Los "Indicadores de compromiso" han muerto
Otro año más ha pasado volando y hecho historia en cuanto a sucesos de seguridad informática. El año 2016 ha estado repleto de drama, intriga y exploits y, a medida que vamos recopilando algunos de los sucesos más llamativos, una vez más fijamos la mirada en el futuro para trazar el panorama de las amenazas informáticas del 2017. En vez de hacerlo como algo de marketing superficial, queremos abordar las predicciones a partir de tendencias que hemos notado a lo largo de nuestras investigaciones y ofrecer observaciones que sirvan de reflexión tanto a investigadores como a visitantes del ciberespacio amenazado.
Nuestro récord
Nuestras predicciones del año pasado fueron acertadas, y algunas hasta se hicieron realidad antes de lo esperado. Si no las recuerdan, algunas de las más destacadas fueron:
Amenazas Persistentes Avanzadas (APTs): Anticipamos que se haría menos énfasis en la persistencia y aumentaría la tendencia a enconderse entre la multitud mediante el uso de programas maliciosos comerciales en los ataques dirigidos. Esto se vio proyectado tanto en el aumento del malware que se ejecuta en la memoria RAM y que no crea archivos, como en los ataques dirigidos a activistas y compañías realizados con programas comerciales como NJRat y Alienspy/Adwind.
Ransomware: 2016 puede declararse el año del ransomware. El malware financiero que busca atacar a los usuarios casi se ha transformado en un espacio exclusivo de ransomware. Los métodos de extorsión son tan efectivos que absorben los recursos de desarrollo de malware de métodos de ataque menos rentables.
Más robos a bancos: Cuando previmos la acechante expansión del crimen financiero en su más alto nivel, nuestras hipótesis incluían ataques a instituciones como la bolsa. Los ataques a la red de SWIFT dieron forma a estas predicciones, con pérdidas millonarias causadas por malware específicamente diseñado y bien ubicado.
Pronósticos para el año 2017: los Indicadores de compromiso (IoC) perderán efectividad. Habrá que aplicar más ampliamente las normas Yara
Tweet
Ataques de Internet: Hace poco, el ignorado mundo de los dispositivos de cosas innecesariamente conectadas al internet demostró su lado oscuro con un fastidiosa red botnet de dispositivos del Internet de las Cosas (IoT) que desactivó grandes servidores de Internet y perturbó a aquellos que dependían de determinados proveedores de DNS.
La vergüenza: Ataques que causan vergüenza y extorsión siguen anunciándose con bombos y platillos en filtraciones de datos estratégicas e indiscriminadas que causan problemas personales, políticos y de reputación a diestra y siniestra. Tenemos que reconocer que la magnitud y selección de las víctimas de algunas de estas filtraciones nos han dejado boquiabiertos.
¿Qué nos espera en 2017?
Esas espantosas APTs
El ascenso de los implantes a medida y los implantes pasivos
Lograr que las compañías y grandes empresas adopten medidas de protección ya es un trabajo difícil. Pero también hay que darse cuenta cuando estas medidas comienzan a desgastarse o fallar. Los Indicadores de Compromiso (IoC) son una muy buena manera de compartir los rasgos de los programas maliciosos conocidos, incluyendo los hashes, dominios y características de ejecución que puedan ayudar a los defensores a reconocer una infección activa. Sin embargo, esa minoría de ciberespías que marca tendencias ha aprendido a defenderse de estas medidas generalizadas. Así lo demuestra la reciente APT ProjectSauron, una plataforma de malware hecha a medida que ajusta cada una de sus características a las peculiaridades de su víctima, por lo que los defensores no pueden usarla para detectar otras infecciones. Esto no quiere decir que los defensores no tengan otros recursos para combatir estas amenazas, pero es hora de que impulsemos la adopción más extensa de las reglas Yara que nos permiten, por un lado, inspeccionar en detalle a una empresa para rebuscar e identificar características específicas en binarios en disco; por otro, escanear la memoria RAM en busca de fragmentos de ataques conocidos.
Pronósticos para el año 2017: se pondrán de moda los implantes pasivos, que casi no muestran señales de infección en el sistema
Tweet
ProjectSauron también tenía un rasgo complejo que creemos que veremos cada vez más seguido: el del “implante pasivo”. Una puerta trasera que opera en una red, presente en la memoria o como un driver con una puerta trasera en un portal de acceso a Internet o en un servidor de acceso a la red, espera en silencio a que unos bytes mágicos despierten sus funcionalidades dormidas. Hasta que esto no suceda, los implantes pasivos presentan pocos o ningún indicador de que exista una infección activa, por lo que suelen ser descubiertos solo por defensores paranoicos y en situaciones de respuesta a incidentes más amplios. Hay que tener presente que estos implantes no tienen una infraestructura de administración predefinida que permita identificar su relación con otro malware y, por lo tanto, la punta de lanza que establecen es mucho más anónima. Por eso es la herramienta preferida de los atacantes más cautelosos, que deben garantizarse una forma de ingresar a la red de sus enemigos sin mucho tiempo de preparación.
Infecciones efímeras
PowerShell ha pasado a ser la herramienta soñada de los administradores de Windows, pero también es la herramienta perfecta para la gama de desarrolladores de malware que buscan un lugar para desplegar sus creaciones de forma sigilosa, con movimiento lateral y capacidades de recolección de datos difíciles de conseguir en configuraciones estándar. Es posible que los pequeños programas maliciosos para PowerShell que se almacenen en la memoria o en el registro de los sistemas de Windows modernos tengan su momento de gloria. Es más, no nos sorprendería que comiencen a surgir infecciones efímeras: malware alojado en la memoria RAM, sin intenciones de quedarse, que se dedique al reconocimiento general del sistema y recolección de credenciales. En ambientes muy delicados, los atacantes sigilosos no tendrían problema en operar sólo hasta que su programa se borre de la memoria con un reinicio, si esto les ayuda a evadir sospechas y evitar las pérdidas operacionales que sufren cuando los investigadores y defensores descubren sus programas. Las infecciones efímeras destacan la necesidad de heurísticas proactivas y sofisticadas en soluciones anti-malware avanzadas (ver: System Watcher).
El espionaje se vuelve móvil
Multiples atacantes ya han utilizado implantes móviles, como Sofacy, RedOctober y CloudAtlas, así como los clientes de HackingTeam y el malware Pegasus de NSO para iOS. Pero estas se trataron de campañas complementarias a las de sus herramientas para sistemas de escritorio. Como la adopción de sistemas operativos de escritorio está pasando a segundo plano, y la vida digital del usuario promedio depende cada vez más de dispositivos de bolsillo, auguramos un aumento en las operaciones de espionaje prominentemente móviles. Esto les dará el beneficio de recibir menos atención indeseada ya que es más difícil conseguir herramientas forenses para los sistemas operativos móviles. La confianza en la firma de códigos y en las revisiones de integridad ha opacado las acciones de los investigadores de seguridad del área móvil, pero esto no basta para disuadir a los atacantes decididos y con buenos recursos interesados en atacar en este espacio.
El futuro de los ataques financieros
Así que quieres robar un banco…
Los ataques a la red SWIFT de este año causaron indignación en la industria de los servicios financieros por haber sido un golpe temerario que generó pérdidas multimillonarias. Esta operación fue una evolución natural de los delincuentes como el grupo Carbanak y tal vez otros atacantes interesantes. Pero estos casos siguen siendo obra de actores del estilo APT con un toque adicional de gracia y capacidades demostradas. ¡Seguro que no son los únicos con ganas de robar millones a un banco!
Pronósticos para el año 2017: aumentará la popularidad de las infecciones cortas, entre ellas mediante el uso de PowerShell
Tweet
Creemos que con el aumento del interés de los cibercriminales en estas operaciones también se verá un ascenso de una clase de intermediarios para ataques SWIFT en el escalonado submundo de los negocios del cibercrimen. Para realizar un ataque de este tipo se necesita tener acceso inicial, programas especializados, paciencia y, a la larga, un sistema de lavado de dinero. Cada uno de estos pasos está ocupado por cibercriminales bien establecidos que cobran por sus servicios, siendo la única pieza faltante el malware especializado para realizar los ataques de SWIFT. Esperamos ver estas herramientas a la venta en foros cibercriminales como recursos especializados o como servicios estratificados.
Sistemas de pago resistentes
Como los sistemas de pago se están haciendo cada vez más populares y su adopción se está difundiendo, pronosticamos que los delincuentes mostrarán cada vez mayor interés en ellos. Pero parece que sus intentos maliciosos se han topado con mucha resistencia, y hasta ahora no se han detectado grandes ataques. Sin embargo, este alivio para los consumidores puede ser un dolor de cabeza para los proveedores de sistemas de pago, ya que un siguiente paso para los cibercriminales será lanzar ataques directos a la infraestructura de sus sistemas de pago. Tanto si estos ataques causan pérdidas financieras o simples inconvenientes de funcionamiento, creemos que en 2017 recibirán más atención de los delincuentes.
