Publicaciones

¿Ciberpiratas juegan ciberjuegos durante la cuarentena?

Gracias a la pandemia de Coronavirus, el rol de Internet en nuestras vidas ha sufrido cambios, incluyendo algunos irreversibles. Algunos de estos cambios son definitivamente para bien, otros no son muy buenos, pero casi todos, de alguna manera, impactan en la seguridad digital.

Decidimos echarle un vistazo más profundo a estos cambios a través del prisma de la seguridad de la información, comenzando con la industria de los juegos de video.

Principales hallazgos:

  • El número diario de intentos bloqueados de visitar sitios maliciosos relacionados con juegos, o de navegar hacia ellos desde sitios (o foros) relacionados con juegos, aumentó en un 54% en abril, en comparación con enero de este año. En mayo vimos una disminución en la tendencia de este indicador: -18% en comparación con abril.
  • El número de intentos bloqueados de visitar sitios de phishing dedicados a explotar el tema de los juegos en líena ha aumentado. En particular, el número de notificaciones provenientes de sitios falsos de plataformas de juegos Steam se incrementó en un 40% entre febrero y abril.
  • Los atacantes usan Minecraft, Counter-Strike: Global Offensive y The Witcher 3: Wild Hunt con frecuencia.
  • Los usuarios más atacados son de Vietnam (7,9%), Argelia (6,6%), Corea (6,2%), Hungría (6,2%) y Rumania (6%)

Juguemos mientras el jefe no nos ve

Las cifras provenientes de varias fuentes muestran que la pandemia ha ocasionado un significativo aumento en las actividades de los jugadores. Según gameindustry.biz, las ventas de juegos, tanto para computadoras como para consolas, aumentaron notablemente en marzo.

Aumento en las ventas de juegos entre el 16 y el 22 de marzo. Fuente: gamesindustry.bizIn (descargar)

En abril, la cantidad de descargas, y de jugadores simultáneos en línea, de Steam alcanzó niveles inéditos. El gráfico de actividad de los usuarios de Steam (tanto al jugar como solo al instalar el cliente) (Steam Database) muestra que el 4 de abril se alcanzó el pico de actividades. Después, esta actividad comenzó a disminuir, aunque paulatinamente. Además, los gráficos de actividad de los jugadores son notablemente diferentes de los usuales: los periodos de inactividad son menos pronunciados que en los días normales previos a la cuarentena, y los picos duran menos.

Número de usuarios de Steam por día. Fuente: steamdb.info

Todos estos datos son totalmente comprensibles. Primero, la gente tiene más tiempo libre para jugar. Los datos recopilados por Nielsen Games, como parte de su encuesta regular entre sus usuarios, confirman esta tesis:

Aumento del tiempo que los jugadores dedican a juegos de video en diferentes países. Fuente: Hollywood ReporterSecond (descargar)

Aparentemente, no todos los que querían pasar su tiempo con los juegos de video tenían una computadora en casa para hacerlo. Es eso lo que podemos inferir de los datos estadísticos sobre el hardware que Stream publica en su sitio. Si observamos con detenimiento los gráficos sobre tarjetas de video que usan los usuarios de Steam, notaremos un cambio evidente en los datos de las tarjetas de video, que eran completamente planos antes de marzo de 2020. Hasta ahora, la proporción entre los porcentajes de las tarjetas de video Nvidia, Intel y AMD se han mantenido en el mismo nivel. Desde el inicio de la cuarentena, la proporción de las tarjetas de video Intel y AMD ha crecido de forma pronunciada. Este crecimiento, que estuvo dentro del 2%, podría parecer insignificante si olvidamos que Steam tiene más de 20 millones de usuarios. Es decir, la cantidad adicional de dispositivos con tarjetas gráficas Intel y AMD significaron cientos de miles de computadoras. Dadas las especificaciones de tarjetas de video de distintas marcas, podemos suponer con certeza que estos cientos de miles de equipos son computadoras portátiles empresariales que llegaron a casa durante la cuarentena y en los que los usuarios instalaron Steam sabiendo que el jefe no podía verlos.

Fuente: steampowered.com

Esto también queda confirmado con las repentinas fracturas en los gráficos que muestran la tasa de los procesadores Intel y AMD (Intel también aumentó desde el principio de la cuarentena); y los procesadores usados por los jugadores en términos de la cantidad de núcleos (los procesadores de 4 y de 2 núcleos mostraron un inusual aumento de este porcentaje):

Fuente: steampowered.com

¿Jugamos con los piratas?

El aumento en el número de jugadores y del tiempo que dedican a los juegos en línea, por supuesto que no pasó desapercibido para los ciberpiratas. Los jugadores hace mucho que son blanco de los ataques de los ciberpiratas, cuyo principal interés son los inicios de sesión y en las contraseñas de las cuentas de juegos. Ahora, con la conexión de las computadoras empresariales a las redes domésticas, y viceversa, con el ingreso de computadoras particulares en las redes empresariales que en su mayoría no estaban preparadas para ello, los ataques contra los jugadores se están convirtiendo no solo en una forma de llegar al bolsillo de los usuarios individuales, sino también de acceder a infraestructuras corporativas. En los cinco primeros meses de 2020, la cantidad de vulnerabilidades encontradas en Steam ya superó a la de aquellas descubiertas en cualquiera de los años anteriores. Este hecho, entre otros, indica el creciente interés por encontrar estas vulnerabilidades.

Fuente: cve.mitre.org (descargar)

No olvidemos que también a fines de abril de 2020, Valve confirmó la filtración del código fuente de los conocidos juegos en red CS: GO y Team Fortress 2. Es muy probable que los atacantes estén examinando dichos códigos en busca de vulnerabilidades que sirvan a sus objetivos. Es importante comprender que no se trata de juegos fuera de línea, sino de juegos en línea que requieren de una conexión constante a los servidores y de actualizaciones frecuentes. Esto hace que los usuarios sean más vulnerables aún, ya que sus equipos están, obviamente, siempre en línea, y los jugadores siempre están prestos a instalar una “actualización” con tal de no dejar de jugar. Pero incluso si no cuentan con sus ataques técnicamente complejos que usan vulnerabilidades de día cero, los ciberpiratas gozan de un amplio campo para sus actividades. A partir de que la industria de los juegos en línea está experimentando un aumento inesperado en la cantidad de jugadores, los ciberpiratas han diseñado ataques con “poder aumentado” para explotar el tema de los juegos de una u otra forma. El siguiente paso lógico de los atacantes era incrementar la cantidad de ataques de phishing. Kaspersky AntiPhishing y Kaspersky Security Network (KSN) confirman este hecho. En comparación con febrero, ha aumentado llamativamente la cantidad de clics en los mil sitios más populares de phishing que contienen la palabra “Steam” como parte de su nombre. Este aumento llegó a su pico en abril.

Aumento en el número de clics en sitios de phishing relacionados con temas de Steam en febrero de 2020. Fuente: Kaspersky Security Network (descargar)

Vemos un claro incremento en los datos de las detecciones del antivirus web de sitios con nombres que explotan el tema de los juegos en su conjunto; por ejemplo, que contienen los nombres de conocidos juegos de video o de plataformas de juegos.

Cantidad de ataques web que usaron temas de juegos, entre enero y mayo de 2020. Fuente: KSN (descargar)

Se ha propagado una amplia variedad de programas maliciosos mediante enlaces maliciosos de este tipo: desde malware diseñado para el robo de contraseñas hasta programas secuestradores y mineros. Como siempre, crean versiones gratuitas, actualizaciones o complementos gratuitos para los juegos más conocidos, además de programas estafadores. Se observa un escenario similar entre los archivos maliciosos con nombres relacionados con juegos para no llamar la atención.

