En 2018, los atacantes utilizaron diferentes artimañas, tanto nuevas (minería de moneda o coin-mining) como antiguas (suplantación de identidad o phishing), en su búsqueda continua de robar datos y recursos a clientes y organizaciones.
Otra área en la que los ciberdelincuentes incrementaron su actividad es la cadena de suministro.
Ransomware, minería de criptomoneda y dinero
El ransomware intervino en los casos de seguridad más importantes de 2017. Los ataques notables de WannaCrypt y Petya en todo el mundo impulsaron la sensibilización general del ransomware (un tipo de malware que bloquea o cifra los ordenadores y, después, exige dinero para devolver el acceso) y muchos especularon con que no dejaría de aumentar en el futuro. Por el contrario, los encuentros de ransomware disminuyeron significativamente en 2018.
Las tasas de encuentros de ransomware disminuyeron aproximadamente un 60 por ciento entre marzo de 2017 y diciembre de 2018, con aumentos intermitentes durante ese período.
Probablemente hay muchas causas para este declive general, aunque los investigadores de seguridad de Microsoft sospechan que un factor principal es que tanto los usuarios finales como las organizaciones están adquiriendo más consciencia y están tratando de forma más inteligente las amenazas de ransomware, incluido el ejercicio de una mayor cautela y la realización de copias de seguridad de los archivos importantes para que se puedan restaurar si se cifran mediante ransomware.
Minería de criptomoneda en auge
La criptomoneda es dinero virtual que se puede utilizar para comprar y vender bienes y servicios de forma anónima, tanto online como en el mundo físico.
Existen muchos tipos diferentes de criptomonedas, pero todas se basan en la tecnología de cadena de bloques, en la que cada transacción se registra en un libro mayor distribuido que mantienen miles o millones de ordenadores en todo el mundo.
Las nuevas monedas se crean, o "extraen", mediante ordenadores que realizan cálculos complejos que también sirven para verificar las transacciones de cadena de bloques.
La minería de moneda puede ser muy lucrativa (en 2018, un solo bitcoin, la criptomoneda más antigua y popular, valía varios miles de dólares estadounidenses), pero la realización de los cálculos necesarios puede requerir muchos recursos y aumentan a medida que se extrae cada nueva moneda.
Para las monedas populares como el bitcoin, la minería de moneda rentable es casi imposible si no se accede a inmensos recursos informáticos que están fuera del alcance de la mayoría de los individuos y grupos pequeños. Por este motivo, los atacantes que buscan ganancias ilícitas han recurrido cada vez más al malware con el que pueden utilizar los ordenadores de las víctimas para ayudarlos a la minería de criptomoneda.
Este enfoque les permite aprovechar la potencia de procesamiento de cientos de miles de ordenadores en lugar de uno o dos. Aunque se descubra una infección menor, la naturaleza anónima de la criptomoneda complica los esfuerzos para localizar a los responsables.
Mineros de criptomoneda basados en exploradores: un nuevo tipo de amenaza
Hacen referencia a mineros de criptomoneda maliciosos que están diseñados para instalarse en los ordenadores de las víctimas como malware.
Algunas de las amenazas más significativas de minería de criptomoneda se basan completamente en exploradores web y no es necesario instalarlas.
Una serie de servicios anuncian la minería de criptomoneda basada en explorador como una manera para que los propietarios de sitios web moneticen el tráfico a sus sitios sin depender de la publicidad.
Los propietarios de los sitios deben añadir código JavaScript a sus páginas para realizar la minería de criptomoneda en segundo plano mientras un usuario visita el sitio y las ganancias se dividen entre el propietario del sitio y el servicio.
Al igual que los troyanos de minería de criptomoneda, los sistemas de minería basados en explorador pueden degradar considerablemente el rendimiento del ordenador y desperdiciar electricidad mientras un usuario visita una página web afectada.
Cadenas de suministro de software en peligro
En un ataque a la cadena de suministro, el atacante se concentra en comprometer el proceso de desarrollo o actualización de un editor de software legítimo.
Si tiene éxito, el atacante puede incorporar un componente comprometido en una aplicación legítima o en un paquete de actualización que después se distribuye a los usuarios del software. El código malicioso se ejecuta con la misma confianza y los mismos permisos que el software.
El aumento del número de ataques a la cadena de suministro de software en los últimos años se ha convertido en un tema importante en muchas conversaciones sobre ciberseguridad y es un foco principal de preocupación en muchos departamentos de TI.