El ransomware deshonesto
Si bien todos odiamos el ransomware (y con buenas razones), hay que admitir que su éxito depende en gran parte de los beneficios de la relación de confianza que se establece entre la víctima y su atacante. Este ecosistema criminal se basa en el principio de que el atacante cumplirá el acuerdo tácito con la víctima y le devolverá el acceso a sus archivos secuestrados cuando ella pague el rescate exigido. Aunque sea sorprendente, los cibercriminales.han honrado su palabra y esto ha sido clave para su prosperidad. Pero, a medida que aumenta su popularidad, es muy probable que cibercriminales de menor nivel se unan al juego y aparezca cada vez más “ransomware” que no cumpla con las garantías de calidad o no cuenten con la capacidad para cumplir con sus promesas de descifrar los datos.
Pronósticos para el año 2017: el espionaje se hará cada vez más móvil
Tweet
Creemos que aparecerá ransomware “skiddie” (es decir, escrito o adaptado por novatos), que bloqueen de forma permanente los archivos o los eliminen para obligar a la víctima para pagar el rescate, pero que no le den nada a cambio. Cuando se llegue a ese punto, no habrá gran diferencia entre los ataques ransomware y los que borran datos y se sentirán los efectos de una “crisis de confianza”. Puede que esto no evite que los criminales profesionales sigan con sus operaciones de extorsión, pero puede derrumbar la idea de que pagar el rescate es un consejo viable para las víctimas.
El gran botón de la destrucción
El famoso Stuxnet sin duda abrió una caja de Pandora al demostrar su potencial para atacar sistemas industriales, pero se diseñó con mucho cuidado, concentrándose en un sabotaje prolongado de objetivos muy específicos. A pesar de que la infección se esparció por todo el mundo, las revisiones de sus ataques limitaron el daño colateral y no se dio ningún tipo de Armagedón industrial. Desde entonces, cualquier sospecha de accidente industrial o explosión sin explicaciones deriva en alguna teoría de sabotaje cibernético.
Es cierto que un accidente industrial inducido por algún tipo de sabotaje cibernético no es imposible. Mientras estas infraestructuras sigan conectadas a Internet con poca o ninguna protección, seguirán siendo objetivos tentadores para los atacantes que quieren desatar el caos. Pero vale la pena destacar que, dejando el alarmismo de lado, estos ataques requieren de cierta capacidad e intencion. Lo más probable es que un ataque de sabotaje cibernético venga de la mano con el aumento de tensiones geopolíticas expresadas a través de atacantes bien establecidos que quieran destruir o perturbar el funcionamiento de servicios esenciales.
Internet sobrepopulado contraataca
El Internet de los Ladrillos
Nuestras viejas profecías auguraban que la poca seguridad de los dispositivos del Internet de las Cosas (IoT) se volvería en nuestra contra, y he aquí, el día ha llegado. Con la aparición reciente de la red zombi Mirai, la débil seguridad de los dispositivos conectados a Internet (sin que haya necesidad) ofreció una oportunidad a los cibercriminales de causar estragos. Puede que esto no sorprenda a los aficionados de la seguridad informática, pero esta historia podría tener un vuelco interesante: predecimos que habrá hackers que harán justicia por mano propia.
Pronósticos para el año 2017: aparecerán intermediarios en la organización de ataques contra el sistema interbancario SWIFT
Tweet
La noción de parchar las vulnerabilidades conocidas y reportadas se percibe como un reconocimiento del duro (y muchas veces poco recompensado) trabajo de los investigadores de seguridad. Es probable que los hackers defensores de la seguridad comiencen a hacerse cargo de los problemas causados por los dispositivos inseguros del IoT que los fabricantes siguen poniendo en el mercado. Y ¿qué mejor forma de hacerlo que dejar fuera de servicio los dispositivos vulnerables para devolverle el dolor de cabeza a los mismos fabricantes? Los perjuicios causados por las redes zombi del IoT con sus ataques DDoS y distribuciones de spam podrían hacer que los mismos hackers desactiven del todo estos dispositivos, generando el disgusto de los consumidores y fabricantes. El Internet de los Ladrillos Inservibles se avecina.
Las cajitas luminosas
Las filtraciones de ShadowBrokers incluyeron una gran cantidad de exploits funcionales para muchos firewalls de los principales fabricantes. Se reportaron casos de explotación en condiciones reales poco después, sin que los fabricantes lograran comprender las vulnerabilidades y publicar sus parches a tiempo. Pero todavía no se conoce la magnitud real del incidente. ¿Qué consiguieron los atacantes con estos exploits? ¿Qué clase de implantes se encuentran escondidos y al acecho en los dispositivos vulnerables?
Pronósticos para el año 2017: los hackers novatos desprestigiarán la idea de que al pagar el rescate se pueden recuperar los datos
Tweet
Viendo más allá de estos exploits específicos (y tomando en cuenta el descubrimiento de una puerta trasera en la Screen OS de Juniper en 2015), existe un problema mucho mayor relacionado con la integridad de los firewalls y los routers, que requiere investigaciones más profundas de los aparatos que se encuentran en ámbitos corporativos. La pregunta central sigue siendo ¿para quién trabaja tu firewall?
¿Quién diablos eres?
Tenemos una particular afición por el tema de las falsas alarmas y operaciones psicológicas y, como era de esperarse, prevemos una expansión de muchas de sus tendencias.
La guerra de la información
Atacantes como Lazarus y Sofacy son pioneros en la creación de falsos frentes para exponer información filtrada y para la extorsión de sus víctimas. Después de su exitoso y notorio uso en los últimos meses, auguramos un aumento en la popularidad de las operaciones bélicas de la información para favorecer la manipulación de la opinión y generar caos en procesos populares. Los atacantes interesados en filtrar datos robados tienen poco que perder al lanzar una historia a través del frente de un grupo de activismo cibernético (real o inventado) y distraer la atención del propio ataque para dirigirla a su contenido ideológico.
Pronósticos para el año 2017: la vulnerabilidad del “Internet de las cosas” podría llevar a un “Internet de los ladrillos”
Tweet
El verdadero peligro de esta amenaza no es el ataque virtual en sí o la invasión de privacidad, sino que los periodistas y ciudadanos se acostumbren a aceptar datos filtrados y los consideren noticia. Esto incentiva el surgimiento de nuevos actores que buscan manipular la información alterando y omitiendo datos. Nunca habíamos estado tan vulnerables a estas operaciones bélicas de la información y esperamos que los usuarios mantengan su capacidad de discernimiento mientras más atacantes (o los mismos, pero con otras máscaras) adopten este método.
La promesa de disuasión
Los ataques cibernéticos están jugando un papel cada vez mayor en las relaciones internacionales y como tal la atribución de aquellos se convertirá en un asunto determinante en las decisiones políticas. Las instituciones gubernamentales se enfrentan a ciertas dificultades al determinar qué estándares de atribución serán suficientes para hacer maniobras diplomáticas o acusaciones públicas. Una atribución precisa es casi imposible de realizar ya que la visibilidad de diferentes instituciones públicas y privadas está fragmentada, por lo que es posible que una “atribución imprecisa” sea suficiente en estos casos. La prevención es importante, pero también queremos recalcar la necesidad de que existan consecuencias reales para las amenazas del ciberespacio. Lo difícil es garantizar que las represalias no generen más problemas si los atacantes engañan en primer lugar a quienes tratan de hacer las atribuciones. Cuando las represalias y consecuencias se vuelvan más comunes, veremos que el uso de malware de fuente abierta o malware comercial para ataques importantes aumentarán de forma notable. Y herramientas como Cobalt Strike y Metasploit ayudarán a los atacantes a tener excusas creíbles para eximirlos de su responsabilidad. Este es un beneficio que el malware de código cerrado no les ofrece.
Arriesgándolo todo en falsas alarmas
Los ejemplos que se usaron en los informes de operaciones de bandera falsa (False Flags) incluían casos reales de APTs que utilizaban elementos de banderas falsas, pero hasta ahora no se ha descubierto ninguna operación de bandera false pura. Es decir, no hemos descubierto ninguna operación en la que el “Actor A” haya realizado un ataque cuidadoso y completo con el estilo y recursos del “Actor B” para provocar la venganza de la víctima hacia el inocente “Actor B”. Es posible que esta situación ya exista y los investigadores no la hayan descubierto aun, pero este tipo de operaciones no adquieren valor hasta que comience la etapa de la revancha. Las represalias (ya sean propuestas, sanciones, o el contraataque) se están volviendo cada vez más comunes e impulsivas, y con ello es muy probable que las verdaderas operaciones de banderas falsas entren en juego.
