panorama de amenazas

Descubre las nuevas ciberamenazas en el Threat Landscape Report Q2 – 2018 de Fortinet

Nuestro partner Fortinet, anunció en su último reporte global del panorama de amenazas, que los ciberdelincuentes están usando técnicas más avanzadas para aprovecharse de los agujeros de seguridad o Exploits.

Estos delincuentes están maximizando sus esfuerzos para aumentar los vectores de ataque, utilizando metodologías y técnicas de análisis para desarrollar software malicioso, las cuales facilitan la evolución de los ataques.

Al ser un informe muy extenso, solo destacaremos los puntos claves.

Casi nadie está a salvo de los ciberdelincuentes

Analizando las detecciones críticas y de gravedad, se demuestra una tendencia alarmante, ya que el 96% de las empresas monitoreadas, experimentaron al menos un exploit grave en el 2018. Esto quiere decir que, prácticamente ninguna empresa es inmune a vulnerabilidades graves.

Además, casi una cuarta parte de las empresas detectó malware sofisticado, y solo seis de estas variantes se extendieron a más del 10% de todas las organizaciones.

FortiGuard Labs también encontró 30 nuevas vulnerabilidades de día cero durante este trimestre.

Criptojacking en evolución

Se reporta una evolución continúa en la minería de criptomonedas, donde los ciberdelincuentes agregaron a sus arsenales dispositivos IoT.

Estos dispositivos resultan ser un objetivo especialmente atractivo debido a su rica fuente de capacidad computacional.

Al ser dispositivos que siempre están conectados, los ciberdelincuentes dirigen sus ataques hacia ellos, cargando malware en sus sistemas, que se propaga de manera autónoma.

Además, las interfaces para estos dispositivos se están explotando como navegadores web modificados, lo que amplía las vulnerabilidades y explota vectores en ellos.

En el futuro la segmentación será cada vez más importante para dispositivos conectados a redes empresariales a medida que esta tendencia continúe.

Las Botnets siguen creciendo

En otros artículos hemos mencionado sobre las tendencias en aumento con redes de bots o Botnets, las cuales están en constante crecimiento gracias a la creatividad de los delincuentes cibernéticos.

Los datos sobre tendencias en botnets ofrecen un valioso punto de vista sobre cómo los ciberdelincuentes están maximizando su impacto con múltiples acciones maliciosas.

WICKED, es una nueva variante del botnet Mirai, la cual agregó, al menos tres exploits a su arsenal para apuntar a dispositivos de IoT que no poseían los últimos parches de seguridad.

VPNFilter, es una botnet que dirige ataques avanzados a los entornos de Supervisión, Control y Adquisición de Datos (SCADA), mediante el monitoreo de los protocolos MODBUS SCADA.

Es particularmente peligroso porque no solo realiza la extracción de datos, sino que también puede hacer que los dispositivos sean completamente inoperables, ya sea individualmente o en grupo.

A medida que la creatividad de los delincuentes cibernéticos se expande, es necesario monitorear todos los ataques con inteligencia de amenazas.

La variante de Anubis de la familia Bankbot introdujo varias innovaciones. Es capaz de realizar ransomware, keylogger, funciones de RAT, interceptación de SMS, bloqueo de pantalla y reenvío de llamadas.

Scrum para desarrollo de Malware

Los creadores de malware han dependido durante mucho tiempo del polimorfismo para evitar ser detectados.

Las recientes tendencias de ataque muestran que los hackers están recurriendo a metodologías de desarrollo ágiles para hacer que los malware desarrollados sea aún más difícil de detectar y para enfrentar las últimas actualizaciones de los fabricantes de productos antimalware.

El malware GandCrab tuvo muchas actualizaciones nuevas este año y sus desarrolladores continúan mejorando a un ritmo rápido.

Para mantenerse al día con el desarrollo ágil que utilizan los ciberdelincuentes, las empresas necesitan protección avanzada contra amenazas sofisticadas con capacidades en detección de amenazas, que ayuden a identificar estas vulnerabilidades recicladas.

