Cómo combatir las últimas y más agresivas botnets y malware


Al lanzar botnets, malware y otras amenazas más sofisticadas, los ciberdelincuentes se están volviendo más despiadados, dice Nuspire.

Pantalla de advertencia de malware detectado

Imagen: iStockphoto / solarseven

2020 ha demostrado ser un año desafiante en muchos sentidos, y eso incluye el área de las ciberamenazas. Los ciberdelincuentes se han aprovechado del coronavirus y sus numerosos efectos secundarios para revelar tipos de ataques aún más agresivos. El tercer trimestre del año vio un aumento en el malware, especialmente contra objetivos oportunos como escuelas e instalaciones de atención médica. Un informe publicado el jueves por el proveedor de seguridad Nuspire analiza las últimas amenazas y ofrece consejos sobre cómo combatirlas.

VER: Política de formación y sensibilización sobre seguridad (TechRepublic Quality)

Application malicioso

Como se detalla en su «Informe sobre el panorama de amenazas del tercer trimestre de 2020, «Nuspire descubrió más de 3.6 millones de eventos de malware durante el tercer trimestre, un aumento del 128% desde el segundo trimestre. Se vieron más de 43,000 variantes de malware cada día, con casi 1,200 únicas encontradas durante todo el trimestre.

Las tres principales variantes de malware apuntaban a Microsoft Business office con troyanos y exploits diseñados para infectar sistemas a través de macros maliciosas. Los agentes de Visible Standard para Aplicaciones (VBA) son un tipo de troyano dirigido a programas como Microsoft Phrase y Excel.

A menudo utilizado en campañas de malspam, este tipo de malware tienta a los destinatarios con documentos legales falsos y facturas que contienen macros que se inician cuando se abre el documento. El agente de VBA luego comunica qué servidor de comando y regulate (C2) envía la carga útil real al sistema de la víctima.

cinco-principales-variantes-de-malware-q3-2020-nuspire.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/11/12/43e0b209-c5b9-49b2-b3fe-482b27524844 /resize/770x/fbce36af0a80c938ed949f640127ae98/top-five-malware-variants-q3-2020-nuspire.jpg

Las cinco principales variantes de malware, Nuspire, tercer trimestre de 2020

Imagen: Nuspire

Entre las cinco principales variantes de malware, Emotet siguió resultando problemático el último trimestre. Después de desaparecer durante el segundo trimestre y desaparecer al comienzo del tercer trimestre, Emotet se recuperó cerca de finales de agosto. Este infame troyano puede propagarse a través de hilos de correo electrónico secuestrados o campañas masivas de spam, ambos métodos utilizan documentos de Word que contienen macros con código malicioso.

Botnets

La actividad de las botnets disminuyó levemente durante el tercer trimestre, pero aun así sumó más de 1,5 millones de eventos. Las cinco principales redes de bots observadas por Nuspire fueron Necurs, Andromeda, Emotet-Cridex, ZeroAccess y H-Worm. Conocida por otros nombres como Houdini, Dunihi y njRAT, la botnet H-Worm generó la mayor cantidad de tráfico durante el trimestre. Esta botnet emplea tácticas como ejecutar archivos de forma remota, reiniciar máquinas, registrar teclas y robar información de Google Chrome y Mozilla Firefox.

top-five-botnets-q3-2020-nuspire.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/11/12/c14cf497-81ea-4412-a424-5b7c5819013a/resize /770x/eb80e17264385ce2e949c473e171c598/top-five-botnets-q3-2020-nuspire.jpg

Las cinco mejores redes de bots, Nuspire, tercer trimestre de 2020

Imagen: Nuspire

La botnet ZeroAccess aumentó en el segundo trimestre, se apagó y luego se disparó hacia el final del tercer trimestre. Apareciendo en 2009 y alcanzando su punto máximo en 2013, ZeroAccess se centró principalmente en organizaciones financieras a través del fraude de clics y la minería de bitcoins. Evolucionando con el tiempo, esta botnet también se ha utilizado en juegos pirateados y otro software ilícito y, a menudo, se implementa mediante campañas de phishing.

Recomendaciones

Para defender a sus organizaciones contra las últimas amenazas, Nuspire ofrece los siguientes consejos:

Plataformas de protección de endpoints (EPP). Implemente la seguridad en profundidad mientras utiliza un antivirus avanzado de próxima generación (NGAV). NGAV detectará software program malicioso no solo a través de firmas sino también a través de heurística y comportamiento. Legacy AV se basa estrictamente en firmas y solo puede detectar variantes de malware ya conocidas.

Segregación de la crimson. Separe los dispositivos de mayor riesgo de la crimson interna de su organización, como los dispositivos de IoT. Esto minimizará la capacidad de un atacante para moverse lateralmente por una pink.

Capacitación en concienciación sobre ciberseguridad. La capacitación en concientización sobre ciberseguridad es una parte fundamental de cualquier programa de seguridad, ya que la mayoría de las infecciones comienzan a través del correo electrónico y archivos adjuntos maliciosos. Los administradores también deben bloquear los archivos adjuntos de correo electrónico que se asocian comúnmente con malware como las extensiones .dll y .exe para evitar que lleguen a sus usuarios finales.

Aproveche la inteligencia sobre amenazas. La inteligencia de amenazas ayuda a las organizaciones a identificar si los dispositivos se están comunicando con hosts maliciosos conocidos con comunicación C2. La comunicación C2 puede contener comandos o puede usarse para descargar malware adicional. La correlación de los registros de redes y la inteligencia sobre amenazas es essential para identificar cuándo sucede esto y ayudarlo a bloquear el tráfico malicioso y remediar las máquinas infectadas.

Utilice antivirus de próxima generación. El tráfico de la botnet se detecta después de la infección y, si su producto antivirus no puede detectar un comportamiento malicioso, es posible que se pierda programas maliciosos sin firma conocida. Una solución como la protección y respuesta de endpoints (EPR) puede ayudar con la detección, así como proporcionar visibilidad del registro de endpoints para encontrar tráfico malicioso.

Caza de amenazas. La inteligencia de amenazas no es perfecta. Todos los días se encuentran nuevos servidores C2 maliciosos. Las organizaciones deben auditar los datos de su crimson para detectar tráfico anormal y reaccionar si lo encuentran. ¿Debería su servidor comunicarse con esa dirección IP extranjera?

Parchea sus sistemas lo antes posible. Cuando recibe una notificación de un sistema susceptible, los atacantes ven esas mismas notificaciones. Haga todo lo posible para aplicar parches a sus sistemas críticos tan pronto como pueda en un intento de evitar las partes malintencionadas.

Utilice un firewall con IPS. Los firewalls con un sistema de prevención de intrusiones pueden bloquear exploits conocidos mediante firmas. Asegúrese de que estas firmas también se actualicen, o puede que se adormezca con una falsa sensación de seguridad. La utilización de un programa de detección y respuesta administradas (MDR) puede ayudarlo con esta tarea.

Supervise las noticias de seguridad y los boletines de seguridad de los proveedores. Si no conoce un problema, no puede solucionarlo. Suscríbase a las fuentes de noticias de seguridad y a los boletines de seguridad de su pila tecnológica. A menudo, estos boletines incluyen enlaces directos a información de parches para administradores.

Ver también



Enlace a la noticia authentic