Seguridad
Defensa contra el malware
Tener una sólida estrategia de defensa contra el malware es fundamental para cualquier empresa que quiera evitar el tiempo de inactividad.
admin
febrero 7, 2023
Antes de 2021, las ciberamenazas, suponían que los ataques a la cadena de suministro eran exclusivamente una herramienta solo para actores de amenazas sofisticados patrocinados por el estado. Se pensaba que los recursos y conocimientos necesarios para comprometer a un proveedor de software e integrar código malicioso estaban fuera del alcance de los actores de amenazas criminales, sin embargo, en julio de 2021 esta suposición fue aplastada.
El ransomware REvil se distribuyó a través de la explotación de una vulnerabilidad previamente no identificada en el código del servidor de Kaseya VSA, una herramienta de monitoreo y administración del sistema. Los actores de amenazas abusaron de la vulnerabilidad para distribuir su código malicioso como una actualización de confianza distribuida desde el servidor comprometido a los sistemas cliente administrados por la herramienta. Con el agente falso malicioso instalado, el software escribe una versión legítima, pero explotable, antigua de una aplicación de Windows Defender en el disco, y finalmente la usa para ejecutar el ransomware. Por lo tanto, el disco se cifra desde una aplicación de confianza y firmada, que se ejecuta desde un directorio de confianza.
El impacto del ataque fue más amplio de lo que podría imaginarse en un principio. Kaseya VSA se utiliza a menudo para administrar un gran número de sistemas en una amplia variedad de organizaciones. Golpear los servidores dentro de los proveedores de servicios administrados significó que un servidor violado afectó a muchas organizaciones. Detener muchas empresas significa más pagos de rescate potenciales para que los malos los cobren y, por lo tanto, será una táctica tentadora para muchos otros atacantes en el futuro.
En muchos sentidos, los actores de APT bien recursos actúan como líderes de pensamiento para el resto del panorama de amenazas, mostrando lo que un actor de amenazas ambicioso y efectivo puede lograr. Es posible que los actores criminales que llevaron a cabo el ataque de Kaseya hayan tenido algún tipo de apoyo o protección estatal, o que hayan logrado el ataque completamente a través de sus propios esfuerzos. En cualquier caso, es probable que veamos más casos de cadenas de suministro que se utilizan para distribuir malware en el futuro.
Los actores de amenazas criminales están motivados por las ganancias. Uno de los modelos de negocio más exitosos que han creado es el del ransomware, donde un sistema puede detenerse cifrando datos y requiriendo el pago para que el sistema vuelva a su estado normal. Aunque lucrativo, este modelo es muy abrupto. Las víctimas pueden notar que el sistema se compromete muy rápidamente y deben resolver la situación para continuar con su función normal. Sin embargo, hay debilidades en este modelo para el atacante. El flujo de ingresos se basa en la búsqueda continua de nuevas víctimas, lo que requiere tiempo y recursos. Si el compromiso es solo un inconveniente menor para la víctima, y en ausencia de una copia de seguridad que funcione, la víctima puede optar por volver a imaginar el sistema.
La persistencia en un sistema comprometido puede ofrecer más oportunidades para extraer valor que el enfoque de una sola toma del ransomware. Apropiarse de recursos de sistemas comprometidos fue una táctica implementada por muchas de las primeras botnets. En estos ataques, el controlador de botnet robó recursos, incluido el ancho de banda de la red, mediante el envío de spam o el lanzamiento de ataques de denegación de servicio desde los sistemas de sus víctimas infectadas.
En los últimos años, los atacantes han desarrollado criptomineros para robar recursos informáticos de sistemas comprometidos. La minería de criptomonedas requiere grandes cantidades de potencia informática para resolver los desafíos criptográficos necesarios para adquirir nuevos tokens de criptomonedas. Desarrollar y operar las instalaciones informáticas legítimas para lograr los cálculos necesarios es costoso. Sin embargo, robar estos recursos es fácil por lo tanto, vemos el desarrollo de malware de criptominería que se encuentra como un proceso de fondo en sistemas comprometidos, robando recursos para ganar dinero a los malos.
En los últimos años, los atacantes han desarrollado criptomineros para robar recursos informáticos de sistemas comprometidos. La minería de criptomonedas requiere grandes cantidades de potencia informática para resolver los desafíos criptográficos necesarios para adquirir nuevos tokens de criptomonedas. Desarrollar y operar las instalaciones informáticas legítimas para lograr los cálculos necesarios es costoso. Sin embargo, robar estos recursos es fácil por lo tanto, vemos el desarrollo de malware de criptominería que se encuentra como un proceso de fondo en sistemas comprometidos, robando recursos para ganar dinero a los malos.
