Kaspersky Security Bulletin. Predicción para 2017

Los "Indicadores de compromiso" han muerto

Contenidos

Otro año más ha pasado volando y hecho historia en cuanto a sucesos de seguridad informática. El año 2016 ha estado repleto de drama, intriga y exploits y, a medida que vamos recopilando algunos de los sucesos más llamativos, una vez más fijamos la mirada en el futuro para trazar el panorama de las amenazas informáticas del 2017. En vez de hacerlo como algo de marketing superficial, queremos abordar las predicciones a partir de tendencias que hemos notado a lo largo de nuestras investigaciones y ofrecer observaciones que sirvan de reflexión tanto a investigadores como a visitantes del ciberespacio amenazado.

Kaspersky Security Bulletin. Predicción para 2017

Nuestro récord

Nuestras predicciones del año pasado fueron acertadas, y algunas hasta se hicieron realidad antes de lo esperado. Si no las recuerdan, algunas de las más destacadas fueron:

Amenazas Persistentes Avanzadas (APTs): Anticipamos que se haría menos énfasis en la persistencia y aumentaría la tendencia a enconderse entre la multitud mediante el uso de programas maliciosos comerciales en los ataques dirigidos. Esto se vio proyectado tanto en el aumento del malware que se ejecuta en la memoria RAM y que no crea archivos, como en los ataques dirigidos a activistas y compañías realizados con programas comerciales como NJRat y Alienspy/Adwind.

Ransomware: 2016 puede declararse el año del ransomware. El malware financiero que busca atacar a los usuarios casi se ha transformado en un espacio exclusivo de ransomware. Los métodos de extorsión son tan efectivos que absorben los recursos de desarrollo de malware de métodos de ataque menos rentables.

Más robos a bancos: Cuando previmos la acechante expansión del crimen financiero en su más alto nivel, nuestras hipótesis incluían ataques a instituciones como la bolsa. Los ataques a la red de SWIFT dieron forma a estas predicciones, con pérdidas millonarias causadas por malware específicamente diseñado y bien ubicado.

Ataques de Internet: Hace poco, el ignorado mundo de los dispositivos de cosas innecesariamente conectadas al internet demostró su lado oscuro con un fastidiosa red botnet de dispositivos del Internet de las Cosas (IoT) que desactivó grandes servidores de Internet y perturbó a aquellos que dependían de determinados proveedores de DNS.

La vergüenza: Ataques que causan vergüenza y extorsión siguen anunciándose con bombos y platillos en filtraciones de datos estratégicas e indiscriminadas que causan problemas personales, políticos y de reputación a diestra y siniestra. Tenemos que reconocer que la magnitud y selección de las víctimas de algunas de estas filtraciones nos han dejado boquiabiertos.

Kaspersky Security Bulletin. Predicción para 2017

¿Qué nos espera en 2017?

Esas espantosas APTs

El ascenso de los implantes a medida y los implantes pasivos

Lograr que las compañías y grandes empresas adopten medidas de protección ya es un trabajo difícil. Pero también hay que darse cuenta cuando estas medidas comienzan a desgastarse o fallar. Los Indicadores de Compromiso (IoC) son una muy buena manera de compartir los rasgos de los programas maliciosos conocidos, incluyendo los hashes, dominios y características de ejecución que puedan ayudar a los defensores a reconocer una infección activa. Sin embargo, esa minoría de ciberespías que marca tendencias ha aprendido a defenderse de estas medidas generalizadas. Así lo demuestra la reciente APT ProjectSauron, una plataforma de malware hecha a medida que ajusta cada una de sus características a las peculiaridades de su víctima, por lo que los defensores no pueden usarla para detectar otras infecciones. Esto no quiere decir que los defensores no tengan otros recursos para combatir estas amenazas, pero es hora de que impulsemos la adopción más extensa de las reglas Yara que nos permiten, por un lado, inspeccionar en detalle a una empresa para rebuscar e identificar características específicas en binarios en disco; por otro, escanear la memoria RAM en busca de fragmentos de ataques conocidos.

