Los días del malware especializado están llegando a su fin lentamente, ya que se están diseñando variantes modernas para poder hacer muchas cosas y tener tantas funciones como sea posible, según afirma una nueva investigación.
Un informe de Picus Security que analizó más de 550.000 muestras del mundo real descubrió que el «malware de navaja suiza», cepas multipropósito capaces de realizar todo tipo de acciones, está en aumento.
De hecho, un tercio de todo el malware analizado para el informe lleva al menos 20 Tácticas, Técnicas y Procedimientos (TTP) individuales, afirma el informe. El malware promedio aprovecha 11 TTP, mientras que uno de cada diez tiene hasta 30 TTP. Entre las características más comunes se encuentran el abuso de software legítimo, el movimiento lateral y el cifrado de archivos.
fuerte inversión
Según el marco de comportamiento del adversario MITRE ATT&CK, el intérprete de scripts y comandos es la técnica ATT&CK más frecuente, observada en casi un tercio de todas las muestras de malware.
Remote System Discovery y Remote Services han aparecido entre los diez primeros del artículo de investigación por primera vez, lo que refuerza aún más la conclusión de los investigadores de que el malware ahora puede abusar de herramientas y protocolos integrados en los sistemas operativos para evadir la detección.
Cuatro de cada 10 de las técnicas ATT&CK más frecuentes identificadas se utilizan para ayudar al movimiento lateral dentro de las redes corporativas, mientras que una cuarta parte es capaz de cifrar datos.
Todas estas cosas han sido posibles, según descubrieron los investigadores de Picus, a través de fuertes inversiones. Los sindicatos de ransomware están «bien financiados», dijeron, y están felices de reinvertir esos fondos en la creación de malware aún más peligroso. Además, los avances en los métodos de detección basados en el comportamiento que utilizan los defensores para mantener seguras sus instalaciones han obligado a los ciberdelincuentes a idear nuevas soluciones.
“El objetivo del ransomware (se abre en una pestaña nueva) operadores y actores del estado-nación por igual es lograr un objetivo de la manera más rápida y eficiente posible”, dijo el Dr. Suleyman Ozarslan, cofundador de Picus Security y vicepresidente de Picus Labs. “El hecho de que más malware pueda realizar un movimiento lateral es un señal de que los adversarios de todo tipo se ven obligados a adaptarse a las diferencias en los entornos de TI y trabajar más duro para obtener su día de pago”.
“Ante la necesidad de defenderse contra un malware cada vez más sofisticado, los equipos de seguridad también deben seguir evolucionando en sus enfoques. Al priorizar las técnicas de ataque de uso común y al validar continuamente la efectividad de los controles de seguridad, las organizaciones estarán mucho mejor preparadas para defender los activos críticos. También podrán asegurarse de que su atención y recursos se centren en áreas que tendrán el mayor impacto”.