El quién es quién entre los criminales cibernéticos

El quién es quién entre los criminales cibernéticos

En la primera parte de nuestra pequeña serie de blogs sobre los principios básicos del malware, hemos tratado la terminología de virus, gusanos, etc. Descubrimos que los tipos de ataques cibernéticos han cambiado a lo largo de los años. Si bien hace algunos años prevalecían los mensajes de correo no deseado relativamente simples y los virus que se distribuían ampliamente de acuerdo con el principio minimax (esfuerzo mínimo en el rango máximo), los ataques de hoy son mucho más sofisticados e individuales.

La razón es que los mecanismos de defensa se han adaptado; la detección de spam masivo y de oleadas de virus se ha mejorado significativamente. Pero antes de entrar en detalle cómo se puede analizar y defenderse contra el malware, vamos a arrojar un poco de luz sobre quién está detrás de todos estos ataques.

El estereotipo de un hacker se parece a esto: en un sótano oscuro se encuentra un hombre pálido y soltero, que come pizza, bebe una soda y viste una sudadera con capucha. Allí ingresa un código en una computadora,  ataca y alcanza sus objetivos. Por supuesto, como siempre, la realidad es mucho más compleja.

Mientras tanto, los fabricantes de ciberataques actúan como pequeñas empresas: están compuestos por equipos cuyos miembros se especializan en sub-tareas y distribuyen profesionalmente sus “productos”. Después de todo, esta industria se ha convertido en un campo de actividad altamente lucrativo, ya que se estima que los ingresos por delitos cibernéticos son más altos que los provenientes del tráfico de drogas a nivel mundial.

Más que sólo Nerds, los que están sentados en los sótanos

Sin embargo, hay muchos otros grupos de personas en el área de la cibercriminalidad. Para completar la lista temáticamente, por lo tanto, también se deben enumerar los actores del campo de la ciberguerra. Estos no persiguen objetivos monetarios, sino otros, a menudo ideológicos.

En la siguiente lista se encuentran diferentes grupos, en los cuales se pueden clasificar los cibercriminales:

Criminales profesionales

Este grupo se puede asignar a todos aquellos que persiguen un objetivo puramente económico con los ciberataques. Su objetivo es generar la mayor cantidad de dinero posible, de cualquier forma. Además de los troyanos bancarios y el spyware, también usan ataques de ransomware o malware tipo criptomining.

Además, debe mencionarse la venta de información y datos robados: las listas de correos electrónicos u otra información personal, botnets y otros contenidos, por los cuales se dejan solicitar grandes cantidades de dinero para prevenir su publicación.

Incluso la venta de malware en sí cae en esta categoría: los ataques se ofrecen como un servicio, de modo que incluso las personas técnicamente menos experimentadas o menos equipadas pueden realizar u ordenar ataques.

Entre este tipo de ataques puede encontrarse un nuevo ransomware, o un simple ataque DDoS contra compañías, organizaciones y agencias gubernamentales.

Actores estatales

Estos son actores pertenecientes a los gobiernos nacionales. Uno de sus principales objetivos es mejorar la situación de su propio país, ya sea mediante ataques piratas informáticos o mediante sabotaje, espionaje clásico o la infiltración de oponentes. Aunque estas actividades no son comunicadas abiertamente por países individuales, se considera un secreto a voces.

Como resultado, los países se acusan mutuamente de estos ataques: actualmente, el FBI estadounidense y el Centro Nacional de Seguridad Cibernética (NCSC) acusan a Rusia de ser responsable de un ataque cibernético en el que piratas informáticos han infiltrado infraestructuras de red a gran escala. Por cierto, las dos autoridades están utilizando el Cyber Kill Chain como una explicación.

Para combatir el crimen y el terrorismo, las autoridades están utilizando activamente ciertos programas para espiar a las personas objetivo y de esta manera obtener información relevante para las investigaciones: el Troyano Federal, que supuestamente ya está en uso, es uno de esos ejemplos. Oficialmente, los órganos estatales están sujetos al poder legislativo y judicial, pero en la realidad este control es muy incompleto.

Algunas instituciones estatales incluso acumulan su propio conocimiento sobre los agujeros de seguridad sin permitir que se cierren, de modo que puedan ser capaces de explotarlos por sí mismos. Sin embargo, el problema es que los llamados Zero-Day- Exploits pueden caen en manos equivocadas y ser utilizados, como sucedió en el ataque de ransomware WannaCry, en el que probablemente un exploit suelto de la NSA fue explotado por grupos de piratas informáticos de Corea del Norte.