Aunque el beneficio de un solo sistema es pequeño, los atacantes pueden persistir en sistemas comprometidos durante largos períodos de tiempo y controlar un gran número de sistemas afectados.
El creciente despliegue de sistemas y dispositivos inteligentes en nuestros hogares y lugares de trabajo significa efectivamente que estamos instalando muchos dispositivos informáticos pequeños conectados a la red sin considerar necesariamente cómo defenderemos y monitorearemos estos dispositivos. Una cosa es cierta: los malos buscarán comprometer y extraer valor de estos sistemas, casi con seguridad robando su potencia informática y conectividad de red.
En los últimos años, los atacantes han desarrollado criptomineros para robar recursos informáticos de sistemas comprometidos. La minería de criptomonedas requiere grandes cantidades de potencia informática para resolver los desafíos criptográficos necesarios para adquirir nuevos tokens de criptomonedas. Desarrollar y operar las instalaciones informáticas legítimas para lograr los cálculos necesarios es costoso. Sin embargo, robar estos recursos es fácil por lo tanto, vemos el desarrollo de malware de criptominería que se encuentra como un proceso de fondo en sistemas comprometidos, robando recursos para ganar dinero a los malos.
Aunque el beneficio de un solo sistema es pequeño, los atacantes pueden persistir en sistemas comprometidos durante largos períodos de tiempo y controlar un gran número de sistemas afectados.
El creciente despliegue de sistemas y dispositivos inteligentes en nuestros hogares y lugares de trabajo significa efectivamente que estamos instalando muchos dispositivos informáticos pequeños conectados a la red sin considerar necesariamente cómo defenderemos y monitorearemos estos dispositivos. Una cosa es cierta: los malos buscarán comprometer y extraer valor de estos sistemas, casi con seguridad robando su potencia informática y conectividad de red.
El uso de la autenticación multifactor ofrece una capa adicional de seguridad. Estos enfoques, incluido Cisco Duo, requieren que los usuarios se autentiquen con un método de inicio de sesión adicional, como responder a una alerta en su dispositivo móvil. Los teléfonos personales son excelentes para autenticar a los usuarios, ya que los usuarios se dan cuenta rápidamente cuando sus teléfonos no están cerca, y estos dispositivos con frecuencia están protegidos por datos biométricos, como una huella digital.
Sin embargo, el reconocimiento biométrico se basa en una “cadena de custodia” segura. El dispositivo que lee la huella digital debe ser seguro, el software que interactúa con el dispositivo de huellas dactilares debe ser seguro, al igual que la conexión que transmite el resultado al sistema de autenticación. Nada de esto puede darse por sentado.
Hemos demostrado que es posible imprimir en 3D una huella digital que engañará a los sistemas de lectura de huellas dactilares con equipos de impresión 3D de grado de consumidor y nada más que un escaneo de la huella digital del usuario. Esto significa que cualquier actor de amenazas con recursos adecuados podría desarrollar técnicas de clonación de huellas dactilares para engañar al reconocimiento biométrico. Si bien la biometría ofrece una vía adicional de autenticación, todos debemos ser conscientes del hecho de que el mundo de la biometría también abre la posibilidad de nuevos tipos de ataques.
A medida que evoluciona nuestro uso de la tecnología y las capacidades de los actores de amenazas, también lo hace el panorama de amenazas que enfrentamos. En Talos, monitoreamos continuamente el panorama de amenazas, nuestra inteligencia de amenazas ayuda a impulsar la cartera de seguridad de Cisco. Nuestros analistas de respuesta a incidentes están disponibles tanto para resolver incidentes de ciberseguridad cuando ocurren, para compartir nuestra experiencia para garantizar que las organizaciones se enfrenten a la menor cantidad de incidentes posible y para prepararse con anticipación para que los incidentes se resuelvan de manera rápida y fácil.La tecnología y las tácticas de los malos seguirán cambiando, por lo que debemos asegurarnos de que nuestras posturas seguras sean adecuadas para las amenazas a las que nos enfrentamos.
Tener una sólida estrategia de defensa contra el malware es fundamental para cualquier empresa que quiera evitar el tiempo de inactividad.
El malware es un tipo de software diseñado para dañar gravemente o deshabilitar los sistemas informáticos, puede provocar el robo de datos.