Los vínculos débiles, que podrían ser software vencidos, malos códigos, propiedades digitales abandonadas o errores de usuarios, contribuyen a la habilidad de los adversarios para explotar vulnerabilidades con métodos como: consultas de DNS, kits de explotación, ataques de amplificación, compromiso del sistema point-of-sale (POS), malvertising, ransomware, infiltración de protocolos de cifrado, ingeniería social y spam life event.
El reporte también muestra que el foco en las vulnerabilidades de alto perfil, más que en las de amenazas de alto impacto, comunes y sigilosas, pone a las organizaciones en riesgos mayores. Al proliferar los ataques contra aplicaciones que tradicionalmente son de bajo perfil e infraestructuras con debilidades ya conocidas, los actores maliciosos son capaces de escapar a la detección ya que los equipos de seguridad se concentran en vulnerabilidades audaces como Heartbleed.
Los ataques ‘Man-in-the-Browser’ plantean un riesgo para las empresas: Casi el 94% de las redes de clientes observadas en el año 2014 han sido identificadas con tráfico que se deriva hacia sitios web con malware. Específicamente, las peticiones de DNS en donde la dirección IP que resuelve el nombre de host es reportada como asociada con la distribución de familias de malware como Palevo, SpyEye y Zeus, que incorporan la funcionalidad man-in-the-browser (MiTB).
Botnet hide and seek: Casi el 70% de las redes fueron identificadas con peticiones de emisión de DNS para Dynamic DNS Domains (Dominios DNS Dinámicos). Esto comprueba la evidencia de las redes mal utilizadas o comprometidas con botnets utilizando DDNS para alterar sus direcciones IP y evitar la detección/ blacklist. Pocos intentos legítimos de conexión saliente de las empresas buscan dominios DNS dinámicos aparte de llamadas salientes C&C que buscan disfrazar la ubicación de su botnet.
Cifrar datos robados: Casi el 44% de las redes de los clientes observadas en el 2014 han emitido peticiones de DNS para sitios y dominios con dispositivos que entregan servicios de canal cifrados, utilizados por actores maliciosos para cubrir sus huellas exfiltrando los datos por medio de canales cifrados como VPN, SSH, SFTP, FTP y FTPS para evitar su detección.
El número de los kits de explotación ha caído en un 87% desde que el supuesto creador del ampliamente popular Blackhole fue arrestado el año pasado. Varios kits de explotación observados en la primera mitad del año 2014 estaban tratando de moverse en el territorio una vez dominado por el Blackhole, pero aún no está claro el surgimiento de un líder.
Java continúa su dudosa distinción como el idioma de programación más explotado por actores maliciosos. Los investigadores de seguridad de Cisco descubrieron que los ataques a Java subieron un 93% en todos los indicadores de compromiso (IOCs) desde mayo del 2014, seguido por un 91 por ciento de IOCs en noviembre de 2013 como se reportó en el Cisco 2014 Annual Security Report.
