Investigaci贸n de HP sobre amenazas muestra que agresores exploran vulnerabilidades antes de que las empresas puedan corregirlas

  • El equipo de investigaci贸n de amenazas HP Wolf Security analiza c贸mo los ciberdelincuentes utilizan proveedores en la nube leg铆timos para alojar malware, as铆 como cambiar tipos de archivos y secuencias de comandos para evadir herramientas de detecci贸n

HP Inc. (NYSE: HPQ) ha publicado su m谩s reciente reporte global HP Wolf Security Threat Insights, el cual hace un an谩lisis sobre los ataques a la seguridad cibern茅tica del mundo. Al aislar amenazas que han evadido herramientas de detecci贸n y han llegado a los puntos finales de los usuarios, HP Wolf Security cuenta con una visi贸n 煤nica de las m谩s recientes t茅cnicas que utilizan los ciberdelincuentes.

Explotaci贸n del motor

El equipo de investigaci贸n de amenazas HP Wolf Security hall贸 evidencia de que los delincuentes cibern茅ticos se est谩n moviendo r谩pidamente para convertir en armas nuevas vulnerabilidades de ‘d铆a cero’. Las vulnerabilidades del CVE-2021-40444 de d铆a cero1鈥 una vulnerabilidad de ejecuci贸n remota de c贸digo que permite la explotaci贸n del motor del navegador MSHTML utilizando documentos de Microsoft Office, fueron detectadas por primera vez por HP el 8 de septiembre, una semana antes de que se liberara el parche el 14 de septiembre.

Para el 10 de septiembre, solo tres d铆as despu茅s del bolet铆n inicial de amenazas , el equipo de investigaci贸n de HP vio scripts dise帽ados para automatizar la creaci贸n de este exploit que se compart铆an en GitHub. A menos que est茅 parcheado, el exploit permite a los atacantes comprometer los puntos finales con muy poca interacci贸n del usuario. Utiliza un archivo de almacenamiento malicioso, que implementa malware a trav茅s de un documento de Office. Los usuarios no tienen que abrir el archivo ni habilitar macros, con s贸lo verlo en el panel de vista previa del explorador de archivos es suficiente para iniciar el ataque, por lo que, un usuario a menudo no sabr谩 que ha sucedido. Una vez que el dispositivo se ve comprometido, los ciberdelincuentes pueden instalar puertas traseras en los sistemas, que podr铆an venderse a grupos de ransomware.

Otras vulnerabilidades notables que identific贸 el equipo contra amenazas HP Wolf Security fueron:

Alza en el n煤mero de delincuentes cibern茅ticos que usan proveedores leg铆timos en la nube y la web para hospedar malware: una reciente campa帽a de GuLoader hospedaba el Remcos Remote Access Trojan (RAT) en plataformas importantes como OneDrive para evadir sistemas de detecci贸n de intrusiones y aprobar las pruebas de whitelisting. HP Wolf Security tambi茅n descubri贸 m煤ltiples familias de malware hospedadas en plataformas de redes sociales para gamers como Discord.

Malware de JavaScript que evadi贸 herramientas de detecci贸n: una campa帽a que propag贸 varios JavaScript RATs a trav茅s de varios anexos maliciosos en correos electr贸nicos. Los descargadores JavaScript tienen una tasa de detecci贸n m谩s baja que los descargadores Office o binarios. RATs son cada vez m谩s comunes a medida que los atacantes buscan robar referencias para cuentas empresariales o carteras de criptomonedas.

Campa帽a dirigida que se hac铆a pasar como el fondo para la Seguridad Social Nacional de Uganda: Los atacantes usaron 鈥渢yposquatting鈥 鈥 una direcci贸n web falsa similar a un nombre de dominio oficial 鈥 para llevar a usuarios a un sitio donde se descarga un documento de Word malicioso. Este ataque usa macros para ejecutar una secuencia PowerShell que bloquea registros de seguridad y evade la funci贸n Windows Antimalware Scan Interface.

F谩cil acceso gracias a las secuencias de comandos

Cambiar a archivos HTA despliega el malware con un solo clic: Trickbot Trojan ahora viaja a trav茅s de archivos HTA (aplicaci贸n HTML), lo cual despliega el malware en cuanto se abre el anexo o archivo que lo contiene. Por ser un tipo de archivo poco com煤n, los archivos HTA maliciosos son menos propensos a ser descubiertos por herramientas de detecci贸n.