ProjectSauron también tenía un rasgo complejo que creemos que veremos cada vez más seguido: el del “implante pasivo”. Una puerta trasera que opera en una red, presente en la memoria o como un driver con una puerta trasera en un portal de acceso a Internet o en un servidor de acceso a la red, espera en silencio a que unos bytes mágicos despierten sus funcionalidades dormidas. Hasta que esto no suceda, los implantes pasivos presentan pocos o ningún indicador de que exista una infección activa, por lo que suelen ser descubiertos solo por defensores paranoicos y en situaciones de respuesta a incidentes más amplios. Hay que tener presente que estos implantes no tienen una infraestructura de administración predefinida que permita identificar su relación con otro malware y, por lo tanto, la punta de lanza que establecen es mucho más anónima. Por eso es la herramienta preferida de los atacantes más cautelosos, que deben garantizarse una forma de ingresar a la red de sus enemigos sin mucho tiempo de preparación.

Kaspersky Security Bulletin. Predicción para 2017

Infecciones efímeras

PowerShell ha pasado a ser la herramienta soñada de los administradores de Windows, pero también es la herramienta perfecta para la gama de desarrolladores de malware que buscan un lugar para desplegar sus creaciones de forma sigilosa, con movimiento lateral y capacidades de recolección de datos difíciles de conseguir en configuraciones estándar. Es posible que los pequeños programas maliciosos para PowerShell que se almacenen en la memoria o en el registro de los sistemas de Windows modernos tengan su momento de gloria. Es más, no nos sorprendería que comiencen a surgir infecciones efímeras: malware alojado en la memoria RAM, sin intenciones de quedarse, que se dedique al reconocimiento general del sistema y recolección de credenciales. En ambientes muy delicados, los atacantes sigilosos no tendrían problema en operar sólo hasta que su programa se borre de la memoria con un reinicio, si esto les ayuda a evadir sospechas y evitar las pérdidas operacionales que sufren cuando los investigadores y defensores descubren sus programas. Las infecciones efímeras destacan la necesidad de heurísticas proactivas y sofisticadas en soluciones anti-malware avanzadas (ver: System Watcher).

Kaspersky Security Bulletin. Predicción para 2017

El espionaje se vuelve móvil

Multiples atacantes ya han utilizado implantes móviles, como Sofacy, RedOctober y CloudAtlas, así como los clientes de HackingTeam y el malware Pegasus de NSO para iOS. Pero estas se trataron de campañas complementarias a las de sus herramientas para sistemas de escritorio. Como la adopción de sistemas operativos de escritorio está pasando a segundo plano, y la vida digital del usuario promedio depende cada vez más de dispositivos de bolsillo, auguramos un aumento en las operaciones de espionaje prominentemente móviles. Esto les dará el beneficio de recibir menos atención indeseada ya que es más difícil conseguir herramientas forenses para los sistemas operativos móviles. La confianza en la firma de códigos y en las revisiones de integridad ha opacado las acciones de los investigadores de seguridad del área móvil, pero esto no basta para disuadir a los atacantes decididos y con buenos recursos interesados en atacar en este espacio.

Kaspersky Security Bulletin. Predicción para 2017

El futuro de los ataques financieros

Así que quieres robar un banco…

Los ataques a la red SWIFT de este año causaron indignación en la industria de los servicios financieros por haber sido un golpe temerario que generó pérdidas multimillonarias. Esta operación fue una evolución natural de los delincuentes como el grupo Carbanak y tal vez otros atacantes interesantes. Pero estos casos siguen siendo obra de actores del estilo APT con un toque adicional de gracia y capacidades demostradas. ¡Seguro que no son los únicos con ganas de robar millones a un banco!

Creemos que con el aumento del interés de los cibercriminales en estas operaciones también se verá un ascenso de una clase de intermediarios para ataques SWIFT en el escalonado submundo de los negocios del cibercrimen. Para realizar un ataque de este tipo se necesita tener acceso inicial, programas especializados, paciencia y, a la larga, un sistema de lavado de dinero. Cada uno de estos pasos está ocupado por cibercriminales bien establecidos que cobran por sus servicios, siendo la única pieza faltante el malware especializado para realizar los ataques de SWIFT. Esperamos ver estas herramientas a la venta en foros cibercriminales como recursos especializados o como servicios estratificados.

Kaspersky Security Bulletin. Predicción para 2017

Sistemas de pago resistentes

Como los sistemas de pago se están haciendo cada vez más populares y su adopción se está difundiendo, pronosticamos que los delincuentes mostrarán cada vez mayor interés en ellos. Pero parece que sus intentos maliciosos se han topado con mucha resistencia, y hasta ahora no se han detectado grandes ataques. Sin embargo, este alivio para los consumidores puede ser un dolor de cabeza para los proveedores de sistemas de pago, ya que un siguiente paso para los cibercriminales será lanzar ataques directos a la infraestructura de sus sistemas de pago. Tanto si estos ataques causan pérdidas financieras o simples inconvenientes de funcionamiento, creemos que en 2017 recibirán más atención de los delincuentes.

Kaspersky Security Bulletin. Predicción para 2017

El ransomware deshonesto

Si bien todos odiamos el ransomware (y con buenas razones), hay que admitir que su éxito depende en gran parte de los beneficios de la relación de confianza que se establece entre la víctima y su atacante. Este ecosistema criminal se basa en el principio de que el atacante cumplirá el acuerdo tácito con la víctima y le devolverá el acceso a sus archivos secuestrados cuando ella pague el rescate exigido. Aunque sea sorprendente, los cibercriminales.han honrado su palabra y esto ha sido clave para su prosperidad. Pero, a medida que aumenta su popularidad, es muy probable que cibercriminales de menor nivel se unan al juego y aparezca cada vez más “ransomware” que no cumpla con las garantías de calidad o no cuenten con la capacidad para cumplir con sus promesas de descifrar los datos.

Creemos que aparecerá ransomware “skiddie” (es decir, escrito o adaptado por novatos), que bloqueen de forma permanente los archivos o los eliminen para obligar a la víctima para pagar el rescate, pero que no le den nada a cambio. Cuando se llegue a ese punto, no habrá gran diferencia entre los ataques ransomware y los que borran datos y se sentirán los efectos de una “crisis de confianza”. Puede que esto no evite que los criminales profesionales sigan con sus operaciones de extorsión, pero puede derrumbar la idea de que pagar el rescate es un consejo viable para las víctimas.

Kaspersky Security Bulletin. Predicción para 2017

El gran botón de la destrucción

El famoso Stuxnet sin duda abrió una caja de Pandora al demostrar su potencial para atacar sistemas industriales, pero se diseñó con mucho cuidado, concentrándose en un sabotaje prolongado de objetivos muy específicos. A pesar de que la infección se esparció por todo el mundo, las revisiones de sus ataques limitaron el daño colateral y no se dio ningún tipo de Armagedón industrial. Desde entonces, cualquier sospecha de accidente industrial o explosión sin explicaciones deriva en alguna teoría de sabotaje cibernético.

Es cierto que un accidente industrial inducido por algún tipo de sabotaje cibernético no es imposible. Mientras estas infraestructuras sigan conectadas a Internet con poca o ninguna protección, seguirán siendo objetivos tentadores para los atacantes que quieren desatar el caos. Pero vale la pena destacar que, dejando el alarmismo de lado, estos ataques requieren de cierta capacidad e intencion. Lo más probable es que un ataque de sabotaje cibernético venga de la mano con el aumento de tensiones geopolíticas expresadas a través de atacantes bien establecidos que quieran destruir o perturbar el funcionamiento de servicios esenciales.

Kaspersky Security Bulletin. Predicción para 2017

Internet sobrepopulado contraataca

El Internet de los Ladrillos

Nuestras viejas profecías auguraban que la poca seguridad de los dispositivos del Internet de las Cosas (IoT) se volvería en nuestra contra, y he aquí, el día ha llegado. Con la aparición reciente de la red zombi Mirai, la débil seguridad de los dispositivos conectados a Internet (sin que haya necesidad) ofreció una oportunidad a los cibercriminales de causar estragos. Puede que esto no sorprenda a los aficionados de la seguridad informática, pero esta historia podría tener un vuelco interesante: predecimos que habrá hackers que harán justicia por mano propia.

La noción de parchar las vulnerabilidades conocidas y reportadas se percibe como un reconocimiento del duro (y muchas veces poco recompensado) trabajo de los investigadores de seguridad. Es probable que los hackers defensores de la seguridad comiencen a hacerse cargo de los problemas causados por los dispositivos inseguros del IoT que los fabricantes siguen poniendo en el mercado. Y ¿qué mejor forma de hacerlo que dejar fuera de servicio los dispositivos vulnerables para devolverle el dolor de cabeza a los mismos fabricantes? Los perjuicios causados por las redes zombi del IoT con sus ataques DDoS y distribuciones de spam podrían hacer que los mismos hackers desactiven del todo estos dispositivos, generando el disgusto de los consumidores y fabricantes. El Internet de los Ladrillos Inservibles se avecina.

