Contexto de ataques de malware en 2020

El acontecimiento primordial y que generó súbitos cambios en toda la industria de tecnología fue la llegada del COVID19 y el inicio de los periodos de aislamiento, a partir de estos acontecimientos se han generado cambios significativos en los objetivos y los vectores de ataque. 

Por ello, Derek Manky y Aamir Lakhani describen los cambios más significativos y nuevas tendencias en ciberseguridad que han podido identificar desde abril de 2020, basándose en FortiGuard Labs. 

Disminución de los “señuelos COVID” 

En el pasado hemos analizado y mencionado sobre los ataques informáticos relacionados con el COVID19, también conocidos como “señuelos COVID” debido a que emplean aplicaciones como mapas y auto examinadores vinculados al coronavirus para distribuir malware de diversos tipos.  

Según los rastreadores de Fortinet, los señuelos COVID han disminuido, pasando de casi 350 al día a un máximo de 99, en las peores fechas. Ahora que la situación laboral está cambiando nuevamente, vemos el resurgir de viejas amenazas con nuevos objetivos.  

Por ejemplo, los ataques man-in-the-middle, dirigidos exclusivamente hacia postulantes y reclutadores. Siendo una de las prácticas más habituales enviar archivos PDF infectados con malware titulados como currículums. 

Objetivos más vulnerables

A pesar del retorno a las oficinas, las clases virtuales parecen prolongarse por mucho más tiempo, incluso ahora se considera más relevante para un centro educativo contar con la posibilidad de disponer de esta modalidad para afrontar nuevos periodos de aislamiento. 

Por este motivo, los escritorios virtuales son uno de los nuevos objetivos de los piratas informáticos, representando un gran desafío para las instituciones debido a que se requiere capacitar tanto a estudiantes como alumnos en la seguridad de esta nueva herramienta. 

Vectores de ataque más populares 

Los sistemas expuestos públicamente, como aquellos que usan el Protocolo de escritorio remoto (RDP), han generado interés de hackers e incluso el resurgimiento de antiguos ataques informáticos. Uno de ellos, Wanna Cry, el cual ha aprovechado estos protocolos para encriptar redes y exigir recompensas, nuevamente. 

Es sumamente recomendable, que si usted es responsable de TI en una institución educativa revise el estado de indexación de los puertos RDP y enfrente esta amenaza latente con una perspectiva de arquitectura segura. 

Recomendaciones de Fortinet

El caso más reciente de los escritorios remotos demuestra la importancia de proteger, segmentar y monitorear las aplicaciones críticas para el negocio. Por lo tanto, la recomendación más sensata y adecuada seguirá siendo identificar los recursos que son imprescindibles para su organización y optar por una solución adecuada para vigilarlos y protegerlos. 

Por esta razón, TOTALPLAY EMPRESARIAL cuenta con un portafolio de seguridad informática pensada en los 5 vectores de ataque: navegación, correo electrónico, endpoint, aplicación web y red. Con la finalidad de dar un alto nivel de protección adaptado según las necesidades de cada organización. 

Cotiza soluciones de seguridad informática

Distribución de malware en noviembre 2020

Hasta el 6 de noviembre de 2020 FortiGuard Labs registro 5 malwares principales como los más distribuidos. Además que algunos son sumamente peligrosos en el contexto actual debido a que han estado dirigidos exclusivamente al sector salud, tanto a empresas privadas y estatales. 

W32 / Cutwail! Tr

Está clasificado como un troyano. Tiene la capacidad de manejar conexiones de acceso remoto, realizar denegación de servicio (DoS) o DoS distribuido (DDoS), capturar entradas de teclado, eliminar archivos u objetos, o finalizar procesos. 

Al poseer estas cualidades es un malware sumamente peligroso debido a que tiene la capacidad no solo de interrumpir el flujo productivo mediante ataques de denegación de servicios, sino que al eliminar información imprescindible. 

Para estar protegido puede contar con una solución anti DDoS y con un Internet seguro avanzado capaz de proteger y supervisar su red en todo momento.  

MSOffice / CVE_2017_11882.A! Exploit

Detecta documentos de Microsoft Office que pueden estar aprovechando una vulnerabilidad de corrupción de memoria en el ejecutable EQNEDT32.EXE que puede invocarse a través de un conjunto de productos de Microsoft Office más antiguo.

La solución más sencilla es mantener actualizada su versión de Microsoft Office o emplear exclusivamente las herramientas de nube como Google Docs, las cuales poseen un mayor nivel de seguridad y pueden consultarse desde cualquier ubicación. 

W32/Inject.ZYD!tr y JS / RefC.G! Tr 

Poseen las mismas cualidades que W32 / Cutwail! Tr, son troyano con capacidad de interrumpir nuestras actividades con ataques de denegación de servicio (DDoS y DoS) así como eliminar información valiosa debido a su acceso a manipulación mediante vía remota. 

W32 / RBot.BMV! Tr.bdr

Es un virus del cual aún no se tiene suficiente información, por lo que es recomendable emplear un medio de protección capaz de contrarrestar nuevas amenazas o cualquier archivo infectado que pueda representar una amenaza latente para su red u organización. 

Ransomware dirigida al sector salud

Además de los malwares y troyanos, el auge del sector salud ha generado un aumento de los ataques de ransomware con amenazas como TrickBot y BazarLoader. Estos ataques a menudo conducen al robo de datos y la interrupción de los servicios de atención médica. 

Cabe destacar que los creadores de TrickBot desarrollaron nuevas funcionalidades de malware que aumentan la velocidad, la facilidad y la rentabilidad. Sus campañas comienzan a través de ataques de phishing, por lo que es recomendable contar con una solución de correo seguro que le permitan filtrar y aislar cualquier correo con archivos adjuntos sospechosos. 

Además, es recomendable contar con un Web Application Firewall, el cual es capaz de prevenir la descarga de código malicioso desde sitios sospechosos. Si usted es parte de alguna organización de salud, tanto pública como privada es recomendable coordinar tanto con colaboradores y personal directivo para prevenir la descarga de Ransomware. 

Cabe mencionar, que la mejor forma de prevenir las pérdidas económicas por un ataque de encriptado es mediante la realización de Backup, de forma habitual y almacenado con todas las medidas de seguridad respectiva. 

Conclusiones

El panorama de seguridad informática durante 2020 ha sido cambiante e impredecible, incluso para los mejores especialistas. A pesar de ello, concuerdan en la importancia de realizar un monitoreo e invertir en soluciones de ciberseguridad para una empresa, con el fin de proteger su información de amenazas actuales y preparar a su organización para futuros riesgos.