Cibercrimen: 5 ataques utilizados con más frecuencia

En la pasada edición del Foro de Periodistas organizado por ESETpresentamos la conferencia titulada "Cibercrimen a la orden del día: los ataques más comunes", donde mostramos cinco ataques utilizados con más frecuencia; algunos de ellos son de aparición reciente, mientras que otros son viejos conocidos pero con nuevas características.

En esta publicación repasaremos las principales características de estos ataques y las razones por las que han comenzado a ser utilizados con mayor frecuencia por los atacantes; quienes buscan obtener diferentes tipos de beneficios a costa de los recursos e información de los usuarios.

Ataques de phishing

Si bien se trata de un ataque conocido y utilizado desde hace años, las campañas recientes campañas muestran nuevas características. Por ejemplo, ahora los sitios de phishing usan certificados de seguridad.

Según el Grupo de Trabajo Antiphishing, durante el segundo trimestre de 2018, alrededor del 35% de los ataques de phishing registrados se alojaron en sitios web con el protocolo HTTPS, cifra que supone un aumento importante frente al casi 5% de casos de sitios falsificados con certificados SSL. , informado hacia finales de 2016.

Una de las posibles razones de este aumento se debe a los cambios recientes registrados en los navegadores web. Google Chrome, por ejemplo, desde julio de este año comenzó a identificar sitios web que usan HTTP como "No seguros". Por otra parte, la iniciativa de algunas autoridades de certificados para emitir certificados de manera gratuita permitió que más sitios contaran con certificados de seguridad, incluidos sitios fraudulentos.

Cabe mencionar que las campañas de phishing han comenzado a utilizar medios de propagación alternativos al correo electrónico “tradicional”, como las aplicaciones de mensajería; en un intento de llegar a más potenciales víctimas. Al mismo tiempo, las campañas maliciosas también incluyen características de ataques homográficos, lo que añade más dificultades a los usuarios para la identificación de sitios web apócrifos.

Por lo tanto, las prácticas de seguridad que solían ser recomendadas con relación al phising, resultan ser válidas, aunque ya no suficates, debido a las nuevas características de los ataques de este tipo. Ahora no basta con verificar la URL, el candado de seguridad o el uso de HTTPSconvendría también revisar el nombre comun del sitio en los certificados de seguridad para compararlo con el dominio del sitio en cuestión.

criptojacking

Es una amenaza que comenzamos a identificar a principios de agosto de 2017 y que tiene como principio el secuestro de la capacidad de procesamiento de un equipo extranjero para ganar dinero a través de la minería de criptomonedas. Una de las formas de infectar los dispositivos es a través de scripts que se ejecutan en los navegadores de los usuarios. En otras palabras, basta con que el usuario visite un sitio web que contenga el código para que su procesador se utilice para minar alguna criptodivisa. El criptojacking comenzó a tener una gran actividad hacia fines del año pasado, siendo la amenaza más detectada por telemetría de ESET a nivel mundial entre diciembre de 2017 y junio de 2018.

En lo que va de 2018, en la region Latinoamericana, casi la mitad de las detecciones de JS/CoinMiner (firma utilizada por las soluciones de ESET) se concentra en dos países: Perú (30,72%) y México (17,41%), seguido de Ecuador (8,89%), Brasil (7,73%) y Argentina (7,08%).

Las soluciones de ESET identifican esta amenaza como PUA (de las siglas Aplicación potencialmente no deseada); es decir, como una aplicación potencialmente no deseada, y no como malware, ya que la minería es en sí misma una actividad legítima. La ilegalidad del criptojacking se da cuando los recursos de procesos del usuario son utilizados sin su consentimiento y sin su conocimiento.

Malware

Los códigos maliciosos siguen siendo una de las principales amenazas, aunque también se utilizan para realizar ataques. Además, según el ESET Security Report 2018, las infecciones por malware son la principal causa de incidentes de seguridad en las empresas latinoamericanas.

Los Laboratorios de Investigación de ESET reciben diariamente más de 300.000 muestras únicas de malware, lo que muestra un panorama del problema, sobre todo si consideramos que se desarrollan amenazas de este estilo para prácticamente todos los sistemas operativos utilizados en la actualidad.

