Posted: 27 Oct. 2020

Tendencias ciber 2020

Volver a Cyber ​​Pills

A lo largo de los últimos años, hemos sufrido una vez más una incesante ola de incidentes relacionados con la ciberseguridad en entornos corporativos. La ciberseguridad, desde el punto de vista del negocio de (casi) cualquier empresa es una actividad que, por si misma, no genera beneficio, por lo que suele ser un ámbito en el que las empresas miden mucho la cantidad a invertir. Este aspecto lo saben los atacantes y es, precisamente, la clave de lo que está por venir .

Si observamos cualquier tendencia en ciberseguridad, lo primero que nos llamará la atención es el gran incremento de incidentes por año que se han venido produciendo en los últimos tiempos. Los atacantes intuyen los problemas de las organizaciones para adoptar estrategias eficaces de seguridad, determinados en algunos casos por falta de recursos económicos en algunos casos y, en, falta de concienciación ante la importancia que tiene la seguridad en un mundo tecnológicamente dependiente.

Los ciberataques sufridos tanto por empresas como por la Administración en todo el mundo no van a hacer más que crecer. Si observamos las últimas informaciones sobre lo que podríamos llamar malware estándar , van a crecer tanto en uso como en complejidad. Si no crecemos con ellos, nos superarán.

Partiendo de esta hipótesis, se presentan un conjunto de predicciones sobre malware e incidentes para 2020:

Tipos de malware

Durante 2020, vemos evolucionar sobre todos los incidentes relacionados con malware de tipo ransomware . Hasta ahora, estos ataques mayormente de carácter masivo y genérico tenían como único fin el cifrado de un gran número de archivos del dispositivo comprometido para solicitar un rescate por ellos posteriormente. En este aspecto han evolucionado principalmente en su alcance y capacidad de infección durante los últimos años, pero en este 2020 los grandes ataques estarán relacionados también con el robo de datos.

Un top 5 de campañas de malware podrían ser los siguientes:

1. Script de Visual Basic (macros). Es el clásico de todas las infecciones; correo con documento malicioso, haga clic en el eslabón más débil y el malware ya campa a sus anchas por el dispositivo comprometido. Este tipo de malware seguirá siendo el top 1 en cuanto a volumetría, el iniciador de cualquier incidente que más tarde traerá otros tipos de malware y que aumentará en complejidad para evitar las típicas soluciones de comportamiento en la relación padre-hijo de procesos.

2. Scripts de PowerShell (fase II) . Otro clásico de cualquier incidente, Powershell; la navaja suiza del malware: igual descarga un ejecutable, que carga una shell con 3 vueltas de AES en memoria sin que nadie se de cuenta. Los atacantes cada vez están adquiriendo más experiencia en esta herramienta y el uso que hacen de ella es cada vez más complejo. Durante 2020, seguiremos viendo como los actores de amenazas marcan el tempo con powershell haciendo estragos en las infraestructuras durante la propagación y escalada de privilegios, mientras que las herramientas estándar AV / EDR se las ven negras para detectar algo vía AMSI (el cual, como ya sabemos , es habitual que sea bypasseado).

3. Malware-bancario.exe (fase III) . A veces no es necesario complicarse tanto la vida. ¿Para qué hacer el malware definitivo en powershell contra una compañía, si un simple ejecutable para comprometer al ciudadano de a pie funciona bien? Amenazas como Grandoreiro y Banload pueden aparecer como un exe y complicar mucho la vida en cualquier organización, ya que hasta que los fabricantes AV identifiquen una muestra y empiecen a bloquear el hash, el malware puede haber hecho mucho, pero que mucho daño.

Todo esto sin hablar del gran incremento que está sufriendo, y sufrirá durante este 2020 el malware bancario destinado a dispositivos móviles, cuyo uso exhaustivo por parte de los usuarios va a causar estragos.

4.Ransom.crypt (Fase final) . Todos los incidentes no serán contra el usuario final, sino que las corporaciones serán un objetivo importante. Ryuk, NetWalker, Sodinokibi y otras muestras han estado copando las noticias mundiales por los daños que han causado en múltiples organizaciones apoyándose de las herramientas anteriores. Esto no va a parar de crecer. Por si fuera poco, es uno de los tipos de amenaza más difíciles que hay de cortar. Suele ser rápido y silencioso. Muy pocas herramientas en el mercado son capaces de detectarlas y su uso no para de extenderse. 2020 será su año, ya que cada vez más vemos interactuar a grupos con Threat actor especializado en distribución y propagación.

5.Capa 8 . Otro clásico desde que existe el malware, ya sea por un servidor abandonado en DMZ o por las macros de un correo. La capa 8 nunca defrauda. Cada vez se hace más necesaria la concienciación entre empleados para saber qué no hay que hacer delante del ordenador. El phishing es una de las amenazas más antiguas que existen, pero nunca ha dejado de crecer.
La capa 8 cada vez va a sufrir ataques más elaborados de phishing y son el vector de entrada a la mayoría de malware de las organizaciones.

 

¿Quién está detrás de las ciberamenazas?

Hagamos un pequeño ranking de los que están detrás de las amenazas a las que nos enfrentamos. Vamos allá:

1.Grupos APT. Desde que se descubrió Stuxnet, la existencia de los grupos APT siempre ha tenido un poco de mística. Quiénes son, para quién trabajan, como lo hacen o por qué son algunas de las preguntas habituales. Para 2020 no podemos si no esperar que los grupos APT sigan la labor de industrialización que han estado desarrollando durante 2017, 2018 y 2019, incrementando tanto las capacidades puras de ataque como la multiplexación de objetivos al mismo tiempo. Cada vez hay más países desarrollando sus propios grupos y más grupos dentro de un mismo país, lo que no va a dejar de incrementarse durante este año dadas las tensiones geopolíticas mundiales, su peso en el ciberespacio y la "nueva" guerra híbrida, por lo que va a crecer mucho durante los próximos años.

2.Mafías. El incremento del uso de malware bancario, como por ejemplo Trickbot, así como el uso habitual de Ransomware nos indican que los cibercriminales están cambiando su forma de actuar. Ya no solo buscan accesos a cuentas bancarias ni insertan keyloggers, ahora usan directamente Ransomware para actuar de forma anónima y que sean los usuarios los que vayan a ellos con bitcoins, que son mucho más difíciles de rastrear.

3. Phishing. No podía faltar el phishing, aunque es una amenaza antigua está muy presente en nuestra sociedad. Cada vez los atacantes utilizan métodos más elaborados y personalizados para realizar sus campañas de phishing. Desde cuentas de Netflix hasta números de tarjetas de crédito. Es el método más fácil y antiguo para entrar en el cibercrimen. En la actualidad, sigue siendo muy efectivo.

4.Insiders. Hay un dicho que dice que "tu peor enemigo, eres tú" y en el caso de las empresas también suele ser así. Los trabajadores descontentos y corruptos suelen ser otro foco de incidentes. Con la ayuda de los grupos APT este tipo de amenazas deben seguir siendo consideradas como muy peligrosas. Seguirán haciendo de las suyas en 2020.

Ante este panorama, aún existe esperanza. En los próximos artículos abordaremos sobre diversas disciplinas y formas de protección muy útiles ante este tipo de atacantes.


Equipo Detectar y Responder

 

 

Volver a Cyber ​​Pills