Boletín de seguridad Kaspersky: Predicciones sobre amenazas para el 2018

 Boletín de seguridad Kaspersky: Predicciones sobre amenazas para el 2018 (PDF)

Introducción a las predicciones APT

Es increíble, pero ya ha llegado la hora de volver a hacer nuestras acostumbradas predicciones de APT (amenazas persistentes avanzadas). Retrotraerse a un año como 2017 pone de manifiesto el conflicto interno de ser un investigador de seguridad: por un lado, cada evento que surge es una nueva y emocionante investigación para nosotros; lo que alguna vez fueron problemas teóricos, encuentran una expresión palpable en la realidad. Esto nos permite comprender la superficie de ataque real y las tácticas del atacante, además de perfeccionar nuestros métodos de cacería y detección a fin de abordar las nuevas amenazas. Por otro lado, como nos preocupa el bienestar y seguridad de los usuarios, vemos que cada evento es una catástrofe mayor que la anterior. No consideramos que cada nueva brecha sea otro ejemplo más de lo mismo, sino que vemos la creciente y agravada inseguridad que enfrentan los usuarios, instituciones gubernamentales, financieras y de comercio electrónico y nos preguntamos cuál será el futuro de la identidad digital.

Como lo manifestamos el año pasado, nuestras predicciones no son una simple alerta para los vendedores, sino un intento de aplicar nuestras investigaciones de todo el año para detectar tendencias que probablemente lleguen a la cima el próximo año.

Nuestras predicciones pasadas: ¿Acertamos?

Como un vistazo de nuestro rendimiento del año pasado, estas son algunas de nuestras predicciones 2017. Algunas se cumplieron:

Espionaje y APT:

• Se han puesto de moda los implantes pasivos que casi no muestran signos de infección
  Sí– https://securelist.com/unraveling-the-lamberts-toolkit/77990/
• Infecciones efímeras/malware en memoria operativa
  Sí– https://securelist.com/fileless-attacks-against-enterprise-networks/77403/
• El espionaje se volvió móvil
  Sí–https://android-developers.googleblog.com/2017/04/an-investigation-of-chrysaor-malware-on.html

Ataques financieros:

• El futuro de los ataques financieros
  Sí – https://securelist.com/lazarus-under-the-hood/77908/

Ransomware:

• Ransomware sucio y mentiroso
  Sí – https://securelist.com/schroedingers-petya/78870/

Amenazas industriales:

• • El Armagedón de ICS aún no ha llegado (y nos complace estar equivocados en ese aspecto); no obstante, hemos visto ataques contra ICS de parte de destructores de la industria – https://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-since-stuxnet/

IoT:

• Un ladrillo, por dondequiera que se lo vea
  ¡Sí! BrickerBot–https://arstechnica.com/information-technology/2017/04/brickerbot-the-permanent-denial-of-service-botnet-is-back-with-a-vengeance/

Ciberguerra de información:

• Sí, múltiples ejemplos – https://citizenlab.ca/2017/05/tainted-leaks-disinformation-phish/

¿Qué podemos esperar en 2018?

1. Más ataques a la cadena de suministro. El Equipo Global de Investigación y Análisis de Kaspersky Lab sigue el rastro de más de 100 grupos y operaciones de APT (amenaza persistente avanzada). Algunos son increíblemente sofisticados y poseen grandes arsenales que incluyen vulnerabilidades de día cero explotables (zero-day exploits), herramientas de ataques sin archivos (fileless) y ataques combinados de piratería tradicional con traspasos a equipos más sofisticados que se encargan de la parte de exfiltración. Hemos visto que a menudo los actores de amenazas avanzadas han intentado vulnerar a un cierto objetivo por un largo período de tiempo sin éxito. Esto se debe a que el objetivo utiliza resistentes paquetes de software de seguridad para Internet, a que los empleados estaban informados para no ser víctimas de la ingeniería social o se siguieron las estrategias de mitigación australianas DSD TOP35 para ataques APT. En general, no es fácil que un actor avanzado y persistente se dé por vencido, porque seguirá forzando las defensas hasta encontrar la manera de entrar.Cuando todo lo demás falla, es probable que den un paso atrás y vuelvan a evaluar la situación. Al hacerlo, los actores pueden decidir que un ataque a la cadena de suministro puede ser más efectivo que intentar ingresar a su objetivo de forma directa. Es probable, incluso, que un objetivo cuyas redes están protegidas con las mejores defensas use software de un tercero. El tercero podría ser un objetivo más fácil y se lo puede aprovechar para sobrepasar la protección de la empresa objetivo.