鈥淓l tiempo promedio que tarda una empresa en aplicar, probar e implementar parches por completo con su correspondiente an谩lisis es de 97 d铆as, dando a los agresores oportunidad de explotar esta ‘ventana de vulnerabilidad’. Aunque solo los hackers m谩s capaces pueden explotar esta vulnerabilidad inicialmente, las secuencias de comandos han permitido un f谩cil acceso, haciendo que este tipo de ataque sea accesible a atacantes con menos experiencia.

Esto aumenta sustancialmente el riesgo para las empresas, ya que las vulnerabilidades de d铆a cero se vuelven disponibles para el mercado masivo; como sedes de foros clandestinos鈥, explic贸 Alex Holland, analista senior de malware del equipo de investigaci贸n sobre amenazas HP Wolf Security en HP Inc. 鈥淓stas nuevas vulnerabilidades suelen ser efectivas para evadir herramientas de detecci贸n porque las firmas pueden ser imperfectas y se vuelven obsoletas r谩pidamente a medida que cambia el entendimiento del alcance de una vulnerabilidad. Creemos que los atacantes adoptar谩n CVE-2021-40444 como parte de su arsenal, y muy posiblemente remplacen vulnerabilidades comunes; para obtener acceso inicial a los sistemas actuales, como los que atacan Equation Editor鈥.

Los atacantes no se detienen, por ende HP Wolf Security refuerzan la protecci贸n

鈥淭ambi茅n hemos visto c贸mo plataformas importantes como OneDrive est谩n permitiendo a hackers llevar a cabo ataques fugaces. Aunque el malware hospedado en dichas plataformas por lo general se contiene r谩pidamente, esto no detiene a los atacantes porque pueden alcanzar su objetivo de suministrar malware en las pocas horas que los enlaces est谩n activos鈥, continu贸 Holland. 鈥淎lgunos actores de amenazas cambian la secuencia de comandos o el tipo de archivo que utilizan cada pocos meses. Los archivos JavaScript y HTA maliciosos no son una novedad, pero siguen llegando a bandejas de entrada de empleados, poniendo en riesgo a la empresa. Una campa帽a implement贸 Vengeance Justice Worm, el cual se puede extender a otros sistemas y unidades USB鈥.

Los hallazgos se basan en datos de millones de terminales que ejecutan HP Wolf Security. HP Wolf Security monitorea malware al abrir tareas riesgosas en micro m谩quinas virtuales (micro VM) aisladas para entender y capturar toda la cadena de infecci贸n; ayudando a mitigar amenazas que han escapado de otras herramientas de seguridad. Esto ha permitido a los clientes dar clic en m谩s de 10 mil millones de anexos en correos electr贸nicos, p谩ginas web y descargas sin reporte de filtraci贸n de informaci贸n2. Al entender mejor la conducta del malware en su h谩bitat natural; los investigadores e ingenieros de HP Wolf Security pueden reforzar la protecci贸n de las terminales endpoint y la resistencia general de los sistemas.

Algunos de los hallazgos clave del reporte fueron:

  • El 12% del malware por correo electr贸nico aislado hab铆a eludido al menos un esc谩ner de compuerta
  • El 89% del malware detectado fue enviado v铆a correo electr贸nico, mientras que las descargas web fueron responsables por el 11%; y otros vectores como dispositivos de almacenamiento removibles en menos de 1% de los casos
  • Los archivos anexos m谩s comunes que se usan para enviar malware fueron archivos (38%, en comparaci贸n con el 17.26% del trimestre pasado), documentos Word (23%); hojas de c谩lculo (17%) y archivos ejecutables (16%)
  • Los cinco enga帽os m谩s comunes estaban relacionados con transacciones empresariales como 鈥渙rden鈥, 鈥減ago鈥, 鈥渘uevo鈥, 鈥渃otizaci贸n鈥 y 鈥渟olicitud鈥
  • El reporte hall贸 que el 12% del malware capturado era previamente desconocido3

鈥淣o podemos seguir confiando solo en la detecci贸n. El panorama de amenazas es muy din谩mico y, como podemos ver del an谩lisis de amenazas capturadas en nuestras m谩quinas virtuales (VM); los atacantes cada vez son m谩s 谩giles para evadir sistemas de detecci贸n”, coment贸 el Dr. Ian Pratt, titular global de seguridad para sistemas personales en HP Inc. 鈥淟as empresas deben adoptar una visi贸n escalonada respecto a la seguridad de terminales, siguiendo principios de confianza cero para contener y aislar los vectores de ataque m谩s comunes como correo electr贸nico, navegadores y descargas. Esto eliminar谩 la superficie del ataque para todo tipo de amenazas; mientras que da a las empresas el espacio necesario para coordinar ciclos de parches de forma segura sin interrumpir sus servicios.鈥

Deja un comentario

A %d blogueros les gusta esto: