Los ciberataques jamás han visto un grado de sofisticación tan a la mano de los criminales. Por desgracia, 2017 ha sido un año terriblemente prolífico para los hackers, quienes han puesto las preocupaciones por la seguridad a la orden del día. Es hora de entender el nuevo panorama de la seguridad informática, una escena que está evolucionando y alimenta las extorsiones y las “herramientas personalizadas” para delinquir a través de la red de redes.
Ransomware, el verdadero protagonista
Tal y como analizamos en el Informe Anual de PandaLabs 2017, lo que ha quedado claro en 2017 es que la extorsión y el cibersecuestro han sido las principales vías de ataque. Este pasado año marcó un hito con la expansión de dos grandes ataques cuyos nombres quedarán en la Historia: WannaCry y Petya/Goldeneye.
Especialmente el primero, con cientos de miles de ordenadores infectados e inutilizados, ha supuesto una alarma global para las empresas, quienes se han visto chantajeadas por los cibercriminales a cambio de liberar su información. Pero WannaCry no es el único. Otros importantes ataques de 2017 relacionados con el ransomware han sido Reyptson, Leakerlocker, Osiris o WYSIWYE. Por su parte, Petya/Goldeneye supuso también un ataque brutal, capaz de infectar a miles de sistemas en apenas minutos.
En este caso, esta variante de Goldeneye según apuntaban las autoridades ucranianas, tenía una clara intención política de inutilizar sistemas críticos del país. La propagación debida a los fallos de seguridad en el servicio de actualización de MeDoc, debido a la variante ETERNALBLUE, que aprovecha una vulnerabilidad de Microsoft o la incorporación inadvertida de una ejecución remota mediante PSEXEC o WMI, explican su alta eficacia. Tampoco hay que perder de vista los tradicionales ataques DDoS que siguen siendo usados de forma muy común, así como la proliferación de todo tipo de malware, cuya acción sigue asociándose a la mitad de las brechas de seguridad del pasado año.
Más ataques y mejores técnicas
Otro aspecto crucial del 2017 es el aumento en técnicas y ataques que hemos podido observar. Como decíamos, la sofisticación se ha incrementado de manera evidente, algo que podríamos achacar, probablemente, a la proliferación de “herramientas” en el mercado negro. La democratización de la tecnología y el auge de las soluciones de código abierto han brindado una increíble capacidad a los cibercriminales.
Ahora, prácticamente cualquiera puede comprar un malware especializado para realizar un ataque de ransomware por unos pocos cientos de dólares en el mercado negro. Este es el caso de WYSIWYE, una interfaz que permite realizar un ataque a una red a través del Protocolo de Escritorio Remoto mediante bruteforcing para ganar acceso. Una vez dentro, se puede encriptar el contenido con la intención de extorsionar posteriormente a la empresa para su recuperación.
Otro ejemplo de sofisticación en aumento es la puerta trasera descubierta en el software CCleaner, conocido como HackCCleaner, que comprometió a más de dos millones de usuarios antes de que los analistas se percatasen de que su aplicación había sido infectada.
La penetración mediante el Protocolo de Escritorio Remoto (o RDP) se ha convertido en un método muy común en los ataques actuales. Así, durante 2017 se descubrió el troyano Trj/RDPPatcher, capaz de modificar los registros de Windows con la intención de cambiar el tipo de orden de validación del RDP. Este recoge la información del sistema y se conecta al servidor de control (C&C server) para decidir la mejor manera de evadir el control de los antivirus del sistema.
Comienza una nueva era en la ciberguerra
A medida que crece la eficiencia y el número de técnicas empleadas también lo hace el interés de las compañías, entidades gubernamentales y de los cibercriminales para perpetrar más ataques. Así, en 2017 se detectó la presencia de nuevos grupos de cibercriminales que aprovechan este aumento en la disponibilidad de herramientas para el hackeo. El caso “Eye Pyramid” es un ejemplo de estos grupos dedicados al espionaje mediante delitos informáticos.
Otras organizaciones criminales optan por obtener información de consumo para piratear contenidos. Especialmente importantes son las filtraciones relacionadas con grandes empresas y productoras como Netflix o Marvel. Pero también casos como el de “Turkish Crime Family” contra Apple muestra que el objetivo de estos cibercriminales es muy variado.
Esto supone que millones de Gigabytes de datos personales se ponen en peligro día tras día a pesar de los esfuerzos por prevenirlo. Esto es solo la consecuencia de una lucha cada vez más compleja y que evoluciona rápidamente, donde muchos países están haciendo importantes apuestas en ciberseguridad a la vez que el tejido tecnológico ve cómo su horizonte crece y se expande hacia el IoT, los coches conectados y un sinfín más de campos de batalla potenciales.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