Exploits en la mira de los atacantes

Los ciberdelincuentes son selectivos para escoger a qué vulnerabilidades se dirigen, ya que siempre buscan los puntos más débiles y menos protegidos para asegurar el éxito en sus ataques.

Examinando los exploits de manera minuciosas se detecta que solo el 5,7% de las vulnerabilidades conocidas se explotaron.

Si la gran mayoría de las vulnerabilidades no se explotan, las organizaciones deberían considerar ser más proactivos y fijar estrategias para la remediación de vulnerabilidades.

Enfoque de seguridad en aplicaciones SaaS

Si comparamos el uso de aplicaciones de software como un servicio (SaaS) entre industrias, tenemos que en entornos gubernamentales es 108% más alto que el promedio, en segundo lugar se tienen los sectores educativos con un 69% más que el promedio.

La causa probable de este mayor uso en los sectores industriales, es la creciente necesidad de una mayor diversidad de aplicaciones que cubran estos requerimientos.

Esto significa que estas industrias requieren un enfoque de seguridad pensado para estas aplicaciones basadas en múltiples nubes, las cuales necesitan una visibilidad y controles de seguridad transparentes.

El Q2 del 2018 en cifras

Vulnerabilidades de seguridad Q2 – 2018

  • 7,230 detecciones únicas
  • 811 detecciones por empresa
  • 96% observó vulnerabilidades de seguridad severas
  • FortiGuard Labs detectó 30 días cero
  • 5.7% de CVE ocasionaron daño

Malware Q2 – 2018

  • 23,945 variantes únicas
  • 4,856 familias diferentes
  • 13 detecciones diarias únicas por empresa
  • 6 variantes se extendieron a ≥ 10% de las empresas
  • El 23.3% detectó el malware cryptojacking

Botnets Q2 – 2018

  • 265 botnets únicas detectadas
  • 7.6 días de infección por empresa
  • 1.8 botnets activas por empresa
  • 10% de botnets atacaron >1.1 % de empresas
  • 5% de las infecciones por botnets du

Conclusión y recomendaciones del Threat Landscape Report Q2 – 2018

Al estudiar detenidamente este reporte se tiene un panorama de amenazas muy alarmante para las empresas en lo que resta de este 2018, sin embargo Fortinet nos deja las siguientes recomendaciones:

  1. Si se tiene una empresa con procesos industriales controlados por sistemas SCADA, lo recomendable es hacer una evaluación completa de los riesgos comerciales y operacionales asociados con estas tecnologías, para crear planes donde se definan las zonas, los conductos y límites de seguridad para asegurar la operatividad y continuidad del negocio ante cualquier evento; cabe destacar que este tipo de ataques no son muy comunes pero pueden ser los más dañinos.
  2. El uso de la interfaz de consola en Windows o PowerShell, representa un grave peligro, ya que puede ser utilizada para realizar acciones malintencionadas, se recomienda que las empresas se aseguren de rastrear el uso de este CLI y otras herramientas administrativas por parte de los miembros de la organización, con la finalidad de saber si su uso es correcto o indebido. Existen herramientas de análisis de comportamiento de la entidad y el usuario (UEBA), las cuales pueden servir como un gran aliado para evitar esta vulnerabilidad estableciendo lineamientos para detectar estas anomalías.
  3. El Cryptojacking en dispositivos IoT es una tendencia que continúa en aumento, con malwares más poderosos y sofisticados financiados por redes de cibercriminales que buscan controlar el precio de las criptomonedas en el mercado negro, por lo tanto vale la pena vigilar los vectores de ataques vulnerables que puedan ser usadas para estos fines, segmentando las redes domésticas que usan los empleados de las redes vitales para los procesos del negocio.
  4. Estar atentos ante las amenazas existentes es muy necesario para cualquier jefe, gerente o personal de TI, ya que permite mantenerse al día con las amenazas y accionar de manera efectiva.
  5. Contar con nuestros servicios de seguridad gestionadas es algo vital para tu empresa, ya que somos parte del Cyber Threat Alliance, la cual funciona como una gran organización que busca hacer frente a los ciberdelincuentes, intercambiando información de los ataques con los líderes mundiales de las industrias en ciberseguridad.