Las amenazas de Windows empresarial caen a medida que los ataques de Mac …



Un análisis de la actividad de malware en 2020 indica que las empresas deberían estar preocupadas por las herramientas de piratería interna, el ransomware y el software espía en el próximo año.

Así como la pandemia de COVID-19 cambió la forma en que vivimos y trabajamos, los operadores de malware cambiaron la forma en que atacan los objetivos empresariales. El año pasado, las empresas vieron caer las detecciones de malware de Home windows y aumentar las detecciones de Mac a medida que los delincuentes lanzaron viejas tácticas y se concentraron en ataques dirigidos.

En el informe «2020 Point out of Malware», los investigadores de Malwarebytes exploran cómo cambiaron las técnicas de ataque entre los delincuentes que buscaban robar información y aprovecharse de los miedos de las víctimas con amenazas más avanzadas. Las detecciones de malware de Windows cayeron un 24% para las empresas y un 11% entre los consumidores. Las detecciones de malware de Mac aumentaron un 31% para las empresas, pero bajaron un 40% para los consumidores.

El patrón de ataque más obvio en Windows, Mac y Android se redujo al robo de datos, dice Adam Kujawa, director de Malwarebytes Labs. COVID-19 cambió mucho la forma en que operan las empresas al hacerlo, creó un nuevo perfil de objetivo que muchos delincuentes nunca consideraron: personas que trabajan desde casa y acceden a recursos corporativos desde computadoras portátiles corporativas.

«Así que los malos ahora tenían que apuntar a personas que no están donde &#39se supone que deben estar&#39», explica Kujawa. Los empleados ya no son víctimas de ataques de spear-phishing desde sus máquinas de oficina.

«Cuando el caos y la confusión aumentan en el mundo del ciberdelito, tienden a apoyarse en lo que funciona y a hacer lo que pueden para prepararse para la siguiente etapa del ataque», continúa.

Para prepararse para este cambio, los atacantes desplegaron malware destinado a recopilar información, específicamente datos financieros y carteras de criptomonedas. Unieron sistemas a redes de bots y crearon puertas traseras para el acceso futuro, obteniendo una notion de a qué tenían acceso las personas y cuán vulnerables eran a los ataques.

Estos ladrones de información, computer software espía, puertas traseras y troyanos de acceso remoto (RAT) ayudaron a los delincuentes a descubrir cómo atacar a los empleados en sus nuevos entornos, lo que impulsó la disminución de las detecciones de malware en la primera mitad de 2020. En la segunda mitad, los investigadores vieron la regreso de grandes atacantes como Trickbot y Emotet sin embargo, no estaban usando las mismas tácticas.

Los atacantes pasaron la segunda mitad de 2020 «experimentando», lanzando campañas con menos preocupación por ser detenidos y con mayor confianza en su capacidad para comprometer rápidamente las redes. Los investigadores notaron actualizaciones, nuevos exploits agregados, nuevas herramientas que se utilizan y una nueva tendencia de fuerza bruta del Protocolo de escritorio remoto que resulta en una infección manual, dice.

«Creo que estos grupos cuentan con private de seguridad limitado que protege los puntos finales corporativos», agrega Kujawa, y señala que «menos usuarios en los puntos finales en una oficina reduce los ojos que podrían notar que algo extraño sucede en la red».

Una ventana a Home windows
Las principales detecciones para máquinas Windows comerciales incluyeron Dridex, un troyano bancario y que roba información que aumentó un 973% en detecciones entre 2019 y 2020. Farfli, un bot de puerta trasera que brinda a los delincuentes un punto de entrada que pueden usar o vender, subió un 566%. La investigación también refleja aumentos en BitCoinMiner y KMS, una detección destinada a identificar software que permite a las personas usar application de Microsoft ilegalmente. Las detecciones de KMS aumentaron un 2,251% en 2020, según el informe.

«Esto sugiere, junto con el resto de nuestros datos, que la interrupción de COVID-19 afectó tanto a las víctimas como a los atacantes, ya que muchas formas populares de malware utilizadas en 2019 se descartaron a favor de nuevas familias de malware o la reinversión en las existentes y familias de malware más antiguas «, explican los investigadores en su informe.

Las herramientas de piratería, que subieron un 173%, y los ladrones de información «realmente se llevaron la corona» el año pasado por amenazas empresariales dirigidas a Windows, dice Kujawa, y señaló que las herramientas de piratería eran más preocupantes dada la frecuencia con la que los investigadores vieron detecciones utilizadas para intrusión y ataque. Mimikatz ha aparecido con más frecuencia en los últimos años, pero se disparó en 2020, junto con detecciones de herramientas como Cobalt Strike, que pueden ayudar a los atacantes a explorar e infectar rápidamente una purple.

El ransomware ha seguido amenazando a Home windows, aunque no de la forma habitual. Señala «un gran impulso» de los atacantes para robar datos que pueden filtrar o vender en línea, una medida llamada «doble extorsión» que, según se informa, les ha hecho ganar a los atacantes más dinero que solo cifrar archivos.

«Esta nueva táctica en la actividad de ransomware significa que la confianza que los criminales intentarían establecer con la víctima ya no es necesaria», dice Kujawa. «Esto erosiona la capacidad de la víctima para negociar con el actor y la deja en un lugar mucho peor que si sólo sus archivos estuvieran encriptados».

