Panorama general del año 2020 y predicciones para 2021
Es increíble que haya pasado un año desde nuestro último artículo sobre ataques financieros y predicciones para 2020. Ha sido un año difícil, para abordarlo debemos ir por pasos. Primero revisaremos las predicciones que hicimos para finales de 2019 y veremos cuán certeras fueron. Después haremos una reseña de los ataques financieros más destacados de 2020; por último, compartiremos nuestras predicciones sobre los ataques financieros de 2021. ¡Empecemos!
Análisis de las predicciones para 2020
- Ataques contra Libra y TON/Gram: no hay una respuesta simple; todo es complicado. A fin de cuentas, Libra aún no se ha introducido en el mercado. Así que el futuro de los ataques a Libra aún es incierto. Pero por el momento tampoco hay lugar para ciberataques. El proyecto Gram acaba de cancelarse.
- Reventa de accesos a bancos: sí. Por desgracia, esta predicción se cumplió. Existe todo un mercado rebosante de ofertas de acceso remoto a bancos de todo el mundo. Por lo general, los atacantes explotan una o más vulnerabilidades y luego revenden el acceso a agentes de amenazas que tienen intereses financieros, entre los que están los operadores de ransomware selectivo.
- Ataques de ransomware contra bancos: sí. Esa es otra triste realidad. Diferentes grupos de ransomware selectivo han atacado bancos de todo el mundo, entre ellos los ubicados en Costa Rica, Chile y Seychelles. Estos tres casos han recibido amplia cobertura de los medios de comunicación. El grupo Maze es responsable del ataque a Costa Rica, mientras que el ataque a Chile fue obra de REvil (Sodinokibi). Cuando las víctimas pagan a los atacantes, no aparecen en la lista de organizaciones afectadas. Por eso no se sabe con certeza si hay más bancos que hayan sido afectados por los ataques focalizados de ransomware.
- El regreso de los instrumentos personalizados: sí. Como pronosticamos el año pasado, algunos ciberdelincuentes invertirían en nuevos troyanos y exploits para añadirlos a su arsenal de instrumentos personalizados. Este se volvió un problema lamentable por la explotación de vulnerabilidades y el abuso a los proveedores comerciales de Redes Privadas Virtuales (VPN) y los dispositivos que conectan a la infraestructura del cliente. Por otro lado, también hemos visto ciberdelincuentes que crean sus pequeños instrumentos para reconocer redes y recolectar datos.
- Expansión global de troyanos bancarios para dispositivos móviles: sí, sin duda. Ginp, Ghimob, Anubis y Basbanke son algunos ejemplos de esta tendencia. Por cierto, alguien filtró y publicó en Internet el código fuente de Anubis. Esto abrió otra posibilidad de expandir los ataques hacia la banca móvil por todo el mundo.
- Ataques a aplicaciones de inversión: sí, en parte. La familia Ghimob es un buen ejemplo de ello. Si consideramos a las aplicaciones de intercambio de criptomonedas como aplicaciones de inversión, entonces la respuesta es que la predicción sí se cumplió, sin duda. Sin embargo, estos ataques todavía no alcanzan una escala masiva.
- Magecarting 3.0: sí. La expansión de Magecart es impresionante. Está en todas partes. Hoy en día Magecart también es un paraguas para varios grupos que recolectan datos de tarjetas bancarias. Por ejemplo, se considera que el actor de amenazas Lazarus ha agregado el robo de datos de tarjetas y pagos digitales a su repertorio de ataques, y lo hizo utilizando el código Magecart.
- Inestabilidad política que incita la propagación del cibercrimen: no, en parte. La situación que generó el COVID-19 y la cuarentena que se estableció en todo el mundo impidieron que las personas viajaran con libertad. Ese es el factor clave que hizo que esta predicción no se concretara en su totalidad. Sin embargo, esta misma situación hizo que las expansiones globales se produjeran a través de Internet, aprovechando sistemas mal configurados y expuestos. Por ejemplo, al ejecutarse en protocolos RDP vulnerables o con problemas de configuración, entre otros.
Acontecimientos principales de 2020
- Todo tipo de ciberataques financieros que estuvieron vinculados con la crisis del COVID-19.
La brusca implementación del trabajo remoto quitó seguridad a las empresas. Algunas ni siquiera tenían suficientes computadoras portátiles para sus empleados. Por lo que tuvieron que comprar lo que encontraran en el mercado, incluso si los equipos no cumplían con los estándares de seguridad de la organización. Por lo menos esto permitió que los negocios sigan funcionando. Por otro lado, esas máquinas mal configuradas se tuvieron que conectar a sistemas remotos, que tampoco estaban listos. Entonces, con la falta de capacitación de los empleados, las computadoras con configuraciones predeterminadas y los accesos remotos vulnerables se hicieron posible todo tipo de ataques, incluyendo el ransomware selectivo.
Se vio un aumento en los instrumentos que los “red teams” emplean cuando consiguen el acceso remoto a las organizaciones. Por ejemplo, los usan para extraer contraseñas de la memoria, reconocer la red de la víctima y propagarse dentro de la red - Expansión de agentes de amenazas de Brasil al resto del mundo.
Los ciberdelincuentes brasileños casi nunca salían de su región. Pero este año hemos visto que algunas familias de malware se trasladaron a otros continentes buscando víctimas en Europa y otras regiones. A las primeras cuatro familias que lo hicieron (Guildma, Javali, Melcoz y Grandoreiro) las llamamos Tétrade. Luego las siguieron Amavaldo, Lampion y Bizarro. En cuanto a los agentes de troyanos bancarios para dispositivos móviles: Ghimob enfoca sus ataques en Latinoamérica y África, mientras que Basbanke lo hace en Portugal y España. - Malware para puntos de venta y cajeros automáticos.
