Las nuevas cifras de ransomware de Venafi y Forensic Pathways han arrojado algo de luz sobre por qué Microsoft está actualmente tan preocupado por la seguridad de las macros de Office.
En el transcurso de cinco meses (noviembre de 2021 a marzo de 2022), las dos empresas analizaron 35 millones de URL de la web oscura, incluidos mercados y foros para productos y servicios de ransomware, y descubrieron que casi todo (87 %) del ransomware encontrado en la web oscura se ha entregado a los puntos finales a través de macros maliciosas.
Las dos empresas identificaron un total de 30 productos de malware diferentes, incluidos Babuk, GoldenEye, Darkside/BlackCat, Egregor, HiddenTear y WannaCry.
Macros como plataforma de lanzamiento de ransomware
Sin embargo, no todo el ransomware se creó de la misma manera. Los utilizados en ataques de alto perfil cuestan más, por ejemplo, la variante Darkside utilizada en el ataque Colonial Pipeline cuesta $ 1,262. El código fuente para el ransomware popular también es relativamente caro, según los investigadores, con el código fuente de Babuk por $ 950, mientras que el de Paradise se vendió por $ 593.
Las macros son una característica importante para todos los usuarios avanzados de Office, ya que permiten que los archivos extraigan datos de la web automáticamente y actualicen los contenidos de forma autónoma. Dada la naturaleza de la herramienta, los actores de amenazas abusaron de ella durante años, hasta que Microsoft decidió, en primer lugar, evitar que se ejecutaran los archivos que transportaban macros descargados de Internet.
“Dado que casi cualquier persona puede lanzar un ataque de ransomware utilizando una macro maliciosa, la indecisión de Microsoft sobre la desactivación de macros debería asustar a todos”, dijo Kevin Bocek, vicepresidente de estrategia de seguridad e inteligencia de amenazas de Venafi. “Si bien la compañía cambió de rumbo por segunda vez en la desactivación de macros, el hecho de que hubo una reacción violenta de la comunidad de usuarios sugiere que las macros podrían persistir como un vector de ataque maduro”.
Los hallazgos, argumenta Venafi, son un argumento sólido a favor de los planos de control de gestión de identidad de la máquina, que impulsarían resultados comerciales específicos, como la observabilidad, la consistencia y la confiabilidad. La firma de código, dice, es un «control de seguridad de gestión de identidad de máquina clave» que ayuda a eliminar los ataques de ransomware impulsados por macros.
“El uso de certificados de firma de código para autenticar macros significa que las macros sin firmar no pueden ejecutarse, lo que detiene los ataques de ransomware en seco”, concluye Bocek. “Esta es una oportunidad para que los equipos de seguridad intensifiquen y protejan sus negocios, especialmente en banca, seguros, atención médica y energía, donde las macros y los documentos de Office se usan todos los días para impulsar la toma de decisiones”.
- Obtenga la máxima protección para dispositivos con el mejor antivirus (se abre en una pestaña nueva)