La mayoría de las botnets aprovechan una infraestructura ya existente

RECOMENDADOS: Tecnologías que dan al dato el protagonismo que merece (WEBINAR)  Cinco retos de la innovación en cloud Informe IT Trends 2019: La realidad digital de la empresa española Mejores prácticas para implementar una plataforma ágil Robo de credenciales: prioriza la seguridad de tus apps Instalación de Redes WiFi y LAN en Hoteles

El grado en el que las diferentes amenazas comparten infraestructura es una tendencia a tener en cuenta, ya que muchos ataques tienden a aprovechar la infraestructura que utiliza la comunidad en mayor medida que una propia o dedicada, según los datos de Fortinet.

Según la firma, casi el 60% de las amenazas comparten al menos un dominio, lo que indica que la amplia mayoría de las botnets están aprovechando una infraestructura ya consolidada. Además, cuando las amenazas comparten infraestructura tienen a hacerlo en la misma etapa del ataque, es decir, no es usual que una amenaza aproveche un dominio para explotar y después lo aproveche para tráfico de comando y control.

Por tanto, si las organizaciones entienden esto, podrán predecir en qué potenciales puntos puede encontrarse malware o botnets.

Por otro lado, los cibercriminales tienden a pasar de una oportunidad a otra en clusters próximos, centrándose en objetivos, vulnerabilidades y tecnologías  ya explotadas con el objetivo de aprovechar al máximo la oportunidad. Por ejemplo, una nueva tecnología que atrae cada vez a más criminales son las plataformas web que facilitan a usuarios y empresas crear su propia web. Siguen siendo dirigidos, incluso asociados a plugins de terceros. “Esto refuerza el hecho de que es crítico aplicar los parches de forma inmediata y comprender la evolución de los exploits para adelantarnos a los movimientos de los cibercriminales”, dice el estudio. 

En lo que respecta al ransomware, que tiene un hueco en este trabajo. En este punto, Fortinet destaca las altas tasas anteriores se han reemplazado con ataques más dirigidos, pero la ciberextorsión está lejos de desaparecer.

Herramientas y trucos para Living Off the Land
El informe recuerda que, dado que los cibercriminales utilizan los mismos modelos de negocio que sus víctimas para maximizar sus esfuerzos, los métodos de ataque siguen operando incluso después de haber conseguido su entrada en el sistema. Para conseguirlo, los atacantes aprovechan cada vez más las herramientas de doble uso o las ya pre-instaladas en los sistemas objetivo para desplegar sus ciberataques. “Esta táctica de “living off the land” (LoTL) permite a los hackers camuflar sus actividades como procesos legítimos y dificulta en gran medida su detección a la vez que complican la atribución del ataque. Desafortunadamente, nuestros adversarios pueden utilizar una amplia variedad de herramientas legítimas para alcanzar sus objetivos y mantenerse ocultos”, explica.

Por tanto, las defensas inteligentes necesitarán limitar el acceso a las herramientas administrativas autorizadas y el acceso a sus entornos.

El informe también concluye que los delincuentes llevan a cabo las distintas fases de sus ataques en diferentes días de la semana. Al comparar el volumen de filtrado web en dos momentos concretos, durante los días laborables y los fines de semana, la actividad de compromiso previo es aproximadamente tres veces más probable que ocurra durante la semana laboral, mientras que el tráfico posterior al compromiso muestra menos diferenciación en ese sentido.

Esto se debe, según Fortinet, a que la actividad de explotación a menudo requiere que alguien realice una acción, como hacer clic en un correo electrónico de phishing. En cambio, la actividad de comando y control (C2) no tiene este requisito y puede producirse en cualquier momento. Los ciberdelincuentes son conscientes de ello y trabajan para maximizar las oportunidades durante la semana cuando la actividad en Internet es más frecuente. La diferencia de filtrado web entre días laborables y los fines de semana es importante para comprender el modus operandi de los ataques.