Kaspersky Security Bulletin 2014. Evolución del malware

Contenidos

Principales acontecimientos que han perfilado el escenario de las amenazas en 2014

Los fines de año se caracterizan por ser propicios para reflexiones, para evaluar nuestra vida antes de considerar lo que viene por delante. Queremos ofrecer la acostumbrada retrospectiva de los principales acontecimientos que han perfilado el escenario de las amenazas en 2014.

1. Ataques dirigidos y campañas de malware

Los ataques dirigidos se han constituido en protagonistas en el escenario de las amenazas, así que no sorprende que aparezcan en nuestra revisión anual.

La compleja campaña de ciberespionaje llamada Careto, o La Máscara, estaba diseñada para robar datos confidenciales de determinadas organizaciones. Entre las víctimas de este ataque había agencias gubernamentales, embajadas, compañías de energía, instituciones de investigación, inversionistas y activistas en 31 países en todo el mundo. Careto incorporaba un sofisticado troyano puerta trasera capaz de interceptar todos los canales de comunicación y de recopilar todo tipo de datos desde los equipos infectados, incluyendo llaves de cifrado, configuraciones VPN, llaves SSH, ficheros RDP y algunos tipos desconocidos de ficheros que podrían estar relacionados con herramientas especiales de cifrado pertenecientes a niveles gubernamentales o militares. El código era altamente modular, permitiéndoles a los atacantes añadir nuevas funciones a voluntad. Existen versiones de este malware para Windows y Mac OS X, y también encontramos referencias en algunos módulos indicando que podrían existir versiones para Linux, iOS y Android. Como sucede con este tipo de campañas de alta sofisticación, resulta difícil atribuir su autoría. La presencia del idioma español en este código no ayuda, ya que este idioma se habla en muchos lugares del mundo. Asimismo, es posible que se lo haya utilizado intencionalmente con la intención de confundir. Sin embargo, el altísimo grado de profesionalismo del grupo detrás de este ataque revela que no se trata de un grupo de ciberdelincuentes, lo que lleva a concluir que Careto podría tratarse de una campaña con apoyo gubernamental. Como anteriores campañas de ataques dirigidos, las raíces de Careto se extienden mucho más atrás del momento en que se lanzó la campaña: creemos que los atacantes estuvieron activos desde 2007.

malware_evolution_1

A principios de marzo, se dio un amplio debate entre los investigadores de seguridad sobre una campaña de ciberespionaje llamada ‘Epic Turla’. Los expertos de G-DATA creyeron que este malware pudo haber sido obra de los servicios especiales rusos, mientras que sus contrapartes de BAE Systems lo vincularon con un programa malicioso conocido como ‘Agent.btz’ que data de 2007 y que se usó en 2008 para infectar las redes locales de las operaciones militares estadounidenses en el Medio Oriente. Nuestro análisis inicial de Epic Turla se enfocó en el uso que hacía este malware de unidades de memoria USB flash para guardar los datos que robaba y que no podía enviar por Internet al servidor de control y comando de los atacantes. Este gusano escribe un fichero llamado ‘thumb.dd’ en todas las unidades de memoria USB flash conectadas al equipo infectado. Si la unidad flash se inserta posteriormente en otro equipo, el fichero ‘thumb.dd’ se copiará en el nuevo equipo.

malware_evolution_2

Epic Turla no es el único malware que utiliza ‘thumb.dd’. Este es uno de los ficheros en el ‘módulo ladrón USB’ de Red October.

Mirando al pasado, Gauss y MiniFlame también usaban ‘thumb.dd’ y buscaban este fichero en las unidades de memoria USB flash. Este cuadro ofrece interesantes puntos de comparación. Creemos que existen decenas de miles de unidades USB flash en todo el mundo infectadas con el fichero ‘thumb.dd’ creado por este malware

En nuestro posterior análisis de Epic Turla, explicamos la forma en que los atacantes usan la ingeniería social para propagar este malware, y destacamos la estructura general de la campaña. Los atacantes usaban mensajes de correo spear-phishing para engañar a sus víctimas e inducirlas a instalar una puerta trasera en sus equipos. Algunas de estas incluían exploits día-cero, uno de ellos afectaba a Adobe Acrobat Reader y otro era una vulnerabilidad en la escalada de privilegios en Windows XP y Windows Server 2003. También usaban ataques tipo abrevadero para instalar un exploit de Java, exploits de Adobe Flash, y exploits para Internet Explorer. Asimismo, engañaban a sus víctimas para que instalaran falsos ‘Flash Player’ que en realidad eran instaladores de programas maliciosos. Dependiendo de la dirección IP de la víctima, los atacantes usaban exploits de Java o del navegador, firmaban falsos programas de Adobe Flash Player, o una versión falsa de Microsoft Security Essentials. No sorprende que la elección de sitios web refleje los intereses específicos de los atacantes (así como los de sus víctimas). Sin embargo, nuestro análisis reveló que la puerta trasera Epic Turla era sólo la primera etapa de la infección. Sirve para instalar una puerta trasera más sofisticada conocida como el ‘sistema Cobra/Carbon’, aunque algunos productos antimalware la conocen como ‘Pfinet’. Los singulares conocimientos necesarios para operar estas dos puertas traseras señalan una clara y directa conexión entre ellas: una sirve como cabecera de playa y valida el alto perfil de la víctima. Si la víctima resulta ser de interés para los atacantes, el equipo infectado se actualiza al sistema completo Carbon. Este es un resumen de la campaña Epic Turla.

