La mayoría de los ciberataques en 2019 se libraron sin malware



Si continúa la trayectoria de ataque «libre de malware», podría significar un gran problema para los defensores, según los expertos de CrowdStrike y otras compañías de seguridad.

Un giro moderno en el ataque de los hackers detrás del teclado de la vieja escuela superó a los transmitidos por malware en todo el mundo el año pasado, según muestran nuevos datos de informes de incidentes de CrowdStrike.

Desde hace algún tiempo, los cibercriminales experimentados y los atacantes de estado-nación han mejorado su juego con nuevos métodos para enmascarar sus actividades de las herramientas de seguridad mezclándose y haciéndose pasar por usuarios reales en la pink de la organización objetivo, utilizando credenciales robadas y ejecutando herramientas legítimas para explorar sistemas y datos de víctimas, por ejemplo. Y por primera vez en la investigación de CrowdStrike y en los informes de participación en la respuesta a incidentes, los llamados ataques «libres de malware» se adelantaron a los basados ​​en malware, del 51% al 49% en 2019. En 2018 y 2017, el malware representó alrededor de 60 % de todos los ataques a nivel mundial, y ataques libres de malware en torno al 40%, según los datos de CrowdStrike.

Un ataque sin malware en el lenguaje de CrowdStrike es uno en el que el método para ingresar a una organización víctima no emplea un archivo malicioso o un fragmento de archivo en el disco de una computadora. Además de las credenciales robadas o las herramientas legítimas, este tipo de ataque también puede ejecutar código desde la memoria y solo se puede detectar con herramientas y técnicas de nivel superior que detectan un comportamiento inusual o mediante la búsqueda de amenazas.

Al igual que en los viejos tiempos de piratería, gran parte del ataque es impulsado por métodos de «teclado práctico» como la interfaz de línea de comandos, PowerShell y la ocultación de archivos y directorios, según CrowdStrike. «Estas técnicas ocupan un lugar destacado en muchos ataques sofisticados, donde un adversario humano está involucrado en la intrusión y está trabajando activamente hacia un objetivo», según el informe.

Los expertos en seguridad temen que si los atacantes duplican los ataques libres de malware, las herramientas de seguridad y, en última instancia, las organizaciones objetivo, se verán abrumadas e incapaces de frustrarlas.

Michael Sentonas, CTO de CrowdStrike, dice que estos ataques libres de malware han aumentado gradualmente a medida que los atacantes han encontrado formas de eludir las herramientas de seguridad tradicionales. Pero los atacantes no se detienen en el program antivirus básico. «Ahora están comenzando a eludir los productos AV de próxima generación también. Eso está impulsando una gran escalada en ataques libres de malware», dice. «Si eso alcanza el 60% o más, será un gran problema».

El problema es que la mayoría de las organizaciones no tienen la tecnología para discernir entre un usuario legítimo o un atacante que ha robado sus credenciales, señala Sentonas. «Quiero hacer un seguimiento en los próximos 12 meses de la pieza libre de malware para ver si esa es una tendencia realmente interesante (a largo plazo) allí», dice.

Immediate7 también ha visto a los atacantes renunciar al malware cuando se infiltran en sus objetivos. «Están usando credenciales válidas o reutilizando credenciales de otras infracciones. Eso es difícil (para defenderse)», dice Tod Beardsley, director de investigación de Immediate7. «No es algo en lo que puedas automatizar fácilmente la defensa».

Para ayudar a combatir estas amenazas, dice, la organización necesita capacitar a los usuarios finales para que formen parte de una cultura de seguridad. «Debe generar confianza entre la seguridad de TI y la base de usuarios. En ese sentido, está construyendo una cultura de vigilancia», dice, donde si ve algo que parece sospechoso, hay un paso claro sobre qué hacer al respecto, si confirmarlo fuera de banda o informarlo a las personas adecuadas.

La mayoría de los ataques libres de malware el año pasado ocurrieron en América del Norte, donde tres cuartos de los ataques no desplegaron malware para ingresar a la organización víctima, según CrowdStrike. «Será interesante a medida que avancemos este año: ¿seguirán aumentando los ataques libres de malware y eso se correlacionará con el tiempo de permanencia (de los atacantes)?» dice Sentonas. «Si vemos eso como una tendencia de dos a cuatro años, tenemos un problema. Hay cada vez más formas de evadir los controles de seguridad».

Eso requiere una defensa que explique el elemento humano. «Ahora más atacantes son humanos», dice Chester Wisniewski, un científico investigador principal del vendedor de seguridad Sophos. «Es por eso que establecer cables trampa» para detectar herramientas legítimas que se utilizan con fines nefastos es clave, dice. Por ejemplo, si la herramienta de monitoreo de crimson Nmap se ve ejecutándose en un servidor net en la DMZ, eso debería ser una bandera roja, dice. «Nadie debería ejecutarlo … en el servidor en la DMZ», dice.

Si una herramienta de seguridad legítima se está ejecutando en un momento diferente al que debería usarse, eso constituye un incidente, dice. «No eres el único que united states of america estas herramientas», dice, y señala que los malos también lo son.

Contenido relacionado:

Echa un vistazo a The Edge, la nueva sección de Dark Looking at para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Con el nuevo laboratorio SOL4Ce, Purdue U. y DoE establecen puntos de vista sobre la seguridad nacional».

Kelly Jackson Higgins es la Editora Ejecutiva de Dim Reading. Es una galardonada periodista veterana en tecnología y negocios con más de dos décadas de experiencia en informes y edición para varias publicaciones, incluidas Network Computing, Secure Enterprise … Ver biografía completa

Más concepts





Enlace a la noticia initial