Ataques Mac: novedades y diferencias
Las detecciones de malware de Mac cayeron desde el máximo histórico de Malwarebytes reportado en 2019, principalmente debido a una caída en las detecciones de adware y programas potencialmente no deseados (PUP). Sin embargo, las amenazas de Mac dirigidas a empresas aumentaron un 31% entre 2019 y 2020, y las detecciones para Mac de consumo y empresariales fueron bastante diferentes.

En los productos de consumo, los programas basura constituían más del 75% de todas las detecciones y el adware el resto. Para las empresas medianas y grandes, los programas basura solo representaron un tercio de las detecciones, mientras que el adware representó casi dos tercios. Las empresas más pequeñas vieron números similares a los de los dispositivos de consumo, con más detecciones de PUP. Las máquinas comerciales también vieron mucho más malware, dicen los investigadores.

Los datos indican que las principales amenazas para los entornos empresariales son el malware y el adware. De todas las detecciones de malware en macOS, las 10 principales familias de malware representaron más del 99% del complete. Familias como ThiefQuest, el malware más inusual que los investigadores vieron en 2020, experimentaron un aumento importante. ThiefQuest se propagó a través de instaladores aparentemente legítimos que se encuentran en sitios de torrents estos instaladores eliminaron malware además del software program esperado, explican los investigadores. Las Mac infectadas comenzarían a ver archivos cifrados.

La mayor parte de la actividad de malware que no es adware en macOS proviene de ataques dirigidos, muchos de los cuales provienen de atacantes de estados nacionales como Corea del Norte o China, informa Malwarebytes. Si bien hubo malware para Mac no dirigido en 2020, fue «relativamente limitado».

El aumento del año pasado en las amenazas de Mac empresarial puede estar relacionado con una mayor intención de los autores de malware de utilizar Mac como un trampolín hacia la pink corporativa, sugiere Kujawa. Alternativamente, el cambio al trabajo desde casa por parte de los empleados que usan computadoras portátiles Mac corporativas podría hacer que se enfrenten a más amenazas debido a la falta de un paraguas de seguridad de TI.

Elegir un objetivo: Mac frente a Home windows
Los ataques dirigidos a dispositivos Home windows y Mac generalmente difieren por una de dos razones: los ataques solo funcionan en un sistema operativo específico o en el perfil del objetivo detrás de la máquina, dice Kujawa.

«Windows tiende a dar a los atacantes la mayor capacidad para atacar un sistema», dice Kujawa. «El ecosistema de Home windows permite todo tipo de aplicaciones, de todo tipo de desarrolladores, con muy poca (si es que hay alguna) supervisión por parte de Microsoft en lo que está disponible para el sistema operativo».

Esto hace que Windows sea una mejor opción comercial, ya que tienen más libertad y personalización disponibles, pero también podría llevar a que los ciberdelincuentes abusen de más vulnerabilidades, exploits y fallas.

Las Mac, por el contrario, son más difíciles de identificar porque las limitaciones de Apple en la Application Keep limitan lo que los usuarios y las aplicaciones pueden hacer y modificar dentro del sistema operativo. Esto puede reducir la utilidad del sistema operativo en algunos casos, pero hace que Mac sea un objetivo más difícil en comparación con Windows, técnicamente hablando, explica Kujawa. Los atacantes que se dirigen a cada uno de estos sistemas operativos tienden a diferir porque una sola familia de malware no funcionará en ambos, a menos que esté diseñado para hacerlo, lo que, según él, «es muy raro y muy difícil».

«Un ataque de Mac podría requerir ingeniería social adicional de las víctimas», explica. «Vemos que muchas infecciones de Mac ocurren debido a descargas de torrents y / o información engañosa sobre una aplicación que instala el usuario».

Lo mismo ocurre con Android, que ha bloqueado su sistema operativo en la medida en que depende casi exclusivamente de la ingeniería social, o la falta de monitoreo de la tienda de aplicaciones de Google, para una infección de malware exitosa. Por esta razón, dice Kujawa, la mayoría de las infecciones de Android provienen de tiendas de aplicaciones de terceros. Los usuarios de Android tienen la libertad de descargar e instalar software program desde donde elijan sin embargo, esta libertad adicional puede contribuir a un riesgo adicional.

Qué ver en 2021
Las empresas deberían seguir preocupadas por las herramientas de piratería interna como Cobalt Strike y las herramientas de administrador nearby, ya que los investigadores notan un aumento en los ataques de «vivir de la tierra». Los equipos de seguridad de TI deben bloquear qué aplicaciones pueden ejecutarse y quién puede ejecutarlas. Muchas de estas herramientas se consideran legítimas y no generarán una alerta hasta que sea demasiado tarde.

El ransomware también continuará representando una amenaza, dice Kujawa, quien señala que los investigadores observaron a los atacantes cambiar de táctica y la aparición de grandes familias de ransomware como Maze y Egregor. El aumento de los ataques de «doble extorsión», combinado con un aumento del malware que puede propagarse lateralmente, representará una amenaza para las empresas durante el próximo año.

El application espía y las puertas traseras también deberían ser lo más importante, señala. Gran parte del malware distribuido hacia el inicio de la pandemia se diseñó para proporcionar datos y / o acceso a futuros atacantes, y muchas de estas infecciones se distribuyeron utilizando un señuelo relacionado con COVID-19. Kujawa aconseja a las empresas que se tomen el tiempo para limpiar sus sistemas y verificar si hay puertas traseras que podrían usarse para lanzar un ataque de ransomware u otra operación cuando un atacante lo considere oportuno.

Kelly Sheridan es la editora de individual de Darkish Examining, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original