malware_evolution_3

En junio informamos sobre nuestra investigación de un ataque contra clientes de un reputado banco europeo que resultó en el robo de medio millón de euros en una sola semana. Lo bautizamos como ‘Luuuk‘, por la ruta en el panel de administración utilizada en el servidos C2. Aunque no logramos obtener el malware utilizado para infectar a las víctimas, creemos que los ciberdelincuentes usaron un troyano bancario que realizaba operaciones tipo ‘hombre-en-el-navegador’ para robar las credenciales de las víctimas mediante una inyección maliciosa desde la web. En base a la información disponible en algunos de los ficheros de registro, vimos que el malware robaba nombres de usuario, contraseñas y claves de acceso de un solo uso (OTP) en tiempo real. Los atacantes utilizaban las credenciales robadas para acceder a las cuentas de las víctimas y efectuar transacciones maliciosas automáticamente, quizás desde el segundo plano de una sesión bancaria legítima. El dinero robado se transfería automáticamente a cuentas mulas predefinidas. La clasificación de las mulas predefinidas que los atacantes usaron resultó ser muy interesante. Había cuatro grupos diferentes de mulas, cada uno definido por la cantidad de dinero que las mulas de ese grupo podían aceptar, lo que quizás sea un indicativo del nivel de confianza entre ellas. Identificamos un total de 190 víctimas, la mayoría en Italia y Turquía. Las sumas robadas a cada víctima estaban entre los 1.700-39.000 euros, totalizando 500.000 euros.

Aunque los atacantes eliminaron todos sus componentes sensibles poco después que comenzara nuestra investigación, creemos que esto responde a un cambio en la infraestructura y no a un cierre completo de la operación. Los ciberdelincuentes detrás de esta campaña tenían un alto profesionalismo y eran muy activos. También realizaron actividades proactivas de seguridad operativa, cambiando sus tácticas y eliminando sus huellas cuando se los descubría. La investigación de esta campaña, sobre la cual informamos al banco afectado y a las respectivas autoridades, sigue en curso.

A fines de junio vimos la reactivación de una campaña de ataques dirigidos activa desde 2013, llamada ‘MiniDuke’. La campaña original se distinguió por varias razones. Incluía una puerta trasera especial escrita en el lenguaje de programación clásico Assembler. El ataque se controlaba mediante una extraña infraestructura de comando y control (C2): utilizaba múltiples rutas de redundancia, incluyendo cuentas Twitter. Los desarrolladores transferían sus ejecutables actualizados ocultos en ficheros GIF.

Los blancos de esta nueva operación conocida como ‘CosmicDuke’ o ‘TinyBaron’ incluían organismos gubernamentales, diplomáticos, compañías de energía, fuerzas armadas y operadores de telecomunicaciones. Pero extrañamente la lista de víctimas también incluía a sujetos involucrados en el tráfico y reventa de substancias ilegales, como esteroides y hormonas. No nos queda claro por qué: quizás esta puerta trasera ajustable estaba disponible como un ‘spyware legal’, o en el mercado clandestino, y la adquirían rivales dentro de la industria farmacéutica para espiarse mutuamente.

malware_evolution_4

Ubicación de las víctimas de Miniduke y CosmicDuke

Este malware imita a aplicaciones populares diseñadas para ejecutarse en segundo plano, incluyendo información de ficheros, iconos e incluso el tamaño de ficheros. La puerta trasera está compilada con ‘BotGenStudio’, un marco ajustable que permite a los atacantes activar y desactivar componentes cuando se construye el robot. Este programa malicioso no sólo roba ficheros con determinadas extensiones, sino que también recopila contraseñas, historiales, información de red, lista de contactos, información que se muestra en pantalla (hace capturas de pantalla cada cinco minutos), y otros datos sensibles. A cada víctima se le asigna una identificación única, a fin de imposibilitar las actualizaciones específicas de las víctimas individuales.

Este programa malicioso está protegido con un cargador ofuscado ajustable que hace un consumo intensivo de los recursos del CPU por 3-5 minutos antes de ejecutar la carga.

Esto dificulta su análisis. Pero también drena los recursos que la solución de seguridad necesita para emular la ejecución del malware. Aparte de su propio ofuscador, el malware recurre en gran medida a cifrado y compresión en base a los algoritmos RC4 y LZRW. Estos están implementados de forma ligeramente diferente a las versiones estándar; creemos que esto es algo deliberado para confundir a los investigadores. La configuración interna del malware está cifrada, comprimida y serializada como una estructura de registro complicada, con varios tipos de registros como cadenas, números enteros y referencias internas. Los datos robados enviados al servidor C2 se fragmentan en pequeños grupos de unos 3KB, que se comprimen, cifran y colocan en un contenedor para enviarse al servidor. Si hay un fichero grande, puede colocarse en cientos de contenedores, cada uno de los cuales se envía por separado. Es posible que estos grupos de datos se analicen, descifren, descompriman, extraigan y re-ensamblen en el lado del atacante. Si bien este método puede añadir una sobrecarga, los niveles de procesamiento adicional aseguran que muy pocos investigadores lleguen hasta los datos originales. Este método también ofrece gran confiabilidad respecto a errores de red.

En julio publicamos un análisis en detalle de una campaña de ataques dirigidos que nombramos Crouching Yeti, también conocido como ‘Energetic Bear’, porque los investigadores de CrowdStrike sugirieron que los atacantes podrían ser rusos: no creemos que haya suficiente evidencia que apoye esta u otra teoría. Esta campaña, activa desde fines de 2010, ha atacado a los siguientes sectores: industrial/maquinaria, manufactura, farmacéutico, construcción, educación e informática. Se han detectado más de 2.800 víctimas en todo el mundo, y hemos logrado identificar a 101 organizaciones víctimas, la mayoría en EE.UU., España, Japón, Alemania, Francia, Italia, Turquía, Irlanda, Polonia y China.

malware_evolution_5

Los atacantes detrás de Crouching Yeti recurren a varios tipos de programas maliciosos, todos diseñados para infectar sistemas Windows, para penetrar en los equipos de sus víctimas, ampliar su búsqueda dentro de las organizaciones atacadas y robar sus datos confidenciales, incluyendo la propiedad intelectual y otra información estratégica. Este programa malicioso incorpora módulos especiales para recopilar datos de ambientes industriales e informáticos específicos. Los equipos infectados se conectan a una gran red de sitios web infectados que alojan módulos del malware, guardan información sobre las víctimas y envían comandos a los sistemas infectados. Los atacantes usan tres métodos para infectar a sus víctimas. Un instalador legítimo de software recomprimido que incluye un fichero DLL malicioso, mensajes de correo spear-phishing, y ataques tipo abrevadero.

