Las empresas sufren un ataque de malware cada 3 minutos
Las organizaciones sufren, cada tres minutos, un ataque malware que supera sus defensas de red tradicionales, según un nuevo informe de FireEye.
“Esta actividad puede incluir la recepción de correo infectado, que un usuario pinche un enlace de una web corrupta o una máquina con virus realice una llamada a un servidor command-and-control”, reconoce la firma en su análisis.
Los datos para este informe se recabaron en la segunda mitad de 2012, gracias a varios miles de dispositivos de seguridad FireEye instalados en redes corporativas de todo el mundo, según sus responsables. Estos equipos son desplegados habitualmente detrás de los firewall de red, los sistemas de prevención de intrusos y otros productos de seguridad, permitiéndoles ver la actividad infecciosa que supera estas defensas principales, explica FireEye.
Los desarrolladores de malware se están centrando cada vez más en desarrollar métodos para superar su detección, aseguran los investigadores de la compañía. Un ejemplo es el malware que se encuentra inactivo, hasta detectar intervención humana, por los clics del ratón.
Este método es empleado para superar los sistemas de análisis automatizado, conocidos como sandboxes, que se utilizan los productos de seguridad para ejecutar y analizar el comportamiento de archivos sospechosos. Al ser automáticos, estos sistemas no ponen en funcionamiento los comandos de ratón, destaca el informe.
Otra tendencia en alza es la de los archivos malware, que son firmados con certificados digitales robados o falsos. Muchas tecnologías de seguridad confían en los archivos firmados digitalmente y no los escanean, subrayan los expertos.
Los creadores de malware avanzado, también llamado amenaza persistente avanzada (APT, en siglas), están distribuyendo su carga mortífera, en forma de librerías de enlace dinámico (DLL) que pueden ser cargadas por programas legítimos. Este es un intento de sortear los mecanismos de defensa tradicionales, normalmente centrados en detectar y analizar archivos .exe.
Estas APT son, en su mayoría, distribuidas a través de correos señuelo 
que incluyen adjuntos infectados o enlaces que explotan servidores web. Estos métodos se utilizan de forma regular, pero algunos eventos pueden generar picos de uso. Por ejemplo, si se encuentra un nuevo fallo en Adobe Reader, las organizaciones verán un pico en la llegada de correos infectados con adjuntos PDF. De igual forma, si se descubre un ataque a un navegador, habrá un pico de correos con enlaces infectados, según el informe de la compañía.
Los datos de FireEye resultan del análisis de 89 millones de hechos maliciosos y muestran que las compañías tecnológicas son las organizaciones atacadas más frecuentemente. “Debido a la alta concentración de propiedad intelectual, las firmas tecnológicas son perseguidas por un intenso bombardeo de campañas malware, cerca del doble de lo que ocurre en cualquier otro sector”, concluye el informe.
