SG37

CIBERSEGURIDAD 58 BrickerBot (Bot), Remcos (tipo RAT), Hamas, MalLocker.B, Zeus (troyano), Wiper, WebC2, Babar, Glupteba (tipo backdoor), Lucy (es MaaS y dropper), LokiBot (tipo infostaler), Clop (ransomware), Remcos, Betabot, AgentTesla (RAT), EquationGroup, Ramnit, Gauss (robo credenciales), Cerberus (captura datos sensibles y los envía a un servidor remoto C&C), Marble-Framework (ofusca-scrambling el malware y pone falsa bandera), etc. El malware inteligente avanzado puede realizar ciberataques de muy diferentes tipos: visibles o invisibles/ ocultos, detectables o no detectables, persistentes (APT) o no persistentes, globales, dirigidos, simultáneos, tipo campañas, con actuación retardada, en vida latente (uso de módulos durmientes), con y sin desinformación, etc. Algunas características del malware ofensivo son: nivel de dispersión geográfica, número de funcionalidades que integra (worm, virus, backdoor, etc.), frecuencia (número de infecciones por unidad de tiempo), capacidad de ganancia de funciones, capacidad de comunicarse con servidores C&C (se pueden identificar distintas opciones de organización C&C: totalmente centralizado, totalmente descentralizado (auto-sincronización), colaborativadescentralizada, centralizada para control y descentralizada para ejecución, etc.), etc. El malware inteligente avanzado defensivo (MIAD) actúa vigilando, descubriendo y neutralizando/bloqueando todo tipo de exploits, vulnerabilidades como intentos de inyección, CSS, SSRF (Server Side Request Forgery), controles de acceso rotos o deficientes, fallos de integridad en software/datos, fallos en identificación/autenticación/autorización, deficiente configuraciones de seguridad, fallos criptográficos, componentes desactualizados/vulnerables, fallos en monitorización y logging de seguridad, diseño inseguro, etc. Así mismo bloquea cualquier intento de intrusión, de crear archivos no autorizados, de acceder de forma maliciosa a datos de procesos y subprocesos, de crear problemas en el registro (claves de software sin usar, referencias COM no válidas, asociación del tipo de fichero no válido, servicios y controladores de dispositivos no válidos, fuentes no válidas, etc.), acceso a ficheros no deseados de Internet (por ejemplo, ficheros caché del navegador Web), etc. Actualmente el MIAD o brevemente malware defensivo es una oportunidad a tener en cuenta contra los ciberataques cada vez más sofisticados del malware ofensivo. Según Netskope el 97% de las aplicaciones y servicios en la nube son ‘Shadow IT’, es decir, no han sido autorizadas ni están cubiertas y protegidas por los equipos de IT corporativos, por tanto, son un excelente vector de malware, así mismo, en la actualidad, un 35% de todas las cargas de trabajo en AWS (Amazon Web Services), Azure y GCP (Google Cloud Platform) son ‘no restringidas’, es decir, están abiertas a la visión pública de cualquier persona/entidad en Internet. IBM y Ponemon Institute ya en 2015 ponían de manifiesto que el 40% de las empresas de todo el mundo no revisan el código de sus APPs en busca de vulnerabilidades y que el 50%de las empresas a nivel mundial no dedican presupuesto a la ciberseguridad de sus aplicaciones móviles. Actualmente, según Noname Security, las llamadas API representan el 83% del tráfico Web y proporcionan el acceso directo a servicios críticos y a datos, lo que supone un objetivo importante para ciberataques malware. Las aplicaciones/APPs modernas interoperan a través de APIs (Application Programmable Interfaces) codificadas para abrir sus funciones y datos a otras aplicaciones. IMPLICADOS EN LOS CIBERATAQUES DE MALWARE OFENSIVO La variabilidad de posibles entidades que pueden inyectar malware ofensivo es muy elevada, son entre otras: 1. Entidades que efectúan extorsión y ganancias delictivas. Una entidad/ individuo o un grupo organizado puede lanzar un malware para realizar un ciber-ataque DDoS/ DoS de modo que organizaciones de comercio electrónico víctimas puedan ser amenazadas a quedar bloqueadas menos que paguen. Otros malware pueden buscar información de tarjetas de crédito para acciones delictivas. El troyano y gusano Sobig se ha utilizado en actividades ilegales ya que permite crear retransmisores y proxies Web utilizados para spamming, phishing y servir material pornográfico. 2.Entidades que realizan experimentos e investigan. El gusano de Morris

RkJQdWJsaXNoZXIy Njg1MjYx