Blog

Si bien muchos ciberdelincuentes completan la recuperación de datos en cuestión de minutos o menos, otros prefieren un enfoque de larga distancia para recopilar información protegida. El reciente aumento de amenazas persistentes avanzadas (APT), ransomware y otros delitos sofisticados es un indicador de que los virus bien ocultos son definitivamente algo a lo que hay que prestar atención.

Tres de cada diez organizaciones creen que fueron atacadas por una APT en 2015, según la investigación de Galois. Las amenazas de seguridad más recientes se caracterizan por su capacidad de permanecer sin ser detectadas durante largos períodos en la red de una empresa. En algunos casos, los delincuentes han pasado desapercibidos durante años.

Los profesionales de TI deben estar preparados para una nueva generación de malware y ransomware que son sutiles pero peligrosos. Únase a nosotros mientras revisamos dónde se pueden ocultar APT, ransomware y otro malware sofisticado en su red y cómo estar preparado para proteger su organización.

¿Dónde se esconden el malware y el ransomware?

1. Archivos críticos del sistema

Uno de los lugares más peligrosos e inocuos que puede ocultar el malware altamente sofisticado son los archivos críticos del sistema. Tradicionalmente, muchos archivos de malware que se usaban para reemplazar o modificar archivos críticos del sistema existentes se distinguían por una firma externa o metadatos visibles en el campo de atributos certificables (ACT) de los archivos firmados.

Señalado por PCWorld, el investigador de seguridad Tom Nipravsky descubrió recientemente que las firmas ya no son infalibles. Los ciberdelincuentes ahora han descubierto cómo lograr la "taquigrafía de archivos" ocultando malware en archivos firmados sin modificar el ACT.

Si bien las prácticas de estenografía de archivos utilizadas por los ciberdelincuentes altamente sofisticados pueden eludir la mayoría de los métodos tradicionales de detección, quedan algunos rastros. Con tecnología que puede detectar cambios en el tamaño o el contenido del archivo, además de los cambios de firma, es posible detectar estos cambios negativos.

2. Registro de Windows

Algunos malware modificarán las claves del Registro de Windows para establecer una posición entre las "ejecuciones automáticas" o asegurarse de que el malware se inicie cada vez que se inicie un sistema operativo. Roger A. Grimes de InfoWorld escribió en 2015 que la gran mayoría del malware actual modifica las claves de registro como un modo de garantizar la residencia a largo plazo dentro de una red.

La auditoría manual de las claves de registro de Windows para detectar anomalías es una tarea enorme. En teoría, requeriría la comparación de los archivos de registro con las decenas de miles de configuraciones de ejecución automática. Si bien existen algunos atajos posibles, la determinación eficiente de las modificaciones a sus claves de registro generalmente se logra mejor con una solución de monitoreo de integridad de archivos.

3. Carpetas Temporales

Los sistemas operativos contienen una gran cantidad de carpetas temporales, que van desde cachés de Internet hasta datos de aplicaciones. Estos archivos son una parte inherente del sistema operativo, lo que permite que el sistema procese y comprima información para respaldar la experiencia del usuario. Por naturaleza, estas carpetas temporales suelen ser predeterminadas y todos los usuarios pueden escribir para habilitar la navegación por Internet, la creación de hojas de cálculo de Excel y otras actividades comunes.

Debido a la falta de seguridad inherente de estas carpetas temporales, es un lugar común para el malware y el ransomware tan pronto como los delincuentes ingresan a su sistema a través de phishing, un exploit de rootkit u otro método. El ransomware y el malware pueden usar carpetas temporales como una plataforma de lanzamiento para ejecutarse de inmediato o establecer otras fortalezas dentro de la red de una empresa a través de la elevación de permisos y otros modos.

4. Archivos .lnk

También conocidos como "accesos directos", pueden contener una ruta directa a un sitio web cargado de malware o ransomware o, lo que es más peligroso, un archivo ejecutable. Lo más probable es que sus empleados tengan bastantes de estas vías en sus escritorios para facilitar el acceso a las aplicaciones web y otras herramientas más visitadas.

Tanto el malware como el ransomware pueden afianzarse dentro de un sistema después de la descarga con archivos .lnk inteligentemente disfrazados que pueden parecerse a un acceso directo existente o incluso a un documento PDF inocuo. Desafortunadamente, el usuario final promedio no puede notar la diferencia ya que el aspecto .lnk del archivo no se muestra visiblemente.

5. Archivos de palabras

Incluso los filtros de spam de grado relativamente bajo son lo suficientemente inteligentes como para reconocer los archivos .exe como potencialmente maliciosos. Sin embargo, los ciberdelincuentes se han dado cuenta de esta práctica y ahora aprovechan los VBA de Microsoft Office para insertar código de ransomware en las macros de documentos de Word, según KnowBe4. Este tipo particular de "locky ransomware" ingresa inmediatamente a los archivos temporales y ejecuta un bloqueo en las demandas de datos y ransomware.

Protección de su organización contra el malware y el ransomware más furtivos

¿Es posible proteger su organización contra las últimas iteraciones de malware y ransomware mediante la revisión manual de las claves de registro de Windows, la educación sobre los peligros de los archivos .lnk y otras medidas de seguridad? Posiblemente, pero ciertamente no sería el enfoque más pragmático. Es más probable que nunca que los ataques de ciberdelincuencia más peligrosos de la actualidad parezcan componentes normales e inocentes de la red de su empresa, incluso para un ojo bien entrenado.

El panorama de seguridad actual exige soluciones más inteligentes y eficientes para monitorear todos los aspectos de sus archivos, más allá de las firmas y las apariencias superficiales.