El a�o del ransomware

2017-12-16 19:15:58

(Foto: Especial)

El año pasado por estas fechas, expertos de Kaspersky llamaron al 2016 el año del ransomware. De hecho, hubo muchos cifradores y bloqueadores de todo tipo, y la escala general de infección fue bastante grave.

Pero resulta que el título de año del ransomware pertenece en realidad al año 2017. Las epidemias de WannaCry, ExPetr y BadRabbit no se parecen a nada que hayamos visto antes.

En términos de alcance, WannaCry solo se puede comparar con el brote mundial del gusano Conficker, una de las mayores epidemias que se recuerda y que ocurrió entre 2008 y 2009.

Un ransomware es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema infectado y pide un rescate a cambio de quitar esta restricción.

Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.

Eso sí, los ingenieros de Kaspersky vaticinan que 2018 no será otra vez el año del ransomware.

Su puesto en la cima de las amenazas comunes más temidas lo ocuparán los mineros de criptomonedas, que ya están cobrando fuerza.

Ataques a empresas financieras

En 2017 hubo varios ataques a organizaciones financieras, un objetivo común de los hackers. En octubre, expertos de seguridad informática descubrieron en la Dark Web un nuevo malware llamado Cutlet Maker, que afecta a cajeros automáticos.

Con unos pocos miles de dólares, hasta los hackers novatos podrían emprender ataques devastadores contra cajeros automáticos, pues dicho malware incluía instrucciones y casi todo lo necesario para llevar a cabo el robo. A algunos intrusos desafortunados los agarraron con las manos en la masa, pero los creadores del malware amasaron una fortuna.

Otra tendencia actual de esta área son los ataques desde la propia estructura de los bancos.

En octubre, descubrimos un nuevo grupo de ciberdelincuentes llamado Silence que ataca organizaciones financieras. La mayoría de las víctimas eran bancos rusos y el grupo en sí parecía ser de habla rusa.

Se podría decir que eran los herederos de Carbanak, un grupo que en 2015 salió en los titulares por un ataque contra los bancos.

Ataques dirigidos

Silence es una de las muchas campañas de ataques dirigidos, o APT (amenaza persistente avanzada por sus siglas en inglés). A lo largo del 2017, Kaspersky detectó unos 100 grupos de hackers activos de este tipo. El doble que en 2016.

Es más, sólo unos diez, Silence entre ellos, tenían intereses comerciales, el resto se han dedicado al ciberespionaje y a recopilar información de agencias estatales y empresas petroleras y de gas.

Esto es básicamente lo que predijeron los expertos de Kaspersky a finales del año pasado: ha habido grupos de hackers que han empezado a operar activamente para grupos económicas y políticos.

Proveedores de software

Otro nuevo vector para ataques dirigidos que hemos visto este año son los proveedores de software cuyos productos usan las grandes empresas. El resultado es que los delincuentes se dieron cuenta de que es más fácil ir por el software que usan que atacar sistemas corporativos impenetrables.

Un buen ejemplo es el famoso ataque llevado a cabo por el grupo Axiom contra el desarrollador de CCleaner, una popular herramienta para la limpieza del registro de Windows.

Los hackers inyectaron un código malicioso en una actualización de este programa que se descargaron alrededor de dos millones de usuarios de todo el mundo. Las víctimas fueron un grupo selecto de 20 grandes empresas. Una vez que la actualización maliciosa penetró en sus sistemas, los malhechores continuaron indagando en su sistema.

El cifrado y la minería

El precio del Bitcoin se ha multiplicado por 15 a lo largo de este año y el de Ethereum lo ha hecho por 48. El cifrado ha tenido un impacto nunca visto en la economía mundial de este año y ha cambiado el mercado de inversiones de riesgo: los fondos recaudados por ICO en 2017 llegaron a los 3.5 mil millones de dólares.

En el mundo de las criptomonedas o criptodivisas se utiliza un instrumento que se conoce como ICO (Initial Coin Offering en inglés) para financiar el desarrollo de nuevos protocolos. Esta expresión, traducida literalmente al castellano significa Oferta Inicial de Moneda.

