Este año persistirán el ransomware y las cadenas de infección complejas

Como cada año, los investigadores de Proofpoint examinan las tendencias del año anterior y predicen los cambios en el panorama de amenazas que los defensores afrontarán en el nuevo año. Entre sus predicciones destaca que el correo electrónico seguirá siendo el vector de amenazas inicial preferido para la mayoría de los atacantes, que impulsarán campañas de phishing, ataques dirigidos con malware, y la distribución de troyanos bancarios, descargadores, puertas traseras y más.

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Ransomware

A pesar de su casi ausencia como carga principal en correos electrónicos maliciosos, el ransomware continuó siendo noticia durante todo el año 2019, principalmente en los llamados "ataques de caza mayor". Esperamos este tipo de ataques, en los que los actores de amenazas se centran en ataques de alto perfil contra servidores y endpoints de entornos de misión crítica, que tienen más probabilidades de pagar para descifrar sus archivos, continuarán en 2020. Sin embargo, este tipo de infecciones generalmente son secundarias a las infecciones iniciales con RAT, descargadores y troyanos bancarios, lo que hace que la prevención de infecciones iniciales sea crítica para organizaciones y defensores. En 2020, las organizaciones descubrirán cada vez más que una vez que son víctimas del ransomware, ya se han visto comprometidas con una variedad de malware versátil que crea vulnerabilidades potenciales y expone los datos y la propiedad intelectual.

Cadenas de infección complejas

En 2019, los mensajes que se basan en URL para distribuir malware superaron en número a los archivos adjuntos maliciosos para distribuir malware. Si bien la mayoría de los usuarios han sido condicionados en gran medida para evitar archivos adjuntos de remitentes desconocidos, la creciente prevalencia de aplicaciones y almacenamiento en la nube significa que todos estamos condicionados a hacer clic en enlaces que permiten ver, compartir e interactuar con una variedad de contenido. Los actores de amenazas continuarán capitalizando esto en 2020, tanto por su efectividad en ingeniería social como porque las URL se pueden usar para enmascarar cadenas de infección cada vez más complejas que hacen que la detección sea más difícil. En 2020 veremos un aumento en el uso de acortadores de URL, sistemas de distribución de tráfico y otros elementos para ocultar las cargas útiles a los sistemas automatizados.

Al mismo tiempo, las campañas continuarán aumentando en complejidad y mejorando los ganchos de ingeniería social para engañar a los usuarios para que instalen malware. Continuaremos viendo cómo las tácticas de BEC se abren paso en campañas de malware y phishing con actores de amenazas que utilizan múltiples puntos de contacto como LinkedIn y múltiples correos electrónicos benignos antes de entregar una carga maliciosa una vez que han establecido una buena relación con la víctima. Del mismo modo, el malware modular diseñado para descargar capacidades adicionales o el malware secundario posterior a la infección continuará la tendencia de infecciones "silenciosas" que los actores pueden explotar en un momento posterior.

Abuso de servicios legítimos

En la misma línea, los actores de amenazas ampliarán su abuso de servicios legítimos para alojar y distribuir campañas de correo electrónico malicioso, malware y kits de phishing. Un ejemplo de ello es el uso de enlaces de Microsoft SharePoint para alojar malware, que estamos comenzando a verlo utilizado para el phishing interno. Por ejemplo, una cuenta comprometida de Office 365 se usa para enviar un correo electrónico de phishing interno que se vincula a un kit de phishing alojado en SharePoint usando otra cuenta comprometida. En este caso, las víctimas no serían redirigidas a un sitio de phishing externo y los correos electrónicos parecerían provenir de usuarios legítimos de la organización. Este tipo de ataque solo requiere un par de cuentas comprometidas y es difícil de detectar, y se espera que se vuelva más frecuente en 2020 debido a su efectividad.

Del mismo modo, el abuso generalizado de otros servicios de alojamiento legítimos basados ​​en la nube para la entrega de malware continuará, aprovechando nuestro condicionamiento para hacer clic a enlaces para contenido compartido y la incapacidad de la mayoría de las organizaciones de incluir en la lista negra servicios como Dropbox y Box.