Llegamos a ustedes gracias a:



Noticias

Reporte de seguridad de Cisco revela las nuevas técnicas del malware

[22/08/2016] El Reporte de Ciberseguridad de Cisco de Medio Año 2016 (MCR, por sus iniciales en inglés) encuentra que las organizaciones no están preparadas para enfrentar las nuevas formas más sofisticadas de ransomware. Factores como la fragilidad de la infraestructura, la falta de mantenimiento de las redes y la lentitud en los tiempos de detección, están dando una ventana de tiempo y espacio a los adversarios para que operen.

De acuerdo con el reporte, la lucha para mantener los espacios operativos libres de ataques, es el desafío más grande que están enfrentando los negocios, amenazando a su vez los fundamentos requeridos para una transformación digital. Otros descubrimientos clave del reporte indican que los adversarios están expandiendo su enfoque hacia ataques paralelos a los servidores (server-side attacks), involucrando nuevos métodos en sus ataques e incrementando el uso del cifrado para ocultar su actividad.

Hasta ahora en el 2016, el ransomware se ha convertido en el malware más rentable de la historia. Cisco prevé que esta tendencia continúe con ransomware aún más destructivos que podrán expandirse y mantenerse en redes completas, y por lo tanto convertir a compañías enteras en rehenes. La nueva cepa de ransomware tendrá la capacidad de cambiar rápidamente de tácticas para maximizar su eficiencia. Los futuros ataques de ransomware, por ejemplo, evitarán la detección al limitar el uso del CPU y limitar los comandos de acción y control. Estos nuevos tipos de ransomware se esparcirán más rápidamente y tendrán la capacidad de replicarse a sí mismos dentro de las organizaciones antes de iniciar o coordinar actividades de rescate.

Atacantes operando sin restricciones

Para los atacantes, más tiempo para operar sin ser detectados se convierte en mayores ganancias. En la primera mitad del 2016, Cisco reporta que las ganancias de los atacantes han tenido un crecimiento exponencial, debido a diversos factores.

Las vulnerabilidades de Adobe Flash continúan siendo uno de los principales objetivos del malvertising y los exploit kits. En el popular kit de explotación, los de Flash representaron el 80% de los intentos exitosos de exploits.

Cisco también identificó una nueva tendencia en ataques de ransomware que aprovecha las vulnerabilidades de los servidores -específicamente dentro de los servidores JBoss- de los cuales el 10% de los conectados a Internet en el mundo, se encontraban comprometidos. Muchas de las vulnerabilidades que se usaron para comprometer los sistemas JBoss se identificaron hace cinco años, lo que indica que los ajustes básicos y las actualizaciones de los proveedores pudieron haber prevenido fácilmente los ataques.

Los exploits de Windows Binary crecieron hasta convertirse en el principal método de ataque web de los últimos seis meses. Este método proporciona un fuerte punto de apoyo en las infraestructuras de red y hace que los ataques sean más difíciles de identificar y eliminar.

Durante este mismo lapso, la ingeniería social a través de estafas de Facebook descendió al segundo lugar de la primera posición que ocupó en 2015.

Cisco identificó el uso de cryptocurrency, Transport Layer Security y Tor, que posibilitan comunicaciones anónimas a través de la web.

De manera significativa, el malware HTTPS-encrypted usado en campañas de malvertising se incrementó en 300% de diciembre del 2015 a marzo del 2016. El malware encriptado da a los adversarios la posibilidad adicional de ocultar sus actividades en la web y así expandir su tiempo de operación.

Los defensores luchan para reducir las vulnerabilidades, cerrar las brechas

En un marco de ataques sofisticados, recursos limitados y una infraestructura que está envejeciendo, los defensores están luchando para mantener el paso con sus competidores. Por ejemplo:

  • En el campo de los motores de búsqueda, Google Chrome, emplea actualizaciones constantes y tiene alrededor de 75% a 80% de sus usuarios usando la última versión del buscador o una versión anterior.
  • En la versión 15 de Microsoft Office 2013, 10% o menos de la población con una versión más avanzada está usando la versión más nueva del Service Pack.

Adicionalmente, Cisco encontró que mucha de su infraestructura no tenía soporte o continuaba operando con vulnerabilidades que conocían. Este es un problema sistemático con los proveedores y los endpoints. Específicamente, investigadores de Cisco examinaron 103.121 de sus dispositivos conectados a Internet y descubrieron que:

  • Cada dispositivo estaba operando con al menos 28 vulnerabilidades conocidas.
  • Los dispositivos estaban operando activamente con vulnerabilidades conocidas durante un promedio de 5,64 años.
  • Más del 9% tiene conocimiento de vulnerabilidades que llevan más de 10 años operando.

Cisco aconseja seguir pasos simples para proteger los ambientes de negocio:

  • Mejorar el mantenimiento de la infraestructura de la red, mediante: el monitoreo de la red, desplegar los parches y actualizaciones a tiempo, segmentar la red, implementar defensas en los límites de la red que incluyan al correo electrónico y a la seguridad web, firewalls de siguiente generación e IPS de siguiente generación.
  • Integrar las defensas por medio de un acercamiento de seguridad desde la infraestructura versus el despliegue de los productos de nicho.
  • Medir el tiempo de detección, insistir en los tiempos más rápidos disponibles para exponer las amenazas y abordarlas inmediatamente. Hacer que las métricas sean parte de la política organizacional de seguridad para promover el desarrollo.
  • Proteger a los usuarios donde quiera que estén y donde sea que trabajen, no solamente en los sistemas con los que interactúan o en los tiempos en los que están utilizando la red corporativa.
  • Hacer respaldo de los datos críticos y de manera rutinaria evaluar la efectividad y al mismo tiempo confirmar que los respaldos no estén susceptibles a ser comprometidos.