Kaspersky Security Bulletin 2014. Predicciones para 2015

Los ciberpiratas se fusionan con APT

En 2015 esperamos ver otra etapa en el desarrollo de las actividades ciberdelictivas con la adopción de las tácticas y técnicas de APT en actividades ciberdelictivas relacionadas con el ámbito financiero.

En el transcurso de una reciente investigación, descubrimos un ataque en el que el equipo de un contable se atacó y usó para iniciar una significativa transferencia con una institución financiera. Esto representó la aparición de una tendencia interesante: ataques dirigidos directamente contra bancos.

Estamos ante un alza en la cantidad de incidentes relacionados con programas maliciosos en los que se ataca a bancos con métodos propios del arsenal APT. Una vez que los atacantes penetran las redes de los bancos, drenan la información que les permita robar dinero directamente del banco en varias formas:

• Lanzando ataques remotos contra ATMs.
• Realizando transferencias SWIFT desde varias cuentas de clientes.
• Manipulando los sistemas bancarios online para realizar transferencias en segundo plano.

Estos ataques son un indicio de que los ciberpiratas están adoptando el estilo de los ataques APT para atacar instituciones financieras.

Los grupos APT se fragmentan, los ataques se diversifican

La identificación con nombre y apellido de grupos APT en 2014 los expuso públicamente y se acusó a un grupo de hackers de realizar acciones de ciberespionaje contra compañías estadounidenses.

A medida que los equipos de seguridad continúen intentando exponer a los equipos gubernamentales responsables de los ataques ATP, esperamos ver un cambio en 2015, en el que los grandes y activos grupos de APT se fragmenten en pequeñas unidades que operen de forma autónoma. A su vez, esto resultará en una multiplicación de ataques que alcanzarán a más compañías, a medida que estos pequeños grupo diversifiquen sus ataques. Al mismo tiempo, significa que las grandes compañías que eran atacadas por dos o tres grandes grupos de atacantes APT (por ejemplo Comment Crew y Webky) serán blanco de ataques más diversos, provenientes de más fuentes.

Código antiguo, nuevas vulnerabilidades (peligrosas)

Las recientes acusaciones de alteraciones y fallas accidentales en las implementaciones de cifrado (“goto fail”), y vulnerabilidades críticas en software esencial (Shellshock, Heartbleed, OpenSSL) han hecho que la comunidad sospeche de los programas no auditados. La reacción ha sido de lanzar auditorías independientes de programas clave o llamar a expertos en seguridad para que los analicen en busca de vulnerabilidades críticas (equivalente a una auditoría no oficial). ššEsto significa que 2015 será otro año de nuevas y peligrosas vulnerabilidades que irán apareciendo en códigos antiguos, exponiendo la infraestructura de Internet ante ataques peligrosos.

Aumento de ataques ATM y POS

Los ataques contra cajeros automáticos(ATM) parecían explotar este año con varios incidentes públicos y la urgencia de las autoridades para responder globalmente ante esta crisis. Un corolario de esta publicidad es la concienciación de que los cajeros automáticos son presa codiciada para los ciberpiratas. Puesto que muchos de estos sistemas usan la plataforma Windows XP y sufren de una frágil seguridad física, de por sí son increíblemente vulnerables y, como guardianes impersonales del dinero de las instituciones financieras, los ciberdelincuentes saben que son su cabecera de playa.

En 2015, esperamos ver un mayor desarrollo de estos ataques contra ATMs con el uso de técnicas de ataques APT para acceder al “cerebro” de estas máquinas.š La próxima etapa será la de atacantes que penetren las redes de los bancos y usen ese nivel de acceso para manipular las máquinas ATM en tiempo real.

