CSIRT-CV - Hemeroteca

Damballa, expertos en la protección de amenazas avanzadas y su contención, revela a través de su “Q2 State of Infections Report” que cuando se trata de infecciones de malware activo, "el tamaño no importa", es decir, tanto compañías grandes como pequeñas sufren por igual los casos de malware. El Informe revela que, un día determinado durante el pasado trimestre, el 18,5% de los equipos corporativos estuvieron activamente comunicados con los ciberdelincuentes. También señala el Informe el éxito de la “Operación Tovar” al no detectarse ningún tipo de reactivación inmediata de nuevos botnets, pero destaca un dramático aumento en las formas de ransomware.

Principales conclusiones del Informe - Hasta un 18,5% de los dispositivos corporativos estuvieron en comunicación con los ciberdelincuentes Sin embargo, los datos revelan que no existe ninguna correlación entre el tamaño de la empresa y el de las máquinas con infecciones activas. Por ejemplo, una empresa con más de 200.000 máquinas podía tener escasas infecciones, mientras que otras pueden tener miles de infecciones. Del mismo modo, compañías pequeñas con menos de 600 dispositivos tenían un número desproporcionadamente alto de infecciones, mientras que otras estaban bastante limpias. En otras palabras, es la política de seguridad de la empresa, más que su dimensión, la que determina la seguridad de su red.

GameoverZeus (GoZ)
La “Operación Tovar” llevada a cabo durante Q2 por el FBI, la Agencia Nacional de Crimen del Reino Unido (NCA), Europol, empresas de seguridad informática y universidades, marcó un hito en el derribo del famoso botnet GameoverZeus (GoZ) y su amenaza, Cryptolocker. GoZ infectó a más de 1 millón de dispositivos en todo el mundo y recaudó cientos de millones de dólares a través de este fraude financiero. Si bien es posible que los delincuentes pueden intentar resucitar o crear una nueva variante, durante el pasado trimestre, Damballa y otras compañías del sector no han observado ningún tipo de reactivación inmediata.

- Se dispara el Kovter ransomware
Por el contrario, el equipo de investigación de amenazas de Damballa ha observado un aumento en las infecciones ransomware en los últimos 18 meses. En concreto, se ha detectado un fuerte aumento de Kovter ransomware, un fraude que se detectó por primera vez en 2013 y que consiste en que un programa malicioso bloquea el escritorio del usuario y le exige el pago de una suma de dinero para desbloquearlo. En junio que fue el apogeo de la actividad, las infecciones afectaron a 43.713 dispositivos en un solo día. Mes a mes, la infección media diaria aumentó a un increíble 153% en mayo y un 52% en junio.

Según Brian Foster, CTO de Damballa, "Como revela el informe, el manejo de las infecciones requiere de una vigilancia constante; el malware avanzado está diseñado para ser evasivo y los ciberdelincuentes están en constante búsqueda de la siguiente debilidad a explotar. Como hemos visto, no existe una correlación entre el tamaño de la empresa y el número de dispositivos infectados. Las organizaciones más pequeñas pueden tener una muy alta proporción de dispositivos infectados y las grandes empresas pueden tener bajas tasas de infección. Todo depende de los controles de seguridad de cada compañía Recomendamos que los equipos de seguridad trabajen bajo el supuesto de que la prevención no equivale a tener una seguridad al 100% de que los dispositivos van a estar a salvo de ataques externos, por lo que la capacidad de detectar automáticamente y acelerar el tiempo de respuesta es esencial para minimizar el impacto de posibles ataques."

Uno de cada cinco equipos corporativos son vulnerables a posibles ataques