   Durante 2017, hemos visto varios casos similares, entre ellos:

   1. Shadowpad
   2. CCleaner
   3. ExPetr / NotPetya

   Estos ataques pueden ser muy difíciles de identificar o mitigar. Por ejemplo, en el caso de Shadowpad, los atacantes introdujeron Troyanos en una cantidad de paquetes de Netsarang de amplio uso en todo el mundo: en bancos, grandes empresas y demás sectores industriales. La diferencia entre los paquetes limpios y los que contienen troyanos puede ser difícil de notar; en muchos casos es el tráfico de comando y control (C&C, por sus siglas en inglés) lo que los delata.

   Se estima que más de dos millones de computadoras recibieron la actualización infectada de CCleaner, lo que lo convirtió en uno de los ataques más grandes de 2017. El análisis del código malicioso de CCleaner nos permitió correlacionarlo con un par de otras puertas traseras conocidas por haber sido utilizadas en el pasado por grupos de APT pertenecientes al “Axiom umbrella”, como APT17, también conocido como Aurora. Esto prueba los largos caminos que los grupos de APT están dispuestos a recorrer para cumplir con sus objetivos.

   Consideramos que en la actualidad la cantidad de ataques a la cadena de suministro puede mucho más alta que lo que suponemos, pero que aún no se los ha detectado. Durante 2018 esperamos ver más ataques a la cadena de suministro, tanto reales como detectados. El uso de programas especializados infectados con troyanos en regiones y sectores específicos se convertirá en un movimiento similar al de los ataques de abrevadero (waterholing) dirigidos a sitios y víctimas específicas y que, por ende, resultarán vulnerables a ciertos tipos de atacantes.

2. Más malware de alta gama en móviles. En agosto de 2016, CitizenLab y Lookout publicaron sus análisis sobre el descubrimiento de una sofisticada plataforma de espionaje denominada Pegasus. Es un paquete de “intercepción legal” que una empresa israelí llamada NSO Group vende a gobiernos y otras entidades. Cuando se lo usa en combinación con vulnerabilidades de día cero que burlan las defensas de seguridad de sistemas operativos móviles como iOS, se convierte en un sistema potente contra el cual casi no hay forma de defenderse.  En abril de 2017, Google publicó su análisis sobre la Versión Android del spyware Pegasus, que llamó Chrysaor. Muchos otros grupos de APT han desarrollado sus propios implantes móviles de malware más allá de los programas espía de “vigilancia legal” como Pegasus y Chrysaor.Dado que el sistema operativo iOS no permite introspección, no hay mucho que un usuario pueda para verificar si su teléfono está infectado. De alguna manera, a pesar que Android es más vulnerable, su situación mejora porque tiene a su disposición productos como Kaspersky Internet Security para Android para determinar la integridad de un dispositivo.

   Creemos que la cantidad total de malware móvil que existe en el mundo real puede ser mayor a la que se tiene registrada. Esto se debe a deficiencias en la telemetría que dificulta su detección y erradicación. Estimamos que en 2018 se descubrirá más malware de APT de alta gama para móviles como resultado tanto del aumento en los ataques, como de la mejora en las tecnologías de seguridad diseñadas para detectarlos.