La tecnología es hoy en día parte integral de nuestras vidas, por lo que no sorprende la dimensión cibernética que adquieren los conflictos en todo el mundo. Esto es particularmente cierto en el Medio Oriente, donde los conflictos geopolíticos se han intensificado en los últimos años. En agosto informamos sobre el aumento de las actividades de programas maliciosos en Siria, desde 2013. Las víctimas de estos ataques no se encuentran sólo en Siria: estas actividades también se han detectado en Turquía, Arabia Saudita, Líbano, Palestina, Emiratos Árabes Unidos, Israel, Marruecos, Francia y EE.UU. Logramos rastrear los servidores C2 de los atacantes a direcciones IP en Siria, Rusia, Líbano, EE.UU. y Brasil. En total, encontramos 110 ficheros, 20 dominios y 47 direcciones IP asociadas con los ataques.

malware_evolution_6

Queda claro que los grupos involucrados en estos ataques están bien organizados. Hasta donde sabemos, los atacantes han utilizado herramientas de malware en lugar de desarrollar sus propios programas maliciosos, aunque recurren a una variedad de métodos de ofuscación para evadir la detección de firmas sencilla. Sin embargo, creemos que es posible que aumenten la cantidad y nivel de sofisticación del malware que utilizan en la región.

En noviembre publicamos nuestro análisis del APT Darkhotel, una campaña que ha estado operando por casi una década, atacando a miles de víctimas en todo el mundo. Un 90% de las infecciones que hemos detectado se encuentra en Japón, Taiwán, China, Rusia y Hong Kong; pero también hemos detectado infecciones en Alemania, EE.UU., Indonesia, India e Irlanda.

malware_evolution_7

La campaña utiliza varios niveles para seleccionar sus blancos. Primero, usan mensajes de correo spear-phishing y exploits día-cero para penetrar en organizaciones de diferentes sectores, incluyendo la Base Industrial de Defensa (DIB) y organizaciones gubernamentales y no gubernamentales. Segundo, propagan indiscriminadamente programas maliciosos a través de sitios P2P japoneses. Tercero, apuntan específicamente a ejecutivos de negocios que viajan al exterior y se alojan en hoteles en varios países: mediante un proceso de infección de dos etapas, los atacantes primero identifican a sus víctimas y después descargan otros programas maliciosos en los equipos de aquellas con alto perfil, para robar su información personal.

2. Nuestras casas y otras vulnerabilidades

La explotación de vulnerabilidades no parchadas sigue siendo uno de los principales mecanismos que usan los ciberpiratas para instalar códigos maliciosos en los equipos de sus víctimas. Este procedimiento se basa en la existencia de vulnerabilidades en programas populares y en que hay individuos y negocios que no parchan sus aplicaciones.

Este año se descubrieron vulnerabilidades en dos protocolos de código abierto muy populares, conocidas como ‘Heartbleed’ y ’Shellshock’.

Heartbleed, una falla en el protocolo de cifrado OpenSSL, permite que un atacante acceda al contenido de la memoria e intercepte datos personales en sistemas con versiones vulnerables del protocolo. OpenSSL es muy utilizado para proteger las comunicaciones por Internet, incluyendo la web, correo, mensajería instantánea y Redes Privadas Virtuales (VPN), de manera que el impacto potencial de esta vulnerabilidad era enorme. Como suele suceder cuando existe el riesgo de que la información personal sea vulnerada, hubo una urgencia en cambiar contraseñas. Por supuesto, esto sólo podría ser efectivo una vez que el proveedor de Internet hubiese tomado las medidas necesarias para parchar OpenSSL asegurando así sus sistemas; de otra manera, cualquier contraseña nueva correría el mismo riesgo al explotar los atacantes la vulnerabilidad. Dos meses después de detectarla, ofrecimos algunas perspectivas sobre el impacto de la falla.

En septiembre, el mundo de la seguridad informática se enfrentó a una alerta roja por el descubrimiento de la vulnerabilidad Shellshock, también conocida como ‘Bash’. La falla le permite al atacante adjuntar de forma remota un fichero malicioso a una variable que se ejecuta cuando se llama el intérprete de comando Bash (Bash es el Shell predeterminado en sistemas Linux y Mac OS X). El alto impacto de esta vulnerabilidad, en combinación con la facilidad con la que puede explotarse, causó una gran preocupación. Muchos lo han comparado con Heartbleed. Sin embargo, a diferencia de Heartbleed, Shellshock poseía un completo sistema de control, y no sólo la habilidad de robar datos desde la memoria. Los atacantes no tardaron mucho en probar y en aprovecharse de la vulnerabilidad. Ofrecimos algunos ejemplos iniciales poco después de su descubrimiento. En la mayoría de los casos, los atacantes lanzaron ataques remotos contra servidores web que alojaban scripts CGI (Interfaz de entrada común) escritos en Bash o que pasan valores a scripts shell. Sin embargo, aún queda la posibilidad de que la vulnerabilidad pueda afectar una infraestructura con plataforma Windows. Por desgracia, el problema no se limita sólo a servidores web. Bash se utiliza ampliamente en el firmware de dispositivos que ahora son muy comunes en nuestra vida diaria. Entre ellos están los routers, los electrodomésticos y los puntos de acceso inalámbricos. Algunos de estos dispositivos pueden resultar difíciles o imposibles de parchar.

Internet se ha incorporado en nuestro diario vivir, literalmente en algunos casos, a medida que la conectividad es parte de nuestros objetos cotidianos. Esta tendencia, conocida como el Internet de Cosas (Internet of Things), ha atraído cada vez más atención. Puede sonar muy futurista, pero el Internet de Cosas está más cerca de lo que creemos. Es muy probable que las casas modernas tengan varios dispositivos conectados a la red local (no hablamos de los ordenadores tradicionales), como smart TVs, impresoras, consolas de juego, dispositivos de almacenamiento en red, o algún tipo de receptor de satélite/reproductor multimedia.

malware_evolution_8

Uno de nuestros expertos en seguridad investigó su propia casa para determinar si era cibernéticamente segura. Analizó varios de sus aparatos domésticos, incluyendo sus dispositivos de almacenamiento de red (NAS), su smart TV, router y receptor por satélite, para ver si eran vulnerables ante ataques. Los resultados fueron escalofriantes. Encontró 14 vulnerabilidades en los dispositivos de almacenamiento de red, uno en la Smart TV y varios potencialmente escondidos en las funciones de control remoto del router. Puedes leer la investigación completa aquí. Es importante que todos entendamos los riesgos potenciales asociados al uso de dispositivos de red, y esto aplica a individuos y negocios por igual. También necesitamos comprender que nuestra información no está segura sólo porque tengamos contraseñas sólidas o soluciones antimalware instaladas. Hay muchas cosas sobre las que no tenemos control, y de alguna manera estamos en las manos de los fabricantes de software y hardware. Por ejemplo, no todos los dispositivos incluyen actualizaciones automáticas, y a veces se les pide a los consumidores que descarguen e instalen nuevo firmware. Y esto no siempre es una tarea sencilla. Peor aún, no siempre es posible actualizar un dispositivo (la mayoría de los dispositivos analizados en esta investigación habían sido descontinuados hace más de un año).

3. El continuo crecimiento exponencial del malware móvil

En estos últimos años hemos visto un crecimiento dramático en la cantidad de programas maliciosos para dispositivos móviles. En el periodo 2004-2013, analizamos casi 200.000 muestras de programas maliciosos móviles. Sólo en 2014 hemos analizado otras 295.539 muestras. Sin embargo, esta no es todavía la imagen completa. Estas muestras se reutilizan y re-comprimen: en 2014 vimos 4.643.582 paquetes de instalación de malware móvil (además de los 10.000.000 de paquetes de instalación que vimos en el periodo 2004-2013). La cantidad de ataques de malware móvil se multiplicó 10 veces, de 69.000 por mes en agosto de 2013 a 644.000 en marzo de 2014 (Mobile Cyber Threats, Kaspersky Lab and INTERPOL Joint Report, octubre de 2014).

El 53% de todas las detecciones de programas maliciosos móviles están ahora relacionadas con malware capaz de robar dinero. Uno de los ejemplos más notorios es Svpeng, diseñado para robar dinero a los clientes de tres de los bancos más grandes de Rusia. Este troyano espera hasta que un cliente abra una aplicación de banca online y la remplaza con la suya para capturar las credenciales de la cuenta del cliente. También intenta robar los datos de tarjetas de crédito mostrando su propia ventana sobre la aplicación de Google Play, pidiendo al usuario los datos de su tarjeta. Otro es Waller, que además de comportarse como un troyano SMS típico, roba dinero de las billeteras QIWI en los dispositivos infectados.

Los ciberdelincuentes también han diversificado sus esfuerzos para lucrar a costa de sus víctimas recurriendo a métodos bien establecidos en ordenadores de escritorio y portátiles. Entre ellos mencionamos a los troyanos ransomware. Las falsas aplicaciones antivirus son otro ejemplo de un método bien establecido que se utiliza ahora en dispositivos móviles.

Por último, este año hemos sido testigos del surgimiento del primer troyano controlado desde un servidor C2 alojado en la red Tor. La puerta trasera Torec es una modificación del popular cliente Tor, Orbot. La ventaja, por supuesto, es que no se puede clausurar el servidor C2.

Hasta hace poco, casi todos los programas maliciosos para iOS estaban diseñados para explotar dispositivos decodificados.

Sin embargo, la reciente aparición del malware WireLurker ha demostrado que iOS no es inmune a sus ataques.

Los dispositivos móviles son parte de nuestra vida cotidiana moderna, así que no resulta sorprendente que la evolución de los programas maliciosos móviles esté respaldada por el negocio de la ciberdelincuencia que incluye a autores de malware, probadores, diseñadores de aplicaciones, desarrolladores web y administradores de redes zombi.

4. Tu dinero o tu información

La cantidad de programas ransomware ha ido creciendo en los últimos años. Algunos se limitan a bloquear el acceso de la víctima a su equipo, exigiéndole el pago de un rescate para restituirle el acceso. Pero muchos van más allá cifrando los datos en el equipo. Un ejemplo reciente es ZeroLocker. ZeroLocker cifra casi todos los ficheros en el equipo de la víctima y les añade la extensión ‘.encrypt’ (aunque no cifra los ficheros en los directorios que contienen la palabra ‘Windows’, ‘WINDOWS’, ‘Archivos de programas’, ‘ZeroLocker’ o ‘Destroy’, y tampoco cifra archivos con un tamaño de más de 20MB). Este troyano utiliza una llave 160-bit AES para cifrar los ficheros. Una vez que los ficheros están cifrados, ejecuta la utilidad ‘cipher.exe’ para eliminar los datos no utilizados en la unidad. Ambas acciones dificultan sobremanera la recuperación de los ficheros. Los ciberpiratas responsables de ZeroLocker exigen un pago inicial de 300 $ en Bitcoins para descifrar los ficheros. Si la víctima no paga atiempo, el pago se incrementa a 500 $ y hasta 1.000 $ a medida que va pasando el tiempo.

Otro programa ransomware que analizamos este año es Onion. Este troyano no sólo usa la red Tor para ocultar sus servidores C2, sino que también tiene una completa interacción con Tor sin que la víctima tenga que intervenir en absoluto.

Otros programas como este se comunican con la red Tor lanzando el fichero legítimo ‘tor.exe’, y a veces inyectando códigos en otros procesos. Por el contrario, Onion implementa su comunicación como parte del mismo código malware. Onion también utiliza un algoritmo no ortodoxo de cifrado que imposibilita el descifrado de los ficheros, incluso a pesar de haber interceptado el tráfico entre el troyano y su servidor C2. Este troyano no sólo utiliza cifrado asimétrico, sino que también emplea un protocolo de cifrado conocido como ECDH (Elliptic Curve Diffie-Hellman). Esto imposibilita el descifrado si no se cuenta con la llave maestra privada, que nunca sale del servidor de los ciberpiratas.

Este año, el uso de programas ransomware se ha extendido a los dispositivos Android. La primera versión de Spveng, por ejemplo, descubierta a principios de 2014, bloquea el teléfono, alegando que la víctima estaba mirando pornografía infantil y exigiéndole una ‘multa’ de 500 $ para desbloquear su teléfono. Una modificación posterior de este malware, descubierta en junio de 2014, bloquea por completo el dispositivo, de manera que sólo puede apagarse pulsando el botón ‘Off’ por largo tiempo, y el troyano se vuelve a recargar tan pronto como el dispositivo se reinicia. Esta versión estaba dirigida principalmente a usuarios en EE.UU., pero también hemos detectado víctimas en Reino Unido, Suiza, Alemania, India y Rusia. Esta versión exige un pago de 200 $ para desbloquear el teléfono, pago que debe realizarse mediante cupones de MoneyPak. La pantalla de la exigencia del rescate muestra una foto de la víctima, tomada con la cámara frontal. Otro troyano, llamado Koler, descubierto en mayo de 2014, usa el mismo método; bloquea el acceso al dispositivo y exige un pago de rescate entre 100 $ y 300 $ para desbloquear el teléfono. Al igual que Svpeng, este troyano muestra un mensaje supuestamente de la policía. Sus víctimas se cuentan en más de 30 países del mundo, siempre con mensajes de la policía ?local?.

malware_evolution_9

Infraestructura de distribución de Koler

El primer troyano para Android en cifrar datos, llamado Pletor, apareció en mayo de 2014. Este troyano utiliza el algoritmo de cifrado AES para cifrar los contenidos en la tarjeta de memoria del teléfono de la víctima y después muestra en la pantalla una exigencia de rescate a pagar con la billetera QIWI Visa de la víctima, MoneXy, o mediante una transferencia regular a un número de teléfono. Este troyano apunta a víctimas en Rusia y Ucrania (aunque hemos detectado otras en las ex repúblicas soviéticas) y exige el pago de unos 300 $ en rublos o grivnas.

El éxito de este ransomware depende del pago de sus víctimas. ¡No hay que pagar! En lugar de ello, hay que hacer regularmente copias de respaldo de nuestra información. De esta manera, incluso si caemos víctimas de un programa ransomware, o si tenemos un problema de hardware que impide acceder a nuestros datos, no perderemos nuestra información.

5. ¡Cha-ching! Malware para robar cajeros automáticos

Los programas maliciosos para cajeros automáticos no son una novedad. El primer malware de este tipo, llamado Skimer, se detectó en 2009, y atacaba a cajeros automáticos con sistema operativo Windows en Europa oriental. Este programa malicioso usaba funciones no documentadas para imprimir detalles de las tarjetas que se insertaban en los cajeros infectados mediante un comando master card. Vimos otros programas maliciosos para cajeros en Brasil, en 2010 (SPSNiffer): este malware recopilaba números PIN en cajeros desactualizados usando teclados PIN que no tenían una sólida protección cifrada. El año pasado vimos otra familia de malware para cajeros automáticos (Atmer), diseñada para robar dinero a cajeros automáticos en México.

Este año, a petición de una institución financiera, llevamos a cabo una investigación forense sobre los nuevos ataques contra cajeros en Asia, Europa y Latinoamérica. La operación tuvo dos etapas. Los ciberdelincuentes accedían físicamente a los cajeros y usaban un CD de arranque para instalar el programa malicioso (Tyupkin); después reiniciaban la máquina para cargar el malware y ganar así el control del cajero automático. El malware ejecutaba un bucle infinito, a la espera de un comando.

malware_evolution_10

Para disimular un poco la estafa, el malware sólo aceptaba comandos en horas específicas, los domingos y lunes por la noche. Los atacantes introducían una combinación de dígitos en el teclado del cajero, llamaban a los operadores del malware, introducían otro conjunto de números, y después recibían el dinero que les entregaba el cajero.

Grabaciones de video de las cámaras de seguridad en los cajeros infectados mostraron la metodología empleada por estos delincuentes. Se generaba para cada sesión una clave única de combinación de dígitos en base a números aleatorios, con el fin de asegurar que nadie externo a la banda se beneficiara accidentalmente del fraude. Entonces el operador malicioso recibía instrucciones por teléfono de otro miembro de la banda que conocía el algoritmo y era capaz de generar una clave de sesión en base al número mostrado, con esto se aseguraban que las mulas que recibían el dinero no lo intentaran por su cuenta. Cuando se introducía la clave correcta el cajero mostraba cuánto dinero disponía en cada casilla, invitándole al operador a elegir la casilla que deseaba robar. Después le entregaba 40 billetes por cada operación en la casilla elegida.

El alza en los ataques contra cajeros automáticos en los últimos años es una evolución natural del método ya conocido de usar decodificadores físicos de tarjetas para robar datos de las tarjetas usadas en los cajeros alterados. Por desgracia, muchos cajeros siguen con sistemas operativos con conocidas vulnerabilidades de seguridad. Esto hace que la seguridad física adquiera importancia, por lo que urgimos a los bancos a revisar la seguridad física en sus cajeros automáticos.

6. Windows XP: ¿olvidado pero no abandonado?

El soporte de Windows XP terminó el 8 de abril. Esto significa que no hay más actualizaciones de seguridad, ni reparaciones de seguridad, ni opciones de soporte gratuitas o pagadas, ni actualizaciones online de contenidos técnicos. Por desgracia, todavía hay muchas máquinas con este sistema operativo. Nuestros datos revelan que Windows XP es responsable de un 18% de las infecciones. Esto representa a mucha gente en peligro de ataque ahora que los parches de seguridad se han agotado. En efecto, cada vulnerabilidad descubierta desde abril es una vulnerabilidad día-cero, es decir, una para la que no existe ni existirá un parche. Este problema se resolverá cuando los desarrolladores de aplicaciones dejen de publicar actualizaciones para Windows XP. Cada aplicación sin parche se convertirá en otro punto potencial de infección, aumentando aún más el riesgo de ataques potenciales. En realidad, este proceso ya ha comenzado con la última versión de Java que ya no soporta Windows XP.

Puede parecer que la solución sencilla y obvia es actualizarse a un nuevo sistema operativo. Pero aunque Microsoft advirtió con suficiente antelación sobre el fin del soporte, no es difícil ver por qué la migración a un nuevo sistema operativo puede resultar difícil para algunos negocios. A parte del coste del cambio, también puede significar invertir en nuevo hardware, e incluso en sustituir una aplicación desarrollada especialmente para la compañía que no podrá ejecutarse en un nuevo sistema operativo. Por eso no resulta sorprendente ver que algunas organizaciones prefieran pagar por soporte extendido para XP.

Por supuesto, una solución antivirus ayudará con la protección. Pero esto sólo es válido si por ‘antivirus’ queremos decir un producto de seguridad total para Internet que use tecnologías proactivas para protegerse contra amenazas nuevas y desconocidas, en particular, una función que neutralice los exploits. Una solución antivirus básica, basada en gran medida en firmas de malware conocido, es insuficiente. Hay que recordar también que a medida que pasa el tiempo, los fabricantes de soluciones de seguridad van implementando nuevas tecnologías de protección que pueden no ser compatibles con Windows XP.

Cualquiera que siga utilizando Windows XP debería ver esto como un recurso temporal mientras llevan a cabo una estrategia de migración. Los autores de malware sin duda seguirán atacando los sistemas Windows XP mientras haya un número significativo de equipos con este sistema, ya que la falta de parches les abre una gran ventana de oportunidades. Cualquier ordenador con Windows XP en una red se constituye en un eslabón débil que puede explotarse en un ataque contra la compañía, y si llega a infectarse se convertirá en una cabecera de playa de los ciberpiratas dentro de la red corporativa.

No hay duda de que cambiarse a un nuevo sistema operativo es incómodo y costoso, tanto para individuos como para compañías. Pero el riesgo potencial de usar un sistema operativo cada vez más inseguro definitivamente supera la incomodidad y el coste.

7. Debajo de las capas de la cebolla

Tor (abreviación de The Onion Router) es un software diseñado para que el usuario mantenga el anonimato cuando accede a Internet. Ha estado disponible por algún tiempo ya, pero por muchos años fueron principalmente los entusiastas y los expertos los que lo usaban. Sin embargo, el uso de la red Tor se ha disparado este año, en gran parte debido a la creciente preocupación por la privacidad. Tor se ha convertido en una útil solución para los que, por alguna razón, recelan la vigilancia y temen la fuga de sus datos confidenciales. Pero nuestros investigadores han remarcado el hecho de que Tor también es atractivo para los ciberpiratas que valoran el anonimato que ofrece.

Comenzamos a detectar a ciberpiratas haciendo uso activo de Tor para alojar sus infraestructuras maliciosas en 2013. Además de malware, encontramos muchos recursos relacionados, como servidores C2, paneles de administración y más. Al alojar sus servidores en la red Tor, los ciberpiratas dificultan su identificación, inclusión en listas negras y su eliminación. Existe también un mercado clandestino basado en Tor que incluye la compra-venta de programas maliciosos y datos personales robados, y los pagos suelen hacerse en Bitcoins, lo que les permite a los ciberpiratas permanecer ocultos. Tor permite a los ciberdelincuentes ocultar las operaciones de sus programas maliciosos, comerciar servicios ciberdelictivos y lavar sus ganancias ilegales.

En julio publicamos nuestro análisis de un troyano ransomware llamado ‘Onion‘ que rompió todos los moldes en su uso de Tor.

Los desarrolladores de malware para Android también han empezado a usar Tor. El troyanoTorec, una variación maliciosa del popular cliente Orbot Tor, usa un dominio en la pseudo zona .onion como un servidor C2. Algunas modificaciones del troyano ransomware Pletor también usan la red Tor para comunicarse con sus dueños.

Los ciberdelincuentes no siempre se salen con la suya a pesar de usar Tor, como se constató con una reciente operación policial a nivel mundial contra varios servicios de ciberdelincuentes en la red Tor (Operación Onymus).

malware_evolution_11

Esto plantea la pregunta de cómo las agencias policiales participantes lograron comprometer una red supuestamente ‘impenetrable’, porque, al menos en teoría, no hay forma de saber el lugar físico del servidor web que ofrece servicios ocultos. Sin embargo, hay formas de comprometer un servicio oculto que no involucran atacar la arquitectura de Tor, como podemos ver aquí. Un servicio alojado en Tor permanece seguro sólo si se lo configura apropiadamente, si no tiene vulnerabilidades o errores de configuración y si la aplicación web no tiene fallas.

8. El bueno, el malo y el feo

Por desgracia, el software no está claramente dividido entre buenos y malos programas. Siempre existe el riesgo de que el software desarrollado con fines lícitos lo usen los ciberpiratas de otra forma. En la Cumbre de Analistas de Kaspersky Lab 2014 realizada en febrero, remarcamos como la implementación inapropiada de tecnologías antirrobo residentes en el firmware de portátiles de marcas conocidas y algunos ordenadores de escritorio podría convertirse en una poderosa arma en las manos de los ciberdelincuentes. Nuestra investigación comenzó cuando un empleado de Kaspersky Lab experimentó repetidos colapsos en el sistema de uno de sus portátiles, relacionados con la inestabilidad en los módulos del software Computrace desarrollado por Absolute Software. Nuestro colega no había instalado este software y no sabía que estuviera en su equipo. Esto nos preocupó porque, de acuerdo al documento guía de Absolute Software, es el usuario quien debería hacer la instalación en su equipo del servicio IT que ofrecen. Además de esto, mientras que el usuario puede eliminar permanentemente o desactivar los programas preinstalados en su equipo, Computrace está diseñado para sobrevivir a una limpieza profesional del sistema e incluso al remplazo del disco duro. Más aun, no pudimos descartar este hecho como una ocurrencia aislada porque encontramos indicios similares de Computrace en los equipos personales de algunos de nuestros colaboradores y en algunos equipos corporativos. En consecuencia, decidimos llevar a cabo una profunda investigación.

La primera vez que observamos Computrace, pensamos erróneamente que se trataba de un programa malicioso, porque utiliza muchas técnicas comunes en el malware moderno. De hecho, este software se detectaba antes como malware, aunque hoy la mayoría de los productos antimalware permiten los ejecutables de Computrace.

Creemos que Computrace se desarrolló con buenas intenciones. Sin embargo, nuestra investigación reveló que los ciberdelincuentes podrían aprovechar algunas vulnerabilidades de este programa. En nuestra opinión, una herramienta tan poderosa como esta debería incorporar un sólido cifrado y autenticación. No encontramos ninguna evidencia de que los módulos de Computrace se hayan activado en secreto en los equipos que analizamos. Pero quedó claro que hay muchos equipos con agentes de Computrace activados. Creemos que es responsabilidad de los fabricantes, y de Absolute Software, notificar y explicar a quienes corresponda cómo desactivar el software si ya no quieren seguir usándolo. De otra manera, estos agentes huérfanos seguirán ejecutándose inadvertidamente ofreciendo oportunidades para su explotación remota.

En junio, publicamos los resultados de nuestra investigación de un programa ‘legal’ llamado Remote Control System (RCS), desarrollado por la compañía italiana HackingTeam. Descubrimos una función que puede usarse para identificar sus servidores C2. Esto nos permitió analizar todo el espacio IPv4 y encontrar todas las direcciones IP de los servidores C2 RCS en todo el mundo. Encontramos un total de 326, la mayoría en Reino Unido, Kazajistán y Ecuador. Varias IPs se identificaron como relacionadas con ‘gobiernos’, en base a su información WHOIS. Por supuesto, no podemos estar seguros de que los servidores localizados en un determinado país pertenezcan a las autoridades de ese país, pero esto tendría sentido, ya que se evitarían problemas internacionales y se eliminaría el riesgo de que los servidores caigan en otras manos. También encontramos varios módulos de programas maliciosos móviles de HackingTeam para Android, iOS, Windows Mobile y BlackBerry. Estos módulos se controlan con el mismo tipo de configuración, una buena señal de que están relacionados y de que pertenecen a la misma familia de productos. No es sorprendente que hayamos estado particularmente interesados en aquellos relacionados con Android y iOS debido a la popularidad de ambas plataformas.

Los módulos se instalan mediante infectadores, ejecutables especiales para Windows o Mac OS que se ejecutan en equipos ya infectados. El módulo para iOS soporta sólo los dispositivos decodificados. Esto limita su habilidad de propagación, pero el método de infección que usa RCS significa que un atacante puede ejecutar una herramienta decodificadora (como Evasi0n) desde el equipo infectado al que está conectado el teléfono, siempre y cuando éste no esté bloqueado. El módulo iOS le permite al atacante acceder a los datos guardados en el dispositivo (incluyendo correos, contactos, historial de llamadas, caché de páginas web), para activar en secreto el micrófono y sacar fotos con la cámara del dispositivo. Esto le brinda el control total de todo el ambiente dentro y fuera del ordenador de la víctima.

El módulo para Android está protegido con el optimizador/ofuscador DexGuard, así que fue difícil analizarlo. Pero logramos determinar que coincide con la funcionalidad del módulo para iOS, además de ofrecer soporte para información de secuestros desde las siguientes aplicaciones: ‘com.tencent.mm’, ‘com.google.android.gm’, ‘android.calendar’, ‘com.facebook’, ‘jp.naver.line.android’ y ‘com.google.android.talk’.

Estos nuevos datos resaltaron la sofisticación de estas herramientas de vigilancia. Nuestra política respecto a estas herramientas es muy clara. Buscamos detectar y remediar los ataques de malware, cualquiera que sea su origen y propósito. Para nosotros, no existe malware ‘correcto’ o ‘incorrecto’, y ya hemos publicado advertencias públicas sobre los riesgos de los programas spyware ‘legales’. Es imperativo que estas herramientas de vigilancia no caigan en las manos equivocadas, y es por esto que la industria de la seguridad informática no puede hacer excepciones a la hora de detectar programas maliciosos.

9. Privacidad y seguridad

La tensión continua entre la privacidad y la seguridad sigue ocupando titulares de prensa.

