Las empresas no están preparadas para enfrentar nuevas formas de ransomware

Hasta ahora en 2016, ransomware se ha vuelto el malware más rentable de la historia. Cisco prevé que esta tendencia continúe con ransomware aún más destructivos que podrán expandirse y mantenerse en redes completas y por lo tanto convertir a compañías enteras en rehenes. La nueva generación de ransomware tendrá la capacidad de cambiar rápidamente de tácticas para maximizar su eficiencia. Los futuros ataques de ransomware, por ejemplo, evitarán la detección al limitar el uso de la CPU y limitar los comandos de acción y control. Estos nuevos tipos de ransomware se esparcirán más rápidamente y tendrán la capacidad de auto replicarse dentro de las organizaciones antes de iniciar o coordinar actividades de rescate.

La visibilidad a lo largo de la red y sus endpoints continúa siendo uno de los principales desafíos. En promedio, las organizaciones se demoran aproximadamente 200 días para identificar nuevas amenazas. El tiempo estimado de detección de Cisco (Cisco’s median time to detection -TTD) supera al de la industria, alcanzando un nuevo tiempo récord de 13 horas para la detección de amenazas que no hayan sido identificadas con anterioridad en los seis meses previos a abril de 2016. Estos resultados están más debajo de las 17,5 horas obtenidas en el periodo que terminó en octubre de 2015. Detectar más rápidamente las posibles amenazas es crítico para limitar y detener el espacio de operatividad de los atacantes y así minimizar los daños de las intrusiones. Esta cifra está basada en datos de seguridad en telemetría (opt-in security telemetry) tomada de los productos de seguridad de Cisco instalados alrededor del mundo.

“Mientras que las organizaciones están capitalizando en nuevos modelos de negocio presentados por la transformación digital, velar por la seguridad es fundamental. Los atacantes están moviéndose sin ser detectados y están expandiendo su tiempo para operar. Para cerrar la ventana de oportunidades de los atacantes, los clientes van a requerir más visibilidad en sus redes y deben mejorar actividades cómo realizar ajustes y eliminar infraestructura antigua que no tenga las capacidades de seguridad avanzada”, dijo Marty Roesch, vicepresidente y arquitecto jefe, grupos de seguridad de negocio de Cisco.

Mientras los atacantes innovan, muchos de los defensores continúan luchando para mantener la seguridad de sus equipos y sistemas. Los sistemas que no tengan soporte o no estén actualizados ofrecen a los atacantes oportunidades adicionales para tener acceso más fácilmente, permanecer sin ser detectados y maximizar los daños y las ganancias obtenidas.

El Informe de Ciberseguridad de Medio Año de 2016 de Cisco demuestra que este es un desafío que persiste a nivel y escala global. Mientras que organizaciones en industrias críticas como la de la salud, han experimentado un incremento en los ataques durante los últimos meses, los hallazgos del informe indican que todos los mercados verticales, regionales y globales están siendo atacados. Clubes, organizaciones, asociaciones de beneficencia, organizaciones no gubernamentales y empresas electrónicas han experimentado un incremento en el número de ataques en la primera mitad de 2016. En el escenario mundial, las preocupaciones geopolíticas incluyen la complejidad de las regulaciones y de las políticas de ciberseguridad que son contradictorias entre países. La necesidad de controlar o acceder a datos puede limitar y entorpecer los procesos del comercio internacional en un panorama de amenazas de ataque más sofisticadas.

Atacantes operando sin restricciones

Para los atacantes, más tiempo para operar sin ser detectados se convierte en mayores ganancias. En la primera mitad de 2016, Cisco informa que las ganancias de los atacantes han tenido un crecimiento exponencial, debido a:

Enfoque de expansión: Los atacantes están ampliando su enfoque de ataque, aprovechando exploits de los servidores, evadiendo la detección y maximizando los daños potenciales y sus ganancias.

• Las vulnerabilidades de Adobe Flash continúan siendo uno de los principales objetivos de malvertising y exploit kits. En el popular kit de explotación nuclear, los de Flash representaron el 80% de los intentos exitosos de exploits.
• Cisco también identificó una nueva tendencia en ataques de ransomware que aprovecha las vulnerabilidades de los servidores – específicamente dentro de los servidores JBoss – de los cuales, el 10% de los servidores conectados a Internet alrededor del mundo, se encontraban comprometidos. Muchas de las vulnerabilidades que se usaron para comprometer los sistemas JBoss se identificaron hace 5 años, lo que indica que ajustes básicos y actualizaciones de los vendedores pudieron haber prevenido fácilmente los ataques.