Kaspersky Security Bulletin. Predicción para 2017

Las cajitas luminosas

Las filtraciones de ShadowBrokers incluyeron una gran cantidad de exploits funcionales para muchos firewalls de los principales fabricantes. Se reportaron casos de explotación en condiciones reales poco después, sin que los fabricantes lograran comprender las vulnerabilidades y publicar sus parches a tiempo. Pero todavía no se conoce la magnitud real del incidente. ¿Qué consiguieron los atacantes con estos exploits? ¿Qué clase de implantes se encuentran escondidos y al acecho en los dispositivos vulnerables?

Viendo más allá de estos exploits específicos (y tomando en cuenta el descubrimiento de una puerta trasera en la Screen OS de Juniper en 2015), existe un problema mucho mayor relacionado con la integridad de los firewalls y los routers, que requiere investigaciones más profundas de los aparatos que se encuentran en ámbitos corporativos. La pregunta central sigue siendo ¿para quién trabaja tu firewall?

Kaspersky Security Bulletin. Predicción para 2017

¿Quién diablos eres?

Tenemos una particular afición por el tema de las falsas alarmas y operaciones psicológicas y, como era de esperarse, prevemos una expansión de muchas de sus tendencias.

La guerra de la información

Atacantes como Lazarus y Sofacy son pioneros en la creación de falsos frentes para exponer información filtrada y para la extorsión de sus víctimas. Después de su exitoso y notorio uso en los últimos meses, auguramos un aumento en la popularidad de las operaciones bélicas de la información para favorecer la manipulación de la opinión y generar caos en procesos populares. Los atacantes interesados en filtrar datos robados tienen poco que perder al lanzar una historia a través del frente de un grupo de activismo cibernético (real o inventado) y distraer la atención del propio ataque para dirigirla a su contenido ideológico.

El verdadero peligro de esta amenaza no es el ataque virtual en sí o la invasión de privacidad, sino que los periodistas y ciudadanos se acostumbren a aceptar datos filtrados y los consideren noticia. Esto incentiva el surgimiento de nuevos actores que buscan manipular la información alterando y omitiendo datos. Nunca habíamos estado tan vulnerables a estas operaciones bélicas de la información y esperamos que los usuarios mantengan su capacidad de discernimiento mientras más atacantes (o los mismos, pero con otras máscaras) adopten este método.

Kaspersky Security Bulletin. Predicción para 2017

La promesa de disuasión

Los ataques cibernéticos están jugando un papel cada vez mayor en las relaciones internacionales y como tal la atribución de aquellos se convertirá en un asunto determinante en las decisiones políticas. Las instituciones gubernamentales se enfrentan a ciertas dificultades al determinar qué estándares de atribución serán suficientes para hacer maniobras diplomáticas o acusaciones públicas. Una atribución precisa es casi imposible de realizar ya que la visibilidad de diferentes instituciones públicas y privadas está fragmentada, por lo que es posible que una “atribución imprecisa” sea suficiente en estos casos. La prevención es importante, pero también queremos recalcar la necesidad de que existan consecuencias reales para las amenazas del ciberespacio. Lo difícil es garantizar que las represalias no generen más problemas si los atacantes engañan en primer lugar a quienes tratan de hacer las atribuciones. Cuando las represalias y consecuencias se vuelvan más comunes, veremos que el uso de malware de fuente abierta o malware comercial para ataques importantes aumentarán de forma notable. Y herramientas como Cobalt Strike y Metasploit ayudarán a los atacantes a tener excusas creíbles para eximirlos de su responsabilidad. Este es un beneficio que el malware de código cerrado no les ofrece.

Kaspersky Security Bulletin. Predicción para 2017

Arriesgándolo todo en falsas alarmas

Los ejemplos que se usaron en los informes de operaciones de bandera falsa (False Flags) incluían casos reales de APTs que utilizaban elementos de banderas falsas, pero hasta ahora no se ha descubierto ninguna operación de bandera false pura. Es decir, no hemos descubierto ninguna operación en la que el “Actor A” haya realizado un ataque cuidadoso y completo con el estilo y recursos del “Actor B” para provocar la venganza de la víctima hacia el inocente “Actor B”. Es posible que esta situación ya exista y los investigadores no la hayan descubierto aun, pero este tipo de operaciones no adquieren valor hasta que comience la etapa de la revancha. Las represalias (ya sean propuestas, sanciones, o el contraataque) se están volviendo cada vez más comunes e impulsivas, y con ello es muy probable que las verdaderas operaciones de banderas falsas entren en juego.