Pronósticos para el año 2017: la pregunta “¿para quién trabaja tu firewall?” adquirirá una nueva relevancia
Tweet
Cuando esto suceda, es posible que estas operaciones de bandera falsa se conviertan en inversiones cada vez más atractivas, que puedan hasta provocar propuestas de poner a disposición del gran público detalles de infraestructura o de herramientas especiales celosamente guardadas hasta ese momento. Es así como los atacantes podrían generar una abrumadora confusión en los investigadores y defensores, que tendrían que enfrentarse a script kiddies, hacktivistas y cibercriminales que de pronto serían capaces de operar con las herramientas patentadas de un atacante avanzado, lo que les garantizaría su anonimato en medio de esta masividad de ataques y entorpecería a las autoridades atribuir el ataque a alguien en concreto.
¿Privacidad? ¿Con qué se come eso?
Exponiendo identidades
Eliminar los vestigios de anonimato del ciberespacio puede ser de mucho valor tanto para los comerciantes como para los espías. Para ello, los primeros prefieren rastrear a los usuarios con cookies persistentes. Es posible que esta tendencia se siga expandiendo para combinarse con widgets y otras adiciones inofensivas a sitios web comunes. Esto permitiría a las compañías rastrear a cada usuario en dominios externos al suyo para compilar una base de datos coherente sobre sus hábitos de navegación (ampliaremos este punto más adelante).
Pronósticos para el año 2017: tendrá lugar un desarrollo activo de las operaciones cibercriminales “bajo banderas falsas”
Tweet
En otras partes del mundo, los ataques contra activistas y el seguimiento en las redes sociales de las actividades que “incitan la inestabilidad” se realiza de una forma muy sofisticada: siguen apareciendo nuevas compañías desconocidas en ubicaciones curiosas con innovaciones para rastrear disidentes y activistas a lo largo y ancho de la red. Este seguimiento suele concentrar su atención en las tendencias de las redes sociales en regiones geográficas enteras y en la forma en la que se ven afectadas por las voces disidentes. Tal vez hasta lleguemos a ver actores tan osados como para irrumpir en una red social en busca de una mina de oro de información personal e incriminatoria.
Redes publicitarias de espionaje
Ninguna tecnología persistente tiene tanta capacidad de realizar verdaderos ataques selectivos como las redes publicitarias. Sus motivaciones son del todo financieras y existen muy pocas o ninguna regulación que las limite, evidencia de ello son los ataques recurrentes de programas publicitarios en los sitios web más grandes de la red. Las redes de anuncios publicitarios perfilan a sus usuarios con gran exactitud, combinando IPs, huellas digitales del navegador, intereses de navegación y selectividad en sus inicios de sesión. Esta información permite a los atacantes inyectar o redirigir a víctimas específicas a su software malicioso diseñado a medida. De esta manera evitan infecciones colaterales y evitan que su malware este disponible constantemente, lo que despertaría el interés de los investigadores de seguridad. Por lo tanto, es de esperarse que los actores de ciberespionaje más avanzados descubran que crear o apropiarse de una red de anuncios publicitarios es una inversión pequeña con grandes recompensas operacionales: sirve a la vez para atacar a sus objetivos y proteger sus últimas herramientas.
El surgimiento del hacker justiciero
Pronósticos para el año 2017: los cibercriminales utilizarán las redes sociales y la publicidad para hacer espionaje
Tweet
Después de haber publicado información indiscriminada sobre el grupo HackingTeam en 2015, el misterioso hacker Phineas Fisher publicó su guía para aspirantes a hackers que quieran derrocar organizaciones injustas y compañías turbias. Esto hace referencia a un sentimiento latente de que el poder asimétrico del hacker justiciero es una fuerza de bien, ignorando el hecho de que la publicación de HackingTeam expuso vulnerabilidades de día cero que algunos equipos APT adoptaron y hasta sirvió para conseguirle nuevos y ávidos clientes a HackingTeam. En estos tiempos electorales las teorías de conspiración se intensifican, impulsadas por la creencia de que las filtraciones de datos son la forma de devolverle el balance a la asimetría de la información. Con ello, más usuarios se unirán al grupo de hackers justicieros que lucha en el ciberespacio para publicar información y organizar filtraciones contra organizaciones vulnerables.
Índice
- Nuestro récord
- ¿Qué nos espera en 2017?
De los mismos autores
En la misma categoría
Kaspersky Security Bulletin. Predicción para 2017