Informe sobre la nube revela incremento de técnicas de ingeniería social

Loading

Netskope presenta una nueva investigación que confirma que los atacantes están encontrando nuevas formas de evadir la detección y camuflarse con el tráfico de red normal, utilizando HTTP y HTTPS para distribuir malware. Así, en su último Informe sobre Nube y Amenazas: Global Cloud and Web Malware Trends, identificó que, en promedio, cinco de cada 1.000 usuarios empresariales intentaron descargar malware en el primer trimestre de 2023, y las nuevas familias y variantes de malware representaron el 72% de dichas descargas.

Aumentan la ingeniería social y los vacíos de datos en motores de búsqueda

En la investigación, se descubrió que casi el 10% de todas las descargas de malware en el primer trimestre fueron referidas desde motores de búsqueda. Estas descargas se produjeron principalmente a partir de vacíos de datos en buscadores, o combinaciones de términos de búsqueda que tienen muy pocos resultados, lo que significa que cualquier contenido que coincida con esos términos es probable que aparezca muy arriba en los resultados de búsqueda. Esto representa sólo una de las muchas técnicas de ingeniería social que los atacantes están acelerando.

La ingeniería social en su conjunto sigue dominando como método principal de infiltración de malware, con atacantes que abusan de los motores de búsqueda, pero también del correo electrónico, las aplicaciones de colaboración y las de chat para engañar a sus víctimas. Los troyanos representaron el 60% de las descargas de malware en los tres primeros meses del año, mientras que las descargas de phishing supusieron el 13%.

Evaluación de los principales canales de comunicación de los atacantes

Por primera vez en su informe trimestral sobre Nube y Amenazas, la firma ha analizado los canales de comunicación de los atacantes. Los investigadores descubrieron que, para eludir sistemáticamente la detección, los delincuentes utilizan HTTP y HTTPS a través de los puertos 80 y 443 como su principal canal de comunicación. De hecho, de los nuevos ejecutables de malware examinados que se comunicaban con hosts externos, el 85% lo hacía a través del puerto 80 (HTTP) y el 67% a través del puerto 443 (HTTPS). Este enfoque permite a los atacantes pasar fácilmente desapercibidos y mezclarse con la abundancia de tráfico que ya existe en la red.

Además, para evitar los controles de seguridad basados en DNS, algunas muestras de malware sortean las búsquedas DNS y, en su lugar, llegan directamente a hosts remotos utilizando sus direcciones IP. En el primer trimestre de 2023, la mayoría de las muestras de malware que iniciaron comunicaciones externas lo hicieron utilizando una combinación de direcciones IP y nombres de host, con un 61% comunicándose directamente como mínimo, con una dirección IP y un 91% con al menos un host a través de una búsqueda DNS.

«La tarea prioritaria para los atacantes es encontrar nuevas formas de cubrir sus huellas a medida que las empresas dedican más recursos a la detección de amenazas, pero estos resultados reflejan lo sencillo que sigue siendo para ellos hacerlo a plena vista», afirma Ray Canzanese, Director de Investigación de Amenazas. «A medida que los atacantes gravitan hacia los servicios en la nube utilizados mayoritariamente en la empresa y aprovechan los canales populares para comunicarse, la mitigación del riesgo interfuncional es más necesaria que nunca».

Análisis en profundidad sobre las tendencias globales de malware web y en la nube

Otros hallazgos notables descubiertos incluyen:

  • El 55% de las descargas de malware HTTP/HTTPS proceden de aplicaciones en la nube, frente al 35% del mismo periodo del año anterior. El principal impulsor de este aumento es un incremento de las descargas de malware desde las aplicaciones en la nube más notorias entre las empresas, con Microsoft OneDrive como la aplicación empresarial más popular por un amplio margen.
  • El número de aplicaciones con descargas de malware también siguió aumentando, alcanzando un máximo de 261 apps distintas en el primer trimestre de 2023.
  • Sólo una pequeña parte del total de descargas de malware web se realizaron a través de categorías web tradicionalmente consideradas de riesgo. En su lugar, las descargas se reparten entre una amplia variedad de sitios, siendo los servidores de contenidos (CDN) los responsables de la mayor parte, con un 7,7%.

A medida que las empresas se esfuerzan por defenderse de la avalancha de programas maliciosos, se requiere la colaboración interfuncional de varios departamentos, incluidos los de red, operaciones de seguridad, respuesta a incidentes, dirección e incluso colaboradores individuales. Algunas de las medidas adicionales que las organizaciones pueden tomar para reducir los riesgos incluyen:

  • Inspeccionar todas las descargas HTTP y HTTPS, incluido todo el tráfico web y en la nube, para evitar que el malware se infiltre en la red.
  • Asegurarse de que los controles de seguridad inspeccionan recursivamente el contenido de los archivos comprimidos más populares y que los tipos de archivos de alto riesgo se examinan a fondo.
  • Configurar políticas para bloquear descargas de apps que no se utilizan en su organización para reducir la superficie de riesgo.

Les estaremos informando con mucho más detalle, en el marco del informe especial: “Ciberseguridad: malla, capas diversas, firewall, XDR, aiXDR. Seguridad inteligente. Analítica, videovigilancia. Seguridad física, continuidad eléctrica. Soluciones altamente competitivas con carácter preventivo para la nueva realidad, teletrabajo, gestión remota, comunicaciones unificadas”, que estamos preparando para nuestra edición 204 y publicaremos en el mes de mayo.

Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario.

Notas Relacionadas