Un primer paso crítico en …



Una cosa parece segura: los atacantes se están volviendo más desviados y letales. Espere ver ataques más avanzados.

Estamos en una carrera armamentista con ciberdelincuentes. Los adversarios se están volviendo más sigilosos y más peligrosos, mejorando constantemente sus técnicas de ataque para evadir las mejores defensas de seguridad. Desde aplicaciones móviles maliciosas hasta configuraciones incorrectas de la nube explotadas y exploits devastadores del Protocolo de escritorio remoto (RDP), no hay escasez de amenazas contra las que debemos protegernos.

Como profesionales de la seguridad, nuestra misión no solo es desarrollar las nuevas herramientas necesarias para arrestar y detectar amenazas de manera efectiva, sino también para ayudar a dar sentido a la naturaleza amplia de lo que constituye la seguridad. Eso comienza con la conciencia de la amenaza. Después de todo, no puedes defenderte de lo que no entiendes.

Estos son algunos de los principales cambios en el panorama de amenazas que hemos visto en el último año y que seguiremos viendo este año y más allá.

Evasión de controles de seguridad con ataques automáticos y activos
Los ataques automáticos y activos están en aumento. Estos tipos de ataques implican una combinación de automatización y piratería dirigida por humanos para evadir los controles de seguridad.

Los atacantes en el reciente Arrebatar Los ataques de ransomware, por ejemplo, obtuvieron acceso al abusar de los servicios de acceso remoto, como RDP, y luego utilizaron la piratería de mano a teclado para completar el ataque. Recientemente, los atacantes han subido la apuesta exfiltrando datos antes de comenzar el cifrado y reiniciando las máquinas en modo seguro durante el ataque para eludir la protección del punto last. Estos métodos de ataque cambiantes son parte de la tendencia creciente de evasión de la defensa y resaltan la necesidad de protección en cada capa del entorno.

En el lado de la detección, el problema es que es difícil determinar qué es un uso malicioso versus legítimo de esas herramientas. Este método ha sido utilizado con éxito por los delincuentes detrás del Sam Sam y ataques de ransomware MegaCortex.

Aumentando las apuestas con ransomware
Los creadores de ransomware saben que si no pueden pasar los sistemas de detección, su operación tiene pocas posibilidades de éxito. Por lo tanto, están haciendo un gran esfuerzo para descubrir formas de evadir los sistemas de detección en whole. Uno de los métodos más efectivos es cambiar su apariencia, a menudo al ofuscar su código, para disfrazar su verdadera intención.

Por ejemplo, los atacantes pueden firmar digitalmente el ransomware con un código Authenticode certificado. Las defensas anti-ransomware le dan al código con firmas un examen menos exhaustivo, y algunos productos de seguridad de punto last incluso pueden optar por confiar en él.

Al mismo tiempo, los atacantes aprovechan las vulnerabilidades para elevar sus privilegios a una credencial administrativa. De esta manera, sus privilegios cumplirán o excederán los permisos de acceso necesarios para garantizar que el cifrado de archivos sea exitoso.

Estafando a través de aplicaciones sigilosas y maliciosas
Los teléfonos inteligentes, tabletas y otros dispositivos móviles son entornos ricos para ataques. Los atacantes no solo pueden robar información del usuario y dinero en efectivo o criptomonedas, sino que también pueden usar dispositivos móviles para obtener acceso a recursos corporativos.

Las aplicaciones bancarias fraudulentas, denominadas banqueros, siguen afectando a los usuarios robando credenciales para las instituciones financieras. Los descargadores, aplicaciones que parecen estar relacionadas con las finanzas pero que realmente están descargando cargas bancarias en segundo plano, son cada vez más comunes. Algunos banqueros incluso roban credenciales al abusar de las funciones de accesibilidad para monitorear virtualmente las pulsaciones de teclas cuando un usuario inicia sesión en aplicaciones bancarias legítimas.

