Intel Security ha dado hoy a conocer su McAfee Labs Threats Report: September 2016, el cual evalúa la creciente amenaza que está suponiendo el ransomware para la industria de la salud, investiga el “quién y el cómo” de la pérdida de datos, explica la aplicación práctica del “Machine learning” en ciberseguridad y detalla el crecimiento del ransomware, malware móvil, macro malware y otras amenazas en el Q2 de 2016.
Después de una serie de ataques por ransomware en hospitales a principios de 2016, Intel Security ha investigado estos ataques, las redes ransomware detrás de los mismos y las estructuras de pago que permitían a los cibercriminales obtener beneficios económicos a través de sus acciones delictivas. Los investigadores identificaron casi 100,000 dólares en pagos de víctimas ransomware a cuentas específicas bitcoin. Si bien el sector salud sigue suponiendo tan solo una pequeña proporción del total del ‘negocio’ ransomware, McAfee Labs prevé un número cada vez mayor de nuevos sectores de la industria que pueden ser blanco de las extensas redes que lanzan de este tipo de ataques.
En la primera mitad de 2016, se identificó a un autor y distribuidor de ransomware que recibía 121 millones de dólares (189.813 BTC) en pagos por operaciones de ransomware dirigidas a una amplia variedad de sectores. El panel de discusión de comunicación “Dark Net” sugiere que el autor particular de estos cibercrímenes había acumulado ganancias de 94 millones de dólares durante los primeros seis meses de este año.
La escala de la operación está en línea con la investigación que McAfee Labs realizó con sus socios de la Cyber Threat Alliance a finales de octubre de 2015, cuando el grupo descubrió una operación de ransomware que utilizando la trampa CryptoWall ransomware había extorsionado casi 325 millones de dólares en el trascurso de dos meses.
El equipo de investigación atribuye el hecho de que se esté prestando mayor atención a los hospitales a la hora de planear los ataques a que estas organizaciones dependen en gran medida de los sistemas TI existentes, dispositivos médicos con seguridad muy baja o nula, servicios de terceros que puedan ser comunes en múltiples organizaciones y la necesidad de los hospitales de tener un acceso inmediato a la información para poder ofrecer el mejor cuidado posible al paciente.
“Al igual que los objetivos que eligen los cibercriminales, los hospitales representan una atractiva combinación de seguridad relativamente débil de datos, entornos complejos, y la necesidad urgente de acceso a las fuentes de datos, a veces en situaciones de vida o muerte”, afirma Vincent Weafer, vicepresidente de McAfee Labs de Intel Security. “Las nuevas revelaciones respecto a la escala de las redes ransomware y el creciente interés en los hospitales nos recuerda que la economía de la ciberdelincuencia tiene la capacidad y la motivación necesarias para explotar nuevos sectores de la industria.”
Intel Security 2016, estudio sobre prevención de pérdida de datos
El informe del Q2 también cuenta con los resultados de un estudio de investigación previo en el que se evalúan los incidentes de pérdida de datos, incluyendo los tipos de filtraciones, las vías en las que los datos salen de las organizaciones y los pasos que éstas deben realizar para mejorar sus capacidades y prevenir esa pérdida de datos.
La encuesta refleja que los sectores financiero y retail son los que han implementado las medidas más exhaustivas contra la fuga de datos, un resultado que McAfee Labs atribuye a la respuesta de las organizaciones contra la frecuencia de los ciberataques y al valor de los datos de ambos sectores. Por otra parte, y como consecuencia de haber sufrido un menor número de ciberataques, los sectores salud y manufacturing han realizado menos inversiones en securidad IT y, consecuentemente, poseen unas capacidades de protección de datos menos potentes.
Los investigadores de McAfee Labs consideran preocupante esta debilidad en la protección de datos en estos sectores ya que los cibercriminales continúan cambiando su foco de actuación pasando de datos fácilmente reemplazables (como números de tarjeta) a otros menos perecederos, tales como información personal, registros personales de salud, propiedad intelectual o información comercial confidencial.
“Los sectores industriales, como salud o manufacturing, suponen una oportunidad y un motivo de ataque para los cibercriminales”, apunta Weafer. “Sus capacidades defensivas relativamente débiles junto con entornos altamente complejos simplifican las infracciones y la filtración de datos. La motivación de los cibercriminales es obtener ingresos fácilmente con menor riesgo. Las corporaciones y los individuos pueden fácilmente cancelar tarjetas tan pronto se ha producido el robo. Sin embargo, no es posible cambiar los datos personales o reemplazar fácilmente los planes comerciales, contratos o diseño de productos”.
El estudio revela que más del 25% de los encuestados no monitoriza la compartición o el acceso de información sensible del empleado o del cliente, y sólo el 37% monitoriza el uso de ambos, aunque la cantidad sube hasta casi el 50% para las grandes organizaciones.
Los resultados de la encuesta muestran también que cerca del 40% de los datos perdidos implican algún tipo de medio físico, como memorias USB, pero sólo el 37 % de las organizaciones monitorizan la actividad del usuario y las conexiones con los medios físicos que podrían contrarrestar este tipo de incidentes. Mientras que el 90 % de los encuestados afirma haber implementado estrategias de protección en la nube, sólo el 12% confía en la visibilidad en la actividad de sus datos en la nube.
Weafer concluye: “Siempre hacemos frente a los retos que se presentan en la medida en que trabajamos para evitar que se produzca la filtración de datos. Sin embargo, las organizaciones pueden aprender mucho de este estudio sobre el valor de una mayor visibilidad de los incidentes en toda la empresa, así como del valor a largo plazo de los datos extraídos de la monitorización para conseguir unas medidas de seguridad potentes”.
Q2 2016 Actividad de las amenazas
En el Q2 de 2016, la red inteligente de amenazas globales de McAfee Labs ha detectado 316 nuevas amenazas cada minuto, o más de 5 cada segundo, y ha registrado un notable surgimiento de ransomware, mobile malware y un crecimiento de macro malware.
– Ransomware. Los 1,3 millones de nuevas muestras de ransomware en el Q2 de 2016 han sido la cifra más alta registrada desde que McAfee Labs comenzó a rastrear este tipo de amenazas. El total de ransomware ha aumentado un 128% en el último año.
– Malware móvil. Los casi 2 millones de nuevas muestras de malware móvil han sido la cifra más alta registrada por McAfee Labs hasta la fecha. El Malware móvil total ha aumentado un 151% en el último año.
– Macro malware. Los nuevos troyanos de descarga como Necurs y Dridex que liberan Locky ransomware supusieron un incremento de más del 200% en el nuevo macro malware en el Q2.
– Malware Mac OS. La disminución de la actividad de la familia de adware OSX.Trojan.Gen provocó un 70% de nuevas detecciones de malware Mac OS en el segundo trimestre.
– Actividad Botnet. Wapomi, que reparte virus y descargadores, aumentó un 8% en el Q2. El segundo del último trimestre, Muieblackcat, que abre la puerta a los explotadores, cayó un 11%.
– Ataques de red. Evaluando el volumen de ataques de red en el Q2, la denegación de ataques de servicio aumentó un 11% en el trimestre para pasar así al primer lugar. Los ataques de navegador se redujeron en un 8% respecto al Q1. Estos tipos de ataques más destacados fueron seguidos por brute force, SSL, DNS, Scan, puerta trasera, y otros.