Ataques contra Mac: Redes zombi OS X

A pesar de los esfuerzos de Apple para asegurar su sistema operativo Mac, seguimos viendo programas maliciosos que se propagan mediantes torrentes y programas pirateados. La creciente popularidad de los dispositivos Mac OS X está llamando la atención en el mundo de la ciberpiratería, ya que se hace más atractivo desarrollar programas maliciosos para esta plataforma. Su ecosistema cerrado por defecto dificulta que este malware capture la plataforma, pero queda una subsección de usuarios que gustosos desactivarían las medidas de seguridad de Mac OS X, especialmente los que quieren usar software pirateado. Esto significa que los que buscan capturar sistemas OS X por varias razones, saben que sólo tienen que atar sus programas maliciosos con los programas que los usuarios buscan (probablemente en la forma de un generador de llaves) para lograr sus cometidos. Debido a la creencia general sobre la seguridad de la plataforma OS X, también es dudoso que estos sistemas cuenten con una solución antimalware instalada que neutralice la infección una vez que se instale el programa malicioso, por lo que es probable que este malware pase desapercibido por mucho tiempo.

Ataques contra máquinas de billetes

Incidentes como elš hackeo en el transporte público en Chile muestran un interés en abusar los recursos públicos, como los sistemas de transporte. Algunos hackers no buscan una recompensa lucrativa con este tipo de ataques y se contentan con viajar gratuitamente y darse el gusto de cometer un acto de desobediencia civil al compartir su habilidad con otros. Sin embargo, los sistemas de billetes están demostrando ser vulnerables (muchos de ellos se ejecutan con Windows XP), y en muchas ciudades también aceptan transacciones directas con tarjetas de crédito. Esperamos ver ataques atrevidos contra estos sistemas para competir con el sistema o para robar datos de tarjetas de crédito.

Ataques contra sistemas de pago virtual

La sabiduría popular nos dice que los ciberdelincuentes están buscando monetizar sus logros maliciosos de la forma más sencilla y eficiente posible. ¿Qué mejor blanco que los sistemas de pago virtuales que aún se encuentran en pañales? A medida que algunos países, como Ecuador, se apuren en adoptar sistemas de pago virtual, prevemos que los ciberpiratas no perderán ninguna oportunidad para explotarlos. Ya sea usando técnicas de ingeniería social para los usuarios, atacando los puntos finales (teléfonos móviles en muchos casos), o hackeando directamente los bancos, los ciberpiratas se lanzarán con ataques directos sobre los sistemas de pago, que sufrirán el impacto.

Estos temores pueden ampliarse a la nueva plataforma de pago Apple Pay que utiliza NFC (Near Field Communications) para manejar las transacciones inalámbricas de los consumidores.š Se trata de un mercado maduro en la investigación de seguridad y esperamos que aparezcan las advertencias de vulnerabilidades en Apple Pay, billeteras virtuales y otros sistemas de pago virtuales.

Sistema de pago de Apple

Los ataques anteriores se centraban en sistemas de pago NFC, pero gracias a su limitada adopción, no han sido muy lucrativos. Se supone que Apple Pay cambiará esto. El entusiasmo por esta nueva plataforma de pagos va a disparar su adopción e inevitablemente atraerá la atención de los ciberdelincuentes ansiosos por lucrar con estas transacciones. El diseño de Apple posee un elevado enfoque en la seguridad (como datos virtualizados de transacciones), pero estamos a la expectativa de cómo los hackers intentarán explotar las características de esta implementación.

Ataques contra el Internet de Cosas

Los ataques contra el Internet de Cosas (IoT)) se han limitado a pruebas de concepto y (a veces sobrevaloradas) advertencias de que los televisores y refrigeradores inteligentes serán blanco de los hackers para crear redes zombi o lanzar ataques maliciosos.

A medida que aparezcan más de estos dispositivos conectados esperamos ver una amplia discusión sobre seguridad y privacidad, especialmente entre los fabricantes.š En 2015, con seguridad habrá ataques desde Internet contra impresoras en red y otros dispositivos conectados, que un avanzado atacante pueda utilizar para mantener movimientos persistentes y laterales dentro de una red corporativa.š Esperamos ver dispositivos IoT formando parte del arsenal de los grupos APT, especialmente si se trata de blancos de alto perfil en los que la conectividad conduce a procesos industriales y de manufactura.

En el lado del consumidor, los ataques IoT se verán limitados a demostraciones de debilidades en las implementaciones de protocolos y a la posibilidad de incrustar publicidad (¿adware/spyware?) en la programación de los televisores inteligentes.