CIBERSEGURIDAD

Economía del delito cibernético de las macros maliciosas

Las técnicas de ataque van y vienen a medida que la tecnología y los comportamientos de los usuarios cambian y las defensas se adaptan a las nuevas amenazas, y a veces apartan la vista de las antiguas, y el regreso de macros maliciosas ofrece una oportunidad para examinar y comprender los impulsores detrás de estas adaptaciones, un ejercicio que es Análisis técnico y caso de negocio a partes iguales. Al combinar el análisis técnico de muestras de malware con la investigación en foros de ciberdelincuentes, este informe expone los impulsores económicos y técnicos detrás del reciente aumento de macros maliciosas y permite a los profesionales de la ciberseguridad defender mejor a sus organizaciones contra esta y futuras amenazas avanzadas.
La investigación de Proofpoint sobre amenazas y foros clandestinos encuentra que, desde la perspectiva de los costos, las macros maliciosas brindan el mejor rendimiento porque combinan costos iniciales y de mantenimiento más bajos con una mayor efectividad para crear una « aplicación asesina » para los ciberdelincuentes. El análisis técnico y la inteligencia de amenazas nos permiten identificar la causa detrás del regreso explosivo de macros maliciosas como una técnica de explotación que se presenta a diario en campañas masivas:
»» Altamente exitoso en eludir no solo las defensas tradicionales basadas en firmas y reputación, sino también en entornos de prueba de comportamiento más nuevos.
»» Capaz de actualizarse frecuentemente con facilidad y a bajo costo
»» Multiplataforma y «no parcheable», porque no está limitado por vulnerabilidades en un sistema operativo o versión de aplicación específicos.
»» La confianza en la interacción del usuario final aprovecha la ingeniería social para eludir las defensas automatizadas
»» Los bajos costos iniciales y de mantenimiento aumentan el retorno de la inversión (ROI)
Combinadas en una única solución, no es de extrañar que las campañas maliciosas de archivos adjuntos de macros hayan crecido tan rápidamente tanto en tamaño como en frecuencia.
y podemos esperar que solo comiencen a disminuir cuando esta ecuación cambie y su costo aumente o su efectividad disminuya
hasta el punto de que ya no pueden ofrecer el mismo ROI.
Para que el malware sea rentable, ante todo debe ser eficaz. La capacidad de las macros maliciosas para evadir constantemente las defensas y atraer a los usuarios finales para que hagan clic es un aspecto crítico de su éxito y atractivo para los actores de amenazas. Los principales factores que contribuyen a la eficacia de los macro exploits maliciosos son:

    • Capacidad para evadir las defensas basadas en firmas y conductuales
    • Facilidad para engañar a los usuarios finales para que habiliten el contenido malicioso en el documento
    • Barato y fácil de crear nuevas versiones para mantenerse a la vanguardia de las técnicas de detección.
    • No aprovechan las vulnerabilidades que se pueden parchear; en cambio, la propensión de los usuarios finales a hacer clic es la vulnerabilidad

Proofpoint observa a diario docenas de macros maliciosas nuevas o modificadas. Si bien hay muchas macros personalizadas o únicas, hemos observado al menos de cuatro a cinco vendedores establecidos que comercializan regularmente sus servicios a múltiples actores. Las macros maliciosas son rentables: el presupuesto de una campaña de documentos maliciosos (o «maldoc») puede oscilar entre cero y 1.000 dólares estadounidenses. Además de los servicios de algunos vendedores establecidos como Xbagging y MacroExp, hay muchos ejemplos de código abierto para actores con limitaciones de costos o que lo hacen ellos mismos sobre cómo convertir un documento de Microsoft Word en un arma con una macro maliciosa. Las macros maliciosas son efectivas: a diferencia de los archivos adjuntos que explotan vulnerabilidades conocidas o de día cero, los archivos adjuntos de macros maliciosos pueden generar tasas de éxito más altas porque no dependen de la presencia de una vulnerabilidad sin parchear en Microsoft Windows u Office, u otras aplicaciones comunes. Si bien las campañas en sí han ampliado su repertorio más allá de los documentos de Word para incluir otros tipos de documentos de Microsoft Office, principalmente Excel, y plantillas como HTML y XML, los mensajes maliciosos con archivos adjuntos siguen siendo una característica destacada del panorama de amenazas.
Una gran parte del éxito de las macros maliciosas se basa en su capacidad para explotar el factor humano: como ha demostrado la investigación de Proofpoint en otros lugares, todas las organizaciones hacen clic. La mejor defensa contra esta amenaza minimizará las oportunidades de interacción del usuario final antes de que pueda hacer clic, lo que incluye:
»» Asegúrese de que en su organización Microsoft Office esté configurado para deshabilitar macros de forma predeterminada, y preferiblemente configurado para deshabilitar «sin notificación». Habilitar la opción «con notificación» deja la decisión en manos del usuario y, como ha demostrado la investigación de Proofpoint, alguien siempre hace clic.
»» Eduque a sus usuarios sobre los peligros del correo electrónico no solicitado y tenga especial cuidado con las plantillas de phishing que, según la investigación de Proofpoint, son las más efectivas: notificaciones de mensajes, mensajes financieros corporativos y notificaciones de entrega.
»» Implemente soluciones de próxima generación capaces de detectar y bloquear estas y otras amenazas modernas y avanzadas transmitidas por correo electrónico. La economía de las macros maliciosas también resalta la importancia de mirar más allá de las respuestas tácticas y adoptar un enfoque estratégico que incorpore inteligencia sobre amenazas. Para comprender la dinámica que impulsa las nuevas amenazas, las organizaciones deben tener acceso a una inteligencia de amenazas integral: ver antes del primer eslabón de la cadena de ataque, por así decirlo, permite que los equipos de seguridad y los responsables de la toma de decisiones comprendan quién está creando nuevas amenazas, por qué, y la probabilidad de que sean utilizados por diferentes actores. Esta es la única forma de identificar, adaptarse y defenderse de las nuevas amenazas a medida que surgen.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba
Cerrar