Uso malintencionado de PowerShell, ataques a Business 365 …



También hubo un fuerte aumento en los volúmenes generales de malware en el cuarto trimestre de 2020, la actividad de ataque relacionada con COVID-19 y el malware móvil, según muestran los nuevos datos.

Para los equipos de seguridad, hubo mucho más de todo contra lo que defenderse en el último trimestre de 2020 en comparación con los meses anteriores.

Las amenazas de PowerShell crecieron un 208% El malware de Microsoft Workplace aumentó un 199%, mientras que el malware dirigido a dispositivos móviles aumentó un 118% entre el tercer y cuarto trimestre de 2020. Y el malware y las amenazas relacionados con COVID-19 aumentaron un 114%.

Un nuevo análisis de McAfee de los datos de amenazas durante el período también mostró aumentos similares en varios otros frentes. El volumen de amenazas de malware detectadas en las redes empresariales aumentó un 10% a 648 amenazas por minuto en comparación con las 588 del tercer trimestre de 2020 El ransomware volvió a crecer en volumen, esta vez en un 69% y los adversarios golpearon las cuentas de usuarios de la nube que pertenecen a los clientes de McAfee con la asombrosa cantidad de 3,1 millones de ataques en el último trimestre de 2020.

De McAfee análisis mostró que las empresas de tecnología fueron las entidades más objetivo en el cuarto trimestre, seguidas por las organizaciones del sector público. Los ataques informados públicamente contra el sector de la tecnología aumentaron un 100%, mientras que los dirigidos a entidades del sector público aumentaron un 93% en los últimos tres meses de 2020.

Sandeep Chandana, director del grupo MVISION Cloud de McAfee, dice que una gran parte de los ataques a la nube en el cuarto trimestre fueron dirigidos a cuentas de Microsoft Workplace 365. Los ataques podrían clasificarse como ataques de inicio de sesión distribuidos en cientos o miles de cuentas de Workplace 365 a través de dispositivos de consumo comprometidos, o ataques dirigidos a una pequeña cantidad de cuentas potencialmente de alto valor.

Otros proveedores de seguridad han informado de un aumento related en los ataques a la nube dirigidos a entornos de Workplace 365 durante el año pasado. Vectra AI de marzo de 2021 informe basado en una encuesta world-wide de más de 1.100 profesionales de seguridad de TI, por ejemplo, mostró que muchas organizaciones han aumentado su uso de Business office 365 debido a la pandemia. Más de siete de cada 10 (71%) de los encuestados dijeron que habían experimentado un promedio de siete incidentes en los que los atacantes se habían apoderado de una cuenta legítima de Office environment 365.

Chandana dice que hubo otros patrones en torno a los ataques nativos de la nube en el cuarto trimestre de 2020. «Los ataques nativos de la nube recientes también podrían clasificarse por los tipos de región de origen y vertical de la industria objetivo», dice. «Los ataques a las organizaciones financieras parecían tener su origen en una parte del mundo, mientras que los ataques al sector público tienden a originarse en una parte relativamente diferente del mundo», dice.

Los volúmenes de malware en general aumentaron un 43% y continuaron siendo el principal vector de ataque para la mayoría de los incidentes de seguridad detectados en el cuarto trimestre, seguidos de los secuestros de cuentas del tipo dirigido a las cuentas de Place of work 365. Mientras tanto, los ataques dirigidos a nuevas vulnerabilidades se dispararon un 100% en el cuarto trimestre, mientras que los ataques dirigidos aumentaron un 43%.

Oleada de PowerShell

Un component que complicaba los esfuerzos de detección en muchas empresas fue el uso agudo y continuo de PowerShell en los ataques. Una investigación reciente de Pink Canary mostró que los atacantes comúnmente usan intérpretes de comandos y scripts como Home windows Command Shell y PowerShell para ejecutar comandos maliciosos y ejecutar scripts y binarios cuando llevan a cabo un ataque. Más del 48% de las organizaciones del estudio de Crimson Canary informaron haber encontrado incidentes en los que PowerShell formaba parte de la cadena de ataque.

Raj Samani, científico jefe de McAfee, dice que hubo campañas específicas en el cuarto trimestre de 2020 que aumentaron drásticamente los informes de incidentes en esta categoría. «PowerShell es una herramienta con buenos y malos usos», dice. Las organizaciones deben considerar su apetito por el riesgo al sopesar las decisiones sobre si permitir su uso o no, dice. «Si va a ejecutar PowerShell, necesita tener mecanismos para monitorear su uso», señala Samani.

Y, dice, el hecho de que las políticas empresariales no permitan el uso de PowerShell no significa que PowerShell no se esté utilizando de todos modos. «Anticípese y monitorícelo en su entorno».

El aumento en los volúmenes de malware y ataques que McAfee observó en los últimos tres meses de 2020 se produjo en medio de señales de que las organizaciones están mejorando en la detección de incidentes de seguridad por sí mismas, algo que ha sido un problema de larga information para muchos. A nuevo análisis de un año de datos de intrusión de FireEye Mandiant mostró que en el 59% de los incidentes, la propia organización detectó la intrusión inicialmente, una mejora del 12% con respecto al año anterior.

Sin embargo, en muchos casos, las organizaciones parecen haber detectado infracciones solo porque habían sido atacadas con ransomware, en lugar de debido a capacidades mejoradas de detección de amenazas.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary