De “tiendas” con malware y reclutamiento de hackers

0

Pequeños gruposd e ciber-mercenarios están llevando a cabo ataques dirigidos “hit-and-run” (golpea y corre) para cualquier persona u organización que esté dispuesta a satisfacer una cantidad económica.

En el último Kaspersky Analyst Summit, celebrado de forma anual, se han abordado varios temas y este es uno de ellos. La mayor parte de la atención la ha concentrado un exploit recién descubierto y conocido como “The Mask” (pues en su código se ha encontrado la palabra “Careto” en español), sin embargo antes merece la pena comentar este cambio de tendencia en el panorama de malware.

Hace 30 años, los hackers eran tipos solitarios que ponían en marcha sus exploits, como forma mejorar sus habilidades, conseguir prestigio entre la comunidad o llamar la atención. Más tarde, a medida que se hacían mayores, pequeños grupos de hackers se fueron reuniendo con el objetivo de ayudarse y complementarse, creando así malware de mayor complejidad. Esta moda creció, probablemente, con el lanzamiento del virus Stuxnet que, según se cree, tuvo docenas de manos implicadas en su desarrollo. Su desarrollo pudo haber costado en torno a 1 millón de dólares .

Hackers al servicio de empresas, estados o individuos. Da igual mientras el precio sea interesante

Sentó precedentes porque, además, fué el primer exploit que pudo atribuirse a un estado o país. Pero, de acuerdo a lo afirmado por Costin Raiu,Director del Kaspersky Labs Global Research & Analysis Team (GREAT), ahora se ha cerrado el círculo, aunque con un giro inesperado. Conversando sobre la reciente amenaza Icefog, Raiu destacó que es un ejemplo de ataque llevado a cabo por pequeños grupos de ciber-mercenarios que golpean y huyen. En definitiva: hackers reclutados.

Estos pequeños grupos, de menos de 10 miembros, poseen una ingente librería de herramientas que pueden combinarse de muchas formas para atacar sitios específicos y archivos específicos. Extraen estos archivos y después se dan a la fuga. Es una nueva forma de espionaje industrial, mediante el empleo de kits de exploit específicos que se han ido añadiendo durante años y que, ahora, están disponibles para cualquiera que esté dispuesto a pagar el precio para reclutar al grupo de hackers. Uno de los muchos ejemplos que podemos mencionar es Hacker1337.

Si os encontráis dentro de una industria competitiva, en la que vuestra competencia tiene más dinero que ética, esto es algo de lo que deberíais preocuparos. Dado el ingente número de ataques que han comenzado a esconderse tras intentos de phishing, parar estos mecanismos debería constituir la primera linea de defensa.

¿Qué hay tras la “máscara”?

El recién descubierto malware con el nombre de Máscara posee algunos aspectos interesantes, que no aparecen en la mayoría de historias que contamos habitualmente. 

Para empezar, evidencias internas han llevadoa a los expertos de Kaspersky a creer que ha sido desarrollado por hackers de habla española -un cambio importante, ya que los grupos más importantes hasta ahora han sido aquellos del este de Asia o Europa del Este. Aunque también es cierto, según afirman los investigadores, que podría tratarse de un elemento que cree desconcierto sobre las evidencias, para así ocultar la verdadera fuente de la amenaza.

El segundo punto a mencionar es que, The Mask, se dirige hacia versiones algo anticuadas y sin parchear de la herramienta antimalware de Kaspersky, donde encuentra cobijo y cobertura. Como menciona Costin Raiu “esto incluye un malware altamente sofisticado, un rootkit, un bootkit y todo esto en versiones Mac OS X y Linux, además de posibilidad de aparición en sistemas Android e iOS.

Los ciber-ataques a instituciones y empresas están más presentes que nunca

Los objetivos principales de este elemento serían las instituciones públicas o gubernamentales, oficinas diplomáticas o embajadas, compañías de Gas y Energía, entes de investigación y activistas. Esto podría indicar un ataque patrocinado por un estado, quizá uno en el que el idioma oficial es español, o quizá un país sin democratizar por completo y que esté altamente envuelto en inversiones en producción de energía. 

Si vuestra organización no está relacionada con estos campos de negocio, deberíais estar a salvo. Por supuesto, tampoco conviene “dormirse en los laureles”, ya que el Stuxnet original estaba dirigido exclusivamente a Irán y terminó expandiéndose a cientos de países. Estad vigilantes.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR