El resumen de diciembre ya es una tradición que no nos podemos saltar. Así que, ¡comencemos!
Ransomware
El año pasado por estas fechas, llamamos al 2016 el año del ransomware. De hecho, hubo muchos cifradores y bloqueadores de todo tipo, y la escala general de infección fue bastante grave. Pero resulta que el título de “año del ransomware” pertenece en realidad al año 2017. Las epidemias de WannaCry, ExPetr y BadRabbit no se parecen a nada que hayamos visto antes. En términos de alcance, WannaCry solo se puede comparar con el brote mundial del gusano Conficker, una de las mayores epidemias que se recuerda y que ocurrió entre 2008 y 2009.
Eso sí, nuestros expertos vaticinan que el 2018 no será de nuevo el año del ransomware. Su puesto en la cima de las amenazas comunes más temidas lo ocuparán los mineros de criptomonedas, que ya están cobrando fuerza. Pero hablaremos de ellos más adelante.
Ataques a empresas financieras
En 2017 hubo varios ataques a organizaciones financieras, un objetivo común de los cibercriminales. En octubre, nuestros expertos descubrieron en la Dark Web un nuevo malware llamado Cutlet Maker, que afecta a cajeros automáticos. Con unos pocos miles de dólares, hasta los hackers novatos podrían emprender ataques devastadores contra cajeros automáticos, pues dicho malware incluía instrucciones y casi todo lo necesario para llevar a cabo el robo. A algunos intrusos desafortunados los cogieron con las manos en la masa, pero los creadores del malware amasaron una fortuna.
Otra tendencia actual de esta área son los ataques desde la propia estructura de los bancos. En octubre, descubrimos un nuevo grupo de ciberdelincuentes llamado Silence que ataca organizaciones financieras. La mayoría de las víctimas eran bancos rusos y el grupo en sí parecía ser de habla rusa. Se podría decir que eran los herederos de Carbanak, un grupo que en 2015 salió en los titulares por un ataque contra los bancos.
Ataques dirigidos
Silence es una de las muchas campañas de ataques dirigidos, o APT (amenaza persistente avanzada por sus siglas en inglés). A lo largo del 2017, hemos detectado unos 100 grupos de hackers activos de este tipo. El doble que en 2016. Es más, sólo unos diez, Silence entre ellos, tenían intereses comerciales, el resto se han dedicado al ciberespionaje y a recopilar información de agencias estatales y empresas petroleras y de gas. Esto es básicamente lo que predijimos a finales del año pasado: ha habido grupos de hackers que han empezado a operar activamente para grupos económicos y políticos.
Otro nuevo vector para ataques dirigidos que hemos visto este año son los proveedores de software cuyos productos usan las grandes empresas. El resultado es que los delincuentes han caído en la cuenta de que es más fácil ir a por el software que usan que atacar sistemas corporativos impenetrables.
Un buen ejemplo es el famoso ataque llevado a cabo por el grupo Axiom contra el desarrollador de CCleaner, una popular herramienta para la limpieza del registro de Windows. Los hackers inyectaron un código malicioso en una actualización de este programa que se descargaron alrededor de dos millones de usuarios de todo el mundo. Las víctimas fueron un grupo selecto de 20 grandes empresas. Una vez que la actualización maliciosa penetró en sus sistemas, los malhechores continuaron indagando en su sistema.
El cifrado y la minería
El precio del Bitcoin ha multiplicado por 15 su valor a lo largo de este año y el de Ethereum lo ha hecho por 48. Las criptomonedas han tenido un impacto nunca visto en la economía mundial de este año y han cambiado el mercado de inversiones de riesgo: los fondos recaudados por los ICO en 2017 llegaron a los 3,5 mil millones de dólares, mientras que el formato más tradicional OPI recaudó solo mil millones de dólares.
Como esperábamos, el resultado fue la aparición de nuevas amenazas y vulnerabilidades. Para empezar, se abrió la veda a una amplia variedad de ataques, desde phishing y hackeos, hasta la sustitución de la dirección del monedero de Bitcoin en el portapapeles. Hemos llegado a ver una nueva modificación del conocido spam nigeriano, en el cual se le ofrecía a la gente tokens a cambio de compartir la dirección de su monedero (si das tu dirección, te roban el dinero.) Se robaron 300 millones de dólares, o lo que es lo mismo, una décima parte de los fondos recaudados por las ICO en 2017.
Pero eso no es todo. La realidad actual da rienda suelta a nuevas formas de enriquecimiento. Una de ellas es la minería de criptomonedas, que manipula principalmente el navegador. Se infectan las webs con un script que permite a los ordenadores de los visitantes minar sin su consentimiento.
Así que ahora, una vez analizado lo que ha estado pasando en el mundo de la ciberseguridad, podemos contarte lo que está por venir.
Predicciones para 2018
- Los ataques a los proveedores de software se van a multiplicar. Los casos de CCleaner y M.E.Doc (una empresa de software cuyo servidor de actualizaciones se usó para distribuir ExPetr) demostraron claramente que un ataque exitoso enfocado a un solo programa puede poner en riesgo a todos sus usuarios potenciales.
- Los ataques automatizados a los cajeros automáticos y las soluciones fuera de lo común para hackearlos. Hasta ahora hemos visto que se han hackeado cajeros automáticos con una memoria flash empleando métodos rudimentarios. Claramente, este método no es totalmente efectivo con los cajeros que cuenten con vigilancia constante, pero ello no alejará a los ciberdelincuentes, pues desarrollarán nuevos métodos de hackeo y algunos serán en remoto.
- Ataques a nuevos dispositivos a nivel profundo del sistema operativo. El vector de los ataques dirigidos ya se está pasando de los ordenadores tradicionales a las nuevas plataformas, como los smartphones y el IoT. Los ciberdelincuentes intentan intervenir en un nivel más bajo dentro del sistema operativo para evitar la detección de los sistemas de control de protección, por ejemplo, a nivel UEFI, el firmware del procesador que se ejecuta antes que el sistema operativo.
- Más ataques dirigidos mediante ransomware. Los ciberdelincuentes ya saben perfectamente cómo actuar contra las grandes empresas, escogiendo cuidadosamente el momento del ataque. Por ejemplo, ExPetr cifró archivos pocos días antes de la presentación de declaración de impuestos, con el objetivo de que la empresa pagara lo antes posible. Es probable que acaben sucediendo más historias como esta.
- El fraude en el cifrado y los ataques a valores virtuales de la cadena de bloques. Atacar a cuentas de criptomonedas y minar ilegalmente a expensas de particulares o empresas resulta más rentable que andar persiguiendo sistemas de banca online tradicional. Además del acelerado crecimiento de la minería encubierta, estamos a punto de presenciar nuevos tipos de ataques a monederos, además de vulnerabilidades en la cadena de bloques. Y dado que se crean valores de cifrado sin parar (por ejemplo, el famoso CryptoKitties), es fácil afirmar que estarán en el punto de mira de los ciberdelincuentes.
Tendremos que esperar y ver cuáles de estas predicciones se materializan. Pero, por el momento, ¡pasa unas buenas fiestas y cuídate!