Activistas, grupos políticos

Este grupo de ciberdelincuentes, también conocidos como “hacktivistas”, lleva a cabo ciberataques basados en sus fundamentos ideológicos. Además de las empresas privadas, las víctimas también pueden ser políticos u órganos estatales. El objetivo de sus acciones es tratar de hacer valer sus ideas políticas, sociales o de otro tipo. Además del pirateo clásico, usan ataques DDoS.

Entre los hacktivistas se incluyen los grupos Anonymous, WikiLeaks y LulzSec.

Empresas privadas

En el sector privado, también hay actividades de cibercrimen. Generalizado por el espionaje industrial, el objetivo de este grupo de atacantes es espiar a la competencia, obtener información y usarla para su propio beneficio.

Vandalismo

Estos atacantes no establecen objetivos estratégicos para sus ataques cibernéticos: están más preocupados por satisfacer su curiosidad, probar nuevas ideas y obtener reconocimiento por sus logros. El puro placer en la destrucción es lo que impulsa a este grupo de personas.

Investigadores de seguridad

También hay personas que buscan vulnerabilidades en las infraestructuras de TI para aumentar la seguridad de los sistemas de TI. Estos expertos pueden encontrarse en instituciones públicas como universidades y autoridades públicas, pero también en empresas privadas en los denominados laboratorios de seguridad. Sin embargo, a veces la dificultad radica en que los ciberdelincuentes pueden usar y explotar estos hallazgos publicados para sus propios fines.

El dinero es la razón principal

Interesante es la distribución aproximada de los motivos detrás de estos ataques: según una encuesta reciente del proveedor de telecomunicaciones Verizon, el 76 por ciento de todas las violaciones de seguridad del año pasado fueron de naturaleza financiera, seguidas por actividades de espionaje, “motivos divertidos” y aversiones personales. Otro número muy interesante del estudio de Verizon: el 28% de todas las violaciones de datos fueron hechas por personal interno.

La próxima parte de nuestra serie analizará cómo funciona el análisis de malware y cómo desarrollar estrategias de defensa basadas en estos hallazgos.

Más información:

Virus, gusanos, troyanos – un rayo de luz en el mundo oscuro y confuso de estos nombres

Virus, gusanos, troyanos – un rayo de luz en el mundo oscuro y confuso de estos nombres

Malware, ataques cibernéticos y el cómo protegerse contra estos – esta temática ocupa no solo a personas individuales sino también a los responsables de TI. Por lo tanto, nos gustaría proporcionar una serie de información básica sobre este tema en una secuencia de publicaciones. En la primera publicación proporcionamos una definición y clasificación general de malware. Esta no es exhaustiva, pero cubre los tipos de malware más relevantes.

Existen desde hace millones de años – los virus.  En comparación con este periodo de tiempo, estos son solo conocidos por la humanidad desde lo que llamamos un abrir y cerrar de ojos, ya que su evidencia científica se presentó solo hasta finales del siglo XIX. Los virus son responsables de diferentes enfermedades, y en la naturaleza siempre ha existido una batalla constante entre la evolución de los virus y la defensa contra los mismos.

En el área de las tecnologías de la información la situación es bastante similar. También allí existe una variedad muy grande de software malicioso, y los proveedores de software de defensa se ven obligados a desarrollar constantemente métodos de defensa para evitar el acceso a intrusos y evitar así consecuencias negativas en los sistemas TI o en datos sensibles. En la denominación conceptual de estos códigos maliciosos suele usarse el término “virus”.

 

Desde el punto de vista histórico este nombre es totalmente razonable, ya que solamente los gusanos y los virus surgieron como amenaza, sin embargo teniendo en cuenta la riqueza en variedad que hoy en día se presenta, este término resulta insuficiente. Por este motivo, queremos brindar un poco de luz en el túnel y ofrecer una visión general sobre la terminología correcta y hacer una breve mención sobre los códigos maliciosos más comunes.

Virus

 

El término “Virus” se utiliza comúnmente de forma errónea, ya que por lo general es un símbolo del término más general: “Malware“. Esto a su vez, no es correcto, ya que malware abarca todo el conjunto de software malicioso.

La palabra “virus” describe solo la forma de propagación específica de un tipo particular de malware. Este infecta un tipo de fichero definido e inyecta allí su código malicioso. El fichero infectado transmite el virus al identificar e infectar ficheros de tipo similar.

El paso del virus de ordenador a ordenador no se realiza de forma activa, sino a través de medios de almacenamiento externos, E-Mails o dentro de redes.

Gusanos

La tipificación “gusano” identifica, como el virus, un tipo de distribución específico. El código malicioso se propaga, al contrario del virus de ordenador, activa e inmediatamente mediante el aprovechamiento de brechas de seguridad existentes. Un ejemplo actual es un gusano el cual se propaga en el área de Internet of Things (IoT por sus siglas en inglés), es decir, entre dispositivos que utilizan internet, usando puertos abiertos de depuración Android.

Al contrario de un software de extorsión, el cual tiene como único objetivo el cifrar los datos del ordenador y solicitar un rescate, un gusano de ordenador no tiene un objetivo claro. Este puede realizar cambios en el sistema y comprometerlo, incrementar la carga de la infraestructura de internet o desencadenar ataques DDoS.

Troyanos / Caballos de Troya

 

Una gran parte del malware, que actualmente existe, se puede describir como un “Caballo de Troya”. El término es bastante genérico y describe que el malware se camufla como benigno. Esto quiere decir que el usuario solo ve la aplicación positiva sin reconocer el resultado negativo de la aplicación por lo que no puede tener ninguna influencia sobre los resultados finales.

El nombre “Caballo de Troya” se remonta a la estrategia legendaria de la mitología griega, en la que los invasores griegos engañaron a los habitantes de Troya utilizando un caballo de madera. Por este motivo, es igualmente erróneo el uso del término “troyano” ya que los troyanos eran los habitantes de la ciudad y fueron las víctimas. El caballo era entonces, el atacante.

Variedad de nuevos tipos de amenazas

Además de la terminología de malware más común, todavía hay una gran cantidad de malware que se puede dividir en las siguientes categorías.

  • RATRemote Access Trojans (Troyanos de Acceso Remoto): Este tipo de malware permite a los atacantes hacerse cargo de las computadoras y controlarlas de forma remota. De este modo, pueden ejecutar comandos en los sistemas de las víctimas
  • Backdoor (Puerta trasera): Un malware Backdoor se basa en una visión similar a una RAT, pero utiliza un enfoque diferente. Los atacantes usan las llamadas puertas traseras las cuales son colocadas deliberadamente en programas o sistemas operativos. Sin embargo, también pueden haber sido instaladas en secreto. La peculiaridad de las puertas traseras es el hecho de que pueden pasar desapercibidas por los mecanismos de defensa habituales y, por lo tanto, son muy atractivas para los criminales cibernéticos siendo así, por ejemplo, muy populares para crear botnets.
  • Botnet y zombis: Botnets son grandes acumulaciones de computadoras infectadas que el atacante construye. Zombis se llaman las máquinas afectadas, siendo así las partes individuales del botnet. El atacante puede enviar comandos a todas las máquinas al mismo tiempo para desencadenar actividades como ataques DDoS o para extraer bitcoins con la ayuda de computadoras zombi. Lo malévolo de esta situación es que el propietario del ordenador solo nota la “membresía” en un botnet cuando ya se han llevado a cabo las actividades controladas externamente.
  • SpywareEste es un malware que recopila información del ordenador de la víctima. Estos pueden ser los denominados Credenciales Stealers (ladrones de credenciales), que roban los datos de acceso de cuentas de usuario, tales como la propia cuenta de buzón de correo electrónico, Amazon o Google. Los keyloggers, por otro lado, graban o copian apartados, o hacen capturas de pantalla de lo que los usuarios hablan o escriben. Los Stealers de Bitcoins buscan carteras de Bitcoin y las roban.
  • Downloader/DropperLos descargadores o los droppers son pequeños programas que tienen un solo propósito: volver a cargar más malware desde el Internet. Al principio, la víctima no puede reconocer qué contenido se está descargando porque solo está visible una URL. La principal ventaja del atacante con este método es que constantemente puede proporcionar malware nuevo para su descarga, distribuyendo malware actualizado y difícil de detectar.
  • RootkitLos rootkits son el tipo de malware más peligroso, que no es necesariamente malware. Más bien, un rootkit puede ocultar código malicioso contra descubrimiento. En esta forma de ataque, el atacante penetra profundamente en el sistema informático, obtiene privilegios de root y obtiene derechos de acceso general. Los cibercriminales cambian el sistema para que el usuario ya no reconozca cuándo se inician los procesos y las actividades. Es muy difícil encontrar ataques basados ​​en la ofuscación de rootkits.

Por supuesto, hay otras categorías y definiciones de malware que no se enumeran aquí. Sin embargo, debería agregarse que el malware que circula en la actualidad es en su mayoría una mezcla de diferentes tipos. Por ejemplo, hay caballos de Troya que también incluyen una puerta trasera.

A menudo, los diferentes tipos de ataque se pueden ensamblar dinámicamente de acuerdo con el principio modular. Por esta razón el malware encontrado hoy en día ya no puede asignarse claramente a una de las categorías mencionadas anteriormente.

 

En la próxima publicación hablaremos sobre los actores que toman parte del malware y de los ataques cibernéticos.

Más información:

  1. Hornetsecurity Advanced Threat Protection
  2. Filtro de spam y virus