Blog de WatchGuard

El malware evasivo crece un 168%: ¿qué significa esto?

Con un aumento del 168% en el malware evasivo, las ciberamenazas han alcanzado un nuevo nivel de sofisticación. Este tipo de malware recurre a técnicas avanzadas para esquivar la detección por las soluciones tradicionales, que suelen depender de firmas predefinidas para identificar amenazas. Al camuflarse dentro de procesos legítimos y actuar de manera sigilosa, estos programas maliciosos representan un reto importante para la ciberseguridad.

A diferencia del malware tradicional, que se difunde de forma masiva y con un enfoque generalizado, el malware evasivo se utiliza de manera mucho más precisa por grupos de cibercriminales. Estas organizaciones seleccionan cuidadosamente sus objetivos, dirigiéndose a sectores empresariales específicos, regiones concretas o incluso a una única empresa. Esta exactitud en los ataques lo convierte en una amenaza significativamente más peligrosa. Además, estas bandas delictivas emplean infraestructuras sofisticadas y difíciles de rastrear, como los servidores VPS "a prueba de balas", lo que complica aún más su detección y eliminación. De modo que, esta infraestructura permite que el malware permanezca activo por largos periodos sin ser remediado.

¿De qué forma evita la detección? 

El malware evasivo se distingue por ser completamente nuevo o estar modificado, lo que le permite esquivar los métodos tradicionales de detección basados en firmas

Entre sus métodos más efectivos se encuentra la técnica "Living off the land", que permite al malware aprovechar procesos legítimos del sistema para ocultarse en la memoria sin dejar rastro en el disco. Esto complica significativamente su detección, ya que no genera los indicadores de compromiso típicos que activan las alertas en las soluciones de seguridad tradicionales.

Otra táctica común es la inyección de DLL. Una DLL (Dynamic Link Library) es un archivo que contiene código reutilizable por múltiples programas. Así, el malware puede insertar una DLL maliciosa en un proceso legítimo del sistema, evadiendo las medidas de seguridad y ejecutándose sin ser detectado. Además, el malware puede emplear el enganchado de DLL, infectando bibliotecas compartidas por diversas aplicaciones, lo que le permite permanecer oculto mientras ejecuta su código malicioso. Por otra parte, la carga lateral de DLL, donde el malware coloca una DLL maliciosa junto a una legítima, aprovecha el patrón de búsqueda de las aplicaciones para evadir las defensas.

Para hacer frente a estos desafíos, es esencial contar con tecnologías de seguridad avanzadas. Los cortafuegos no solo inspeccionan el tráfico cifrado y bloquean intentos de intrusión, sino que también analizan el comportamiento del malware en un entorno aislado (sandboxing). Esto permite identificar amenazas desconocidas antes de que comprometan los sistemas, proporcionando una protección rápida y eficaz frente a las técnicas más avanzadas de evasión, sin depender únicamente de firmas.

El rol de los MSP ante el malware evasivo

El malware evasivo plantea desafíos únicos para los MSP, que deben adaptarse a un panorama de amenazas cada vez más complejo. Es crucial que se mantengan actualizados sobre las técnicas evasivas utilizadas por los atacantes para salvaguardar los entornos que gestionan.

Si bien los cortafuegos son fundamentales, una solución avanzada de seguridad en el endpoint detecta malware oculto en la memoria y archivos DLL. De igual manera, las soluciones de XDR permiten rastrear rutas de infección y monitorizar actividades sospechosas. Al combinar estas capacidades, los MSP pueden diferenciarse al ofrecer un enfoque estratégico y proactivo en la protección de sus clientes.

Para profundizar en las amenazas más recientes, incluidos los avances del malware evasivo y otras tendencias clave que están redefiniendo la seguridad, no dejes de consultar nuestro Internet Security Report - Q2 2024. En él encontrarás un análisis detallado y una visión integral de los riesgos que enfrentan las empresas actualmente, lo que te ayudará a anticipar desafíos y tomar decisiones informadas para proteger mejor tus entornos cibernéticos.