Por qué la detección de malware tradicional no puede detener las últimas amenazas de seguridad


Aislar su hardware y sus aplicaciones es una forma más eficaz de evitar que el malware infecte sus puntos finales críticos, dice HP.

Ataque de malware informático

Getty Pictures / iStockphoto

La defensa de su organización contra el malware solía ser una cuestión de ejecutar el application antivirus adecuado para detectar y bloquear cualquier amenaza a la seguridad. Pero esos días quedaron atrás. La lucha contra las amenazas cibernéticas más sofisticadas y perniciosas de la actualidad requiere un enfoque más avanzado. En su nuevo Informe Trimestral de Perspectivas de Amenazas, HP describe los últimos tipos de amenazas que afectan a las organizaciones y ofrece consejos sobre cómo eliminarlas de manera más eficaz.

VER: Política de formación y sensibilización sobre seguridad (TechRepublic Quality)

los Informe HP-Bromium Threat Insights analiza el malware observado durante el cuarto trimestre de 2020. Para investigar estas amenazas, HP examinó los resultados de los clientes que utilizaron su propio producto Guaranteed Click Company, que bloquea y captura malware y permite que se ejecute en contenedores seguros aislados.

Últimas amenazas

Casi un tercio del malware visto por HP durante el trimestre period desconocido anteriormente, en gran parte debido al uso de empacadores y técnicas de ofuscación por atacantes que intentan evadir la detección. Aproximadamente el 88% del malware observado se envió a las bandejas de entrada de correo electrónico de los usuarios después de pasar por alto los filtros de la puerta de enlace. En promedio, los productos antivirus tardaron más de ocho días en analizar nuevas amenazas y agregarlas a sus archivos de definición.

Entre todas las muestras de malware analizadas, los troyanos representaron el 55%, en gran parte impulsados ​​por campañas de spam diseñadas para implementar el Malware Dridex. El tipo más común de archivos adjuntos maliciosos fueron documentos (visto en el 31% de las muestras), archivos de almacenamiento (visto en el 28%), hojas de cálculo (visto en el 19%) y archivos ejecutables (visto en el 17%).

«El mayor aumento se produjo en las campañas Dridex, que los atacantes suelen utilizar para implementar ransomware», dijo Alex Holland, analista senior de malware de HP, en un comunicado de prensa. «En última instancia, cualquier atacante que se establezca en un punto final es una mala noticia: puede usar este acceso para extraer credenciales, moverse lateralmente entre sistemas, exfiltrar datos o vender su acceso a otros ciberdelincuentes, por lo que crea un gran riesgo para las empresas».

Una vulnerabilidad particularmente desagradable detectada por HP durante el cuarto trimestre fue CVE-2017-11882, una falla de corrupción de memoria en el Editor de ecuaciones de Microsoft Office que representó casi el 75% de las vulnerabilidades detectadas por HP. Otro fue CVE-2017-0199, que ejecuta scripts maliciosos que implementan malware cuando un usuario abre un documento de Business.

Una tendencia detectada por HP involucró a un nuevo creador de malware de Workplace llamado APOMacroSploit diseñado para implementar troyanos de acceso remoto (RAT). En este, los atacantes envían correos electrónicos no deseados que intentan engañar al destinatario para que abra un archivo adjunto de Excel. Abrir el archivo instala BitRAT en la computadora, que los atacantes pueden usar para ver la actividad de la cámara website, registrar pulsaciones de teclas, extraer criptomonedas y descargar más archivos maliciosos.

malicioso-spam-hp.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/03/16/4b611614-d51f-4f99-80e8-7ff2b42cfa38/resize/770x/370323a9b838714b37534b607da48605 /malicious-spam-hp.jpg

Correo electrónico no deseado malicioso que contiene el malware APOMacroSploit

Imagen: HP

«Los kits de malware como servicio de bajo costo son una perspectiva atractiva para los ciberdelincuentes, y hemos visto que estos continúan proliferando en foros clandestinos», dijo Holland. «Kits como APOMacroSploit, que surgieron en el cuarto trimestre de 2020, se pueden comprar por tan solo 50 dólares, lo que ilustra cuán baja es la barrera de entrada para el delito cibernético oportunista».

Durante el cuarto trimestre, Emotet también dio un último suspiro antes de su eliminación en enero de 2021. Los criminales detrás de esta infame botnet alteraron su descargador usando DOSfuscación técnicas para evitar la detección. El descargador también mostró un mensaje de mistake cuando se abría, comportamiento atípico para un documento malicioso.

Cómo pueden protegerse las empresas

Los atacantes siguen encontrando nuevas formas de eludir los controles de detección, por lo que tratar de detectar todas las amenazas es inútil, ya que algo siempre se escapa, dijo Ian Pratt, director world wide de seguridad para sistemas personales de HP, en el comunicado de prensa. Como resultado, más organizaciones buscan integrar principios de confianza cero en sus defensas de seguridad.

«Depender únicamente de la detección sólo dará como resultado un resultado insatisfactorio para la organización, por lo que se requiere un enfoque de seguridad más sólido desde el punto de vista arquitectónico uno que incorpore la protección desde el components», dijo Pratt.

«Las tecnologías aplicadas por hardware, como la microvirtualización, son transparentes para el usuario remaining esto significa que pueden hacer clic en los archivos adjuntos del correo electrónico y descargar archivos como lo harían normalmente, pero saben que si algo es malicioso, se vuelve inofensivo». Dijo Pratt. «Este enfoque de protección primero deja a los piratas informáticos sin nada que robar ni forma de persistir, lo que ayuda a las organizaciones a lidiar con la variedad de amenazas que los ciberdelincuentes les arrojarán».

Específicamente, Pratt aconseja a las organizaciones que utilicen el aislamiento de aplicaciones y components para evitar que el malware induce daños.

«El aislamiento de aplicaciones a través de la virtualización aplica el acceso con privilegios mínimos a las actividades de riesgo en el punto ultimate, lo que hace que el malware sea inofensivo al aislarlo en micro máquinas virtuales», dijo Pratt.

«El aislamiento reforzado por components elimina la oportunidad de que el malware lead to daño a la Pc host, incluso del malware novedoso, porque no depende de un modelo de seguridad de detección para proteger», agregó. «Al tener la seguridad incorporada a nivel de components, los dispositivos de punto last pueden ayudar a defender a los usuarios y recuperarse de los ataques de forma automática, mejorando la resiliencia empresarial».

Ver también



Enlace a la noticia original