SATORI, "el despertar" de los botnets y los otros desafíos de 2018 para la seguridad cibernética

(Para Ciro Metuarata)

08/01/18

Comprender cuáles serán las tendencias más importantes para el año que acaba de abrirse sobre el tema de seguridad cibernética, ciertamente no es simple. Consultando i reporte De hecho, entre las compañías de seguridad informática más famosas, existe el riesgo de perderse entre la multitud de amenazas a las que se hace referencia como "emergentes" para el 2018. En definitiva, no hay sector de dimensión. ciber en el que se informa de una amenaza que no es capaz de poner en peligro la seguridad de los sistemas y la información de empresas, instituciones y usuarios simples. Sin embargo, algunos de ellos me han llamado la atención porque, sin tener la presunción de hacer pronósticos para el resto del año, creo que se hablará de ellos en los próximos meses. Por ejemplo, el botnet Bautizado Satori ("el despertar", según el budismo zen), una nueva y aún más peligrosa variante de una amenaza cibernética ya "explotada" en el 2016 (Mirai), que de repente ha "despertado" extendiéndose en el web ¿Cómo se ha observado antes?

En particular, en el contexto del pronóstico sombrío antes mencionado, me refiero a cuatro tipos de ciber amenazas: i ransomware usado para propósitos "destructivos", le botnet orientado aInternet de las Cosas (IoT), como el mencionado Satori, los ataques a cadena de suministro y los relacionados con la propagación de los llamados moneda cripto. Cada uno de estos presenta, en mi humilde opinión, algunos aspectos que lo hacen único y predecible en el curso 2018. Ciertamente, no serán los únicos que reclamarán "víctimas", pero opinan que merecen una atención especial.

I ransomware han sido utilizados desde hace varios años por los grupos de ciber delincuentes, con el fin de extorsionar dinero de usuarios desafortunados, empresas o instituciones. El mecanismo de ataque ha sido simple y bien conocido durante algún tiempo, sin embargo, en los últimos meses se han observado cambios tanto en las tácticas utilizadas como en los objetivos, que desafortunadamente predicen nuevas tendencias para el 2018. En general, los grupos criminales utilizan múltiples técnicas para implantar dispositivos. el malware, especialmente diseñados para hacerlos inutilizables. La única manera de volver a poseer computadora y de la información contenida en el mismo, consiste en el pago de un rescate, generalmente en monedas criptográficas, siguiendo instrucciones específicas. Lo que se encontró en el 2017 sobre esta amenaza son dos novedades principales: la sofisticación cada vez mayor de el malware Los empleados y, en algunos casos, el propósito no estrictamente relacionado con el dinero. En concreto, los actuales. ransomware Son capaces de explotar las vulnerabilidades más graves de los sistemas operativos, las aplicaciones y los protocolos de comunicación, para poder propagarse de forma independiente tanto en las redes domésticas como en las de negocios. En resumen, solo una PC infectada con el malware, es capaz de poner en peligro la seguridad de toda la red en la que se encuentra. Además, las variantes de tales software Los maliciosos se generan tan rápidamente que los productos de seguridad a menudo tienen dificultades para detectarlos. Pero la novedad más importante, ya trazada en un artículo previamente publicado (v. artículo), es otro: parece que algunos ataques ransomware no fueron diseñados para obtener dinero de las "víctimas", sino para causar serias repercusiones negativas en las actividades que realizan y, en la mayoría de los casos, parece que el objetivo se ha alcanzado plenamente. Probablemente, esto también se debe a la falta de escrúpulos de los autores de los ataques mencionados, una consecuencia directa de las brechas legales conocidas que caracterizan al mundo. ciber, con el debido respeto a la Casa Blanca, que recientemente acusó a Corea del Norte de ser el arquitecto de los graves daños causados por ransomware Quiero Cryptorv. artículo). ¿Será una tendencia también para el 2018? Todo apunta en esta dirección, como en la mayoría de los casos ataques. ransomware del tipo "clásico" han perdido su efectividad: todas las compañías de seguridad, de hecho, en caso de que sean víctimas de tales ataques, aconsejan no pagar el rescate y esperar el método de descifrado y "desbloqueo" de los sistemas a ser dado a conocer (generalmente ocurre dentro de unas semanas o unos meses). Por lo tanto, cada vez menos usuarios caen en la trampa y los delincuentes recolectan cada vez menos. En última instancia, tanto en el caso de que el objetivo es ganar dinero, sin reclamos importantes si está destinado a causar daños, i ransomware Seguirán siendo el caso de los malos, incluso este año.