Cuando esto suceda, es posible que estas operaciones de bandera falsa se conviertan en inversiones cada vez más atractivas, que puedan hasta provocar propuestas de poner a disposición del gran público detalles de infraestructura o de herramientas especiales celosamente guardadas hasta ese momento. Es así como los atacantes podrían generar una abrumadora confusión en los investigadores y defensores, que tendrían que enfrentarse a script kiddies, hacktivistas y cibercriminales que de pronto serían capaces de operar con las herramientas patentadas de un atacante avanzado, lo que les garantizaría su anonimato en medio de esta masividad de ataques y entorpecería a las autoridades atribuir el ataque a alguien en concreto.

Kaspersky Security Bulletin. Predicción para 2017

¿Privacidad? ¿Con qué se come eso?

Exponiendo identidades

Eliminar los vestigios de anonimato del ciberespacio puede ser de mucho valor tanto para los comerciantes como para los espías. Para ello, los primeros prefieren rastrear a los usuarios con cookies persistentes. Es posible que esta tendencia se siga expandiendo para combinarse con widgets y otras adiciones inofensivas a sitios web comunes. Esto permitiría a las compañías rastrear a cada usuario en dominios externos al suyo para compilar una base de datos coherente sobre sus hábitos de navegación (ampliaremos este punto más adelante).

En otras partes del mundo, los ataques contra activistas y el seguimiento en las redes sociales de las actividades que “incitan la inestabilidad” se realiza de una forma muy sofisticada: siguen apareciendo nuevas compañías desconocidas en ubicaciones curiosas con innovaciones para rastrear disidentes y activistas a lo largo y ancho de la red. Este seguimiento suele concentrar su atención en las tendencias de las redes sociales en regiones geográficas enteras y en la forma en la que se ven afectadas por las voces disidentes. Tal vez hasta lleguemos a ver actores tan osados como para irrumpir en una red social en busca de una mina de oro de información personal e incriminatoria.

Kaspersky Security Bulletin. Predicción para 2017

Redes publicitarias de espionaje

Ninguna tecnología persistente tiene tanta capacidad de realizar verdaderos ataques selectivos como las redes publicitarias. Sus motivaciones son del todo financieras y existen muy pocas o ninguna regulación que las limite, evidencia de ello son los ataques recurrentes de programas publicitarios en los sitios web más grandes de la red. Las redes de anuncios publicitarios perfilan a sus usuarios con gran exactitud, combinando IPs, huellas digitales del navegador, intereses de navegación y selectividad en sus inicios de sesión. Esta información permite a los atacantes inyectar o redirigir a víctimas específicas a su software malicioso diseñado a medida. De esta manera evitan infecciones colaterales y evitan que su malware este disponible constantemente, lo que despertaría el interés de los investigadores de seguridad. Por lo tanto, es de esperarse que los actores de ciberespionaje más avanzados descubran que crear o apropiarse de una red de anuncios publicitarios es una inversión pequeña con grandes recompensas operacionales: sirve a la vez para atacar a sus objetivos y proteger sus últimas herramientas.

Kaspersky Security Bulletin. Predicción para 2017

El surgimiento del hacker justiciero

Después de haber publicado información indiscriminada sobre el grupo HackingTeam en 2015, el misterioso hacker Phineas Fisher publicó su guía para aspirantes a hackers que quieran derrocar organizaciones injustas y compañías turbias. Esto hace referencia a un sentimiento latente de que el poder asimétrico del hacker justiciero es una fuerza de bien, ignorando el hecho de que la publicación de HackingTeam expuso vulnerabilidades de día cero que algunos equipos APT adoptaron y hasta sirvió para conseguirle nuevos y ávidos clientes a HackingTeam. En estos tiempos electorales las teorías de conspiración se intensifican, impulsadas por la creencia de que las filtraciones de datos son la forma de devolverle el balance a la asimetría de la información. Con ello, más usuarios se unirán al grupo de hackers justicieros que lucha en el ciberespacio para publicar información y organizar filtraciones contra organizaciones vulnerables.

Kaspersky Security Bulletin. Predicción para 2017

Related Articles

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *