¿Qué pensaría si le dijera que los ataques de malware han disminuido, pero que hay nuevas variantes de malware? Según el Informe de amenazas cibernéticas de SonicWall 2021, los ataques de malware han disminuido desde su nivel más alto hace tres años, mostrando una caída general del 43% en 2020.
A pesar de que suena como una gran noticia, SonicWall encontró un aumento del 73% en las cepas de malware nuevas y actualizadas que no podrían haber sido detectadas por las defensas tradicionales que se basan en definiciones estáticas.
Con la forma en que van las cosas, esperamos que esta tendencia continúe en el futuro cercano. Pero ¿por qué sucede esto y qué significa? Creo que el panorama de las amenazas es tan activo como lo es debido a la gran cantidad de nuevos participantes en el juego y al desarrollo más rápido.
Nuevas entradas
En mi investigación para mi charla RSA sobre cómo la generación más joven está aprendiendo a piratear, descubrí que el programa de televisión Mr Robot ha creado muchos fanáticos que quieren aprender a piratear. Estos jóvenes están abordando el tema a una edad temprana y tienen más recursos a su disposición en comparación con las generaciones anteriores.
Hay muchos lugares seguros para que prueben sus habilidades, como «Hack the Box», pero con el tiempo quieren probar nuevas habilidades en empresas reales. Los más responsables se ofrecerán a realizar pruebas de penetración, mientras que otros pueden dedicarse al desarrollo y ataque de malware.
Casi todos los nuevos participantes en el juego buscan construir algo y ver qué pueden conseguir más allá de nuestras defensas. Casi todos los que entrevisté durante el último año están entrando en ransomware, lo que podría explicar por qué SonicWall experimentó un aumento del 62% en este tipo de malware en 2020.
Las tensiones que están generando se están volviendo tan avanzadas que me asusta. Han pasado de idolatrar personajes de ficción a convertirse en verdaderos atacantes. En el caso de Hildacrypt, han pasado de hacer su propia versión de Petya a conducir para crear una variedad que modela las tácticas del equipo que desarrolló el ransomware SamSam.
Desarrollo más rápido
Otras bandas de personas se unirán a otros atacantes para crear ransomware y otras formas de malware con diferentes módulos (cargadores de arranque maliciosos, corredores, descifradores, etc.) y probarlo en temas del mundo real.
Después de una ronda de ataques, irán a VirusTotal para ver si alguien ha identificado su cepa. Después del descubrimiento, realizarán cambios en el código, asegurándose de que cualquier archivo use el hash de manera diferente (el hash de un archivo es la forma en que una computadora identifica un archivo). También mejorarán el rendimiento de una cepa para que sea más eficaz.
Después de esto, se lanza el siguiente ataque y el ciclo se repite. Por ejemplo, WannaCry tuvo numerosas versiones durante las primeras semanas de los primeros ataques importantes. Si bien VirusTotal no es el final para la detección de malware, ya que es el más notable, los atacantes verifican con frecuencia cuándo se registran sus cepas, lo que demora alrededor de dos a tres días antes de que deban cambiar de marcha. Con esa información, desarrollarán nuevas tácticas de evasión basadas en quién las encontró primero y trabajarán hacia atrás mientras construyen otras versiones.
Con el tiempo, estos desarrolladores de malware pueden pasar de un proyecto a otro, aportando su experiencia y conocimientos al desarrollar una nueva cepa de malware con un nuevo equipo. Cuando tienen dificultades para construir un módulo ellos mismos o tienen problemas para solucionar un problema, existe un mercado activo y económico con servicio al cliente disponible para ayudar a llenar los vacíos.
Hoy en día, es más fácil cobrar a través de ransomware y luego pagar por ayuda para desarrollar código gracias a las criptomonedas. Por lo tanto, en el futuro previsible, puede esperar ver a más personas involucrarse en el desarrollo de malware, con muchas variantes nuevas en el horizonte.
Detener el malware del futuro
La historia detrás de las amenazas persistentes avanzadas va mucho más allá del ransomware. El otro boleto caliente es, y siempre lo ha sido, la exfiltración de datos de fuentes corporativas. Siempre he dicho que la mejor manera de establecer su presupuesto de seguridad de TI es preguntarse: «¿Cuál es el valor de mis datos para un atacante?» Muchos de nosotros protegemos excesivamente los datos que son de poca utilidad para un atacante y, sin embargo, dejamos algunos datos esenciales menos protegidos porque significan menos para nosotros. Los datos intelectuales y los datos de nuestros clientes son dos de las cosas que normalmente protegemos primero.
Al desarrollar su filosofía sobre la actualización de la protección de su red, generalmente comenzamos en la red, luego miramos las conexiones, luego el punto final en sí y luego su camino hacia la nube.
Sin revelar toda la historia ahora, generalmente comenzamos con la inspección del tráfico que ingresa a la red. Dado que el 70% de las sesiones actuales están cifradas, también examinamos detenidamente la inspección de ese tráfico. A continuación, veremos cómo inspeccionamos en busca de malware desconocido que no puede ser encontrado por un firewall tradicional de próxima generación.
Los motores de espacio aislado han existido desde 2011 y han evolucionado para buscar malware en varios motores, incluso dentro de la memoria del sistema, ya que aquí es donde muchos ataques (como los ataques sin archivos) intentan iniciarse para ocultar cómo se produjeron. en la red y permanezca sin ser detectado ni intimidado por el software de seguridad.
¿Creería usted que los clientes utilizan Capture ATP con Inspección de memoria profunda en tiempo real (RTDMI) para encontrar entre 1400 y 1600 nuevas formas de malware todos los días hábiles, muchos de ellos con numerosas tácticas de evasión?
SonicWall ha estado en seguridad de TI durante 30 años y lo hemos visto todo. Hemos pasado de ser una empresa de cortafuegos a una empresa de plataformas de seguridad. Es famoso que detuvimos a WannaCry en seco en las redes de nuestros clientes tres semanas antes de que se notara el primer ataque importante.
Hemos encontrado y nombrado varias cepas nuevas a lo largo de nuestra investigación y continuamos desarrollando nuevas y mejores tecnologías para ayudarlo a descubrir y detener ataques desconocidos, de día cero y actualizados en su propia red.