Los actores de amenazas han intensificado sus esfuerzos durante el último año para lanzar ataques destinados a deshabilitar las defensas empresariales, según el informe anual Rojo Informe publicado el martes por Picus Security. Los hallazgos demuestran un cambio drástico en la capacidad de los adversarios para identificar y neutralizar defensas empresariales avanzadas, como firewalls, software antivirus y soluciones EDR de próxima generación, señala el informe. Añadió que hubo un aumento del 333% durante el último año en este tipo de malware «cazador de asesinos» que puede atacar activamente los sistemas defensivos en un intento de desactivarlos.
«Fue una sorpresa para nosotros porque el malware cazador-asesino ni siquiera estaba entre nuestros 10 principales el año pasado», dice el cofundador y vicepresidente de Picus, Suleyman Ozarslan. “Un aumento del 333% es el mayor salto en la historia de nuestros informes. Representa un cambio hacia amenazas cibernéticas más destructivas y plantea un desafío importante para los defensores. Las organizaciones deberían centrarse en estos ataques este año”.
Los ciberdelincuentes se adaptan a una seguridad muy mejorada
Según el informe, que se basa en un análisis de más de 600.000 muestras de malware del mundo real, los ciberdelincuentes están cambiando sus tácticas en respuesta a la seguridad muy mejorada de las empresas promedio y al amplio uso de herramientas que ofrecen capacidades más avanzadas para detectar amenazas. Hace un año, señala el informe, era relativamente raro que los adversarios desactivaran los controles de seguridad. Ahora, este comportamiento se observa en una cuarta parte de las muestras de malware y lo utilizan prácticamente todos los grupos de ransomware y APT.
“El aumento del malware cazador-asesino marca una evolución sustancial en las amenazas cibernéticas, lo que requiere que las industrias de ciberseguridad adopten mecanismos de defensa más dinámicos y proactivos. Las estrategias de defensa tradicionales pueden ser insuficientes ya que estos nuevos tipos de malware apuntan a socavarlas directamente”, dice Callie Guenther, gerente senior de investigación de amenazas cibernéticas en Critical Start, una empresa nacional de servicios de ciberseguridad. «Los tiempos de permanencia prolongados que se obtienen al desactivar las protecciones cibernéticas plantean un riesgo significativo, ya que el malware puede permanecer sin ser detectado por más tiempo, lo que aumenta el daño potencial».
Las defensas deben hacer frente a los ataques destinados a desactivarlas.
Para combatir el malware cazador-asesino, el informe recomienda a las organizaciones adoptar el aprendizaje automático, proteger las credenciales de los usuarios y validar constantemente sus defensas contra las últimas tácticas y técnicas utilizadas por los ciberdelincuentes. «Las defensas deben estar siempre activas para hacer frente a este tipo de ataques», afirma Ozarsian. «Sugerimos realizar simulaciones de ataques continuos para comprender la eficacia de los sistemas defensivos contra los ciberataques de cazadores-asesinos».
Los esquemas de defensa que utilizan análisis de comportamiento son necesarios porque muchos de estos adversarios «viven de la tierra», añade Ozarsian, utilizando las mismas herramientas que los departamentos de TI y, en algunos casos, los equipos de seguridad, utilizan para lograr sus objetivos. «El grupo de ransomware Loki, por ejemplo, utilizó la utilidad TDSSKiller de Kaspersky para desactivar las defensas de seguridad», afirma.