lolloj - Fotolia
Segmentar y segregar para defender los datos de los ataques cibernéticos en 2016, insta F-Secure
Los atacantes se centrarán en los datos críticos en 2016, principalmente motivadas por la ciberextorsión, según el último informe de amenazas de F-Secure.
La extorsión cibernética surgió como una fuerte tendencia en 2015, y se espera que continúe en 2016, según el último informe de amenazas de la firma de seguridad F-Secure.
La forma más común de ciberextorsión en los últimos meses es el uso de malware para cifrar los archivos de las organizaciones y demandar el pago de un rescate a cambio de las claves de descifrado.
El 2015 vio el aumento de la popularidad de varias familias del llamado ransomware, especialmente Cryptowall, Crowti y Teslacrypt, según el informe.
Mientras el exploit kit Angler entregaba Alpha Crypt, Reveton y ransomware, el exploit kit Nuclear entregaba CTB-Locker y Troldesh. Sin embargo, Cryptowall y TeslaCrypt eran entregados por los dos, con Cryptowall también siendo entregados por los exploit kits Magnitude y Fiesta.
En el primer trimestre de 2016, F-Secure dijo que varias organizaciones de gran tamaño habían sido golpeadas por ransomware del tipo consumidor, incluyendo algunos hospitales y autoridades gubernamentales locales, provocando "una cantidad considerable de dolor" a esas organizaciones.
Exponiendo los datos
Sin embargo, la ciberextorsión se lleva a cabo utilizando cada vez más la amenaza de ataques distribuidos de denegación de servicio (DDoS) y la amenaza de exponer los datos comerciales sensibles.
Estos datos normalmente incluyen propiedad intelectual e información relativa a casos legales o fusiones y adquisiciones, de acuerdo con Sean Sullivan, asesor de seguridad en F-Secure Labs.
“Esperamos que 2016 sea el año de la ciberextorsión, con brechas a bases de datos de grandes empresas seguidas por demandas de pago por no publicar los datos", le dijo a Computer Weekly.
En los últimos diez años, dijo Sullivan, el malware como servicio se ha afianzado como un modelo de negocio en manos de profesionales organizados, yendo más allá del malware comercializado a los hackeos de bases de datos corporativas.
"Si las corporaciones no han comenzado a segregar y segmentar sus datos en zonas aisladas de la red, eso equivalente a negligencia", dijo.
Demasiadas organizaciones están manteniendo los documentos de misión crítica y la propiedad intelectual en redes compartidas, dijo Sullivan. Esas pueden ser accedidas por hackers e incluso por malware comercial.
"Simplemente al moverlos lateralmente a través de una red, los datos sensibles son a menudo fácilmente accesibles para los atacantes, porque no hay barreras o controles", dijo.
En 2015, Sullivan dijo que había mucha evidencia de que las organizaciones no son capaces de prevenir intrusiones por malware comercializado.
"Si las organizaciones no estaban preparadas para el malware comercializado y los robots tontos en el último año, es poco probable que estén preparadas para los hackers humanos que siguen a los bots en 2016", dijo.
Extorsión cibernética
Los investigadores de F-Secure predicen que habrá un cambio hacia ataques inteligentes y dirigidos, destinados principalmente a extorsionar a las organizaciones.
Sullivan cree que el ataque a Sony Pictures Entertainment en noviembre de 2014 cayó en esta categoría. Fue el primero de este tipo de ataques en los titulares.
A pesar de que el ataque se ha relacionado con la ira de Corea del Norte por la película “La Entrevista”, Sullivan dijo que los correos electrónicos iniciales relacionados con el ataque exigieron dinero, lo que significa que lo más probable es que la extorsión cibernética haya sido el motivo principal del ataque.
Del mismo modo, él dijo que el atacante detrás de la brecha en Ashley Madison puede haber desaprobado el negocio de la compañía, pero el motivo principal fue la extorsión y los datos fueron vertidos solo cuando la empresa no cedió a las demandas.
