Estas son las técnicas de los ciberdelincuentes que evaden las herramientas de detección

  • Seguridad

HP chica ordenador

Un informe de HP Wolf Security ha analizado las técnicas más utilizadas por los ciberdelincuentes para alcanzar sus objetivos y que, en muchas ocasiones, evaden las herramientas de detección. Ante un panorama de amenazas muy activo y a raíz de los hallazgos de la investigación, sus expertos creen que no se puede confiar solo en la detección y recomiendan a las organizaciones deben adoptar un enfoque por capas para garantizar la seguridad de los dispositivos, siguiendo los principios de zero trust.

El último informe global HP Wolf Security Threat Insights incluye un análisis de los ataques de ciberseguridad más comunes para ofrecer una visión de las técnicas más utilizadas por los ciberdelincuentes, al aislar las amenazas que han evadido las herramientas de detección y han alcanzado sus objetivos finales. 

El equipo de investigación de amenazas de HP Wolf Security encontró pruebas de que los ciberdelincuentes están aumentando la capacidad de aprovechar vulnerabilidades zero day. Concretamente, el ataque zero day CVE-2021-40444 (una vulnerabilidad de ejecución remota de código que permite la explotación del motor del navegador MSHTML, utilizando documentos de Microsoft Office) fue registrado por primera vez por HP el 8 de septiembre, una semana antes de que se ejecutara el parche, el 14 de septiembre.

El 10 de septiembre, apenas tres días después del boletín inicial de amenazas, los investigadores de HP observaron que se compartían scripts en la plataforma GitHub, diseñados para automatizar la creación de este exploit. A menos que sea parcheado, el exploit permite a los delincuentes comprometer los dispositivos sin interecacción del usuario. Esta vulnerabilidad utiliza un archivo malicioso de un documento de Office que permite desplegar el malware. Los usuarios no tienen que abrir el archivo ni habilitar ninguna macro, basta con verlo en el panel de vista previa del explorador de archivos para iniciar el ataque. Una vez comprometido el dispositivo, los atacantes pueden instalar puertas traseras en los sistemas, que podrían venderse a grupos de ransomware.

Además de este ejemplo, durante la investigación, se aislaron otras amenazas, de cuyo análisis salen varias conclusiones. Por un lado, cada vez más ciberdelincuentes utilizan proveedores legítimos de la nube y de la web para alojar malware, el malware de JavaScript se escapa de las herramientas de detección y el cambio a archivos HTA propaga el malware con un solo clic. Además, se detectó una campaña dirigida que se hacía pasar por la Caja Nacional de la Seguridad Social de Uganda. Los atacantes utilizaron la técnica de "typosquatting" (utilizando una dirección web falsa similar a un nombre de dominio oficial) para atraer a los objetivos a un sitio que descarga un documento de Word malicioso. Este utiliza macros para ejecutar un script de PowerShell que bloquea el registro de seguridad y evade la función de la interfaz de exploración antimalware de Windows.

Ante la rápida evolución de las técnicas, los expertos de la firma advierten que el tiempo medio para que una empresa aplique, pruebe y despliegue completamente los parches con las comprobaciones adecuadas es de 97 días, “lo que da a los ciberdelincuentes la oportunidad de explotar esta 'ventana de vulnerabilidad'”, explica Melchor Sanz, responsable de HP Wolf Security. Además, el panorama se agravada porque “si bien al principio sólo podían aprovechar esta vulnerabilidad los hackers altamente capacitados, las secuencias de comandos automatizadas han bajado el listón de entrada, haciendo que este tipo de ataque sea accesible a actores con menos conocimientos y recursos”.