El infame Prilex se ha posicionado como un bazar de la Monitorización como Servicio (MaaS) y hace poco implementó el ataque de reinyección. También está comenzando a concentrarse en las comunicaciones de los teclados de PIN. En general, Prilex se está posicionando como un grupo de piratería con habilidades diversas, como las de malware para cajeros automáticos, malware para puntos de venta, servicios DDoS y software EMV para clonar tarjetas bancarias.
Algunas familias de malware para cajeros automáticos evolucionaron y ahora incluyen funciones de Troyano de Acceso Remoto (RAT). Una de ellas emplea dnscat2 para esconder las comunicaciones con los servidores de administración y burlar los mecanismos tradicionales de detección de redes.
CESSO se convirtió en un servicio MaaS y ahora dirige sus ataques a los cajeros automáticos de Diebold, Wincor y NCR. Está diseñado para robar dólares, euros y monedas locales de Latinoamérica, entre otras. Según se ve en el código, fue desarrollado por alguien que habla portugués. - El ransomware selectivo ahora se percibe como algo normal y es parte de los modelos de amenazas para organizaciones financieras.
Debido a su gran éxito y cobertura mediática, los agentes de las amenazas de ransomware selectivo fueron aumentando cada vez más los montos de dinero que exigen para mantener en secreto la información robada. Esto es importante, porque la amenaza ya no se trata del cifrado de datos. Sino que se centra en revelar la información confidencial extraída de las redes de las víctimas. Debido a la normativa de seguridad PCI y otras regulaciones, estas filtraciones podrían ocasionar grandes pérdidas de dinero.
Otro punto clave sobre el ransomware de este año es la explotación del factor humano para lograr la infección inicial. La historia del atentado para infectar Tesla es un buen ejemplo de ello. Cuando se trata de perfiles muy reconocidos, los agentes de amenazas no escatiman tiempo y recursos para poner en práctica el marco MICE (Dinero, Ideología, Compromiso y Ego) para llegar a las redes de las víctimas.
Por desgracia, este no es el fin de la historia sobre el ransomware. El grupo Lazarus probó suerte a gran escala con la familia de ransomware VHD. El intento no pasó desapercibido, por lo que otros agentes de APTs, como MuddyWater, también lo hicieron.
Predicciones para 2021
Antes de continuar con nuestras predicciones para 2021, vale la pena manifestar que la mayoría de las amenazas que hemos visto en 2020 se mantendrán durante el próximo año. Por ejemplo, el ransomware selectivo continuará operando. Así que les presentamos nuestra lista de cosas nuevas que pronosticamos para el próximo año, organizada sin un orden relevante:
- Es probable que la situación generada por el Covid-19 resulte en una ola masiva de pobreza, y eso quiere decir que más personas recurrirán al delito (incluyendo el cibernético). Además, con el colapso de algunas economías, las monedas locales se están desplomando, lo que podría hacer mucho más atractivo el robo de Bitcoins. Creemos que se verá más fraude para Bitcoins (BTC) porque es la criptomoneda más extendida.
- Los ataques MageCart pasarán hacia el lado del servidor. Cada día hay menos amenazas que dependen de los ataques del lado del cliente (JavaScript). Es lógico pensar que habrá un vuelco hacia el lado del servidor.
- Una reinserción e interiorización de las operaciones del ecosistema del cibercrimen: los agentes más importantes del mercado del cibercrimen y aquellos que lucran lo suficiente dependerán más de su propio desarrollo interno para aumentar sus ganancias al reducir la subcontratación.
- Los agentes de amenazas avanzadas de países sometidos a sanciones económicas podrían imitar a los ciberdelincuentes y comenzar a depender más del ransomware. Es posible que reutilicen códigos que ya están disponibles o creen sus propias campañas desde cero.
- Como generan grandes ganancia para los grupos de ransomware, también es posible que veamos que se exploten vulnerabilidades de día 0 en los próximos ataques, así como exploits de día N. Estos grupo comprarán ambos exploits para expandir aún más sus ataques y aumentar sus éxitos, y por ende conseguir aun más ganancias.
- Se tomarán medidas más drásticas contra el cibercrimen. En 2020, la OFAC anunció que supervisaríacualquier pago que se realice a grupos de ransomware. Después, el Comando Cibernético de los Estados Unidos desactivó de forma temporal a Trickbot antes de las elecciones. La estrategia de “compromiso persistente” con los delitos financieros debería expandirse. También es posible que se impongan sanciones económicas contra instituciones, territorios y hasta países que no combatan el cibercrimen que se origina en sus jurisdicciones.
- Debido a las capacidades especiales de monitoreo, desanonimización y confiscación de cuentas de Bitcoins (BTC), lo más probable es que los ciberdelincuentes usen criptomonedas de tránsito cuando cobren a sus víctimas. También creemos que podrían usar otras monedas que ofrecen mayor privacidad, como Monero, para usarlas primero como monedas de transición y después cambiar los fondos a cualquier otra criptomoneda de preferencia, entre ellas BTC.
- Más extorsiones. De una forma u otra, quienes lanzan ataques financieros recurrirán a la extorsión. Si no es con ransomware será con DDoS, o incluso ambos. Podría ser muy crítico que a las empresas que perdieron datos y tuvieron que pasar por un desgastante proceso para recuperarlos encima se les quite la posibilidad de hacer operaciones en Internet.
Esas son sólo algunas de las cosas que suponemos que pasarán en 2021. Este momento de la historia es emocionante. El año pasado era imposible predecir que pasaríamos la mayor parte de este año en medio de una pandemia. Veremos qué nos depara el futuro.
Ciberamenazas para entidades financieras en 2021