La evolución del malware está siendo impulsada en gran medida por la proliferación del Internet de las cosas (Internet of Things o IoT por sus siglas en inglés).Según los datos de Gartner, había cerca de 8 mil millones de «cosas» conectadas en 2017. Pero se espera que ese número casi se triplique a más de 20 mil millones en los próximos dos años, con un promedio aproximado de tres dispositivos conectados por personas en el mundo. En pocas palabras, la oportunidad de que los ciberdelincuentes ingresen a redes y roben datos o retengan segmentos (o la totalidad) de la red como rehén está creciendo a un ritmo exponencial, sin signos de desaceleración.
El informe de Panorama de Amenazas de Fortinet para el cuarto trimestre de 2017 respalda esta conclusión, especialmente en lo que respecta a los exploits centrados en IoT, que se cuadruplicaron durante este período. Durante el cuarto trimestre de 2017, Forti Guard Labs detectó un promedio de 274 ataques por empresa, lo que representa un notable aumento del 82% con respecto al trimestre anterior. Los hallazgos de este informe provienen de miles de millones de eventos e incidentes de amenazas recopilados por la matriz global de dispositivos y sensores de red de Fortinet implementados en entornos de producción en vivo.
Ataques de IoT en aumento
Tres de los 20 ataques principales identificados en el cuarto trimestre de 2017 se dirigieron a dispositivos IoT. A diferencia de los ataques IoT previos, que explotaron una única vulnerabilidad, nuevos botnets IoT como Reaper y Hajime son capaces de atacar múltiples vulnerabilidades simultáneamente. Este enfoque multivector es mucho más difícil de combatir. El marco flexible de Reaper, construido sobre un motor y escrituras de Lua, significa que en lugar de los ataques estáticos y pre programados de exploits de IoT previos, su código puede actualizarse fácilmente. Esto le permite enjambrar más rápido ejecutando ataques nuevos y más maliciosos a medida que estén disponibles en un botnet activo que ya estévigente.
El potencial para este tipo de evolución es alarmante. Por ejemplo, el volumen de explotación de Reaper a principios de octubre fue capaz de aumentar de 50K a 2,7 millones en solo unos días antes de volver a la normalidad.
Lo que nos espera
Los crecientes ataques centrados en IoT dirigidos a dispositivos vulnerables probablemente tomarán la forma de botnets enormes que permitan que el efecto enjambre visto en el pasado (por ejemplo, los ataques basados en Mirai contra Dyn) empeore aún más. Tales «hivenets» pueden utilizar el aprendizaje automático y enfoques multivector para identificar y enfocarse en sistemas vulnerables con una mínima supervisión humana. Mientras que los botnets tradicionales esperan los comandos de un robot, los dispositivos en hivenets pueden analizar un objetivo, determinar qué vulnerabilidades puede tener y luego elegir de forma independiente el exploit más probable para comprometerlo, lo que les permite propagarse más rápido, con resultados más devastadores que nunca.
Como se comunicó en nuestro informe «Predicciones del panorama de amenazas de 2018», los hivenets podrán usar enjambres de dispositivos comprometidos para identificar y atacar diferentes vectores de ataque a la vez. A medida que identifica y compromete más dispositivos, un hivenet podría crecer exponencialmente, ampliando su capacidad para atacar simultáneamente a múltiples víctimas, abrumando la capacidad de los equipos de TI para aplicar parches o nuevas firmas antimalware o de prevención de intrusiones. Por lo tanto, es fundamental que las organizaciones evalúen qué defensas actuales de denegación de servicio distribuidas son capaces de manejar ahora para evitar problemas más adelante, una vez que un enjambre de IoT se cruce en su camino.
Protegiendo lo que importa
Para defenderse aún más contra ataques de IoT, las mejores prácticas comienzan con la identificación e inventario de los dispositivos conectados a la red, documentando cómo están configurados y controlando cómo se autentican en los puntos de acceso a la red. Una vez que se logra la visibilidad completa, las organizaciones pueden segmentar dinámicamente los dispositivos de IoT en zonas seguras de red con políticas personalizadas.
Sin embargo, para una seguridad efectiva, será necesario vincular dinámicamente estos segmentos utilizando un entramado de seguridad integrado y automatizado que sea capaz de abarcar toda la red, especialmente en los puntos de acceso, y luego segmentar de manera transversal el tráfico de red que se mueva lateralmente dentro de la red, incluso en múltiples nubes.
El crecimiento impresionante de las familias de malware basadas en IoT ilustra la naturaleza increíblemente prolífica de esta amenaza. La estrategia de «proliferar para penetrar» no es nueva, pero es otro recordatorio de que el antimalware de punto único basado en firmas simplemente no puede manejar el volumen, la velocidad y la variedad del malware moderno. Para una mayor protección de redes y datos, las organizaciones necesitan integrar defensas de malware capaces de detectar amenazas conocidas y desconocidas en múltiples capas del entorno de red dinámico y distribuido de hoy, desde los puntos terminales hasta el núcleo y hacia la nube. El autor de este artículo es estratega de Seguridad senior en Fortinet.