El primer incidente importante en la cadena de suministro de software de 2018 sucedió el 6 de marzo, cuando Windows Defender ATP bloqueó una campaña masiva para entregar el troyano Dofoil (también conocido como Smoke Loader). Se rastreó la campaña masiva de malware hasta una aplicación punto a punto envenenada.
El paquete de actualización de la aplicación se reemplazó por uno malicioso que descargaba código comprometido, el cual instaló el malware Dofoil. El sofisticado troyano llevaba una carga para la minería de moneda y presentaba técnicas avanzadas de inserción de procesos cruzados, mecanismos de persistencia y métodos de evasión.
Los ataques a la cadena de suministro son insidiosos porque se aprovechan de la confianza que los usuarios y los departamentos de TI depositan en el software que utilizan.
El software comprometido a menudo está firmado y certificado por el proveedor, y puede no dar ninguna señal de que algo esté mal, lo que hace que sea considerablemente más difícil detectar la infección.
Pueden dañar la relación entre las cadenas de suministro y sus clientes, ya sean empresas o usuarios domésticos.
Al infectar el software y socavar las infraestructuras de entrega o actualización, los ataques a la cadena de suministro pueden afectar a la integridad y seguridad de los bienes y servicios que proporcionan las organizaciones.
Los riesgos de la cadena de suministro se extienden al código en el cloud, código abierto, bibliotecas web, contenedores y otros objetos en el cloud. Estos riesgos, junto con el alto grado de variación entre los incidentes de cadena de suministro de software y hardware que han salido a la luz, convierten a este tipo de ataques en una categoría de amenaza amplia.
La suplantación de identidad (phishing) sigue prevaleciendo
En 2018, los analistas de amenazas de Microsoft han podido constatar que los atacantes siguen utilizando la suplantación de identidad (phishing) como método de ataque preferido.
La suplantación de identidad promete seguir siendo un problema en un futuro cercano, ya que implica decisiones y juicios humanos ante los persistentes esfuerzos de los ciberdelincuentes por hacer que las víctimas caigan en su anzuelo.
La proporción de correos electrónicos entrantes que eran mensajes de suplantación de identidad aumentó un 250 por ciento entre enero y diciembre de 2018.
Los investigadores de Microsoft han descubierto que en las campañas se emplean muchos tipos diferentes de engaños de suplantación de identidad (phishing) o cargas útiles, entre los que se incluyen:
• Suplantación de dominios: el dominio de los mensajes de correo electrónico coincide exactamente con el nombre de dominio original.
• Simulación de dominios: el dominio de los mensajes de correo electrónico es parecido al nombre de dominio original.
• Suplantación de usuario: el mensaje de correo electrónico parece provenir de alguien en quien se confía.
• Señuelos de texto: el mensaje de texto parece provenir de una fuente legítima como un banco, una agencia gubernamental u otra empresa para dar legitimidad a sus reclamos y típicamente le pide a la víctima que proporcione información confidencial, como nombres de usuario, contraseñas o datos financieros confidenciales.
• Enlaces de suplantación de credenciales: el mensaje de correo electrónico contiene un enlace a una página que se parece a una página de inicio de sesión de un sitio legítimo, por lo que los usuarios introducen sus credenciales de inicio de sesión.
• Archivos adjuntos de suplantación de identidad: el mensaje de correo electrónico contiene un archivo adjunto malicioso que el remitente invita a la víctima a abrirlo.
• Enlaces a ubicaciones de almacenamiento en el cloud falsas: el mensaje de correo electrónico parece provenir de una fuente legítima e incita al usuario a dar permiso o introducir información personal, como credenciales, a cambio de acceder a una ubicación de almacenamiento en el cloud falsa.
Malware en todo el mundo
El malware plantea riesgos para las organizaciones y los individuos que se traducen en deterioro de la usabilidad, pérdida de datos, robo de propiedad intelectual, pérdida de dinero, angustia emocional e incluso puede poner en peligro la vida.
Las tasas de encuentros de malware oscilaron entre alrededor del 5 por ciento y más del 7 por ciento en 2017. A principios de 2018 se elevaron antes de disminuir durante la mayor parte del año a poco más del 4 por ciento.
Información extraída del Informe de inteligencia de seguridad de Microsoft, volumen 24
Jose Maria Acuña Morgado - Desarrollador Web