Ciberatacantes piensan como desarrolladores para evadir la detección

Dark Reading
05/09/2018

A medida que los profesionales de seguridad trabajan para ponerse en la piel de los ciberdelincuentes para anticipar mejor de dónde vendrán los ataques, estos actores malintencionados están empezando a pensar más como desarrolladores para evadir la detección.

Y últimamente, son más precisos en sus objetivos, y dependen menos de los intentos generales de encontrar víctimas explotables. ¿Cómo pueden los equipos de seguridad de TI mantenerse al día con el desarrollo ágil que los ciberdelincuentes están empleando e identificar las vulnerabilidades recicladas que se utilizan? El último Informe Global sobre Amenazas de Fortinet arroja luz sobre la actividad criminal actual y sugiere cómo las organizaciones pueden estar un paso por delante.

Ataques ágiles

Los autores de malware han confiado mucho tiempo en el polimorfismo, la capacidad del malware para cambiar constantemente su propio código a medida que se propaga, para evitar la detección, pero con el tiempo, los sistemas de defensa de red han hecho mejoras que los hacen más difíciles de eludir. Los autores de malware, que nunca descansan en sus laureles, han recurrido recientemente al desarrollo ágil para hacer que su malware sea más difícil de detectar y para contrarrestar rápidamente las últimas tácticas de productos antimalware. Abordar estos nuevos ataques de enjambres polimórficos requiere una defensa de colmena, donde todos los componentes de seguridad implementados puedan ver y comunicarse entre sí, y luego trabajar de manera cooperativa para defender la red.

Los ciberdelincuentes están utilizando no solo el desarrollo ágil, sino también la automatización para avanzar en sus ataques. El malware está en aumento y está completamente escrito por máquinas basadas en detección automatizada de vulnerabilidades, análisis de datos complejos y desarrollo automatizado del mejor exploit posible basado en las características únicas de esa debilidad. Las organizaciones deben contrarrestar con la automatización propia, utilizando el aprendizaje automático para comprender e incluso predecir las últimas hazañas de los malos actores, de modo que puedan adelantarse a estas amenazas avanzadas.

Un buen ejemplo de desarrollo ágil malicioso es la versión 4.0 de GandCrab.

GandCrab

Los actores detrás de GandCrab son el primer grupo en aceptar la criptomoneda Dash. Parece que usan el enfoque de desarrollo ágil para vencer a los competidores en el mercado y lidiar con problemas y errores cuando surgen. Otro aspecto único de GandCrab es su modelo de ransomware como servicio, que se basa en un modelo 60/40 de participación en los beneficios entre los desarrolladores y los delincuentes que desean utilizar sus servicios. Y, por último, GandCrab utiliza .BIT, un dominio de alto nivel no reconocido por ICANN, que se sirve a través de la infraestructura de criptomoneda Namecoin y utiliza varios servidores de nombres para ayudar a resolver el DNS y redirigir el tráfico hacia él. Las versiones de GandCrab 2.x fueron las más frecuentes durante el segundo trimestre, pero al cierre del trimestre, la v3 estaba en libertad, y la serie v4 siguió a principios de julio.

Notamos que cuando un archivo <8hex-chars> .lock en la carpeta COMMON APPDATA del sistema está presente, los archivos no se bloqueaban. Esto generalmente ocurre después de que el malware determina que la distribución del teclado está en el idioma ruso, junto con otras técnicas para determinar las computadoras en los países de habla rusa. Especulamos que agregar este archivo podría ser una solución temporal. Con base en nuestro análisis, los investigadores de la industria crearon una herramienta que evita que los archivos sean encriptados por el ransomware. Desafortunadamente, GandCrab 4.1.2 se lanzó uno o dos días después, lo que inutilizó el archivo de bloqueo.

Vulnerabilidades valiosas 

Los ciberdelincuentes se están volviendo más inteligentes y rápidos en la forma en que aprovechan los exploits. Además de utilizar los servicios de red oscura, como el malware como servicio, están perfeccionando sus técnicas de orientación para centrarse en exploits que generarán mayor recaudación. La realidad es que ninguna organización puede parchar las vulnerabilidades lo suficientemente rápido. Más bien, deben volverse estratégicos y centrarse en los que importan, utilizando la inteligencia de amenazas.

Para seguir el ritmo de los métodos ágiles de desarrollo que usan los ciberdelincuentes, las organizaciones necesitan protección avanzada contra amenazas y capacidades de detección que los ayuden a identificar estas vulnerabilidades actualmente identificadas. Con los exploits examinados desde la lente de la prevalencia y el volumen de las detecciones de exploits relacionados, solo 5.7% de las vulnerabilidades conocidas se explotaron en el medio, según nuestra investigación. Si la gran mayoría de las vulnerabilidades no se explotan, las organizaciones deberían considerar adoptar un enfoque mucho más proactivo y estratégico para la remediación de vulnerabilidades.

Plantear un nuevo panorama de ciberseguridad

Esto requiere una inteligencia de amenazas avanzada que se comparte a velocidad y escala en todos los elementos de seguridad, y el espacio aislado que proporciona inteligencia integrada en capas. Este enfoque reduce las ventanas de detección necesarias y proporciona la solución automática requerida para los exploits multivector de hoy. Por este motivo, se creó Cyber ​​Threat Alliance, un grupo de compañías de seguridad que comparte información avanzada sobre amenazas.

Si bien muchas organizaciones están trabajando arduamente para recopilar tantos datos como puedan de una variedad de fuentes, incluida la suya propia, gran parte del trabajo en el procesamiento, la correlación y la conversión en políticas se realiza de forma manual. Esto hace que sea muy difícil responder a una amenaza activa rápidamente. Lo ideal es automatizar el procesamiento y la correlación de la inteligencia de amenazas que resulta en políticas efectivas.

La ciberseguridad efectiva también requiere diligencia con las actualizaciones. Con los datos sobre las vulnerabilidades que se están explotando actualmente, los equipos de seguridad de TI pueden ser estratégicos con su tiempo y fortalecer, esconder, aislar o proteger sistemas y dispositivos vulnerables. Si son demasiado viejos para parcharlos, es mejor reemplazarlos.

La segmentación de red y la microsegmentación también son imprescindibles. Estos pasos aseguran que cualquier daño causado por una violación permanezca localizado. Además de esta forma pasiva de segmentación, despliega la macro-segmentación para una defensa dinámica y adaptativa contra la avalancha interminable de nuevos ataques inteligentes.

Los ciberdelincuentes son implacables, utilizan y adaptan la última tecnología para su beneficio. Los equipos de seguridad de TI pueden derrotarlos en su propio juego utilizando la información y las recomendaciones descritas anteriormente.

Artículos relacionados: