2 dic 2020

TOP 15 de Amenazas de ENISA - Malware

Como ya os comentamos con anterioridad, ENISA ha publicado reciéntemente su análisis del Threat Landscape de 2020. Dentro de este análisis se ha publicado un informe técnico que revela el TOP 15 de cyber amenazas producidas, y en este post vamos a analizar el informe dedicado a la amenaza clasificada en la primera posición: el malware.


Para empezar, el informe nos indica que una de las amenazas malware que más prevalencia han tenido durante el periodo analizado son los criptomineros, revelando el impacto que esto ha producido a los equipos de IT, así como el aumento del consumo eléctronico provocado a las empresas y la reducción de la productividad que ha generado en los empleados. Por otro lado, nos avisa de que el ransomware está todavía en la parte baja de la lista.

Los principales vectores de ataque para extender el malware son la web y los correos electrónicos, y curiosamente aunque el nivel de detecciones se ha mantenido estable con respecto a otros años, sí que ha habido un cambio notable de objetivos dentro del mundo de los consumidores hacia objetivos empresariales, con un incremento de un 13% de detecciones en equipos Windows corporativos. No nos sorprenderá a muchos, pero más de un 70% de las organizaciones han sufrido ataques de malware que han conseguido moverse lateralmente a través de la compañía. Como ya se viene avisando desde hace mucho tiempo, la mayoría del malware hace uso de conexiones cifradas HTTPs, y de ahí la importancia de tener capacidad de inspección de tráfico cifrado si queremos detectar estas amenazas en nuestro perímetro.

La familia malware con más presencia ha sido Emotet, utilizada para desplegar muestras como Trickbot y Ryuk. Ni me acuerdo de los incidentes que hemos tenido que atender por culpa de estos tres. Como decíamos anteriormente, los atacantes están poniendo el foco en el mundo empresarial, por lo que la mayoría de familias de malware han desarrollado capacidades de movimiento lateral dentro de redes corporativas, más que buscar métodos de propagación por Internet.

Dentro de las tendencias que se están observando dentro del mundo del malware, se mencionan tanto el uso de Malware-as-a-Service (MaaS), como el malware fileless. El MaaS recordemos que simplemente se refiere al malware vendido por cibercriminales en foros underground, para que otros criminales lo utilicen en sus propias campañas. Generalmente los cibercriminales venden kits con las herramientas y la infraestructura necesaria para atacar a otras compañías a través de malware, incluyendo loaders, servidores de Comando y Control (C2) y el propio malware para controlar remotamente el equipo infectado. En cuanto al malware fileless, la mayoría de ataques están basados en scripts y ataques en memoria. El motivo del uso de estas técnicas es evidente, suelen tener una probabilidad de éxito muchísimo mayor al enfrentarse a una parte importante de los antivirus.

El tráfico de botnets también se vio incrementado un enorme 71.5% desde el 2018, siendo de nuevo Emotet y Trickbot dos de las más observadas. En relación a las comunicaciones, se ha detectado una importante caída en el uso de registros de dominios para pasar a otros protocolos de comunicación basados en P2P.

La gran mayoría de infecciones se producen vía correo. En el caso del fileless, se recomienda tener especial precaución con las extensiones tipo ".docx", en las que se introduce código dañino para comprometer el equipo destino.

Al final, se hace un resumen con las principales propuestas de mitigación, entre las que destacamos:

  1. Defensa en profundidad con detección antimalware en todas las vías de entrada y salida a la compañía: email, redes, web y todas las plataformas utilizadas (servidores, infraestructura de red, equipos corporativos, móviles, etc.)
  2. Inspección de tráfico SSL/TLS para permitir el análisis de las comunicaciones cifradas que atraviesan el perímetro.
  3. Establecer canales de comunicación efectivos entre la función de detección malware y los equipos de respuesta a incidentes, para dar una respuesta efectiva a estas situaciones.
  4. Utilizar las herramientas disponibles para análisis de malware para compartir información de malware y su posible mitigación (MISP)
  5. Desarrollar políticas y procedimientos de seguridad específicos que expliquen los procesos a seguir en caso de infección.
  6. Aplicar filtrado de correo para la detección de malware, e incluso, eliminando los adjuntos con ejecutables. 
  7. Revisar de forma periódica los resultados de los test antivirus.
  8. Monitorizar los logs utilizando soluciones SIEM que centralicen los resultados de consolas antivirus, sistemas EDR, proxies, eventos de Windows y Sysmon, IDS/IPS, etc.
  9. Reducir al máximo la posibilidad de acceder a funciones powershell y monitorizar su uso de forma intensiva.

En realidad y como podemos ver, el malware evoluciona pero las herramientas para protegernos y preparar a la compañía ya están ahí, y siguen siendo las mismas que existían hace tiempo. Defensa en profundidad, control de los canales de comunicación, reducción de la superficie de ataque, monitorización y políticas efectivas. La complejidad es la de siempre, conseguir desplegar toda este arsenal en grandes entornos altamente cambiantes y con presupuestos reducidos.

Nos vemos en el siguiente artículo, donde analizaremos el informe de ataques basados en web.

¡Saludos!

No hay comentarios:

Publicar un comentario