El malware cazador-asesino especializado que es capaz de identificar y desactivar herramientas clave de seguridad cibernética, como firewalls de próxima generación, software antivirus y soluciones de detección y respuesta de endpoints (EDR), experimentó un aumento cuatro veces mayor en volumen durante 2023, lo que demuestra un cambio dramático en la amenaza. la capacidad de los actores para neutralizar las defensas empresariales. Esto es según el último informe anual Picus red de Picus Security, que analizó más de 600.000 muestras maliciosas observadas durante el período y asignó un promedio de 11 técnicas por malware a más de siete millones de técnicas Mitre ATT&CK. «Estamos siendo testigos de un aumento en el malware ultra evasivo y altamente agresivo que comparte las características de los submarinos cazadores-asesinos», dijo Suleyman Ozarslan, cofundador de Picus Security y vicepresidente de la unidad de investigación de la empresa, Picus Labs, que compiló el informe. datos. “Así como estos submarinos se mueven silenciosamente a través de aguas profundas y lanzan ataques devastadores para derrotar las defensas de sus objetivos, el nuevo malware está diseñado no sólo para evadir las herramientas de seguridad sino también para derribarlas activamente. Creemos que los ciberdelincuentes están cambiando de rumbo en respuesta a que la seguridad de las empresas promedio está mejorando mucho y a que se utilizan herramientas ampliamente que ofrecen capacidades mucho más avanzadas para detectar amenazas. “Hace un año, era relativamente raro que los adversarios desactivaran los controles de seguridad. Ahora, este comportamiento se observa en una cuarta parte de las muestras de malware y es utilizado por prácticamente todos los grupos de ransomware y APT”, afirmó Ozarslan. “Estamos siendo testigos de un aumento en el malware ultraevasivo y altamente agresivo que comparte las características de los submarinos cazadores-asesinos” Suleyman Ozarslan, Picus Security El uso de malware cazador-asesino representa una técnica de Mitre ATT&CK rastreada como T1562 Impair Defences, y el dramático El crecimiento en su uso la convirtió en la tercera técnica Mitre más observada en 2023. Picus dijo que el crecimiento se vio matizado aún más por la reutilización de las utilidades de seguridad cibernética como herramientas maliciosas. Por ejemplo, en 2023, el equipo de ransomware LockBit convirtió la utilidad anti-rootkit TDSSKiller de Kaspersky en un arma para acabar con el software de seguridad de terminales, incluido Microsoft Defender. El aumento del malware cazador-asesino es parte de una tendencia más amplia en la que los actores de amenazas optimizan sus posibilidades de ataques exitosos evadiendo las defensas cibernéticas de sus víctimas: el 70% del malware analizado para el informe ahora emplea técnicas sigilosas para evadir la detección y establecer y mantener la persistencia. . Picus observó una duplicación en el uso de archivos o información ofuscados, diseñados para obstaculizar la efectividad de las herramientas de seguridad y evadir la detección, la respuesta a incidentes y el posterior análisis forense. «Puede ser increíblemente difícil detectar si un ataque ha desactivado o reconfigurado las herramientas de seguridad porque puede parecer que todavía funcionan como se esperaba», dijo Huseyin Can Yuceel, líder de investigación de seguridad de Picus Security. “Prevenir ataques que de otro modo pasarían desapercibidos requiere el uso de múltiples controles de seguridad con un enfoque de defensa en profundidad. La validación de la seguridad debe ser un punto de partida para que las organizaciones comprendan mejor su preparación e identifiquen brechas. “A menos que una organización esté simulando ataques de forma proactiva para evaluar la respuesta de su EDR, XDR [extended detection and response]SIEM [security information and event management]y otros sistemas defensivos que pueden ser debilitados o eliminados por el malware cazador-asesino, no sabrán que están inactivos hasta que sea demasiado tarde”, afirmó Yuceel. Las 10 tácticas, técnicas y procedimientos (TTP) de Mitre ATT&CK más comúnmente observados en los datos de Picus son los siguientes: Inyección de proceso T1055: se utiliza para mejorar la capacidad de un actor de amenazas para permanecer sin ser detectado y potencialmente elevar sus privilegios mediante la inyección de código malicioso en un servidor legítimo. proceso, enmascarando así lo que realmente está sucediendo. Intérprete de comandos y secuencias de comandos T1059: se utiliza para ejecutar comandos, secuencias de comandos y archivos binarios en el sistema víctima, lo que permite a los actores de amenazas interactuar con el sistema comprometido, recuperar más cargas útiles y herramientas o eludir medidas defensivas. T1562 Impair Defenses: el uso de malware cazador-asesino como se detalla. T1082 Descubrimiento de información del sistema: se utiliza para recopilar datos sobre el sistema comprometido, como la versión del sistema operativo, el ID del kernel y las vulnerabilidades potenciales, aprovechando las herramientas integradas. T1486 Datos cifrados para impacto: utilizado por casilleros de ransomware y limpiadores de datos. T1003 OS Credential Dumping: se utiliza para obtener inicios de sesión y credenciales de cuenta para acceder a otros recursos y sistemas en el entorno de la víctima. Protocolo de capa de aplicación T1071: se utiliza para manipular protocolos de red estándar, lo que permite a los atacantes infiltrarse en los sistemas y robar datos mezclándose con el tráfico normal de la red. T1547 Ejecución de inicio automático de inicio o inicio de sesión: se utiliza para configurar los ajustes del sistema para ejecutar programas automáticamente cuando los sistemas se inician o los usuarios inician sesión, con el objetivo de mantener el control o escalar privilegios. T1047 Instrumental de administración de Windows (WMI): se utiliza para ejecutar comandos maliciosos y cargas útiles en hosts de Windows comprometidos mediante la explotación de la herramienta de administración de operaciones y datos WMI. T1027 Archivos o información ofuscados: se utiliza para ocultar el contenido de un archivo malicioso o ejecutable en tránsito cifrándolo, codificándolo o comprimiéndolo. Ozarslan dijo que para combatir el malware cazador-asesino y mantenerse por delante de algunos de los otros TTP que seguirán siendo bien utilizados en 2024, las organizaciones debían hacer más para validar sus defensas contra el marco Mitre ATT&CK y adoptar el uso del aprendizaje automático como asistente si es necesario. El informe completo, que incluye una gran cantidad de detalles sobre las técnicas Mitre ATT&CK más comúnmente observadas, se puede descargar desde Picus Security aquí.

Source link