Las defensas antivirus están dejando a las empresas globales vulnerables al síndrome de China

La noticia de que los piratas informáticos APT10 con sede en China han penetrado de manera tan devastadora las defensas cibernéticas de algunas de las organizaciones comerciales y gubernamentales más grandes del mundo revela una realidad repugnante.
Descrito en un nuevo informe de PwC UK y BAE Systems como una «operación global sostenida de tamaño y escala sin precedentes», la Operación Cloud Hopper de APT10 ha robado grandes volúmenes de propiedad intelectual y datos confidenciales de algunas de las principales empresas del mundo al enfocarse en servicios administrados. proveedores y organizar ataques directos contra organizaciones y empresas japonesas.
La desagradable verdad detrás de estas revelaciones es que la Operación Cloud Hopper podría haberse evitado si estas organizaciones tuvieran la tecnología de seguridad de correo electrónico adecuada. Al depositar toda su fe en las fallidas soluciones antivirus promocionadas por los grandes proveedores de seguridad cibernética, se han abierto de par en par a una nueva generación de ataques.
El informe es condenatorio en su revelación de que la «metodología de compromiso» estándar utilizada por APT10 era un simple correo electrónico de spear phishing con un archivo adjunto «ejecutable» malicioso. Utilizando datos meticulosamente adquiridos, los correos electrónicos se hacen pasar por mensajes de una entidad del sector público, como la Agencia de Cooperación Internacional de Japón, por ejemplo, mientras que los archivos adjuntos están diseñados para abordar un tema de relevancia directa para el destinatario.
Para la mayoría de los empleados, hacer clic en abrir dicho archivo adjunto será prácticamente automático, activando el código oculto en la estructura o contenido del archivo adjunto. Este sofisticado malware atraviesa de inmediato las redes y se dirige a los planes, los diseños y los datos que estos actores de amenazas con recursos increíbles quieren robar.
La repugnante realidad de todo esto es que la protección antivirus tradicional en la que confían las principales empresas y organizaciones del mundo no puede protegerlas de estos ataques. Estas soluciones no solo son incapaces de detectar el 100 por ciento de los virus que existen, sino que no pueden detectar las amenazas sofisticadas que los piratas informáticos como APT10 ahora implementan dentro de los instrumentos esenciales para las empresas cotidianas: los archivos adjuntos de correo electrónico.
Considere este simple punto. La tecnología antivirus se basa en identificar la firma de cada pieza de malware. Esto significa que se debe realizar un ataque antes de que se pueda identificar la firma. Sin embargo, a pesar de que, como detalla el informe, las actividades de APT10 y sus variantes de malware han sido bien documentadas desde 2009, estos piratas informáticos con sede en China todavía lo lograron.
El informe expone cómo el malware APT10 se trazó desde cuando se descubrió que el grupo estaba apuntando a compañías de defensa occidentales hace ocho años y luego a través de sus variantes como Poison Ivy, PlugX, Quasar, EvilGrab y más recientemente el desarrollo del ChChes y RedLeaves a medida.
Sin embargo, a pesar de tener toda esta información sobre amenazas al alcance de la mano, las empresas antivirus siguen siendo desesperadamente inadecuadas para proteger a los principales clientes. Mientras buscan otro nombre para dar a una versión actualizada del malware, ha sido fácil para APT10 escalar sus ataques con sus correos electrónicos señuelo ingeniosamente diseñados.
Su selección de proveedores de servicios administrados (MSP) que brindan todo tipo de servicios de TI a los principales clientes también es astuta, si no inesperada. Los MSP a menudo tienen sistemas que se superponen con los de sus clientes, lo que les ofrece un acceso inmediato a cadenas de suministro completas y a todos sus datos. Una vez que su malware está dentro de una red, APT10 se mueve lateralmente entre los MSP y otras víctimas y utiliza una vía sofisticada para exfiltrar los datos robados, dejando rastros mínimos.
Ahora, muchas de las empresas víctimas que se basaron en defensas antivirus encontrarán que la propiedad intelectual vital está sentada en el escritorio de un competidor en China.
Operation Cloud Hopper deja más claro que nunca que las organizaciones se están volviendo vulnerables a los ataques al confiar en viejas defensas antivirus con fugas que son incapaces de detectar las amenazas letales ocultas dentro del contenido o las estructuras de los tipos de archivos comunes.
Cuando las empresas antivirus admiten que solo pueden protegerse contra el 95 por ciento de malware conocido, por no hablar de la admisión de que no pueden detener un ataque de día cero, todas las empresas y organizaciones deben adoptar soluciones más innovadoras, como la tecnología de regeneración de archivos que aborde las amenazas de hoy y de mañana, en lugar de buscar lo que fue una amenaza ayer.
Estas son soluciones que actúan como barreras impenetrables, evitando el 100 por ciento de las vulnerabilidades maliciosas en archivos adjuntos como Word, Excel, PDF o PowerPoint. Todos estos documentos tienen un estándar de diseño con el que cada archivo adjunto se puede medir en milisegundos, lo que garantiza que solo se permita el bien auténtico y conocido dentro de una organización de acuerdo con su política de riesgo establecida, y sin interrumpir las operaciones normales.
Glasswall ha advertido repetidamente contra la confianza en métodos obsoletos para proteger las fronteras y, específicamente, documentar los ataques, tiene que haber una ‘nueva línea de base’ establecida para tapar los enormes agujeros que tiene la seguridad actual. Si las principales organizaciones del mundo continúan ignorando esta tecnología y dependen de las defensas antivirus, la alternativa son aún más desastres como la Operación Cloud Hopper.
Por Greg Sim, director ejecutivo de Glasswall Solutions