Sección de Noticias

21 septiembre, 2016

El Ransomware continúa creciendo como amenaza

ransomware-grupo-novatiUna de las empresas que más se ocupó de estudiar el accionar de esta amenaza es Cisco. Sus especialistas prevén que evolucionará con características cada vez más destructivas, lo que permitirá que estos programas dañinos se expandan y mantengan su presencia en las redes, lo que significa un aumento de su impacto, que actualmente dura sólo unos minutos.

Una de las conclusiones más importantes del último Reporte de Ciberseguridad de Cisco es que las empresas no están preparadas para enfrentar la nueva generación de Ransomware. Los factores que determinan esta incapacidad son: infraestructuras frágiles, falta de mantenimiento de las redes y lentitud en los tiempos de detección.

Otros de los puntos clave del reporte indican que los delincuentes informáticos están utilizando ataques paralelos a los servidores, denominados server-side attacks e incrementando el uso de encriptación para ocultar su actividad.

La nueva generación de Ransomware tiene la capacidad de cambiar rápidamente de tácticas para maximizar su eficiencia. Por ejemplo, evitan la detección al limitar el uso del CPU y de los comandos de acción y control. Se dispersan más rápidamente y tienen la capacidad de auto replicarse.

Su detección en las redes y sus endpoints continúa siendo uno de los principales desafíos. En promedio, las organizaciones se tardan aproximadamente 200 días para identificar nuevas amenazas. El tiempo estimado de detección de Cisco (Cisco’s median time to detection -TTD), alcanza actualmente un promedio de 13 horas para la detección de amenazas que no hayan sido identificadas con anterioridad en los seis meses previos a abril de 2016. Estos resultados están por debajo de las 17.5 horas obtenidas en periodo que terminó en octubre de 2015. Estas cifras están basadas en datos de seguridad en telemetría (opt-in security telemetry) tomada de los productos de seguridad de Cisco desplegados alrededor del mundo.

El Reporte de Ciberseguridad 2016 de Cisco demuestra que organizaciones en industrias críticas como la de la salud, han experimentado un incremento en los ataques durante los últimos meses, los hallazgos del informe indican que todos los mercados verticales, regionales y globales están siendo afectados. En el escenario mundial, las preocupaciones geopolíticas incluyen la complejidad de las regulaciones y de las políticas de ciberseguridad que son contradictorias entre países. La necesidad de controlar o acceder a datos puede limitar y entorpecer los procesos del comercio internacional en un panorama de amenazas de ataques más sofisticados.

ENFOQUE DE EXPANSIÓN

Los atacantes están utilizando exploits en los servidores, evadiendo la detección y maximizando los daños potenciales y sus ganancias. Las vulnerabilidades de Adobe Flash continúan siendo uno de los principales objetivos de malvertising y exploit kits. En el kit de explotación Nuclear, los de Flash representaron el 80 por ciento de los intentos exitosos. Cisco también identificó una nueva tendencia en ataques de Ransomware que aprovecha las vulnerabilidades de los servidores (específicamente dentro de los servidores JBoss) de los cuales, el 10 por ciento de los conectados a Internet alrededor del mundo, se encontraban comprometidos. Muchas de las vulnerabilidades que se usaron para comprometer los sistemas JBoss se identificaron hace 5 años, lo que indica que ajustes básicos y actualizaciones pudieron haber prevenido fácilmente los ataques.

LAS METODOLOGÍA DE ATAQUE EVOLUCIONAN

Durante la primera mitad del 2016, los delincuentes informáticos continuaron desarrollando sus métodos de ataque para capitalizar la falta de visibilidad de los responsables de Seguridad de las empresas. Windows Binary exploits creció hasta convertirse en el principal método de ataque web de los últimos seis meses. Este método proporciona un fuerte punto de apoyo en las infraestructuras de red y hace que los ataques sean más difíciles de identificar y eliminar. Durante este mismo rango de tiempo, la ingeniería social a través de estafas de Facebook descendió al segundo lugar, de la primera posición que ocupó en 2015.

USO DE LA CRIPTOGRAFÍA EN LOS ATAQUES

Los delincuentes informáticos están incrementando el uso de encriptación como un método para enmascarar varios componentes de sus operaciones. Cisco identificó el uso de cryptocurrency, Transport Layer Security y Tor, que posibilitan comunicaciones anónimas a través de la web. De manera significativa, el malware HTTPS-encrypted usado en campañas de malvertising se incrementó en un 300 por ciento de diciembre de 2015 a marzo de 2016. El malware encriptado le da a los adversarios la posibilidad adicional de ocultar sus actividades en la web y así expandir su tiempo de operación.

EL PROBLEMA DE LAS VULNERABILIDADES

En un escenario de ataques sofisticados, recursos limitados y una infraestructura que está envejeciendo, los datos del informe indican que los Responsables de Seguridad realizan menos mantenimiento de la red. Google Chrome, genera actualizaciones constantes y tiene alrededor de 75 a 80 por ciento de sus usuarios usando la última versión del buscador o una versión anterior. Java tiene migraciones paulatinas con un tercio de los sistemas que corren con el Java SE 6, que está siendo desplazado por Oracle. En la versión 15 de Microsoft Office 2013,10 % o menos de la población con una versión más avanzada está usando la versión más nueva del Service Pack.

Cisco encontró que mucha de su infraestructura no tenía soporte o continuaba operando con vulnerabilidades que conocían. Este es un problema sistemático con los proveedores y los endpoints. Los investigadores de Cisco examinaron 103,121 de sus dispositivos conectados a internet y descubrieron que:

  • Cada dispositivo estaba operando con al menos 28 vulnerabilidades conocidas.
  • Los dispositivos estaban operando activamente con vulnerabilidades conocidas durante un promedio de 5.64 años.
  • Más de 9 por ciento tiene conocimiento de vulnerabilidades que llevan más de 10 años operando.

Cisco también examinó la infraestructura de software en una muestra de más de 3 millones de instalaciones. La mayoría de estas eran Apache y OpenSSH con un promedio de 16 vulnerabilidades conocidas, operando por un promedio de 5.05 años.

Las actualizaciones de los buscadores son más livianas para los endpoints, mientras que las aplicaciones de las compañías y de los servidores de infraestructura son más difíciles de actualizar y pueden causar problemas de continuidad en los negocios. Entre más crítica sea una aplicación para la operación del negocio, menores son las posibilidades de que esta sea actualizada con frecuencia, creando brechas y oportunidades para los atacantes.

LAS RECOMENDACIONES DE CISCO QUE DEBE CONSIDERAR EL CANAL

  • Que los clientes mejoren el mantenimiento de la infraestructura mediante su monitoreo de la red, despliegue de parches y actualizaciones a tiempo, segmentación, implementación de defensas que incluyan e-mail y web, Firewalls e IPS de última generación.
  • Recomendar la medición de los tiempos de detección, tratando de exponer las amenazas y abordarlas inmediatamente. Hacer que las métricas sean parte de la política organizacional de seguridad para promover el desarrollo.
  • Que no olviden a los usuarios donde quiera que estén y donde sea que trabajen, no solamente los sistemas con los que interactúan o en los tiempos en los que están utilizando la red corporativa.
  • Recordar que es necesario hacer respaldo de datos críticos y de manera rutinaria, evaluar la efectividad y al mismo tiempo confirmar que no estén susceptibles a ser comprometidos

Fuente: http://argentina.itsitio.com/

Ransomware , , ,