Cómo proteger a su organización contra las últimas amenazas de malware


Con el cambio hacia el trabajo remoto, los ciberdelincuentes han estado atacando exploits en VPN, Net de las cosas y tecnología de autenticación, dice la firma de ciberseguridad Nuspire.

A los cibercriminales a menudo les gusta confiar en los mismos trucos probados y verdaderos, pero los actualizan con un nuevo giro basado en los eventos actuales. Naturalmente, los atacantes se han aprovechado de COVID-19 y sus numerosas repercusiones para atacar a organizaciones e individuos con malware relacionado con virus. Un informe publicado el miércoles por Nuspire explain algunas de las últimas amenazas de malware y ofrece consejos sobre cómo defenderse de ellas.

VER: Conciencia de seguridad y política de capacitación (TechRepublic Top quality)

Por su «Informe trimestral de panorama de amenazas, «Nuspire analizó más de 90 mil millones de registros de tráfico de sus clientes para el primer trimestre de 2020. Desglosando las amenazas en las tres áreas principales de malware, botnets y exploits, el informe destaca las más prolíficas y populares.

Malware

Para el primer trimestre, Nuspire detectó más de 2.4 millones de malware con más de 1,200 variantes únicas. Aunque el volumen standard de malware en realidad cayó desde el cuarto trimestre de 2019, el nivel aumentó en un 7% durante el primer trimestre a medida que el coronavirus se apoderó. Uno de los picos provino de una campaña de phishing que utilizó macros de Microsoft Word para difundir troyanos. Los ataques de phishing también explotaron facturas financieras, documentos fiscales del IRS y COVID-19 información.

Emotet lideró el camino entre las variantes de malware más detectadas el último trimestre. A menudo escondido en un correo electrónico que se hace pasar por una factura o extracto bancario, Emotet se utilizó en una campaña de phishing contra las Naciones Unidas. Una nueva variante encontrada en febrero contenía un módulo separador de Wi-Fi que le permitía buscar redes inalámbricas e infectar dispositivos conectados.

Durante el trimestre, Nuspire también encontró Formato ejecutable y enlazable (ELF) variantes dirigidas a dispositivos de World wide web de las cosas (IoT) para difundir la botnet Mirai. En esta campaña, los atacantes buscan dispositivos IoT con puertos Secure Shell (SSH) o Telnet abiertos como una forma de acceso por fuerza bruta.

Para proteger a sus organizaciones contra estas últimas cepas de malware, Nuspire ofrece los siguientes consejos:

  • Plataformas de protección de punto closing (EPP). Implemente la seguridad en profundidad mientras utiliza la tecnología Superior, Upcoming-Gen AntiVirus (NGAV). Future-Gen AV detectará software malicioso no solo a través de firmas, sino también a través de la heurística y el comportamiento. Legacy AV está estrictamente basado en firmas, que solo puede detectar variantes de malware ya conocidas.
  • Segregación de purple. Separe los dispositivos de mayor riesgo como los dispositivos IoT de la pink interna de su organización. Esto minimizará la capacidad de los atacantes para moverse lateralmente a través de una crimson.
  • Conciencia del usuario. La capacitación de concientización del usuario es una parte crítica de cualquier programa de seguridad ya que la mayoría de las infecciones comienzan a través del correo electrónico y la interacción con un archivo adjunto malicioso. Además, los administradores deben bloquear los archivos adjuntos de correo electrónico que se asocian comúnmente con malware como extensiones .dll y .exe para evitar que estos lleguen a los usuarios finales.

Botnets

En el primer trimestre, Nuspire encontró más de 1.2 millones de botnets con 46 únicas descubiertas. La buena noticia aquí es que el trimestre vio una disminución saludable en la actividad de botnet ya que las tres principales amenazas de botnet y su tráfico asociado se han interrumpido o abandonado.

En marzo, Microsoft tomó el regulate de la infraestructura utilizada por la botnet Necurs, que había representado más de nueve millones de infecciones en todo el mundo. Al mismo tiempo, la compañía trabajó con sus socios para detener el registro de cualquier dominio nuevo que pudiera usarse para ataques. En 2017, los servidores de comando y command para la botnet de Andromeda se cerraron, lo que provocó una caída en el tráfico que continuó en el primer trimestre.

