Para cerrar este 2016 compartimos con ustedes las principales predicciones de los laboratorios de Kaspersky sobre lo que se espera en seguridad para 2017. Estas predicciones reafirman lo acontecido en el 2016, dentro de lo cual podemos mencionar:
1. APTs (amenazas persistentes avanzadas) mas poderosas y menos notorias para los usuarios. 2. Ransomware: importante aumento y mejoras en el secuestro de la información 3. Aumento de robo a instituciones financieras: El malware dirigido a esta industria se perfecionó aun más, atacanco inclusive a redes y servicios tan seguros como SWIFT provocando perdidas millonarias.
¿Qué nos espera en 2017?
1. El ascenso de los implantes a medida y los implantes pasivos
Lograr que las compañías y grandes empresas adopten medidas de protección ya es un trabajo difícil. Pero también hay que darse cuenta cuando estas medidas comienzan a desgastarse o fallar. Los Indicadores de Compromiso (IoC) son una muy buena manera de compartir los rasgos de los programas maliciosos conocidos, incluyendo los hashes, dominios y características de ejecución que puedan ayudar a los defensores a reconocer una infección activa. Sin embargo, esa minoría de ciberespías que marca tendencias ha aprendido a defenderse de estas medidas generalizadas. Así lo demuestra la reciente APT ProjectSauron, una plataforma de malware hecha a medida que ajusta cada una de sus características a las peculiaridades de su víctima, por lo que los defensores no pueden usarla para detectar otras infecciones. Esto no quiere decir que los defensores no tengan otros recursos para combatir estas amenazas, pero es hora de que impulsemos la adopción más extensa de las reglas Yara que nos permiten, por un lado, inspeccionar en detalle a una empresa para rebuscar e identificar características específicas en binarios en disco; por otro, escanear la memoria RAM en busca de fragmentos de ataques conocidos.
ProjectSauron también tenía un rasgo complejo que se cree será visto cada vez más seguido: el del “implante pasivo”. Una puerta trasera que opera en una red, presente en la memoria o como un driver con una puerta trasera en un portal de acceso a Internet o en un servidor de acceso a la red, espera en silencio a que unos bytes mágicos despierten sus funcionalidades dormidas. Hasta que esto no suceda, los implantes pasivos presentan pocos o ningún indicador de que exista una infección activa, por lo que suelen ser descubiertos solo por defensores paranoicos y en situaciones de respuesta a incidentes más amplios. Hay que tener presente que estos implantes no tienen una infraestructura de administración predefinida que permita identificar su relación con otro malware y, por lo tanto, la punta de lanza que establecen es mucho más anónima. Por eso es la herramienta preferida de los atacantes más cautelosos, que deben garantizarse una forma de ingresar a la red de sus enemigos sin mucho tiempo de preparación.
2. Infecciones efímeras
PowerShell ha pasado a ser la herramienta soñada de los administradores de Windows, pero también es la herramienta perfecta para la gama de desarrolladores de malware que buscan un lugar para desplegar sus creaciones de forma sigilosa, con movimiento lateral y capacidades de recolección de datos difíciles de conseguir en configuraciones estándar. Es posible que los pequeños programas maliciosos para PowerShell que se almacenen en la memoria o en el registro de los sistemas de Windows modernos tengan su momento de gloria. Es más, no sorprendería que comiencen a surgir infecciones efímeras: malware alojado en la memoria RAM, sin intenciones de quedarse, que se dedique al reconocimiento general del sistema y recolección de credenciales. En ambientes muy delicados, los atacantes sigilosos no tendrían problema en operar sólo hasta que su programa se borre de la memoria con un reinicio, esto les ayuda a evadir sospechas y evitar las pérdidas operacionales que sufren cuando los investigadores y defensores descubren sus programas. Las infecciones efímeras destacan la necesidad de heurísticas proactivas y sofisticadas en soluciones anti-malware avanzadas.
Aumentará la popularidad de las infecciones cortas, entre ellas mediante el uso de PowerShell Se cree que con el aumento del interés de los cibercriminales en estas operaciones también se verá un ascenso de una clase de intermediarios para ataques SWIFT en el escalonado submundo de los negocios del cibercrimen. Para realizar un ataque de este tipo se necesita tener acceso inicial, programas especializados, paciencia y, a la larga, un sistema de lavado de dinero. Cada uno de estos pasos está ocupado por cibercriminales bien establecidos que cobran por sus servicios, siendo la única pieza faltante el malware especializado para realizar los ataques de SWIFT. Esperamos ver estas herramientas a la venta en foros cibercriminales como recursos especializados o como servicios estratificados.
3. Sistemas de pago resistentes
Como los sistemas de pago se están haciendo cada vez más populares y su adopción se está difundiendo, pronosticamos que los delincuentes mostrarán cada vez mayor interés en ellos. Pero parece que sus intentos maliciosos se han topado con mucha resistencia, y hasta ahora no se han detectado grandes ataques. Sin embargo, este alivio para los consumidores puede ser un dolor de cabeza para los proveedores de sistemas de pago, ya que un siguiente paso para los cibercriminales será lanzar ataques directos a la infraestructura de sus sistemas de pago. Tanto si estos ataques causan pérdidas financieras o simples inconvenientes de funcionamiento, creemos que en 2017 recibirán más atención de los delincuentes.
4. El ransomware deshonesto
Si bien todos odiamos el ransomware (y con buenas razones), hay que admitir que su éxito depende en gran parte de los beneficios de la relación de confianza que se establece entre la víctima y su atacante. Este ecosistema criminal se basa en el principio de que el atacante cumplirá el acuerdo tácito con la víctima y le devolverá el acceso a sus archivos secuestrados cuando ella pague el rescate exigido. Aunque sea sorprendente, los cibercriminales han honrado su palabra y esto ha sido clave para su prosperidad, pero a medida que aumenta su popularidad, es muy probable que cibercriminales de menor nivel se unan al juego y aparezca cada vez más “ransomware” que no cumpla con las garantías de calidad o no cuenten con la capacidad para cumplir con sus promesas de descifrar los datos.
5. El gran botón de la destrucción
Fuente de información: Juan Andrés Guerrero-Saade, GReAT, Costin Raiu – noviembre 16, 2016. 9:00 am
Si desea leer el boletin de seguridad completo el link es: https://securelist.lat/analysis/boletin-de-seguridad-de-kaspersky/84341/kaspersky-security-bulletin-predictions-for-2017/
#2017