HP Wolf Security: El malware cada día se oculta mejor

HP Wolf Security ha publicado un informe de lo más interesante sobre las amenazas de seguridad del cuarto trimestre de 2021.

Como ya te contamos en su momento, HP tuvo la gran idea de unificar sus múltiples propuestas de seguridad en una plataforma, que crece en valor por encima de lo que supondría la suma de las partes, tanto por las sustanciales mejoras en la integración de sus múltiples componentes, como por la inteligencia que, con este nuevo modelo, se puede extraer y analizar para mejorar la seguridad que proporcionan.

Fruto de dicha fuente de inteligencia, HP Wolf Security ha publicado un informe de lo más interesante sobre las amenazas de seguridad del cuarto trimestre de 2021, un documento que al mostrarnos lo ocurrido durante los últimos meses, nos pone al día sobre las amenazas que enfrentamos en el presente, ayudándonos de este modo a orientar nuestras contramedidas y acciones defensivas en general hacia las mismas.

Y un dato interesante, y preocupante, que extraemos de este informe de HP Wolf Security es que durante el último trimestre de 2021 los ciberdelincuentes han puesto el foco en Excel, más concretamente en los complementos .xll, que por su naturaleza facilitan la infección de sistemas con un simple click, y de una manera singularmente discreta, evitando de este modo que el usuario y determinadas soluciones de seguridad sean conscientes, de manera temprana, de su presencia en el sistema.

A este respecto, y en comparación con el trimestre anterior, se multiplicó prácticamente por seis (+588%) el número de atacantes que se basaron en la función de complementos de Microsoft Excel (.xll) para infectar los sistemas, un crecimiento que demuestra que se trata de una técnica especialmente útil y fácil de aprovechar. Tanto es así que los técnicos de HP Wolf Security incluso encontraron kits de creación de malware para crear xll maliciosos sin necesidad de tener conocimientos de programación.

Las macros y los complementos de las aplicaciones de Microsoft Office siempre han sido, debido a su gran polivalencia, un objetivo prioritario de muchos ciberdelincuentes, como hemos aprendido a lo largo de la historia y nos recuerda HP Wolf Security. Tanto es así que Microsoft lleva años adoptando medidas para reducir el riesgo asociado al mal uso de las mismas, como que en todos los documentos de orígenes no fiables estos componentes, por defecto, estén desactivados.

Otro punto clave del informe de HP Wolf Security nos confirma una tendencia que ya llevamos un tiempo viendo, y es que los ciberdelincuentes cada vez son más cuidadosos en lo referido a la visibilidad del malware y, en consecuencia, dedican más y más tiempo a depurarlo para que pase desapercibido al llegar al endpoint e iniciar sus  labores. Como consecuencia e ello, las herramientas de HP Wolf Security detectaron amenazas (que pudieron ser aisladas, protegiendo el sistema y siendo tomadas como muestras para análisis) de patógenos que lograron llegar exitosamente a los sistemas comprometidos.

Aunque la llegada del malware al endpoint es, en su base, algo negativo por su peligrosidad, también es un medio clave para la obtención de muestras que puedan ser aisladas y analizadas para, de este modo, tener una visión mucho más concreta de las últimas técnicas empleadas por los ciberdelincuentes. Por eso son tan importantes los sistemas de telemetría de las soluciones de seguridad.

Otros datos muy interesantes que encontramos en el informe de HP Wolf Security, que puedes consultar en este enlace, son los siguientes:

-El análisis de una campaña de phishing recientes podría indicar la vuelta a la actividad del grupo TA505.

-Los usuarios de Discord están, cada vez más, en el punto de mira de los ciberdelincuentes, con campañas como la que infectó a usuarios de este servicio con RedLine.

-Los formatos de archivo poco comunes en el ecosistema del malware siguen siendo una vía para eludir la detección de amenazas. En el informe de HP Wolf Security leemos el caso de como la organización cibercriminal Aggah atacó a organizaciones de habla coreana con archivos maliciosos de complementos de PowerPoint (.ppa) encubiertos como órdenes de compra, infectando los sistemas con troyanos que ganaban acceso remoto. El malware de PowerPoint es inusual, pues representa solo el 1% del malware.

«Hoy en día, hackers principiantes o de bajo nivel pueden llevar a cabo ataques sigilosos y vender el acceso a grupos organizados de ransomware, lo que conduce a ataques a gran escala que podrían paralizar los sistemas de TI y las operaciones«, comenta Carlos Manero, Responsable de Servicios Digitales y Seguridad de HP España.

«Las organizaciones deben centrarse en reducir la superficie de ataque y permitir una rápida recuperación en caso de compromiso. Esto significa seguir los principios de la confianza cero y aplicar una sólida gestión de la identidad, el mínimo privilegio y el aislamiento desde el nivel hardware. Por ejemplo, al aislar los vectores de ataque más comunes, como el correo electrónico, los navegadores o las descargas, mediante la microvirtualización, se contiene cualquier posible malware o exploit que esté al descubierto, haciéndolo inofensivo«, añade Carlos Manero.