Más atacantes han comenzado a utilizar exploits de día cero



Los proveedores de herramientas cibernéticas ofensivas han facilitado que cualquier grupo de amenazas con los fondos adecuados aproveche los errores sin parches, dice FireEye.

Los grupos sofisticados de amenazas persistentes avanzadas ya no son los únicos que aprovechan las vulnerabilidades de día cero.

Un análisis realizado por FireEye de la actividad de explotación el año pasado mostró que más ciberatacantes explotaron más vulnerabilidades de día cero en 2019 que en cualquiera de los tres años anteriores.

Si bien los grupos de amenazas conocidos representaron una parte sustancial de la actividad, FireEye descubrió que una amplia gama de otros grupos también aprovecharon las vulnerabilidades de día cero. En unique, los investigadores de FireEye observaron un aumento significativo a lo largo del tiempo en la actividad de explotación de día cero por parte de gobiernos internacionales, agencias de aplicación de la ley de EE. UU. Y otros clientes de compañías que venden armas cibernéticas ofensivas.

«De 2012 a 2016, los actores que utilizan con mayor frecuencia los días cero tienden a estar entre los más sofisticados», dice Kelli Vanderlee, gerente de análisis de inteligencia de FireEye Mandiant.

Pero desde aproximadamente 2017, el campo se ha diversificado sustancialmente, al menos en parte debido al papel de los proveedores que ofrecen capacidades de amenaza cibernética ofensiva.

Ejemplos de tales proveedores incluyen el Equipo de Hacking de Italia, el Grupo NSO con sede en Israel y Gamma International en el Reino Unido. Se ha observado que dichas empresas venden computer software y servicios de intrusión y ciberespionaje cibernético, incluidos exploits de día cero a gobiernos y otras entidades durante varios años. Los que se dice que se han beneficiado de estas herramientas incluyen gobiernos con dudosos registros de derechos humanos como Sudán, Etiopía y Uzbekistán, dice Vanderlee.

En 2019, según FireEye, las herramientas proporcionadas por estas firmas privadas de seguridad de ciber ofensiva se usaron en múltiples ataques.

Los ejemplos incluyen un exploit de día cero en WhatsApp (CVE-2019-3568) que se utilizó para distribuir program espía desarrollado por el Grupo NSO y un ataque contra una organización de atención médica rusa que implicó el uso de un día cero de Adobe Flash 2018 (CVE-2018-15982) Otro ejemplo fue un error de día cero de Android (CVE-2019-2215) que los atacantes explotaron utilizando herramientas de grupo NSO, dijo FireEye en un reporte resumiendo su análisis esta semana.

La tendencia «sugiere que el uso de día cero ya no puede ser un indicador importante de sofisticación», dice Vanderlee. «Más bien, parece ser un indicador más confiable del acceso a los recursos».

Los grupos con motivación financiera también han aumentado constantemente su uso de exploits de día cero, aunque no del todo como grupos de espionaje, dijo FireEye. Como ejemplo, el proveedor de seguridad señaló una intrusión dirigida en febrero de 2019, donde el grupo de ataque FIN6 explotó una vulnerabilidad de día cero en el program del servidor de Windows.

El mayor uso de exploits de día cero, y la gama más amplia de actores de amenazas que usan estas herramientas podrían resultar problemáticos para las organizaciones empresariales. Según FireEye, la cantidad de adversarios que aprovechan las hazañas de día cero seguramente aumentará en los próximos años y a un ritmo más rápido que sus habilidades generales de ofensiva cibernética. Lo único que limitará su acceso a estas herramientas serán los fondos necesarios.

«A medida que el acceso a los días cero se generaliza, las empresas deben comparar la gama completa de técnicas utilizadas por los atacantes que se sabe que los atacan contra los controles y estrategias existentes», dice Vanderlee. «Si bien la explotación de una vulnerabilidad de día cero brinda a los atacantes una ventaja significativa, un enfoque de defensa en profundidad puede permitir a los defensores interrumpir y derrotar operaciones maliciosas en otras etapas del ciclo de vida del ataque», señala.

Un aspecto positivo para los defensores es que las empresas privadas ofrecen cada vez más herramientas sofisticadas a grupos con capacidades generales limitadas y a grupos con poca consideración por la seguridad operativa. Como resultado, hay una mayor probabilidad de que la actividad que involucra el uso de errores de día cero se observe más fácilmente, dijo FireEye en su informe.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más thoughts





Enlace a la noticia initial