Como esperaban los expertos de Kaspersky , el resultado fue la aparición de nuevas amenazas y vulnerabilidades.

Para empezar, se abrió la veda a una amplia variedad de ataques, desde phishing y hackeos, hasta la sustitución de la dirección del monedero de Bitcoin en el portapapeles. Hemos llegado a ver una nueva modificación del conocido spam nigeriano, en el cual se le ofrecía a la gente tokens a cambio de compartir la dirección de su monedero (si das tu dirección, te roban el dinero).

Se robaron 300 millones de dólares, o lo que es lo mismo, una décima parte de los fondos recaudados por las ICO en 2017.

Pero eso no es todo. La realidad actual da rienda suelta a nuevas formas de enriquecimiento. Una de ellas es la minería de criptomonedas, que manipula principalmente el navegador. Se infectan los sitios web con un script que permite a las computadoras de los visitantes minar sin su consentimiento.

El padre del ransomware

El antecedente más remoto data de finales de la década de 1980, elaborador por Joseph Popp. El biólogo repartió 20 mil diskettes a los asistentes de la conferencia sobre el SIDA de la Organización Mundial de la Salud. Los diskettes venían con el nombre de Información sobre el SIDA – Diskettes de introducción, y tenían mensajes de advertencia como “afecta de forma negativa a otros programas” o “tu computadora dejará de funcionar de manera normal”.

Si el usuario introducía el diskette ignorando todos esos avisos, el troyano bloqueaba la computadora y cifraba todos los archivos. Si el usuario quería recuperar los archivos, tenía que enviar 189 dólares a un apartado de correos de Panamá

¿Cómo se transmite?

Van por Internet como un troyano o como un gusano, infectando el sistema operativo, por ejemplo, con un archivo descargado o explotando una vulnerabilidad de software. En este punto, el ransomware se iniciará, cifrará los archivos del usuario con una determinada clave, que sólo el creador del ransomware conoce, e instará al usuario a que la reclame a cambio de un pago

Predicciones para 2018

  • Los ataques a los proveedores de software se van a multiplicar. Los casos de CCleaner y M.E.Doc (una empresa de software cuyo servidor de actualizaciones se usó para distribuir ExPetr) demostraron claramente que un ataque exitoso enfocado a un solo programa puede poner en riesgo a todos sus usuarios potenciales
  • Ataques automatizados y soluciones fuera de lo común para hackear cajeros automáticos. Hasta ahora hemos visto que se han hackeado cajeros automáticos con una memoria flash empleando métodos rudimentarios. Claramente, este método no es totalmente efectivo con los cajeros que cuenten con vigilancia constante, pero ello no alejará a los ciberdelincuentes, pues desarrollarán nuevos métodos de hackeo y algunos serán en remoto
  • Ataques a nuevos dispositivos a nivel profundo del sistema operativo. El vector de los ataques dirigidos ya está pasando de las computadoras tradicionales a las nuevas plataformas, como los smartphones y el IoT. Los ciberdelincuentes intentan intervenir en un nivel más bajo dentro del sistema operativo para evitar la detección de los sistemas de control de protección, por ejemplo, a nivel UEFI, el firmware del procesador que se ejecuta antes que el sistema operativo
  • Más ataques dirigidos mediante ransomware. Los ciberdelincuentes ya saben perfectamente cómo actuar contra las grandes empresas, escogiendo cuidadosamente el momento del ataque. Por ejemplo, ExPetr cifró archivos pocos días antes de la presentación de declaración de impuestos, con el objetivo de que la empresa pagara lo antes posible
  • El fraude en el cifrado y los ataques a valores virtuales de la cadena de bloques. Atacar a cuentas de criptomonedas y minar ilegalmente a expensas de particulares o empresas resulta más rentable que andar persiguiendo sistemas de banca online tradicional. Además del acelerado crecimiento de la minería encubierta, estamos a punto de presenciar nuevos tipos de ataques a monederos, además de vulnerabilidades en la cadena de bloques. Y dado que se crean valores de cifrado sin parar (por ejemplo, el famoso CryptoKitties), es fácil afirmar que estarán en el punto de mira de los ciberdelincuentes

 
Derechos reservados ® ntrguadalajara.com