El 75% de la jornada laboral se pasa en un navegador web, que se ha convertido rápidamente en la principal superficie de ataque para los actores de amenazas, ransomware y otros ataques.
Menlo Security ha identificado un aumento de las ciberamenazas, denominadas Highly Evasive Adaptive Threats (HEAT), que eluden las defensas de seguridad tradicionales.
Los ataques HEAT son una categoría de ciberamenazas dirigidas a los navegadores web como vector de ataque y emplean técnicas para eludir la detección por parte de las múltiples capas de las pilas de seguridad actuales, como cortafuegos, gateways web seguros, análisis de sandbox, reputación de URL y detección de phishing. Los ataques HEAT se utilizan para distribuir malware o para comprometer las credenciales, lo que en muchos casos conduce a ataques de ransomware.
En un análisis de casi 500.000 dominios maliciosos, el equipo de investigación de Menlo Security Labs descubrió que el 69% de estos sitios web utilizaban tácticas HEAT para distribuir malware. Estos ataques permiten a los malos actores entregar contenido malicioso al endpoint adaptándose al entorno objetivo. Desde julio de 2021, Menlo Security ha visto un aumento del 224% en los ataques HEAT.
“Con el abrupto paso al trabajo remoto en 2020, todas las organizaciones tuvieron que pivotar hacia un modelo de trabajo a distancia y acelerar su migración a aplicaciones basadas en la nube. Un informe de la industria descubrió que el 75% de la jornada laboral se pasa en un navegador web, que se ha convertido rápidamente en la principal superficie de ataque para los actores de amenazas, ransomware y otros ataques. La industria ha visto una explosión en el número y la sofisticación de estos ataques altamente evasivos y la mayoría de las empresas no están preparadas y carecen de los recursos para prevenirlos”, dijo Amir Ben-Efraim, cofundador y CEO de Menlo Security. “Las ciberamenazas son un problema generalizado y un asunto de la sala de juntas que debería estar en la agenda de todos. El panorama de las amenazas está en constante evolución, el ransomware es más persistente que nunca, y los ataques HEAT han hecho que las soluciones de seguridad tradicionales sean ineficaces.”
Los ataques HEAT aprovechan una o más de las siguientes técnicas básicas que eluden las defensas de seguridad de red tradicionales:
- Evade la inspección de contenido tanto estática como dinámica: Los ataques HEAT evaden tanto los motores de análisis de firmas como los de comportamiento para entregar cargas útiles maliciosas a la víctima utilizando técnicas innovadoras como el HTML Smuggling. Esta técnica es utilizada por actores de amenazas como Nobelium, el grupo de hackers detrás del ataque de ransomware SolarWinds. En un caso reciente, denominado ISOMorph, el equipo de investigación de Menlo Labs observó que la campaña utilizaba la popular aplicación de mensajería Discord para alojar cargas útiles maliciosas. Menlo Labs identificó más de 27.000 ataques de malware que fueron entregados usando HTML Smuggling en los últimos 90 días
- Evade el análisis de enlaces maliciosos: Estas amenazas evaden los motores de análisis de enlaces maliciosos tradicionalmente implementados en la ruta del correo electrónico, donde los enlaces pueden ser analizados antes de llegar al usuario.
- Evade la categorización offline y la detección de amenazas: Los ataques HEAT evaden la categorización de la web mediante la entrega de malware desde sitios web benignos, ya sea comprometiéndolos, o creando pacientemente otros nuevos. Se denominan sitios web Good2Bad. Menlo Labs ha estado rastreando una campaña de amenaza activa apodada SolarMarker, que emplea el envenenamiento SEO. La campaña comenzó comprometiendo un gran conjunto de sitios web de baja popularidad que habían sido categorizados como benignos, infectando estos sitios web con contenido malicioso.
- Evita la inspección del tráfico HTTP: En un ataque HEAT, el contenido malicioso, como los exploits del navegador, el código de minería de criptomonedas, el código del kit de suplantación de identidad y las imágenes que suplantan los logotipos de marcas conocidas, es generado por JavaScript en el navegador por su motor de renderizado, haciendo inútil cualquier técnica de detección.
Las tres principales marcas suplantadas en los ataques de phishing son Microsoft, PayPal y Amazon. Cada 1,7 minutos se crea un nuevo sitio web de phishing que imita a una de estas marcas.
“Los ataques de amenazas adaptativas altamente evasivas (HEAT, por sus siglas en inglés) evaden las defensas de seguridad existentes mediante la comprensión de toda la tecnología integrada en la pila de seguridad existente y la construcción de mecanismos de entrega para evadir la detección”, dijo John Grady, analista senior de ESG. “Las organizaciones deben centrarse en tres principios clave para limitar su susceptibilidad a este tipo de ataques: pasar de una mentalidad de detección a una de prevención, detener las amenazas antes de que lleguen al endpoint e incorporar capacidades avanzadas de antiphishing y aislamiento.”
Fuente: DiarioIT
¿Quieres dar tus primeros pasos en el apasionante mundo de estructuras IT? En EducaciónIT tenemos una oferta académica con la cual aprenderás a dominar todas las herramientas necesarias para convertirte en un verdadero experto en este lenguaje de programación. Conoce más de nuestros cursos de Switching y Routing.