Por poner otro ejemplo, los laboratorios de ESET identifican mensualmente, en promedio, alrededor de 300 muestras de malware para Android. Además, han comenzado a aparecer muestras de malware especialmente diseñadas para afectar a los dispositivos del llamado Internet de las Cosas; que luego de ser comprometidos son utilizados para llevar a cabo otros ataques.

Además de las anteriores, han aparecido otras amenazas que operan bajo el principio del ransomware, pero lejos de secuestrar información o sistemas operativos (como observábamos), ahora los códigos maliciosos podrían secuestrar sus propios dispositivos, algo que se ha denominado Ransomware de las Cosas (PUTREFACCIÓN, por sus siglas en inglés).

Ciberextorsiones

Durante 2018 aparecieron diversas estafas circulando del correo que se focusaban en engañar a los usuarios a partir de la suesta obtenien de información que los comprometía. En varias de estas campañas existió algún elemento en particular, como un dato específico que hacía creer al usuario que no podría tratarse de un engaño.

Un ejemplo es la campaña en la que los ciberdelincuentes enviaron un correo electrónico con la contraseña de los usuarios como parte del asunto del mensaje, en un intento de demostrar que tenían sus datos personales y que la extorsión detallada en el texto del correo era real Se estima que esta campaña en particular logró recaudar cerca de medio millón de dólares.

Otro ejemplo de este tipo de estafa tenía la particularidad de que el correo electrónico llegaba al usuario desde su propia cuenta, lo que hacía suponer que el atacante tenía acceso a la cuenta de la potencial víctima. A través de un mensaje intimidatorio, el atacante hacia creer al usuario que poséía su información, por lo que solicitó un pago (en Bitcoins) para "no revelar" los datos que puestamente tenía en su poder.

Recientemente se han identificado más campañas con el mismo modus operandi, y aunque parezcan difíciles de creer, siguen siendo efectivas para los atacantes.

Explotación de vulnerabilidades

Finalmente, el último tipo de ataque considerado en esta presentación está relacionado con la explotación de vulnerabilidades, un método comúnmente utilizado por los atacantes, con algunos datos interesantes para revisar, como los que se presentan a continuación.

Hacia finales de 2017 destacábamos que se tretaba del año con el número de vulnerabilidades reportadas (14.714 para ser exactos), superando por mucho los registros de años anteriores, sin embargo, en lo que de 2018 esta cifra ha sido superada. Según datos de CVE Detalles, aunque aún no ha terminado el año, se han registrado más de 15.300 vulnerabilidades.

En este contexto, la explotación de algunas vulnerabilidades también va en aumento. Por poner un ejemplo, la detección de EternalBlue (identificado por las soluciones de ESET como Win32/Exploit.Equation.EternalBlue), un explotar utilido durante la propagacion de WannaCry, ha venido en aumento.

Si se comparan las detecciones de este exploit durante mayo de 2017 con las de julio de 2018 (período de mayor actividad), se observa un incremento de casi un 600%, en el que diversas familias de ramsomware y otros tipos de malware pretenden aprovechar vulnerabilidades en los sistemas deactualizados.

Nuevos ataques y nuevas caracteristicas en ataques conocidos

Después de revisar algunas de las características y datos de los ataques que se han identificado con frecuencia en los últimos meses, es importante aclarar dos puntos. En primer lugar, se trata solo de un pequeño número de ataques dentro de un amplio rango identificados durante 2018.

La segunda cuestión a considerar es que en ninguno de los casos se han utilizado como sinónimos los términos "amenazado" y "atacar". Sin embargo, en algunos de los puntos revisados ​​en esta publicación es posible identificar que pueden jugar ambos roles, tanto el de amenaza como el de ataque. Por ello, consideramos las definiciones incluidas en la norma ISO/IEC 27000:2014.

Según la norma, un ataque es el “intento de destruir, exponer, alterar, inhabilitar, robar y obtener acceso no autorizado a un activo”, mientras que una amenaza se define como la “causa potencial de un incidente no deseado, que puede resultar en un daño a un sistema u organización”. En este sentido expuesto, los elementos antes pueden ser catalogados como amenazas, pero también podrían ser utilizados como una forma de ataque.

Finalmente, es importante resaltar la forma en que están evolucionando las amenazas informáticas y los diversos ataques que buscan comprometer los activos, por lo que desde la perspectiva de la seguridad, el uso de tecnología de protección, la aplicación de buenas prácticas y la tarea constante de estar informado sobre lo que avento en el amito de la ciberseguridad.