FireEye, empresa dedicada a la detección de ataques cibernéticos de nueva generación, presentó su informe de amenazas avanzadas del segundo semestre del 2012. El reporte muestra que la actividad del malware se ha vuelto tan omnipresente que las organizaciones están experimentando ataques a través de archivos adjuntos o enlaces a sitios web, así como comunicaciones maliciosas que evaden las defensas existentes una vez cada tres minutos.
Sobre la base de los datos recogidos de 89 millones de sucesos de malware e inteligencia directa al descubierto, el Informe de Amenazas Avanzadas ofrece un panorama general de los ataques cibernéticos que habitualmente eluden las defensas tradicionales tales como firewalls, firewalls de siguiente generación, IPS, antivirus y gateways de seguridad. Asimismo, ofrece una visión global sobre la evolución de amenazas persistentes (APT por sus siglas en inglés) y sus tácticas, además del nivel de infiltración visto en las redes empresariales. También detalla las tendencias que se producen en sectores específicos, así como un caso de estudio de un ataque sofisticado y sostenido que se distribuyó en el 2012.
Las principales conclusiones en el informe sobre amenazas avanzadas incluyen:
- En promedio, las empresas experimentan un evento de malware cada tres minutos. En todos los sectores, la tasa de actividad de malware varía; en el caso de las empresas de tecnología, éstas experimentan el mayor volumen con hasta un evento por minuto. Algunas industrias son atacadas periódicamente, mientras que algunos sectores verticales experimentan ataques de forma inconsistente.
- Spear phishing sigue siendo el método más común para iniciar campañas de malware avanzado. Cuando se envían correos electrónicos de phishing, los atacantes optan por nombres de archivos comunes y en términos del negocio que están atacando, a efecto de tomar por sorpresa a los usuarios y éstos abran los documentos para que se inicie el ataque. Estos términos caen dentro de tres categorías generales: envío y entrega, finanzas, y negocios en general. El término superior en nombres de archive de malware, por ejemplo, era ‘UPS’.
- Los archivos ZIP permanecen como el archivo preferido para el envío de malware malicioso. Estos ataques se producen en un 92 por ciento.
- Varias nuevas e innovadoras formas de malware han aparecido para evadir de mejor manera la detección. En algunos de los casos de malware, se descubrió que solo se ejecutan cuando los usuarios mueven un ratón, táctica que podía engañar a los actuales sistemas de detección de sandbox, ya que el malware no genera ninguna actividad. Además, los creadores de malware también han incorporado detección en máquinas virtuales para evitar el sandboxing.
- Los atacantes están utilizando cada vez más archivos DLL. Al evitar el tipo de archivo más común .exe, los atacantes se apoyan en archivos DLL para prolongar las infecciones.
“Este informe ofrece una visión general de cómo los ataques se han vuelto mucho más avanzados y exitosos al lograr introducirse a las redes, independientemente del tipo de industria», comentó Ashar Aziz, fundador y CTO de FireEye. “A medida que los cibercriminales invierten más en malware avanzado y formas más innovadoras de ataque para evadir mejor la detección, las empresas deberían repensar su infraestructura de seguridad y reforzar sus sistemas de defensa tradicionales con una nueva capa de seguridad que sea capaz de detectar estas amenazas dinámicas y desconocidas en tiempo real.
«La elevada tasa en la que los ciberataques están sucediendo ilustra la capacidad y potencia del malware”, apuntó Zheng Bu, director de investigación. “Al día de hoy, los creadores de malware gastan enormes esfuerzos en el desarrollo de técnicas de evasión. A menos que las empresas tomen medidas para modernizar sus estrategias de seguridad, la mayoría de las organizaciones son presas fáciles.”