Asimismo, ni siquiera el fenómeno de botnet representa una novedad absoluta (v.articolo). Redes virtuales formadas por computadora en el que se implantó el mismo. el malware, para ganar el control sin el conocimiento de los usuarios, hicieron su aparición en la dimensión. ciber ahora hace mucho tiempo Sin embargo, incluso en este caso estamos presenciando una evolución del fenómeno que aún no está completamente consolidado. Específicamente, con el "brote" de Mirai (v.articolo) toda la fragilidad de seguridad de la llamada IoT parecía ser clara, es decir, el conjunto de todos esos dispositivos, más o menos sofisticados, conectados a Internet. En el caso de botnet creados con Mirai, en particular, decenas de miles de dispositivos han sido "inscritos" de manera ilícita para llevar a cabo ataques dirigidos contra algunos nodos del sistema Sistema de nombres de dominio (DNS). En pocas palabras, estos dispositivos se han reprogramado para interactuar, todos al mismo tiempo, con los nodos DNS mencionados anteriormente, para sobrecargar los servidor y hacer docenas de sitios "inalcanzables" web. Como se esperaba, más tarde, Mirai dio lugar a varias variantes de este tipo de ataque, incluido "Satori" (también conocido como Okiru), que puede considerarse un indicador válido de la tendencia actual. Parece que esta variante de Mirai, descubierta hace unas semanas, explota principalmente algunas vulnerabilidades de seguridad de modelos específicos de enrutador, incluyendo uno particularmente serio y desconocido antes de hoy. Una vez implantado el el malware Gracias a estas fallas de seguridad, i enrutador responder a los comandos dados por servidor Comando y control utilizados por el atacante (cuyos detalles aún no se conocen) para dirigir la operación. No solo eso, aunque aún no se han descubierto todos los detalles de la operación de Satori, parece claro que todos los dispositivos "infectaron" Internet, buscando su "similar" para incluirlo en el botnet. Afortunadamente, esta red clandestina se descubrió antes de comenzar a funcionar, mientras aún se estaba expandiendo, por lo que ahora se está cubriendo actualizando los modelos de enrutador involucrados. De lo contrario, habría sido un problema serio, ya que parece que incluso Satori, como en el caso de Mirai, fue diseñado para lanzar ataques del tipo Denegación de servicio distribuido (DDoS), destinado a interrumpir el funcionamiento normal de algún servicio o sitio web. Considerando que el botnetAntes de ser descubierto, se estaba expandiendo exponencialmente, se estima que muy pocos sistemas de seguridad podrían haber enfrentado un ataque lanzado por Satori. Por lo tanto, los aspectos interesantes de esta amenaza son al menos dos: la velocidad vertiginosa de expansión de la red subterránea mencionada anteriormente y la relativa simplicidad con la que se inició y llevó a cabo toda la operación. Este último aspecto es quizás el más desconcertante. De hecho, de las primeras investigaciones habría surgido que el botnet podría haber sido concebido por un individuo o un grupo criminal no particularmente técnicamente experto, ya que se descubrió que aprendería mucha información asistiendo a alguna forum utilizado por pirata informático. Sin embargo, aún no está claro cómo y por quién se descubrió la vulnerabilidad de seguridad más grave de la enrutador involucrados. Descubrí el defecto y encontré el remedio, hay que jurar, en cualquier caso, que en estos días alguien está buscando otros puntos débiles del IoT. Por lo tanto, incluso desde este punto de vista, todo sugiere que tendremos un año difícil.

Como si eso no fuera suficiente, algunas empresas de seguridad informática nos advierten de ataques del tipo cadena de suministro, particularmente insidioso porque difícil de detectar y destinado a volverse cada vez más común. En resumen, para el mantenimiento de cualquier sistema informático, o sistema genérico que tenga subsistemas de TI, casi siempre se utilizan los servicios proporcionados por terceros (los llamados cadena de suministro), que están potencialmente sujetas a amenazas a la seguridad cibernética. La seguridad de la cadena de suministroPor lo tanto, es un aspecto que involucra a prácticamente todos los dispositivos electrónicos que usamos todos los días. Un ejemplo simple: uno teléfono inteligente proporcionado por un determinado fabricante, construido con componentes, a partir del microprocesador, suministrado por otras compañías. También utiliza un sistema operativo, a veces proporcionado por otra compañía, que supervisa el funcionamiento y la seguridad del teléfono y Aplicación Desarrollado por otras empresas / entidades aún. Bueno, cada componente hardware e software El dispositivo podría verse comprometido en cualquier momento de su ciclo de vida (montaje, envío, mantenimiento, descargar de una actualización, etc.), a través de un ataque a la cadena de suministro. Este tipo de amenaza, no nueva, pero a menudo subestimada, debido a los costos y la organización que son necesarios para implementarla, por el momento sigue siendo una prerrogativa exclusiva de los servicios de inteligencia y hasta hace poco era muy infrecuente. Durante el 2017, sin embargo, se registraron al menos tres episodios de ataque cadena de suministro, incluido el emblemático de Software CCleaner, asociado conantivirus de la empresa avast. Meses atrás, el código fuente de este producto se cambió sin el conocimiento del fabricante, después de lo cual estuvo disponible en el canal de distribución oficial durante casi un mes y fue descargado por miles de usuarios. En concreto, la versión de la Ccleaner comprometido, contenía código el malware destinado a capturar la información personal y las credenciales de los usuarios confiados. Por otro lado, la misma técnica también se utilizó para propagar NotPetya a un área geográfica particular (Ucrania - v. artículo): el ransomware, en ese caso, se ocultó en la actualización de un software Particularmente difundido entre las empresas de esta región y liberado específicamente para bloquear sus actividades, causando sobre todo daños económicos. No solo eso, este tipo de ataque puede representar un peligro real incluso para las Fuerzas Armadas. De hecho, si nos detenemos por un momento para considerar cuántos sistemas, desde el arma más sofisticada hasta los sistemas de administración de la información utilizados para las actividades diarias, dependen de los servicios proporcionados por terceros (para reparaciones, mantenimiento, actualizaciones, instalaciones, etc.). .), puede darse cuenta fácilmente de cuánto están expuestos por la amenaza que se acaba de mencionar. No es sorprendente que el tema sea tomado cada vez más en serio por las Fuerzas Armadas de muchos países como, por ejemplo, los EE. UU., Que ahora considera el control y la seguridad de los cadena de suministro, también desde el punto de vista ciber, un elemento esencial.

Por último, desde hace algunos meses hemos sido testigos de la expansión cada vez mayor de los llamados moneda cripto o monedas criptográficas o, incluso, monedas virtuales. Las consecuencias directas de este fenómeno son el fuerte crecimiento de los robos de estas monedas (v.articolo) y la explosión de la "fiebre del oro del siglo XXI", por la cual cada vez más personas se están preparando para "extraer" las monedas en su propia cripta.

Simplificando al extremo e ignorando los aspectos del funcionamiento del blockchainDe hecho, las monedas virtuales consisten en presentar cifrados, obtenidos gracias a cálculos muy exigentes también para i computadora. Obtener estos presentarPor lo tanto, no es en absoluto simple, tanto para solicitar hardware Diseñado específicamente para esta necesidad, con capacidades informáticas extremas pero también muy caro, incluso desde un punto de vista energético. Por lo tanto, una forma alternativa de "extraer" las monedas criptográficas se está extendiendo, ni siquiera diciendo, ilícita: explotar de manera fraudulenta la capacidad de calcular la computadora de los usuarios de internet. La nueva tendencia, observada por algunas empresas de seguridad cibernética, es precisamente la de los llamados cripto minero ilegal, eso es el malware que infectan las PC de los usuarios, para reprogramarlos para "extraer" las monedas criptográficas cooperando entre sí en la red. También se ha observado que la amenaza también se ejecuta en los sitios. web ilegalmente modificado. En este caso, yo minero golpean sin ningún tipo de instalado el malware, simplemente a través de la cada navegador. Las consecuencias para los usuarios que se encuentran con métodos ilegales de este tipo son fáciles de entender: además de una factura de energía más alta de lo normal (se calculó que una PC, mientras se desempeñaba) minería criptográfica, consume hasta cinco veces más de lo normal) i computadoraSi no son particularmente eficientes, se vuelven prácticamente inútiles hasta, en muchos casos, irreparablemente dañados. Se debe jurar que la carrera del oro cibernético no otorgará ningún descuento a nadie, por lo que incluso esta amenaza está destinada a afligir el ciber-Espacio en un futuro próximo.