A pesar de las batallas ganadas contra las botnets, las organizaciones aún deben tomar ciertas medidas para defenderse de ellas.

Aproveche la inteligencia de amenazas. Danger Intelligence ayudará a las organizaciones a identificar si los dispositivos están llegando a hosts maliciosos conocidos con comunicación de comando y handle (C2). Las comunicaciones C2 pueden contener comandos o podrían usarse para descargar malware adicional. La correlación de los registros de redes y la inteligencia de amenazas es crítica para identificar cuándo ocurre esta actividad, de modo que los administradores puedan bloquear el tráfico malicioso y remediar las máquinas infectadas.

Exploits

El último trimestre, Nuspire identificó más de 23 millones de exploits de seguridad con 404 únicos. El volumen de exploits aumentó en todos los ámbitos en comparación con el cuarto trimestre. los Explotación de DoublePulsar fue el que más se intentó observar, ya que crea una puerta trasera en dispositivos infectados que allana el camino para malware adicional. El trimestre pasado se descubrió una nueva firma que analiza el uso de credenciales predeterminadas en Telnet.

Un exploit conocido como Apache Tomcat GhostCat aprovecha una falla en el protocolo Tomcat AJP que podría permitir que un atacante ejecute código de forma remota. En febrero, Operación Zorro Gatito surgió como una campaña de espionaje iraní dirigida a vulnerabilidades de VPN. Además, Nuspire señaló una nueva firma que explota las credenciales Telnet predeterminadas como una forma de piratear dispositivos IoT.

Para combatir las vulnerabilidades de seguridad, las organizaciones deben prestar atención al siguiente consejo de Nuspire:

Mitigación y detección. La actividad de explotación es una carrera contra reloj para todas las partes involucradas. Los atacantes intentan explotar las vulnerabilidades antes de que los proveedores tengan la oportunidad de repararlas y continuar explotándolas antes de que el consumidor las repare. Es importante que los consumidores supervisen las vulnerabilidades relacionadas con su stack tecnológico y apliquen parches de proveedores lo antes posible. Además de mantener actualizados los sistemas y las aplicaciones, un firewall con un IPS puede monitorear, alertar y detener las firmas de ataque dirigidas a su entorno.

Recomendaciones adicionales

Finalmente, Nuspire ofrece recomendaciones de seguridad adicionales para las organizaciones.

  • Conciencia del usuario es una de las formas más poderosas y rentables de preparar a su organización contra ataques cibernéticos. Enseñe a sus usuarios cómo identificar correos electrónicos de phishing y tener un nivel de sospecha con los archivos adjuntos de correo electrónico. Cree procedimientos para verificar las solicitudes confidenciales de correo electrónico comercial (especialmente las que involucran transacciones financieras) con una forma separada de autenticación en caso de que una cuenta de correo electrónico se vea comprometida o sea falsificada.
  • Un enfoque de seguridad en capas protegerá mejor a las empresas que un solo producto de ciberseguridad. Asegura que cada componente de defensa personal tenga una copia de seguridad para contrarrestar cualquier brecha en otras defensas de seguridad.
  • Detección avanzada de malware y la tecnología de protección, como Endpoint Avoidance and Reaction (EPR) puede rastrear archivos desconocidos, bloquear archivos maliciosos conocidos y evitar la ejecución de malware en los puntos finales. La seguridad de pink, como la Administración de dispositivos de seguridad (SDM), puede detectar archivos maliciosos que intentan ingresar a una red desde World wide web o moverse dentro de una red.
  • Las organizaciones pueden fortalecer aún más las defensas segregando los dispositivos de mayor riesgo de su crimson interna (como los dispositivos IoT con conexión a Net). Los administradores deben asegurarse de que se cambien las contraseñas predeterminadas para estos dispositivos, ya que los atacantes están buscando activamente dispositivos que les brinden un fácil acceso a la pink. Además, los administradores deben asegurarse de que los parches de los proveedores se apliquen tan pronto como sea posible dentro de sus entornos, ya que estos parches críticos pueden proteger las vulnerabilidades de los atacantes.

Ver también

malware en un sistema informático

Imagen: kaptnali, Getty Pictures / iStockphoto



Enlace a la noticia unique