Intel Security presentó el 13 de diciembre su informe de amenazas: McAfee Labs Threats Report: December 2016. El estudio da a conocer cómo las empresas están utilizando los centros de operaciones de seguridad (SOC), los avances que ha experimentado el ransomware a lo largo de 2016 e ilustra cómo los ciberdelincuentes están creando malware de difícil detección al infectar el código legítimo con los troyanos con el objetivo de permanecer ocultos siempre que sea posible. La edición del mes de diciembre detalla, asimismo, el crecimiento del ramsomware, el malware móvil, los macro malware, así como otras amenazas destacada acaecidas en el tercer trimestre de 2016.
“Uno de los retos más difíciles a los que se enfrenta la industria de la ciberseguridad es identificar las acciones maliciosas de código que ha sido diseñado para comportarse como si fuera un software legítimo”, comenta Vincent Weafer, vicepresidente de McAfee Labs de Intel Security. “Cuanto más auténtico parezca un fragmento de código, más probable es que éste pase desapercibido. La necesidad de ocultar la actividad maliciosa está impulsando una tendencia hacia la ‘Trojanización’ de aplicaciones legítimas. Estos desarrollos suponen una carga de trabajo cada vez mayor en el SOC de una organización, donde el éxito radica en la capacidad para detectar, buscar y erradicar rápidamente los ataques en curso”.
La situación del SOC en 2016
A mediados de 2016, Intel Security encargó un estudio con el fin de entender mejor las formas en que las empresas utilizan los centros de operaciones de seguridad (SOC), cómo han cambiado con el tiempo y cómo evolucionarán en el futuro. Tras más de 400 entrevistas con profesionales de la ciberseguridad de diferentes empresas, industrias y países, el estudio revela:
· Aumento de incidentes. El 67% de los encuestados reconoce que se ha producido un aumento en los incidentes de seguridad.
· Sobrecarga de alertas. Las organizaciones no son capaces investigar correctamente el 25% de sus alertas de seguridad,
· Problemas de clasificación. El continuo aumento de alertas y ciberataques provoca que un 93% de los encuestados sea incapaz de clasificar todas las amenazas potenciales.
· Causas de este incremento. De los encuestados que informaron de un aumento en los incidentes, el 57% afirma que son atacados más a menudo, mientras que el 73% cree que son capaces de detectar mejor los ataques.
· Señales de amenazas. Para el 64% de los encuestados, las señales de detección de amenazas más comunes continúan siendo los puntos de control de seguridad tradicionales: antimalware, firewall y sistemas de prevención de intrusiones.
· Proactivo vs. Reactivo. La mayor parte de los encuestados afirma ir avanzando en el objetivo de alcanzar una estrategia de seguridad proactiva; pese a ello, el 26% sigue operando en modo reactivo.
· Adversarios. El 68% de las investigaciones en 2015 involucraron a una entidad específica, ya sea como un ataque externo dirigido o como una amenaza interna.
· Causas para la investigación. Los encuestados consideran que el malware genérico ha encabezado la lista de incidentes (30%), seguido de ataques malware dirigidos (17%), ataques a las redes (15%), pérdidas de datos originados por incidentes internos (12%), amenazas internas (10%), ataques directos de otros países (7%) y hacktivismo (7%).
Los encuestados han manifestado que la mayor prioridad para el crecimiento y la inversión de los SOCs es mejorar la capacidad de respuesta ante posibles ataques; ello incluye la capacidad de coordinar, remediar, erradicar, aprender y prevenir la reaparición de estos ataques.
La “Troyanización” del software legítimo
El informe también muestra algunas de las muchas maneras en que los ciberdelincuentes colocan troyanos dentro del código legítimo para ocultar los:
· Parches ejecutables sobre la marcha a medida que se descargan a través de ataques man-in-the-middle (MITM).
· Agrupar archivos “limpios” y “sucios” utilizando carpetas o unificadores.
· Modificar ejecutables a través de parches, manteniendo el uso de la aplicación.
· Modificar mediante código interpretado, código abierto o descompilado.
· Infectar el código fuente maestro, especialmente en las bibliotecas redistribuidas.
Para más información sobre la “Troyanización del software legítimo, accede aquí: Trojanization is on the rise.
2016: ¿El año del Ransomware?
A finales del tercer trimestre, el número de nuevas muestras de ransomware había alcanzado la cifra de 3.860.603, lo que se tradujo en un aumento del 80% en las muestras totales de ransomware desde el comienzo del año. Más allá del salto en volumen, el ransomware ha experimentado notables avances técnicos en 2016, incluyendo la encriptación de disco parcial o total, cifrado de sitios web, anti-sandboxing, kits de exploits más sofisticados para entrega de ransomware, e incremento del ransomware-as-a-service.
“El año pasado vaticinamos que el increíble crecimiento de los ataques de ransomware en 2015 continuaría en 2016″, afirma Weafer. “El año 2016 puede ser recordado como ‘el año del ransomware’. Esto se debe, en gran parte, al enorme salto en el número de ataques de ransomware, especialmente aquellos que han generado un interés considerable en los medios, así como a los avances técnicos en este tipo de ataques. Por otra parte, una mayor cooperación en la industria de la seguridad y la aplicación de medidas legales han comenzado a dar buenos resultados en la lucha contra los cibercriminales. Como resultado, esperamos que el crecimiento de los ataques de ransomware se ralentice en 2017.”
En el tercer trimestre de 2016, la red de McAfee Labs Global Threat Intelligence registró aumentos considerables en ransomware, malware móvil y macro malware:
· Ransomware. La cifra total de ransomware aumentó un 18% en el tercer trimestre de 2016 y un 80% desde el comienzo del año.
· Malware Mac OS. El nuevo malware de Mac OS se disparó un 637% en el tercer trimestre, pero el aumento se debió principalmente a una única familia de adware, el Bundlore. El malware total en Mac OS sigue siendo bastante bajo en comparación con otras plataformas.· Nuevo malware. El crecimiento de nuevos malware cayó un 21% en el tercer trimestre.
· Malware móvil. Hemos catalogado más de dos millones de amenazas de malware móvil en el tercer trimestre.
· Macro malware. El nuevo macro malware de Microsoft Office (principalmente Word) ha continuado su tendencia creciente desde que se identificara por primera vez en el segundo trimestre del año.
· Spam botnets: El botnet Necurs multiplicó su volumen en el Q2 casi siete veces, convirtiéndose en el spam botnet de mayor volumen del Q3. También medimos una fuerte caída en el spamming de Kelihos.
· Prevalencia mundial de la red de bots. Wapomi, que entrega virus y descargadores, se ha mantenido en el primer lugar durante el tercer trimestre, disminuyendo desde un 45% en el segundo trimestre. CryptXXX ransomware servido por botnetsn saltó al segundo lugar; fue responsable de sólo el 2% del tráfico en el último trimestre.
Ilustración: Captura del informe. Edición imagen: Diario TI
http://diarioti.com/por-primera-vez-el-ransomware-es-una-de-las-tres-ciberamenazas-mas-comunes/101210
Descargue el informe