FireEye, empresa global de seguridad IT, que proporciona protección contra amenazas dinámicas en tiempo real, ha publicado recientemente su Reporte Avanzado de Amenazas 2013, ofreciendo una visión global de los ataques avanzados que FireEye descubrió el año pasado.
La información contenida en este reporte proviene de la nube Dynamic Threat Intelligence™ (DTI) de FireEye, que brinda las métricas de ataques compartidas por los clientes de FireEye en el mundo. Ofrece una fuerte evidencia de que las infecciones de malware ocurren en las empresas a tasas alarmantes. También muestra que los atacantes avanzados pueden penetrar las defensas tradicionales como firewalls y anti-virus (AV) con facilidad.
Durante 2013, FireEye:
· Analizó 39.504 incidentes de ciberseguridad únicos (más de 100 por día en promedio)
· Asoció 4.192 de esos ataques con actores APT (más de 11 por día en promedio)
· Descubrió 17.995 infecciones únicas de malware debido a la actividad de APT (casi 50 por día en promedio)
· Logueó más de 22 millones de comunicaciones command-and-control (CnC) (más de una cada 1,5 segundos en promedio)
· Encontró que US, Canadá y Alemania fueron objetivos de la mayoría de familias de malwares únicos.
Estos ataques tomaron muchas formas diferentes y llegaron de casi todos los países y territorios en el mundo. En 2013, FireEye:
· Hizo seguimiento de 159 distintas familias de malware asociadas a APT
· Identificó que algunas herramientas de hacker públicamente disponibles, como DarkComet, LV, Gh0stRAT y Poison Ivy también fueron utilizadas por APTs
· Descubrió infraestructura CnC en 206 países y territorios. Representa más de los 184 provistos por información de FireEye en 2012 (81 por ciento de las Naciones Unidas).
· Encontró que US, Alemania, Corea del Sur, China, Países Bajos, Reino Unido y Rusia alojaron la mayoría de los servidores CnC.
Basado en la información de FireEye, el ranking de los 10 países que fueron blancos más frecuentes de APTs en 2013 comprende:
- 1. Estados Unidos
- 2. Corea del Sur
- 3. Canadá
- 4. Japón
- 5. Reino Unido
- 6. Alemania
- 7. Suiza
- 8. Taiwan
- 9. Arabia Saudita
- 10. Israel
Los siguientes verticales fueron objetivo de la mayor parte de familias únicas de malware:
- 11. Gobierno
- 12. Servicios y Consultoría
- 13. Tecnología
- 14. Servicios Financieros
- 15. Telecomunicaciones
- 16. Educación
- 17. Aeronáutica y Defensa
- 18. Química
- 19. Energía
Las alertas de seguridad de FireEye son el resultado de análisis multivectorial. En 2013, los vectores de amenazas Web y email fueron los más significativos, como revelan las siguientes estadísticas:
- · FireEye analizó cinco veces más alertas derivadas de Web que alertas derivadas de email, de forma global
- · País por país, FireEye vio tres veces más alertas Web que alertas por email.
- Las posibles razones para la brecha entre ataques basados en web y email incluyen el mayor reconocimiento de spearphishing, incremento del uso de social media y usuarios que están continuamente conectados a la Web.
- Los ataques zero-day son un arma importante en el arsenal de todos los APT, como revela la siguiente estadística:
- · FireEye descubrió once ataques zero-day en 2013
- · En la primera mitad de 2013, Java fue el foco más común de zero-day para los atacantes
- · En la segunda mitad de 2013, FireEye observó una explosión de los zero-days de Internet Explorer (IE) utilizados en los ataques watering hole
- · Los grupos de crimeware son ahora competentes en el desarrollo de exploits Java
- · Los APTs enfocaron los websites del gobierno de US en ataques “wateringhole”
- · Los atacantes encuentran regularmente formas creativas de escapar a sandboxes de malware.
Para 2014, FireEye predice que los ataques Java Zero-Day pueden ser menos prevalecientes, pero la lista de vulnerabilidades basadas en browser aumentará.
