El ataque contra el Consejo General del Poder Judicial, no es más que una nueva demostración que los ataques son cada vez más dirigidos y mejor orquestados.
Atacar al Punto Neutro Judicial es acceder a información de Policía Nacional, SEPE o INSS, entre otros… Uno de los ejes principales de comunicación en el trabajo colaborativo, como muchos de nosotros tenemos en nuestros sistemas: el SharePoint.
Todavía la investigación está en sus inicios, aunque se trabaja en la hipótesis principal de que se han accedido mediante el robo de credenciales.
Toca prudencia, y aprender. Aprender de la experiencia de terceros.
Los ataques dirigidos cuentan con un vector principal: los ataques mediante fichero. En MICROMOUSE hace tiempo nos enfrentamos con malware y códigos maliciosos que usan máscaras como “archivos inocentes” que, compartidos en el canal principal de distribución, se convierte en una bomba de racimo dentro de los sistemas.
La conexión profunda entre el malware y los archivos adjuntos de correo electrónico se conoce desde hace muchos años, sin embargo, las tendencias recientes han alcanzado un punto de ebullición.
Los AV y SandBox, siendo elementos básicos en la protección perimetral no alcanzan a identificar un elevado porcentaje de malware incrustado en fichero, campando por nuestros sistemas libremente hasta que llegue el momento en que se ejecuta.
Organismos como, AV-TEST, están registrando 400.000 nuevos malware (cepas, dirigidos, etc…) al día, una velocidad difícil de sostener por cualquier fabricante de AV. Toca poner en marcha alternativas, aquí es donde las tecnologías CDR están cobrando posición en el tablero de juego de la ciberseguridad.
¿Qué tipos de archivos contienen mayor riesgo?
Archivos ZIP y RAR
Los archivos Zip y RAR son una vía ideal para que los hackers realicen campañas de phishing altamente sofisticadas. Con sus nombres fácilmente confusos, que pueden mezclar archivos legítimos con permutaciones potencialmente corruptas, así como métodos complejos para evadir la definición básica de antivirus, los archivos ZIP y RAR se utilizan cada vez más para exportar datos seguros y extraer datos críticos de entornos seguros.
Ejemplo de ello fueron los ataques que distribuyeron el ransomware GrandCrab en la víspera e San Valentín mediante archivos ZIP titulados Love_You0891.
Con los archivos ZIP y RAR, los atacantes tienen una amplia gama de métodos para comprometer las restricciones de seguridad y suplantar datos vitales de usuarios desconocidos.
Documentos de Microsoft Office
En 2020, el tipo de archivo más común con malware incrustado fueron los archivos exe de Microsoft Windows, seguidos de los archivos documentos de Microsoft Word. Y es que los ficheros Office tienen todas las ventajas para una distribución de malware lo más eficiente posible: cotidianeidad (es de los más empleados a nivel corporativo), intercambiables y que es de fácil camuflaje debido a la existencia de las macros generadas por los propios usuarios.
A medida que los hackers incrustan macros dentro de los archivos de Office, los productos de seguridad heredados, como los antivirus, pierden sus capacidades de protección efectiva. Curiosamente, esta tendencia está trayendo nueva vida a las tácticas de phishing de principios de la década de 2000, que dependían en gran medida de las macros incrustadas dentro de los archivos de Office.
Los riesgos han crecido tanto que el Departamento de Justicia de los Estados Unidos ha aconsejado específicamente a las empresas, cuando sea posible, deshabilitar macros para mitigar el riesgo potencial de malware dentro de este tipo de archivo.
PDF Files
Según los hallazgos recientes de los principales fabricantes de AV, los PDF se están convirtiendo rápidamente en uno de los vectores más comunes para el malware incrustado. Como uno de los tipos de archivos más comunes enviados, especialmente desde el aumento de la pandemia de covid-19, los archivos PDF son un método ideal para comenzar campañas de phishing maliciosas, así como la extracción de datos.
Los archivos PDF representan un riesgo único para las empresas y los usuarios, ya que a menudo no requieren el mismo proceso de saneamiento antivirus requerido en otros tipos de archivos.
En pocas palabras, «En algunos tipos de ataques maliciosos de PDF, el lector de PDF en sí contiene una vulnerabilidad o falla que permite que un archivo ejecute código malicioso. Recuerde que los lectores de PDF no son solo aplicaciones como Adobe Reader y Adobe Acrobat. La mayoría de los navegadores contienen un motor lector de PDF incorporado que también puede ser dirigido. En otros casos, los atacantes pueden aprovechar AcroForms o XFA Forms, tecnologías de scripting utilizadas en la creación de PDF que estaban destinadas a agregar características útiles e interactivas a un documento PDF estándar«.
Como resultado directo de esta accesibilidad en la estructura del PDF, los hackers pueden explotar fácilmente este tipo de archivo para comprometer su estructura e incrustar contenido malicioso dentro.
Reflexiones sobre la protección de archivos
Ransomware, ataques de día cero y spear phishing. ¿Qué une estos ataques devastadores? El hecho de que el vector principal para facilitar estos eventos es a través de campañas de correo electrónico y el envío de archivos adjuntos con malware incrustado. Desde archivos PDF y archivos de oficina hasta ZIP y RAR y muchos otros, los hackers recurren cada vez más al malware incrustado como su vía de enfoque para impartir consecuencias devastadoras.
Para mitigar el riesgo de ataques cibernéticos y archivos maliciosos que causan daños catastróficos a los datos y la reputación, tanto las empresas como los ciudadanos preocupados deben analizar más a fondo sus correos electrónicos, para aplicar nuevas soluciones que puedan controlar y aislar eficazmente los riesgos del malware basado en archivos.
La tecnologías Content Disarm and Reconstruction son ya un clásico en el portfolio de Micromouse. Unas tecnologías que anulan este tipo de ataques incrustados en fichero y ZeroDay. Cuando el foco lo tenemos en el fichero, además incorporar la tecnología de Deep File Inspection es básico. Por ello recomendamos odix™ como solución de referencia para mitigar este tipo de ataque. ¿Hablamos de Ciberseguridad?