Entre el flujo normal y constante de casos de violaciones a la seguridad en este año, no sorprende que el incidente que capturó la atención del público fuera el robo y posterior publicación de fotografías explícitas de varias celebridades de Hollywood. Esta historia subraya la doble responsabilidad de los proveedores y los individuos en la protección de la información guardada online. Parece que el robo fue posible gracias a una grieta en la seguridad de iCloud: la interfaz ‘Find My iPhone’ no limitaba los intentos de introducir contraseñas, lo que les permitió a los atacantes usar fuerza bruta contra las contraseñas de las víctimas. Apple reparó esta falla poco después. Sin embargo, este ataque no hubiese sucedido si las víctimas no usaran contraseñas débiles. Cada vez más nuestras vidas se trasladan al mundo online. Pero muchos de nosotros no llegamos a considerar las implicaciones de guardar nuestros datos online. La seguridad de un servicio en la nube depende del proveedor. En el momento en que le confiamos nuestra información a un servicio de terceros, automáticamente dejamos de tener control sobre ella. Es importante escoger cuidadosamente la información que guardamos en la nube y decidir qué información se moverá automáticamente desde nuestros dispositivos hasta la nube.

El problema de las contraseñas sigue latente. Si elegimos una contraseña que sea demasiado fácil de adivinar, nos estamos exponiendo abiertamente a un robo de nuestra identidad. El problema se complica si reciclamos las mismas contraseñas en múltiples cuentas online: ¡si se compromete una cuenta, todas están en peligro! Es por esto que muchos proveedores, incluyendo Apple, Google y Microsoft, ahora ofrecen la autenticación de dos factores, es decir, piden a los usuarios que introduzcan un código generado por un token de hardware, o enviado a un dispositivo móvil, para acceder al sitio, o para hacer cambios en la configuración de sus cuentas. La autenticación de dos factores ciertamente mejora la seguridad, pero sólo si se la requiere, en lugar de ser sólo una opción.

Siempre existe una compensación entre seguridad y comodidad de uso. En un esfuerzo por cambiar este equilibrio, Twitter acaba de lanzar su servicio Digits. Sus clientes ya no necesitan crear un usuario y una contraseña para ingresar a una aplicación. En lugar de ello, sólo necesitan introducir su número telefónico. Reciben una contraseña de un solo uso para confirmar cada transacción; este código lo lee automáticamente la aplicación. Twitter se está convirtiendo en un mediador eficaz al verificar la identidad del cliente para el proveedor de la aplicación. Esto genera varias ventajas. Los consumidores ya no tienen que preocuparse por crear un usuario y una contraseña para abrir una cuenta con un proveedor de aplicaciones, y no necesitan tener una dirección de correo. Los desarrolladores de aplicaciones no necesitan crear su propio marco para verificar accesos, y no perderán clientes potenciales que no usan correo. Twitter entiende lo que sus clientes quieren. Además, el hecho de que no se guarden contraseñas en el servidor del proveedor de aplicaciones también es una ventaja, ya que una violación de la seguridad de su servidor no resultaría en la pérdida de datos personales de sus clientes. Sin embargo, si alguien pierde su dispositivo, o si se lo roban, el número de verificación seguirá funcionando y cualquiera con acceso al dispositivo podrá acceder a una aplicación de la misma manera que el dueño legítimo. Dicho esto, no representa un paso hacia atrás en seguridad en comparación al tradicional método de usuario y contraseña. Actualmente, las aplicaciones móviles no obligan a acceder cada vez que se ejecuta una aplicación, de manera que si al usuario le roban su teléfono, y no usa un PIN, una clave de acceso o huella digital, el ladrón tendrá acceso a todo: correo, redes sociales y aplicaciones. En otras palabras, la seguridad depende de una sola falla: el PIN, el código de acceso o la huella digital utilizada para acceder al dispositivo.

En respuesta a la creciente preocupación sobre la privacidad, los desarrolladores del sitio web ‘pwnedlist.com’, han creado una interfaz de fácil uso que le permite al usuario verificar si su dirección de correo y contraseñas han sido robadas y publicadas online. Este año el servicio ha dejado de ser gratuito.

La respuesta de Apple y Google ante los crecientes temores de la pérdida de privacidad fue la de activar el cifrado por defecto de los datos en los dispositivos iOS y Android, algo que algunas autoridades policiales creen que favorece a los ciberdelincuentes, permitiéndoles evadir la detección antimalware.

10. Acciones policiales internacionales: la cooperación da sus frutos

La ciberdelincuencia se ha incrustado en la vida moderna, en la sombra de nuestras cada vez más numerosas actividades online. Resulta tentador imaginar que los ciberdelincuentes son capaces de obrar impunemente, pero las acciones policiales pueden tener un gran impacto en sus actividades. La cooperación internacional es particularmente importante, dada la naturaleza global de la ciberdelincuencia. Este año hemos vistos algunos notables éxitos policiales.

En junio, una operación que involucró a agencias policiales de varios países, incluyendo la NCA del Reino Unido y el FBI, logró desmantelar al grupo mundial responsable de la red zombi GameoverZeus.

La operación policial (Operation Tovar) interrumpió las comunicaciones que sostenían a esta red zombi, evitando que los ciberdelincuentes la sigan controlando. GameoverZeus fue una de las mayores redes zombi que operaban con el código del troyano bancario Zeus. Además de infectar a equipos con el troyano Zeus y de robar credenciales de cuentas de correo, redes sociales, banca online y de otros servicios financieros, esta red zombi también distribuía el programa ransomware Cryptolocker. La campaña policial ofreció a las víctimas una pausa para que puedan desinfectar sus equipos.

A principios de este año, Kaspersky Lab participó en una alianza entre autoridades policiales y organizaciones de la industria, coordinada por la NCA, para colapsar la infraestructura detrás del troyano Shylock. El troyano bancario Shylock, llamado así porque su código contiene extractos de la obra el Mercader de Venecia de Shakespeare, se descubrió en 2011. Como otros reconocidos troyanos bancarios, Shylock es un ataque hombre-en-el-medio diseñado para robar credenciales bancarias desde los ordenadores de los clientes de un banco. Este troyano utiliza una lista preconfigurada de bancos objetivo, localizados en diferentes países en todo el mundo.

En noviembre, la Operación Onymus resultó en el desmantelamiento de mercados clandestinos alojados en la red Tor.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *