El crimeware ha avanzado significativamente en los últimos años. En el Informe de Investigaciones de Brechas de Datos 2015 (DBIR) de Verizon, el crimeware –que constituía el 25% de los incidentes de malware– se describe como "infecciones de malware representativas dentro de organizaciones que no están asociadas con patrones de clasificación más especializados”. En este consejo, voy a discutir el estado actual del crimeware y por qué es importante hacer un seguimiento de incidentes para averiguar qué acciones están intentando los programas maliciosos en su entorno.
Ataques de crimeware motivados por el dinero
La información financiera sensible es un objetivo clave para los atacantes de crimeware, ya que permite el acceso directo a las cuentas bancarias, lo que permite transferencias de fondos a cuentas controladas por el atacante. Si bien los atacantes se han dado cuenta que apuntar a terminales de punto de venta es altamente efectivo, apuntar a usuarios finales individuales también es muy lucrativo. El crimeware es principalmente motivado por las finanzas y tiene como objetivo acceder directamente a cuentas bancarias o robar dinero a través de una serie de técnicas. Estas incluyen rastrear solicitudes a sitios bancarios y subrepticiamente redirigir al usuario a un sitio malicioso para robar sus credenciales a través de servidores de comando y control, la instalación deransomware (como TeslaCrypt) para obligar a los usuarios a pagar para acceder a sus datos, y el robo de contraseñas almacenadas en computadoras con el fin de acceder a los sistemas financieros. El crimeware de comando y control es la variante más popular, pero un cambio este año ha demostrado que los atacantes se están moviendo más hacia la denegación de servicio como un vector de ataque. Esto permite que el atacante exija un rescate a la víctima con el fin de restablecer el servicio.
Un ejemplo reciente de crimeware es la variante de Dyre, que utiliza la técnica de redirección para robar credenciales de sitios de banca. El software esperará hasta que el usuario trata de acceder a un sitio web de banca antes de redirigir a su navegador a un clon del sitio, que está alojado en un dominio controlado por el atacante. Cuando la víctima ingresa sus credenciales en la página web clonada, éstas se envían a los servidores de comando y control para su procesamiento. El método de entrega del crimeware es generalmente un archivo adjunto malicioso en un correo electrónico de phishing. Dyre es un ejemplo de la creciente sofisticación de cómo opera el crimeware, ya que utiliza una dirección generada aleatoriamente para comunicarse con el servidor de comando y control, con el fin de evadir los métodos de detección que utilizan direcciones URL en listas negras para bloquear el acceso.
No renuncie a la investigación formal
El Verizon DBIR muestra que los incidentes de crimeware son menos propensos a ser investigados formalmente que otros tipos de incidentes. Sin embargo, estos incidentes deben ser sometidos a los mismos procedimientos de investigación formal que otros incidentes. Aunque, en algunos casos, esto no es siempre factible (ataques oportunistas en usuarios domésticos, por ejemplo). Cuando el crimeware se introduce en los sistemas de una organización, se debe llevar a cabo una investigación exhaustiva, ya que todavía se puede utilizar como un método para extraer datos corporativos sensibles, incluso si este no era su objetivo original.
El crimeware también se distribuye a menudo como parte de un exploit kit (como Angler o Nuclear), y por lo tanto el descubrimiento de ciertas cepas de crimeware puede ser un indicador de nuevas infecciones. Como organización, es necesario entender cómo se producen estas infecciones con el fin de identificar el punto débil en sus defensas. El punto de infección más probable es a través de phishing de correo electrónico, lo que significa que posiblemente sea necesaria capacitación de la conciencia del personal y que los filtros de correo electrónico pueden necesitar ajustes. Sin la investigación de los casos individuales, no aprenderá nada y su sistema seguirá siendo vulnerable.
Los programas de seguridad más maduros son capaces de detectar intrusiones de crimeware, pero no tienen la mano de obra o la disposición de gastar el dinero necesario para investigar cada incidente. La mayoría del crimeware todavía implica intrusiones que tienen como objetivo contactar servidores de comando y control; sin embargo, esta emergiendo una tendencia reciente en los ataques al estilo de denegación de servicio distribuidos a través de crimeware –lo que podría denominarse "crimeware como servicio”– donde malware específico puede ser diseñado y entregado. Para mitigar la amenaza, se necesita una estrategia de defensa en profundidad. Controles técnicos fuertes, combinados con un programa continuo de concientización para el personal, pueden ayudar a prevenir la mayoría de los ataques de crimeware. La inversión en sistemas de monitoreo y una voluntad de investigar los incidentes puede ayudar a una organización a encontrar cómo se produjo una infección, con el objetivo de evitarlo la próxima vez.
Sobre el autor: Rob Shapland es un examinador de penetración senioren First Base Technologies, donde se especializa en seguridad de aplicaciones web. Ha usado sus habilidades para probar los sitios web de empresas que van desde grandes corporaciones a pequeñas empresas, utilizando una amplia variedad de tecnologías web.
