Columna de Sergio Martínez, Country Manager Iberia at SonicWall.

¿Qué pensaría si le dijera que el número de ataques de malware parecen haber disminuido, pero que al mismo tiempo se han disparado las nuevas variantes de malware? Según el Informe de Ciberamenazas de SonicWall 2021, los ataques de malware han disminuido desde su nivel más alto hace tres años, mostrando una caída general del 43% en 2020. A pesar de que esto pueda parecer una gran noticia, SonicWall encontró un aumento del 73% en las cepas de malware nuevas y actualizadas, que se escapan a las defensas tradicionales basadas en definiciones estáticas. También es cierto que con el Teletrabajo, los ataques se ha dirigido directamente al endpoint, por lo que nuestro sensores (firewalls) han dejado de detectar parte del malware.

De la manera en que evolucionan las cosas, esperamos que esta tendencia continúe en un futuro cercano. Pero, ¿por qué sucede esto y qué significa? El panorama de las amenazas es tan activo como lo es debido a la gran cantidad de nuevos participantes en el juego y a la rápida evolución de la sociedad.

Nuevas entradas

En investigaciones llevadas a cabo por el equipo de SonicWall se ha llegado a la conclusión de que la generación más joven tiene un especial interés en aprender a piratear. Estos jóvenes están abordando el tema a una edad cada vez más temprana y tienen más recursos a su disposición en comparación con las generaciones anteriores. Hay muchos lugares seguros para que prueben sus habilidades, como «Hack the Box», pero con el tiempo quieren probar nuevas habilidades en empresas reales. Los más responsables se ofrecerán a realizar pruebas de penetración, mientras que otros pueden dedicarse al desarrollo y ataque de malware.

Casi todos los nuevos participantes en el juego buscan construir algo y ver qué pueden conseguir más allá de nuestras defensas. El equipo de SonicWall entrevistó a una muestra de estos jóvenes durante el último año, ya la mayoría de ellos afirmó estar utilizando ransomware, lo que podría explicar por qué SonicWall experimentó un aumento del 62% en este tipo de malware en 2020. Las cepas que están creando se están volviendo tan avanzadas que asusta. Han pasado de idolatrar personajes de ficción a convertirse en verdaderos hackers. 

Desarrollo más rápido

Otras bandas se unirán a otros atacantes para crear ransomware y otras formas nuevas de malware con el objetivo de probarlo en el mundo real. Después de una ronda de ataques, visitarán “VirusTotal” para ver si alguien ha identificado su cepa. Si ven que alguien les ha descubierto, realizarán cambios en el código para volver a sortear los sistemas de seguridad. También mejorarán el rendimiento de una cepa para que sea más eficaz.

Después de esto, se lanzan al siguiente ataque y el ciclo se repite. Por ejemplo, WannaCry tuvo numerosas versiones durante las primeras semanas de los primeros ataques importantes. Si bien “VirusTotal” no es el fin para la detección de un malware, los atacantes acuden ahí con frecuencia cuándo se registran sus cepas, lo que demora entre dos y tres días antes de que puedan cambiar de marcha. Con esa información, desarrollarán nuevas tácticas de evasión basadas en quién las encontró primero y trabajarán hacia atrás a medida que construyen nuevas versiones.

Con el tiempo, estos desarrolladores de malware pueden pasar de un proyecto a otro, aportando su experiencia y conocimientos al desarrollar una nueva cepa de malware con un nuevo equipo. Cuando tienen dificultades para construir un módulo ellos mismos o tienen problemas para solucionar alguna contrariedad, existe un mercado activo y económico con servicio al cliente disponible para ayudar a llenar esos vacíos. Hoy en día, es más fácil cobrar mediante un ataque de ransomware y luego pagar por la ayuda para desarrollar código gracias a las criptomonedas. Por lo tanto, en el futuro previsible, puede esperar ver a más personas involucrarse en el desarrollo de malware, con muchas variantes nuevas en el horizonte.

Detener el malware del futuro

La historia detrás de las amenazas persistentes avanzadas va mucho más allá del ransomware. El otro punto caliente es, y siempre lo ha sido, la exfiltración de datos de fuentes corporativas. La mejor manera de establecer el presupuesto de seguridad de TI es preguntarse: «¿Cuál es el valor de mis datos para un atacante?» Muchos de nosotros protegemos excesivamente los datos que son de poca utilidad para un atacante y, sin embargo, dejamos algunos datos esenciales menos protegidos porque significan menos para nosotros. Los datos intelectuales y los datos de nuestros clientes son dos de las cosas que normalmente protegemos primero.

Normalmente, al desarrollar el plan para la actualización de la protección de red, se suele comenzar en la red, luego miramos las conexiones, luego el punto final en sí y luego su camino hacia la nube.

Sin revelar toda la historia ahora, generalmente comenzamos con la inspección del tráfico que ingresa a la red. Dado que más del 70% de las sesiones actuales están cifradas, también examinamos detenidamente la inspección de ese tráfico. A continuación, veremos cómo actúamos en busca de malware desconocido que no puede ser encontrado por un firewall tradicional de próxima generación. Los motores de espacio aislado han existido desde 2011 y han evolucionado para buscar malware en varios motores, incluso dentro de la memoria del sistema, ya que aquí es donde muchos ataques (como los ataques sin archivos) intentan iniciarse para ocultar cómo se produjeron en la red y permanezca sin ser detectado ni intimidado por el software de seguridad.

SonicWall lleva en el mercado de la seguridad TI 30 años, y formamos parte de la historia de la ciberseguridad. Hemos pasado de ser una empresa de firewalls a una compañía de plataformas de ciberseguridad. Es sabido que detuvimos WannaCry en las redes de nuestros clientes tres semanas antes de que saliera a la luz el primer ataque importante. Hemos encontrado y nombrado diversas cepas nuevas a lo largo de nuestra investigación y continuamos desarrollando nuevas y mejores tecnologías para ayudar a descubrir y detener ataques desconocidos, de día cero y actualizados en su propia red. Nuestros clientes utilizan Capture ATP con Inspección de memoria profunda en tiempo real (RTDMI) para encontrar entre 1400 y 1600 nuevas formas de malware todos los días hábiles, muchos de ellos con numerosas tácticas de evasión. Es nuestro trabajo.