Los nuevos datos de ransomware de Venafi y Forensic Pathways revelan por qué Microsoft está tan preocupado por la seguridad de las macros de Office en este momento.
Durante un período de cinco meses (noviembre de 2023 a marzo de 2022), las empresas analizaron 35 millones de URL de la web oscura, incluidos mercados y foros para productos y servicios de ransomware, y descubrieron que casi todo (87 %) el ransomware se ha encontrado en la web oscura. entregado a los puntos finales a través de macros maliciosas.
Las dos empresas identificaron un total de 30 productos de malware diferentes, incluidos Babuk, GoldenEye, Darkside/BlackCat, Egregor, HiddenTear y WannaCry.
Macros como plataformas de lanzamiento de ransomware
Sin embargo, no todos los ransomware son iguales. Los utilizados en ataques de alto perfil cuestan más, por ejemplo, la variante Darkside utilizada en el ataque Colonial Pipeline cuesta $ 1262. El código fuente del popular ransomware también es relativamente caro, encontraron los investigadores, con Babuk vendiéndose por $950 y Paradise por $593.
Las macros son una característica importante para todos los usuarios avanzados de Office porque permiten que los archivos extraigan automáticamente datos de la Web y actualicen el contenido automáticamente. Dada la naturaleza de la herramienta, los actores de amenazas abusaron de ella durante años hasta que Microsoft decidió bloquear la ejecución de los archivos con macros descargados de Internet en primer lugar.
“Dado que casi cualquier persona puede usar macros maliciosas para lanzar un ataque de ransomware, la indecisión de Microsoft al deshabilitar las macros debería asustar a todos”, dijo Kevin Bocek, vicepresidente de estrategia de seguridad e inteligencia de amenazas de Venafi. “Si bien la compañía ha cambiado de rumbo al deshabilitar las macros por segunda vez, la reacción violenta de la comunidad de usuarios sugiere que las macros pueden persistir como un vector de ataque en toda regla”.
Según Venafi, estos hallazgos son argumentos sólidos para un plano de control de gestión de identidad de máquinas, que impulsará resultados comerciales específicos, como la observabilidad, la consistencia y la confiabilidad. La firma de código es un “control de seguridad de gestión de identidad de máquina crítica” que ayuda a eliminar los ataques de ransomware impulsados por macros, dijo.
“El uso de un certificado de firma de código para validar macros significa que no se pueden ejecutar macros sin firmar, lo que evita ataques de ransomware”, concluyó Bocek. “Esta es una oportunidad para que los equipos de seguridad fortalezcan y protejan sus negocios, especialmente en banca, seguros, salud y energía, donde las macros y los documentos de Office se usan todos los días para impulsar la toma de decisiones”.
- Obtenga la máxima protección para dispositivos con el mejor software antivirus (se abre en una pestaña nueva)