3. Más ataques tipo BeEF con creación de perfiles web. La combinación entre el aumento del interés y calidad de las tecnologías de seguridad y la mitigación que se implementa por defecto en los sistemas operativos, ha hecho que los precios de las vulnerabilidades explotables de día cero se hayan ido por las nubes a lo largo de 2016 y 2017. Por ejemplo, el último gráfico de Zerodium registra un costo de hasta 1 500 000 dólares por un jailbreak remoto completo para iPhone (iOS) con ataque persistente, es decir, para “infectarlo de forma remota sin ninguna interacción del usuario”.

   Los grandes precios que algunos gobiernos han pagado por estas vulnerabilidades explotables dan cuenta de que hay un mayor esfuerzo por protegerlos de una divulgación accidental. Esto implica que se implemente una fase de reconocimiento sólida antes de implementar los componentes reales del ataque. La fase de reconocimiento puede, por ejemplo, hacer énfasis en la identificación de las versiones exactas del buscador utilizado por el objetivo, su sistema operativo, complementos y otro software de terceros. Equipado con este conocimiento, el actor de la amenaza puede ajustar la entrega de su vulnerabilidad explotable (exploit) hacia una de “1 día’ o “día N’, en lugar de emplear su preciado tesoro.

   Estas técnicas de creación de perfiles coinciden con las de grupos de APT como Turla, Sofacy y Newsbeef (también conocido como Newscaster, Ajax hacking team, o “Charming Kitten”), además de las de otros grupos de APT conocidos por sus marcos de creación de perfiles a medida, como el prolífero Scanbox. Teniendo en cuenta la prevalencia de estos marcos y la necesidad creciente de proteger las herramientas costosas, estimamos que el uso de paquetes de herramientas como “BeEF” para crear perfiles aumentará en 2018 y habrá más grupos que adoptarán marcos públicos o desarrollarán los suyos propios.

4. Ataques sofisticados UEFI y BIOS. La Interfaz de Firmware Extensible Unificada (UEFI, por su sigla en inglés) sirve como intermediaria entre el firmware y el sistema operativo en las computadoras modernas. Establecida en 2005 por la unión de desarrolladores líderes de software y hardware, Intel entre los más notables, está sustituyendo rápidamente al estándar BIOS tradicional. Este logro se debe a una cantidad de características avanzadas de que BIOS carece: por ejemplo, la capacidad de instalar y lanzar ejecutables, capacidades de red e Internet, criptografía, arquitectura independiente del CPU y sus controladores, etc. Las avanzadísimas capacidades que hacen que UEFI sea una plataforma tan atractiva también abren el camino a nuevas vulnerabilidades que no existían en la era del BIOS más rígido. Por ejemplo, la capacidad de lanzar módulos ejecutables hechos a medida hace posible crear malware que se lanzaría directamente desde el UEFI, antes de que cualquier solución anti-malware o sistema operativo tuviera la oportunidad de activarse.Se sabe que existe malware UEFI de grado comercial desde 2015, cuando se descubrieron los Módulos UEFI de Hacking Team. Con eso en mente, es sorprendente que no se haya encontrado malware UEFI significativo, un hecho que atribuimos a la dificultad para detectarlo. Estimamos que en 2018 se descubrirá más malware basado en UEFI.
5. Los ataques destructivos continuarán. A principios de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de programas eliminadores de archivos (wipers) dirigidos a blancos en el Medio Oriente. El malware que se utilizó en los nuevos ataques era una variante del infame gusano Shamoon que afectó a Saudí Aramco y Rasgas en 2012. Después de estar inactivo durante cuatro años, uno de los wipers más misteriosos en la historia ha regresado. También conocido como Disttrack, Shamoon es una familia de malware altamente destructiva que elimina el contenido del equipo de la víctima. Un grupo conocido como “Cutting Sword of Justice” se atribuyó el ataque a Saudí Aramco en una publicación en Pastebin el mismo día en que ocurrió (en 2012) y lo justificó como una medida contra la monarquía Saudí.Los ataques de Shamoon 2.0 vistos en noviembre de 2016 apuntaron a organizaciones en diversos sectores críticos de Arabia Saudita. Como la variante anterior, el wiper Shamoon 2.0 apunta a la destrucción masiva de sistemas dentro de organizaciones comprometidas. Mientras investigaba los ataques de Shamoon 2.0, Kaspersky Lab descubrió un programa eliminador de archivos que desconocía, que apuntaba a organizaciones en Arabia Saudita. Hemos denominado a este nuevo wiper StoneDrill y pudimos vincularlo casi de forma definitiva con el grupo Newsbeef.

   Además de Shamoon y Stonedrill, 2017 ha sido un año lleno de ataques destructivos. El ataque de ExPetr/NotPetya, considerado inicialmente como ransomware, también terminó siendo un eliminador de archivos camuflado. A ExPetr lo siguieron otras olas de ataques “ransomware’, que daban a sus víctimas pocas probabilidades de recuperar sus datos; todos eran en realidad “wipers disfrazados de ransomware”. Uno de los casos menos conocidos de “wipers como ransomware’ es la oleada de ataques APT CloudAtlas en 2016, que impulsó lo que parecían ser “wipers como ransomware” contra instituciones financieras en Rusia.

   En 2018, estimamos que los ataques destructivos seguirán aumentando, potenciando su estatus de forma más visible de guerra informática.

6. Más subversión de criptografía. En marzo de 2017, las propuestas de esquemas de cifrado para dispositivos del Internet de las Cosas (IoT) desarrolladas por la NSA fueron cuestionadas cuando las aprobaciones ISO de las variantes Simon y Speck se negaron y postergaron dos veces.En agosto de 2016, Juniper Networks anunció el descubrimiento de dos puertas traseras misteriosas en sus cortafuegos NetScreen. Tal vez la más interesante fue la que consistía en un cambio muy sutil de las constantes que se utilizaron para generar el número aleatorio Dual_EC, que le permitiría a un atacante experto descifrar el tráfico VPN desde dispositivos NetScreen. El algoritmo Dual_EC original fue diseñado por la NSA e impulsado por NIST. En 2013, un informe de Reuters indicó que la NSA le pagó a la RSA 10 millones de dólares para colocar el algoritmo vulnerable en sus productos, como medio de atentar contra el cifrado. Aunque la posibilidad teórica de una puerta trasera se había identificado en 2007, varias compañías (incluida Juniper) siguieron utilizando el cortafuegos vulnerable con variaciones en las constantes, lo que se supone que lo volvía seguro. Parece que este conjunto diferente de constantes molestó tanto a algún actor de APT que se dio el trabajo de irrumpir en Juniper y cambiar las constantes hacia un conjunto que podía controlar y explotar para descifrar conexiones VPN.

   Estos intentos no han pasado desapercibidos. En septiembre de 2017, un grupo internacional de expertos en criptografía obligaron a la NSA a dar marcha atrás  sus proyectos de estandarizar dos nuevos algoritmos de cifrado.

   En octubre de 2017, se anunció un error en la biblioteca de criptografía utilizada por Infineon en sus chips de hardware para generar primos RSA. Si bien parece que la falla no ha sido intencional, queda la duda de qué tan seguras son las tecnologías de cifrado que utilizamos en nuestra vida cotidiana: desde tarjetas inteligentes y redes inalámbricas hasta tráfico web cifrado. En 2018, anticipamos que se encontrarán vulnerabilidades criptográficas más severas y serán (esperamos) parchadas, ya sea en los estándares mismos o en implementaciones específicas.