Amenazas locales que usan temas relacionados con juegos como camuflaje

Veredicto % de todos los ataques
1 UDS: DangerousObject.Multi.Generic 8,5%
2 Worm.Win32.Fujack.cw 5,4%
3 PDM: Trojan.Win32.Generic 3,8%
4 HEUR: Trojan.Multi.StartPage. b 3,5%
5 PDM: Trojan.Win32.Bazon.a 3,5%
6 Trojan.WinLNK.Agent.ra 3,4 %
7 HEUR: Trojan.Win32.Generic 3,2 %
8 Email-Worm.Win32. Brontok.q 3,2 %
9 HEUR: Trojan.WinLNK.Agent.gen 2,7%
10 Trojan.WinLNK.Agent.rx 2,3%

Los datos estadísticos no toman en cuenta la categoría Hacktool de amenazas (son herramientas que suelen instalar los mismos usuarios pero que pueden usarse con fines maliciosos). En esta categoría incluimos clientes de acceso remoto, analizadores de tráfico, etc. Esta categoría reviste interés aquí ya que los modernos programas estafadores suelen usar las mismas técnicas que el malware, como la inyección en la memoria y la explotación de vulnerabilidades para evitar la detección. Si añadiéramos este tipo de detección a los datos, ocuparían el primer lugar con el 10%.

A juzgar por los datos obtenidos de nuestros antivirus web, los atacantes se enfocan preferentemente en el uso de programas mineros. The Witcher 3: Wild Hunt También ataca al TOP 3 de los juegos más explotados, cuya popularidad ha aumentado gracias a las series basadas en las novelas de Andrzej Sapkowski.

Cantidad de ataques que usan el tema de un juego en línea, enero-mayo 2020 Fuente: KSN (descargar)

Según la dinámica de las respuestas a los enlaces que contienen nombres de juegos, llegamos a la conclusión de que, entre abril y principios de mayo, los atacantes lanzaron una campaña en la que usaron varios juegos de forma simultánea. En particular, Overwatch y Players Unknown Battlegrounds fueron detectados por nuestro radar. Si miramos con detenimiento el gráfico, podemos ver muchos picos paralelos. Antes y después del periodo indicado, no persiste esta tendencia.

Ataques web que usan nombres de temas de Overwatch y PUBG, enero-mayo de 2020. Fuente: KSN (descargar)

Los usuarios en Vietnam son más susceptibles a ataques que usan temas relacionados con juegos: casi el 8% de todas las detecciones del antivirus web en este país ocurrieron en sitios cuyos nombres usaban temas de juegos.

TOP 20 de países por porcentaje de intentos bloqueados de ingresar a sitios maliciosos que usan temas de juegos de juegos en línea, enero-mayo 2020. Fuente: KSN

País Porcentaje de usuarios atacados
Vietnam 7,90%
Argelia 6,67%
Corea del Sur 6,23%
Hungría 6,20%
Rumanía 5,98%
Polonia 5,96 %
Egipto 5,20%
Portugal 4,84%
Malasia 4,75%
Grecia 4,56%
Filipinas 4,51%
Uzbekistán 4,48%
Túnez 4,41%
Marruecos 4,06%
Irak 3,82%
Brasil 3,61%
Italia 3,59%
Indonesia 3,54%
Birmania 3,52%
Francia 3,52%

Después de Vietnam, el TOP 5 de países en esta categoría incluye a Argelia, Corea, Hungría y Rumanía. En general, el TOP 20 incluye muchos países de África del Norte, Asia y Europa, especialmente del sur y del este.

Conclusión

Decenas de millones de personas que se encuentran confinadas en sus hogares (en combinación con mucho tiempo libre) han provocado un fuerte impulso a la industria de los juegos en línea. Por supuesto, los ciberpiratas no podían dejar de aprovechar esta nueva situación, por lo que hemos visto un impresionante aumento en los intentos de acceder a sitios de phishing que explotan los temas de juegos.

Sin embargo, debemos tener en cuenta que esto se ha visto facilitado no solo por los esfuerzos de los atacantes, sino también por las acciones descuidadas de los mismos usuarios, que son engañados por mensajes de correo aparentemente enviados en nombre de los servicios de juegos, o que buscaban versiones pirateadas de algunos juegos populares, o cayeron víctimas de programas estafadores.

Por desgracia, en la mayoría de los casos, los ciberpiratas no necesitan esquemas con sofisticada tecnología para lanzar ataques exitosos. Es suficiente recurrir a temas relevantes, uno de los cuales, en la primavera de 2020, fue el de los videojuegos.

¿Ciberpiratas juegan ciberjuegos durante la cuarentena?

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada