30% de malware nuevo no es detectado por antivirus heredados

El reciente informe de WatchGuard Technologies nos indica que el 30% de todo el malware que está en circulación tiene CERO (0) días.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

Aunque puede sonar aterrador que todos los días tengamos – al menos – 30% más de virus de distintos tipos circulando, lo es aún más el saber que nuestros antivirus heredados no logran distinguirlos cómo códigos maliciosos.

El descubrimiento es parte del más reciente informe de la firma de seguridad WatchGuard Technologies.

“Estamos reuniendo datos de amenaza de los cientos de miles de clientes y dispositivos de seguridad de red. Tenemos diferentes tipos de servicios de detección de malware, incluyendo una firma y un antivirus basado en heurísticos. Con ellos lo que descubrimos fue que el antivirus basado en firma falló frente al 30% del malware”, explicó el director de tecnología de la empresa, Corey Nachreiner.

La compañía capturó 18,7 millones de variantes de malware en el cuarto trimestre de 2016.

Algunos de los clientes en los que se realizaron estas detenciones contaban con un antivirus tradicional basado en firmas, así como el nuevo servicio de prevención de malware, denominado APT Blocker.

Barreras poderosas

Nachreiner destacó que, con esos clientes, el antivirus tradicional capturó 8.956.040 variantes de malware, mientras que el sistema basado en el comportamiento capturó otras 3.863.078 variantes que el antivirus heredado no capturó.

“Hoy en día los actores de amenazas de malware pueden transformar o cambiar su malware para que se vea un poco diferente y pase inadvertido en las defensas”, explicó Nachreiner.

Destacó que la solución que ofrecen para atender esto, el bloqueador de APT, ejecuta aplicaciones potencialmente peligrosas en un entorno de seguridad de la nube, en sistemas Windows emulados y utiliza análisis de comportamiento para detectar el malware.

Esto es posible porque las herramientas utilizadas para el estudio son confiables: el especialista reconoció que la solución antivirus tradicional que usaron es de AVG Technologies, mientras que el bloqueador de malware basado en el comportamiento es de Lastline.

“Fuimos con la mejor estrategia de la clase”, aseguró el experto.

Biodiversidad del malware

El informe también categorizó los ataques tipo exploit.

Todos los 10 principales fueron ataques basados ​​en web, dirigidos a servidores on line u otros servicios de red a través de portales basados ​​en web o ataques a clientes como navegadores o complementos de navegador.

El resultado de la investigación revela que los ataques a web browser son los más numerosos, representando el 73% de los golpes relacionados con exploits superiores.

El informe destaca que los hackers usan este recurso para forzar descargas de software malintencionado, siendo los trojans de Linux la categoría principal de exploits, buscando dispositivos Linux abiertos para convertirlos en zombies.

Un segundo grupo muy cercana son los droppers, que entregan típicamente ransomware y troyanos de la actividad bancaria.

“En otros hallazgos clave, estamos viendo que algunas viejas amenazas vuelven a ser nuevas“, dijo Nachreiner.

Viejas nuevas prácticas

¿Qué significa esto? Básicamente es el regreso triunfal de antiguas amenazas que se pensaban superadas.
¿Por ejemplo? Los macros maliciosos en documentos de Word.

“Eso es lo más antiguo que puede ser. Desaparecieron durante décadas pero han vuelto. Y podemos confirmar que estamos bloqueando todo un montón de malware basado en macros”, aseguró Nachreiner.

La vuelta de este tipo de amenazas puede deberse a que los usuarios consideran que estos documentos son benignos o al hecho de que este tipo de código malicioso evade las exploraciones de seguridad heredadas.
Generalmente se distribuyen como archivos adjuntos en correos electrónicos.

WatchGuard también calificó a los scripts de PHP webshell como el cuarto malware más común detectado por la compañía.

“Nos parece una técnica muy antigua. Pero la supuesta manipulación de las elecciones, un script de shell fue parte de él, y han añadido algunas nuevas tecnologías evasivas. La amenaza es antigua, pero han encontrado una forma de superar la seguridad”, explicó el director de tecnología de WatchGuard.