Ciberatacantes piensan como desarrolladores para evadir la detección

Hoy en día son más precisos en sus objetivos, y dependen menos de los intentos generales de encontrar víctimas explotables. ¿Cómo pueden los equipos de seguridad de TI mantenerse al día con el desarrollo ágil que los ciberdelincuentes están empleando e identificar las vulnerabilidades recicladas que se utilizan? El último Informe Global sobre Amenazas de Fortinet arroja luz sobre la actividad criminal actual y sugiere cómo las organizaciones pueden estar un paso por delante.

Ataques ágiles

Los autores de malware han confiado mucho tiempo en el polimorfismo, la capacidad del malware para cambiar constantemente su propio código a medida que se propaga, para evitar la detección, pero con el tiempo, los sistemas de defensa de red han hecho mejoras que los hacen más difíciles de eludir. Los autores de malware, que nunca descansan en sus laureles, han recurrido recientemente al desarrollo ágil para hacer que su malware sea más difícil de detectar y para contrarrestar rápidamente las últimas tácticas de productos antimalware. Abordar estos nuevos ataques de enjambres polimórficos requiere una defensa de colmena, donde todos los componentes de seguridad implementados puedan ver y comunicarse entre sí, y luego trabajar de manera cooperativa para defender la red.

Los ciberdelincuentes están utilizando no solo el desarrollo ágil, sino también la automatización para avanzar en sus ataques. El malware está en aumento y está completamente escrito por máquinas basadas en detección automatizada de vulnerabilidades, análisis de datos complejos y desarrollo automatizado del mejor exploit posible basado en las características únicas de esa debilidad. Las organizaciones deben contrarrestar con la automatización propia, utilizando el aprendizaje automático para comprender e incluso predecir las últimas hazañas de los malos actores, de modo que puedan adelantarse a estas amenazas avanzadas.

Un buen ejemplo de desarrollo ágil malicioso es la versión 4.0 de GandCrab.

Fortinet FortiGate proporciona protección contra amenazas con visibilidad automática para detener ataques y proteger su empresa. NORTH NETWORKS es distribuidor oficial y podemos proveerle de licencias nuevas, renovaciones y soporte técnico.

 

GandCrab

Los actores detrás de GandCrab son el primer grupo en aceptar la criptomoneda Dash. Parece que usan el enfoque de desarrollo ágil para vencer a los competidores en el mercado y lidiar con problemas y errores cuando surgen. Otro aspecto único de GandCrab es su modelo de ransomware como servicio, que se basa en un modelo 60/40 de participación en los beneficios entre los desarrolladores y los delincuentes que desean utilizar sus servicios. Y, por último, GandCrab utiliza .BIT, un dominio de alto nivel no reconocido por ICANN, que se sirve a través de la infraestructura de criptomoneda Namecoin y utiliza varios servidores de nombres para ayudar a resolver el DNS y redirigir el tráfico hacia él. Las versiones de GandCrab 2.x fueron las más frecuentes durante el segundo trimestre, pero al cierre del trimestre, la v3 estaba en libertad, y la serie v4 siguió a principios de julio.

Notamos que cuando un archivo <8hex-chars> .lock en la carpeta COMMON APPDATA del sistema está presente, los archivos no se bloqueaban. Esto generalmente ocurre después de que el malware determina que la distribución del teclado está en el idioma ruso, junto con otras técnicas para determinar las computadoras en los países de habla rusa. Especulamos que agregar este archivo podría ser una solución temporal. Con base en nuestro análisis, los investigadores de la industria crearon una herramienta que evita que los archivos sean encriptados por el ransomware. Desafortunadamente, GandCrab 4.1.2 se lanzó uno o dos días después, lo que inutilizó el archivo de bloqueo.

Vulnerabilidades valiosas 

Los ciberdelincuentes se están volviendo más inteligentes y rápidos en la forma en que aprovechan los exploits. Además de utilizar los servicios de red oscura, como el malware como servicio, están perfeccionando sus técnicas de orientación para centrarse en exploits que generarán mayor recaudación. La realidad es que ninguna organización puede parchar las vulnerabilidades lo suficientemente rápido. Más bien, deben volverse estratégicos y centrarse en los que importan, utilizando la inteligencia de amenazas.

Para seguir el ritmo de los métodos ágiles de desarrollo que usan los ciberdelincuentes, las organizaciones necesitan protección avanzada contra amenazas y capacidades de detección que los ayuden a identificar estas vulnerabilidades actualmente identificadas. Con los exploits examinados desde la lente de la prevalencia y el volumen de las detecciones de exploits relacionados, solo 5.7% de las vulnerabilidades conocidas se explotaron en el medio, según nuestra investigación. Si la gran mayoría de las vulnerabilidades no se explotan, las organizaciones deberían considerar adoptar un enfoque mucho más proactivo y estratégico para la remediación de vulnerabilidades.

                             

Fuente: UNAM-CERT    

Ciberatacantes piensan como desarrolladores para evadir la detección
EspañolEnglishPortuguêsDeutschNederlandsFrançaisItalianoРусский简体中文العربية