Los desarrolladores sin escrúpulos también están teniendo éxito explotando el modelo legítimo de publicidad en la aplicación que se encuentra en los dispositivos móviles, creando aplicaciones cuyo único propósito es maximizar los ingresos publicitarios. Los tipos de adware más nefastos, conocidos como Hiddad, se esconden de la bandeja de aplicaciones y del iniciador, por lo que son imposibles de encontrar y eliminar. El malware Hiddad a menudo toma la forma de una aplicación legítima, como un lector de códigos QR, pero genera dinero a través de publicidad agresiva.

Fleeceware es otro ejemplo de cómo los desarrolladores aprovechan los modelos legales para estafar a los consumidores involuntarios. Estas aplicaciones sobrecargan enormemente a los usuarios por la funcionalidad de la aplicación que ya está disponible de forma gratuita o a bajo costo, a menudo dependen de pruebas gratuitas que son casi imposibles de cancelar para atraer a los usuarios a pagar $ 275 por una aplicación de calculadora straightforward. Es un problema continuo y generalizado, y los investigadores descubrieron recientemente 20 nuevas aplicaciones de fleeceware que pueden tener casi 600 millones de descargas.

Explotación de la configuración incorrecta en la nube
Las fortalezas que hacen de la nube una plataforma tan valiosa para la informática y las operaciones comerciales (flexibilidad, velocidad y facilidad de uso) también son lo que hace que la seguridad sea difícil. Con los cambios que ocurren al ritmo acelerado de la nube, el error del operador es un riesgo creciente. Todo lo que se necesita es un paso en falso en la configuración para exponer toda la foundation de datos de clientes al ataque.

Los atacantes están tomando nota. La mayoría de los incidentes de seguridad basados ​​en la nube son el resultado de una configuración incorrecta de algún tipo. Los atacantes saben que las empresas luchan con una falta basic de visibilidad en sus entornos en la nube, por lo que pueden colarse y llevar a cabo un ataque antes de que alguien se dé cuenta. Es por eso que han visto el éxito con el malware Magecart, que infectó las páginas de los «carritos de compras» de los minoristas sin su conocimiento para robar información de clientes de empresas como Ticketmaster y Cathay Pacific.

A medida que más y más empresas recurren a la nube para realizar copias de seguridad, estos ataques son cada vez más comunes. Las empresas necesitan visibilidad sobre las consecuencias de los cambios de configuración, así como la capacidad de monitorear actividades maliciosas y sospechosas en la nube.

Abusar del aprendizaje automático
Los ataques contra los sistemas de seguridad de aprendizaje automático están pasando de una posibilidad académica a los juegos de herramientas de los atacantes. Los sistemas de aprendizaje automático tienen sus propias debilidades, y es solo cuestión de tiempo antes de que los atacantes descubran cómo evadirlos. La investigación muestra cómo los atacantes podrían engañar a los modelos, destacando la necesidad de múltiples capas de protección.

Con el aprendizaje automático convirtiéndose en una parte recurring de la defensa, también estamos viendo las primeras señales de uso de modelos de aprendizaje automático en la ofensiva. Imagine usar modelos de aprendizaje automático de texto a voz para evadir medidas de seguridad como la autenticación de voz. Dicha tecnología, como la tecnología subyacente «deepfakes», supuestamente ya se ha utilizado en una estafa vishing (phishing) de CEO. En el futuro, los atacantes también podrían usar el aprendizaje automático para optimizar los ataques, como las tasas de clics de correo electrónico de phishing.

El camino por delante
Al mirar hacia adelante, una cosa parece segura: los atacantes se están volviendo más desviados y letales. Esperamos ver ataques más avanzados, como el armamentismo del aprendizaje automático. Mientras tanto, el conocimiento de las amenazas existentes brinda a las empresas la información que necesitan para diseñar una protección efectiva.

Contenido relacionado:

Dan Schiappa es vicepresidente ejecutivo y director de producto de Sophos. En este rol, Dan es responsable de la estrategia standard, la gestión del producto, la arquitectura, la investigación y el desarrollo, y la calidad del producto para la seguridad de la red, la seguridad del usuario last y Sophos … Ver biografía completa

Más tips





Enlace a la noticia initial