciones han adoptado servicios de almacenamiento en la nube para facilitar el acceso y la colaboración en línea, lo que ha llevado a una mayor exposición a amenazas de malware en la nube.
Además, los ciberdelincuentes también están aprovechando las debilidades de las aplicaciones en la nube, como la falta de controles de seguridad adecuados, para distribuir y ejecutar su malware.
Para protegerse contra este tipo de amenazas, es importante que las organizaciones implementen soluciones de seguridad específicas para la nube, que puedan detectar y bloquear el malware que se distribuye a través de aplicaciones en la nube.
Esto incluye el uso de soluciones de seguridad de próxima generación que sean capaces de inspeccionar y analizar todo el tráfico de la nube, así como la implementación de políticas de seguridad sólidas y prácticas de educación y concienciación para el personal de la empresa.
Además, es importante que las empresas revisen y actualicen regularmente sus políticas y controles de seguridad en la nube para garantizar que estén adaptados a las amenazas emergentes y a las últimas tendencias en ciberseguridad.
El número de aplicaciones con descargas de malware también siguió aumentando, alcanzando un máximo de 261 apps distintas en el primer trimestre de 2023.
Solo una pequeña parte del total de descargas de malware web se realizaron a través de categorías web
se realizan a través de categorías web tradicionalmente consideradas de riesgo, como los sitios de descarga de software pirata, de apuestas en línea, o de contenido para adultos.
En cambio, las descargas de malware web se reparten entre una amplia variedad de sitios web, incluyendo muchos que son legítimos y no se consideran tradicionalmente de riesgo.
En este sentido, los servidores de contenidos (CDN) han surgido como un nuevo vector de ataque para los ciberdelincuentes, responsables de la mayor parte de las descargas de malware web, con un 7,7% del total.
Los CDN se utilizan para acelerar la entrega de contenido web, pero también pueden ser utilizados para distribuir malware de forma más efectiva y rápida, ya que el contenido malicioso se distribuye a través de múltiples servidores, lo que dificulta su detección y bloqueo.
Para protegerse contra este tipo de amenazas, es importante que las organizaciones implementen soluciones de seguridad que sean capaces de inspeccionar todo el tráfico web, incluyendo el que se distribuye a través de CDN.
Esto incluye el uso de soluciones de seguridad de próxima generación que sean capaces de detectar y bloquear el malware, así como la implementación de políticas de seguridad sólidas y la formación continua del personal de la empresa en cuanto a ciberseguridad.
A medida que las empresas se esfuerzan por defenderse de la avalancha de programas maliciosos, se requiere la colaboración interfuncional de varios departamentos, incluidos los de red, operaciones de seguridad, respuesta a incidentes, dirección e incluso colaboradores individuales.
Algunas de las medidas adicionales que las organizaciones pueden tomar para reducir los riesgos incluyen:
- La inspección de todo el tráfico web y en la nube, incluyendo todas las descargas HTTP y HTTPS, es un componente fundamental para prevenir que el malware se infiltre en la red de una organización.
La inspección de todo el tráfico web y en la nube implica utilizar soluciones de seguridad de próxima generación que sean capaces de analizar el contenido y el comportamiento del tráfico, en lugar de simplemente basarse en la detección de firmas.
Esto permite que las soluciones de seguridad identifiquen y bloqueen el malware, incluso si se distribuye a través de canales encriptados o a través de plataformas en la nube.
Además, la inspección de todo el tráfico web y en la nube también permite a las organizaciones detectar y bloquear otros tipos de amenazas, como el phishing, el ransomware y las vulnerabilidades de seguridad.
Es importante destacar que, además de la implementación de soluciones de seguridad de próxima generación, también es necesario implementar políticas de seguridad sólidas y prácticas de educación y concienciación para el personal de la empresa, para garantizar que la seguridad sea una prioridad en todas las operaciones de la organización.
- Es fundamental que los controles de seguridad inspeccionen recursivamente el contenido de los archivos comprimidos más populares, así como que examinen a fondo los tipos de archivos de alto riesgo para protegerse de las amenazas cibernéticas.
Los archivos comprimidos, como ZIP, RAR o 7z, se utilizan comúnmente para compartir y transferir archivos grandes, lo que puede hacer que sea más difícil para las soluciones de seguridad inspeccionar el contenido.
Por lo tanto, es importante que los controles de seguridad sean capaces de analizar recursivamente el contenido de estos archivos comprimidos para detectar cualquier amenaza oculta en ellos.
Además, los tipos de archivos de alto riesgo, como los archivos ejecutables y los scripts, son comúnmente utilizados por los ciberdelincuentes para distribuir malware y ejecutar ataques.
Por lo tanto, es crucial que los controles de seguridad examinen a fondo estos tipos de archivos para detectar cualquier amenaza potencial.
Para lograr esto, las organizaciones pueden implementar soluciones de seguridad de próxima generación que utilicen tecnologías de análisis avanzadas, como el análisis de comportamiento y el análisis de sandbox, para detectar el malware y las amenazas ocultas en los archivos comprimidos y en los tipos de archivos de alto riesgo.
También es importante que los controles de seguridad se actualicen regularmente para estar al día con las últimas amenazas y vulnerabilidades de seguridad, y que se realicen pruebas regulares para asegurarse de que los controles estén funcionando de manera efectiva.
- Configurar políticas para bloquear descargas de aplicaciones que no se utilizan en su organización puede ayudar a reducir la superficie de riesgo y proteger a la organización de posibles amenazas.
Es común que los usuarios de una organización descarguen aplicaciones para utilizarlas en su trabajo diario. Sin embargo, también pueden descargar aplicaciones que no son necesarias o que son de alto riesgo, lo que puede aumentar el riesgo de una infracción de seguridad.
Por lo tanto, las organizaciones pueden configurar políticas para bloquear descargas de aplicaciones que no se utilizan en su organización, lo que ayudará a reducir la superficie de riesgo.
Estas políticas pueden implementarse utilizando herramientas de gestión de dispositivos móviles (MDM) y herramientas de gestión de aplicaciones móviles (MAM), que permiten a las organizaciones gestionar y controlar las aplicaciones que se utilizan en sus dispositivos móviles.
Las organizaciones también pueden implementar soluciones de seguridad de próxima generación que incluyan funcionalidades de gestión de aplicaciones y controles de acceso, lo que permitirá a los administradores bloquear el acceso a aplicaciones específicas o a tipos de aplicaciones en función del perfil del usuario y del nivel de riesgo.
En última instancia, es importante que las organizaciones eduquen y conciencien a los usuarios sobre las mejores prácticas de seguridad y los riesgos asociados con la descarga de aplicaciones no autorizadas o de alto riesgo.
Si desea obtener el informe completo Netskope Cloud & Threat Report: Global Cloud and Web Malware Trends, puede descargarlo desde aquí.
Si le resulta de interés ampliar información sobre las amenazas en la nube y los últimos hallazgos de Netskope Threat Labs, por favor, acceda al Centro de Investigación de Amenazas de Netskope.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre ciberseguridad en;
TOP3: Kaspersky lidera en las pruebas, demostrando su excelencia tecnológica
Comunicación para CISOs: enficiencia en el siglo 21
Lockbit 3.0: analizamos el nivel de amenaza para Argentina
Claves de paso en Google para un inicio seguro: ¡Protección 2023! 🔒
Ciberseguridad 2023 en tiempos de recesión: Oportunidades y desafíos
Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social, Ingeniería Social,