Infiltre, adapte, repita: un vistazo al panorama del malware del mañana
¿Y si le dijera que los ataques de malware han descendido, pero que las nuevas variantes de malware van en aumento? Según el Informe de ciberamenazas 2021 de SonicWall, los ataques de malware han descendido con respecto al pico que alcanzaron hace tres años, registrando un descenso global del 43% en 2020. Aunque parezca una excelente noticia, SonicWall descubrió un aumento del 73% en variedades de malware nuevas y actualizadas que no podrían haber sido detectadas por las defensas tradicionales basadas en definiciones estáticas.
Así como están las cosas, prevemos que esa tendencia va a continuar en el futuro próximo. Pero, ¿por qué ocurre esto? ¿Y qué significa? Creo que el panorama de las amenazas está tan activo por la gran cantidad de nuevos hackers que están apareciendo y por la mayor velocidad de desarrollo.
Nuevos hackers
En mi investigación para mi charla en la RSA sobre cómo la generación más joven está aprendiendo a hackear, descubrí que la serie de televisión “Mr. Robot” ha creado numerosos fans, y que todos ellos quieren aprender a hackear. Estos jóvenes se interesan por el tema a una edad temprana y tienen más recursos a su disposición que las generaciones anteriores. Existen numerosos lugares seguros en los que pueden poner a prueba sus habilidades, como “Hack the Box.” No obstante, con el tiempo, quieren poner a prueba sus nuevas habilidades en entornos reales. Los más responsables se ofrecen para realizar pruebas de penetración, mientras que otros tal vez opten por el desarrollo de malware y la perpetración de ataques.
La gran mayoría de los nuevos hackers quieren crear algo y ver hasta qué punto pueden eludir nuestras defensas. Casi todos a los que he entrevistado en el último año se están adentrando en el mundo del ransomware, lo cual podría explicar por qué SonicWall observó un aumento del 62% en este tipo de malware en 2020. Las variedades que están creando se están volviendo tan avanzadas que me asusta. Han pasado de idolatrar a personajes de ficción a convertirse en verdaderos atacantes. En el caso de Hildacrypt, han pasado de hacer su propia versión de Petya a crear una variedad imitando las tácticas del equipo que desarrolló el ransomware SamSam.
Mayor velocidad de desarrollo
Otros grupos se unirán a otros atacantes para crear ransomware y otras formas de malware con diferentes módulos (p.ej., cargadores de arranque maliciosos, ejecutores, descifradores, etc.) y ponerlos a prueba con sujetos reales. Tras una ronda de ataques, van a VirusTotal para ver si alguien ha identificado su variante. Una vez ha sido descubierta, realizan cambios en el código, asegurándose de que cada archivo utilizado tenga un hash diferente (el hashing es la forma que tiene un ordenador de identificar un archivo). También mejoran el rendimiento de la variedad para aumentar su efectividad.
Después, se lanza el siguiente ataque, y el ciclo se repite. Por ejemplo, hubieron numerosas versiones de WannaCry en las semanas iniciales de sus primeros ataques grandes. Si bien VirusTotal no es la máxima instancia en la detección de malware, al ser el recurso más conocido, los atacantes a menudo comprueban cuándo se registran sus variedades, lo cual lleva alrededor de dos o tres días antes de que tengan que reforzar sus ataques. Con esa información, integran nuevas tácticas de evasión en base a quién las encontró primero y trabajan hacia atrás creando las versiones 2, 3, 4, etc.
Con el tiempo, estos desarrolladores de malware pueden pasar de proyecto a proyecto, aportando sus conocimientos y su experiencia para desarrollar nuevas variedades de malware con un nuevo equipo. Cuando tienen dificultades para crear un módulo ellos mismos o para resolver un problema, hay un mercado activo y barato con servicio de atención al cliente disponible para ayudar a rellenar las brechas. Hoy en día, gracias a las criptomonedas, es más fácil obtener dinero a través del ransomware y pagar a alguien para que te ayude a desarrollar el código. Por tanto, en el futuro inmediato, cabe esperar ver a más gente introducirse en el desarrollo de malware, con numerosas nuevas variantes en el horizonte.
Cómo detener el malware del futuro
La historia de las amenazas persistentes avanzadas va mucho más allá del ransomware. El otro tema candente es, y siempre ha sido, la exfiltración de datos de fuentes corporativas. Siempre he dicho que la mejor forma de fijar tu presupuesto de seguridad de TI es preguntarte “¿qué valor tienen mis datos para un atacante?” Muchos de nosotros sobreprotegemos datos que serían de poca utilidad para un atacante y, sin embargo, dejamos otros datos esenciales más expuestos porque son menos importantes para nosotros. Los datos de nuestros clientes y los datos intelectuales son los que tendemos a proteger en primer lugar.
Al desarrollar una filosofía para mejorar la protección de la red, normalmente empezamos por la red, a continuación nos fijamos en las conexiones, después en el punto terminal en sí, y por último en su ruta a la nube.
Aunque no vamos a hablar ahora de todo el proceso, solemos empezar con la inspección del tráfico que accede a la red. Puesto que actualmente el 70% de las sesiones están cifradas, solemos inspeccionar también ese tráfico en detalle. A continuación, nos preocupamos por cómo inspeccionar el tráfico en busca de malware desconocido que no puede ser detectado por un firewall de nueva generación tradicional. Los motores de sandboxing existen desde 2011, y han evolucionado para buscar malware en múltiples motores — incluso dentro de la memoria del sistema, ya que es ahí donde tratan de iniciarse muchos ataques (como los ataques sin archivos) para ocultar cómo han accedido a la red, y evitar ser detectados y detenidos por el software de seguridad.
¿Puede creer que los clientes utilizan Capture ATP con Inspección profunda de memoria en tiempo real (RTDMI) para encontrar entre 1.400 y 1.600 nuevas formas de malware cada día laborable, muchas de ellas con numerosas tácticas de evasión?
SonicWall lleva 30 años en la seguridad de TI, y lo hemos visto todo. Hemos pasado de ser una empresa de firewalls a una empresa de plataformas de seguridad. Es conocido que detuvimos la variedad WannaCry en las redes de nuestro cliente tres semanas antes de que se perpetrara el primer ataque importante. Hemos detectado y dado nombre a diversas variedades a lo largo de nuestras investigaciones y continuamos desarrollando nuevas y mejores tecnologías para ayudarle a detectar y detener ataques desconocidos, de día cero y actualizados en su red.
Si desea obtener más información, le invito a participar en nuestro webcast del 17 de junio llamado Mindhunter 5: Las APTs — La amenaza silenciosa, presentado por el experto en ciberseguridad de SonicWall, Alex Vázquez.
Las APTs o la amenaza silenciosa
Si desea obtener más información, le invito a participar en nuestro webcast del 17 de junio llamado Mindhunter 5: Las APTs — La amenaza silenciosa, presentado por el experto en ciberseguridad de SonicWall, Alex Vázquez.