Evolucionar los métodos de ataque: Durante la primera mitad de 2016, los adversarios continuaron evolucionando sus métodos de ataque para capitalizar la falta de visibilidad de los defensores.

• Windows Binary exploits creció hasta convertirse en el principal método de ataque web de los últimos seis meses. Este método proporciona un fuerte punto de apoyo en las infraestructuras de red y hace que los ataques sean más difíciles de identificar y eliminar.
• Durante este mismo rango de tiempo, la ingeniería social a través de estafas de Facebook descendió al segundo lugar de la primera posición que ocupó en 2015.

Cubriendo las pistas: Contribuyendo a los desafíos producto de la falta de visibilidad de los defensores, los adversarios están incrementando el uso de encriptación como un método para enmascarar varios componentes de sus operaciones.

• Cisco identificó el uso de cryptocurrency, Transport Layer Security y Tor, que posibilitan comunicaciones anónimas a través de la web.
• De manera significativa, el malware HTTPS-encrypted usado en campañas de malvertising se incrementó en un 300% de diciembre de 2015 a marzo de 2016. El malware encriptado le da a los adversarios la posibilidad adicional de ocultar sus actividades en la web y así expandir su tiempo de operación.

Los defensores luchan para reducir las vulnerabilidades, cerrar las brechas

En un marco de ataques sofisticados, recursos limitados y una infraestructura que está envejeciendo, los defensores están luchando para mantener el paso con sus competidores. Los datos sugieren que los defensores realizan menos “higiene” adecuada de la red como lo es el patching, la tecnología más crítica para la operación comercial. Por ejemplo:

• En los espacios de motores de búsqueda, Google Chrome, utiliza actualizaciones constantes y tienen alrededor de 75 a 80% de sus usuarios usando la última versión del buscador o una versión anterior.
• Cuando cambiamos de buscador a software, Java experimenta migraciones paulatinas con un tercio de los sistemas que corren con el Java SE 6, que está siendo desplazado por Oracle (La última versión SE 10)
• En la versión 15 de Microsoft Office 2013, el 10% o menos de la población con una versión más avanzada está usando la versión más nueva del Service Pack.

Adicionalmente, Cisco encontró que mucha de su infraestructura no tenía soporte o continuaba operando con vulnerabilidades que conocían. Este es un problema sistemático con los proveedores y los endpoints. Específicamente, investigadores de Cisco examinaron 103.121 de sus dispositivos conectados a Internet y descubrieron que:

• Cada dispositivo estaba operando con al menos 28 vulnerabilidades conocidas.
• Los dispositivos estaban operando activamente con vulnerabilidades conocidas durante un promedio de 5,64 años.
• Más del 9% tiene conocimiento de vulnerabilidades que llevan más de 10 años operando.

En comparación, Cisco también examinó la infraestructura de software en una muestra de más de 3 millones de instalaciones. La mayoría de éstas eran Apache y OpenSSH con un promedio de 16 vulnerabilidades conocidas, operando por un promedio de 5,05 años.

Las actualizaciones de los buscadores son más livianas para los endpoints, mientras que las aplicaciones de las compañías y de los servidores de infraestructura son más difíciles de actualizar y pueden causar problemas de continuidad en los negocios. En esencia, entre más crítica sea una aplicación para la operación del negocio, menores son las posibilidades de que esta sea abordada con frecuencia, creando brechas y oportunidades para los atacantes.

Cisco aconseja seguir pasos simples para proteger los ambientes de negocio

Los investigadores de Cisco han observado que las organizaciones que toman algunos simples pero significativos pasos, pueden mejorar en gran manera la seguridad de sus operaciones. Estos incluyen:

• Mejorar el mantenimiento de la infraestructura de la red, mediante: el monitoreo de la red, desplegar los patches y actualizaciones a tiempo, segmentar la red, implementar defensas en los límites de la red, que incluya email y seguridad web, Firewalls de Next- Generation y Next-Generation IPS.
• Integrar las defensas, por medio de un acercamiento de seguridad desde la infraestructura vs. el despliegue de los productos de nicho.
• Medir el tiempo de detección, insistir en los tiempos más rápidos disponibles para exponer las amenazas y abordarlas inmediatamente. Hacer a las métricas parte de la política organizacional de seguridad para promover el desarrollo.
• Proteger a los usuarios donde quiera que estén y donde sea que trabajen, no solamente los sistemas con los que interactúan o en los tiempos en los que están utilizando la red corporativa.
• Hacer Respaldo de datos críticos y de manera rutinaria evaluar la efectividad y al mismo tiempo confirmar que los respaldos no estén susceptibles a ser comprometidos.