7. La identidad en el comercio electrónico entrará en crisis. Los últimos años estuvieron llenos de grandes fugas información personal identificable (PII, por sus siglas en inglés), cada vez más catastróficas. La última afectó a Equifax y, según los informes, puso en riesgo a 145,5 millones de norteamericanos.  Si bien muchos se han hecho cada vez menos sensibles ante estos ataques, es importante comprender que estas grandes magnitudes de datos personales comprometidos ponen en riesgo un pilar fundamental del comercio cibernético y la conveniencia burocrática usar Internet para hacer trámites importantes. De seguro el fraude y el robo de identidad son problemas viejos, pero ¿qué sucede cuando los datos fundamentales de identificación están tan expandidos que ya no son confiables en absoluto? El comercio y las instituciones gubernamentales (principalmente en los Estados Unidos) tendrán que elegir entre reducir la comodidad de realizar operaciones importantes por Internet y duplicar la adopción de otras soluciones multifactoriales. Tal vez alternativas más fuertes como ApplePlay se pondrán de moda como forma de asegurar la identidad y las transacciones pero, mientras tanto, es posible que veamos una ralentización en el rol crítico de Internet para modernizar procesos burocráticos tediosos y recortar los costos operativos.
8. Más ataques a módems y enrutadores. Otro tipo de vulnerabilidades que ha sido ignorada es la de los enrutadores y módems. Estos aparatos están por todos lados, sea en el hogar o la empresa, y son imprescindibles para realizar operaciones diarias, a pesar de que suelen funcionar con software que no tienen parches ni mantenimiento de seguridad. A fin de cuentas, el mismo diseño de estas pequeñas computadoras exige que tengan acceso constante a Internet, lo que los convierte en un blanco codiciado para los atacantes que quieren tener un persistente y sigiloso acceso a la red. Además, como algunas investigaciones recientes han demostrado, en algunos casos los atacantes hasta pueden hacerse pasar por usuarios de Internet para desviar el camino de un atacante por completo hacia una dirección de conexión diferente. En estas épocas que valoran tanto los desvíos y falsos indicadores, esto no es una hazaña pequeña. Un mayor control sobre estos dispositivos producirá inevitablemente hallazgos interesantes.
9. Un medio para el caos social. La pasión por las filtraciones y dramas políticos de la ciberguerra de información durante 2017 fue acompañada por un nuevo rol politizado adoptado por las redes sociales, algo que era difícil de imaginar. Ya sean publicaciones de expertos políticos o confusos comentarios incisivos y cómicos dirigidos hacia el director de Facebook por los escritores de South Park, las miradas se han volcado hacia los gigantes de las redes sociales demandando algún nivel de verificación de hechos e identificación de usuarios falsos y bots que intentan ejercer niveles desproporcionados de influencia social. Por desgracia, es obvio que estas redes (que basan su éxito en métricas cuantificadas como “usuarios activos diariamente”) tienen muy poco incentivo para purgar los bots de su base de usuarios. Esto sucede aun cuando estos bots tienen intenciones claras y pueden ser seguidos y rastreados por investigadores independientes. Esperamos que a medida de que el abuso continúe y las grandes redes de bots sigan siendo explotadas políticamente, las redes sociales en sí sufran la mayor repercusión por parte de los usuarios molestos que buscarán alternativas para reemplazar a los gigantes locales, como una forma de rebeldía contra el abuso a los usuarios por ganancias y clicks.

Predicciones APT – Conclusión

En 2017, declaramos la muerte de los Indicadores de compromiso. En 2018, esperamos ver actores de amenazas avanzadas que desplieguen sus nuevas capacidades, que perfeccionen sus nuevas y aterrorizantes herramientas. Los temas y tendencias de cada año no deben observarse de manera aislada; se construyen unos sobre otros para crear un panorama de la amenaza e inseguridad creciente que todos enfrentan, desde individuos hasta negocios y el gobierno. Dónde terminará, no lo sabemos; pero el conocimiento y la comprensión serán recursos poderosos.

Estas predicciones de amenazas dirigidas avanzadas abarcan tendencias importantes y desarrollos, pero los sectores industriales individuales enfrentarán sus propios desafíos diferentes. En 2018, queríamos resaltar algunos también.

Predicciones de amenazas virtuales a la industria automotriz en 2018
Predicciones de las amenazas virtuales a las instituciones médicas y la salud individual en 2018
Predicciones de amenazas de fraude para servicios financieros en 2018
Predicciones de amenazas para la seguridad industrial en 2018
Predicciones de amenazas para monedas criptográficas en 2018
Predicciones sobre los peligros de una vida conectada a Internet en 2018