Sullivan sospecha que puede haber habido varios otros casos similares que no han llegado a los titulares porque las empresas objetivo elegidas le pagaron a los extorsionadores cibernéticos.
"En el año 2016, creo que vamos a ver un ejemplo de una gran corporación que trata con datos de usuarios enfrentando amenazas de que esos datos sean volcados a la internet si no hacen un pago determinado", dijo.
Exploit kits
Otro hallazgo clave del informe es que los exploit kits se enfrentan a un futuro perturbador a la luz del hecho de que exploit kits prominentes como Angler, Nuclear y otros en su mayoría aprovecharon las vulnerabilidades en Adobe Flash.
Sullivan predice que Google Chrome matará el soporte a Flash a principios de 2017, y Mozilla Firefox y Microsoft Edge lo seguirán. Esto podría significar que, para principios de 2017, Flash ya no dará fruto a los fabricantes de exploit kits.
Los exploits, que se han convertido en uno de los vehículos más comunes para el malware en la última década, necesitan software obsoleto para llevar a cabo su objetivo de meterse a través de los agujeros de seguridad. Sin embargo, ese software será cada vez más difícil de encontrar, de acuerdo con Sullivan.
Por ejemplo, con la capacidad de HTML 5 para "hacerlo todo", la necesidad de complementos de terceros para el navegador ha sido eliminada en su mayoría. Los propios navegadores de hoy en día son de autoactualización, sin necesidad de que el usuario intervenga, por lo que los usuarios siempre tienen la última versión.
Con suerte, los exploit kits morirán, dijo Sullivan, con el software de Microsoft siendo mucho más seguro de lo que solía ser; con otro software de Adobe volviéndose cada vez más basado en la nube; y con los desarrolladores de navegadores forzando a Java a un lugar restringido.
El malware macro hace una reaparición
Sin embargo, dijo, los ciberatacantes van a pasar a otra cosa. Esto muy probablemente será, a corto plazo, volver a caer en esquemas de malware basados en adjuntos de correo electrónico. Uno de estos esquemas es el malware macro, que reapareció en 2015 después de permanecer con perfil bajo desde principios de la década de los 2000.
Los autores de malware usan la función de macro en Microsoft Office para implantar código malicioso a los documentos que envían por correo electrónico como archivos adjuntos.
Con Office 2003, Microsoft cambió la configuración predeterminada para que las macros ya no se ejecuten automáticamente, haciendo los ataques mucho más difíciles. Pero ahora el malware macro intenta evitar la configuración predeterminada de Microsoft al desplegar texto en el documento abierto que afirma que es un documento "protegido" que requiere que el usuario habilite las macros.
"En el pasado, hemos visto atacantes volver a métodos más antiguos, como cuando el exploit kit Blackhole fue cerrado, y los atacantes detrás del troyano GameoverZeus cambiaron a usar archivos zip y documentos macro para distribuir el malware", dijo Sullivan.
A medida que los atacantes son menos capaces de explotar los plugins del navegador para instalar malware en el disco, F-Secure también espera que los atacantes se vuelvan hacia el malware que reside solo en la memoria y no requiere instalación en el disco.
"La extorsión cibernética a través de la encriptación de archivos críticos no necesariamente requiere persistencia, solo tiene que vivir el tiempo suficiente para localizar y cifrar los datos específicos", dijo Sullivan.
Mayor atención a los navegadores
Conforme los complementos de terceros se vayan eliminando, F-Secure espera un mayor énfasis en el uso de navegadores como una forma de infectar las computadoras.
"A pesar de que ha habido un esfuerzo concertado para endurecer los navegadores, probablemente hay trucos bajo la manga de los atacantes que ellos no han utilizado todavía", dijo Sullivan.
Para defenderse de estas tácticas, dijo que las organizaciones deben asegurarse de tener copias de seguridad utilizables que no estén basadas en la nube o conectadas a la red corporativa de ninguna manera.
"En 2016, las organizaciones deben estar muy centradas en proteger sus datos, ya que eso es lo que los atacantes buscan más que nunca", dijo Sullivan.