Los días del malware sencillo y fácilmente detectable han quedado atrás. Las recientes campañas de los grupos de amenazas persistentes avanzadas (APT) OilRig y MuddyWater demuestran que los actores de amenazas buscan constantemente nuevas formas de ocultar sus ataques de malware multietapa entre archivos de servicios en la nube de uso común. Esto plantea un dilema a los proveedores de servicios gestionados (MSP) que dependen en gran medida de soluciones basadas en la nube.
“En este contexto, los MSPs que dependen en gran medida de soluciones basadas en la nube se enfrentan al desafío de defenderse contra ataques cada vez más sofisticados sin cargar sobre sí mismos el control de cada flujo de comunicación dentro de su entorno”, afirma Josep Albors, director de Investigación y Concienciación de ESET España.
Un mercado en crecimiento y una amenaza en aumento
Con la creciente demanda de servicios gestionados en la nube, el mercado de MSPs se expande constantemente. Informes empresariales, como los de MarketsandMarkets, prevén un aumento de aproximadamente 100.000 millones de dólares en los próximos cinco años. Sin embargo, este crecimiento también ha creado un nuevo terreno de reproducción para el malware sofisticado.
Los actores de amenazas que despliegan este tipo de malware a menudo están motivados por el lucro y/o son grupos APT respaldados por estados que utilizan servidores de mando y control (C&C) para comunicarse con dispositivos comprometidos a través de redes específicas. Cuando tienen éxito, estos servidores pueden enviar comandos para robar o cifrar datos, propagar malware, interrumpir servicios web, etc.
“La evolución de las capacidades de ocultación del malware ha llevado a las empresas a buscar un mayor control sobre el tráfico de sus redes. Sin embargo, este mayor control implica una carga de trabajo adicional para los administradores y técnicos de MSPs, los cuales ya están agotados por una corriente interminable de alertas”, comenta Albors.
En el contexto de recientes ataques descritos por los investigadores de ESET, el grupo OilRig ha optado por tácticas evasivas, escalando sus ataques en lugar de desplegar malware completo para eludir herramientas de escaneo de ciberseguridad. Utilizando correos electrónicos de phishing como vector de ataque, OilRig emplea descargadores diseñados para descargar malware adicional de manera sigilosa desde Internet.
Resolviendo el dilema
Con su Programa MSP, ESET puede ayudar a las empresas a hacer frente a este dilema. El programa se basa en la solución ESET PROTECT, que proporciona protección multicapa, y sus niveles superiores también integran ESET Cloud Office Security (ECOS), diseñado para proteger las aplicaciones de Microsoft 365 y Google Workspace. De hecho, estas soluciones de seguridad de ESET pueden interrumpir los procesos maliciosos que contactan con C&C controlados por los atacantes y que se dividen en varias etapas, lo que significa que las empresas no tienen que centrarse tanto en el control de la red.
La solución ESET Cloud Office Security, cuenta con muchos beneficios como:
- Protección Antiphishing: ECOS bloquea el acceso a páginas web conocidas por phishing, previniendo que los usuarios hagan clic en enlaces fraudulentos dentro de correos electrónicos.
- Protección Antimalware: Las soluciones de seguridad de ESET eliminan todo tipo de amenazas, y ECOS escanea todos los archivos nuevos y modificados en OneDrive, Google Drive, Microsoft Teams y SharePoint Online.
- ESET LiveGuard Advanced: Si los motores de detección de malware de ESET identifican un tipo de amenaza nunca vista, el archivo se envía a la herramienta de análisis basada en la nube, ESET LiveGuard Advanced, para una evaluación más detallada.
- Funcionalidad Multi-tenant: La funcionalidad multi-tenant de ECOS permite proteger y gestionar múltiples instancias de Microsoft 365 y Google Workspace desde una consola de ESET Cloud Office Security.
ESET advierte que el crecimiento de las prácticas empresariales en cloud ha dado paso a tácticas de ciberataque basadas en la nube a las que los MSP deben hacer frente. “Con su acceso privilegiado a las redes empresariales, los MSP comprometidos también pueden ser peligrosos para sus clientes al desencadenar un ataque a la cadena de suministro”, refuerza Josep Albors.