Desde los Laboratorios de ESET estamos constantemente analizando y estudiando cómo es que los cibercriminales propagan sus amenazas, no solo a lo largo de la región sino a nivel mundial. Día a día recibimos diversos tipos de códigos maliciosos con los fines más diversos, algunos orientados a usuarios hogareños, pero también otros con un foco muy latente en el mundo corporativo.
Cuando miramos en retrospectiva nuestro documento de Tendencias a lo largo de los años, vemos la evolución y los cambios que las empresas han tenido que afrontar. El año pasado, hablábamos del mundo corporativo como el objetivo central y este año pusimos sobre la mesa la incidencia del IoT, no solo en los hogares sino también en las empresas.
Desde el punto de vista corporativo, la seguridad se construye como un proceso que requiere una gestión y el apoyo de otras áreas clave de la organización. El desafío es constante y los equipos de seguridad deben cubrir distintos frentes por los cuales un código malicioso podría ingresar a la red de la organización, apostando al uso de tecnología proactiva de detección, gestión y educación como parte de su plan de defensa.
Si tenemos en cuenta que en las organizaciones los recursos son finitos, y el personal de IT muchas veces tiene a su cargo (entre otras tareas) la seguridad de la información, es importante elaborar un plan de respuesta a incidentes claro y conciso. Al mismo tiempo, ayudará a identificar los puntos más comunes de infección para así estar atentos a lo que sucede.
A continuación presentaremos los tipos de amenazas más comunes en las empresas, su impacto y algunos casos resonantes del último tiempo.
#1 Correos electrónicos que acarrean amenazas
El correo electrónico tiene casi un rol central en las empresas de hoy, ya que forma una parte troncal de la comunicación con clientes, proveedores, servicios; además, facilita compartir información de manera interna. Las cuentas de correo de las empresas suelen ser uno de los canales principales de recepción de códigos maliciosos y hemos comentado acerca de campañas de propagación de diferentes tipos de amenazas que utilizaron esta vía de comunicación.
Como uno de lcorreos-electronicos-amenazasos casos más recientes, tenemos el ejemplo de Win32/Bayrob, que se propagó en diferentes oleadas haciéndose pasar por un cupón de Amazon. En menos de un mes se posicionó en los primeros lugares respecto a detecciones en países como Argentina, Chile, Colombia y México, entre otros.
Además, el malware a través de archivos adjuntos generó grandes problemas en campañas como CTB-Locker hace poco más de un año, donde se observaron oleadas en diferentes idiomas propagando un troyano detectado por ESET como Win32/TrojanDownloader.Elenoocka.A. Este luego se encarga de instalar el ransomware para cifrar los archivos de sus víctimas y exigir el pago de un rescate.
Para proteger las cuentas de correos de las empresas es necesario no solo contar con una solución de seguridad en el endpoint que detecte los adjuntos maliciosos, sino que también hay que proteger el servidor de correo, y filtrar dichos elementos antes de que lleguen a la bandeja de entrada. Una recomendación para los equipos de seguridad es utilizar sus herramientas de gestión para generar reportes sobre qué amenazas reciben los empleados a través de correos electrónicos, y así ajustar sus programas de respuesta a incidentes si llegase a ocurrir un problema.
#2 Dispositivos extraíbles que hacen desaparecer archivos
El uso de memorias USB y otro tipo de dispositivos extraíbles son también un vector de propagación muy común de códigos maliciosos. Particularmente en Latinoamérica, hemos visto un gran número de familias que utilizan esta técnica, que a lo largo de los años ha generado más de un dolor de cabeza.
La principal modalidad en este tipo de infecciones es el abuso de los accesos directos (LNK), en donde al conectar el dispositivo USB a una máquina infectada, desaparecen todos los archivos y carpetas y son reemplazados por accesos directos. Si el mismo USB es insertado en una máquina nueva, cuando el usuario hace doble clic en ellos se infecta el sistema y luego se abren las carpetas para que no se dé cuenta.
Algunas de las familias de malware que a lo largo de los años han utilizado esta técnica para propagarse son Win32/Dorkbot, Python/Liberpy.A, JS/Bondat, VBS/Agent.NDH e incluso diferentes variantes de Win32/IRCBot.
Es importante para una organización definir las políticas de utilización de los dispositivos de almacenamiento extraíble, en primer lugar porque también podrían abrir las puertas al robo de información. Según el negocio o las decisiones de la organización, utilizar una solución que permita bloquear su uso de manera selectiva es altamente recomendable.
#3 Exploits
La explotación de vulnerabilidades de software es otro de los vectores de propagación de códigos maliciosos, principalmente a través de aplicaciones de ofimática, navegadores y sitios web. El desafío respecto a la falla en aplicaciones o navegadores es que si no se ha actualizado la aplicación vulnerable, o incluso todavía no se cuenta con un parche, una empresa podría quedar expuesta.
