Botnets

Botnets

Tal como se mencionó en la publicación Tendencias 2010: la madurez del crimeware, los autores de amenazas informáticas comenzaron a desarrollar códigos maliciosos cuyo objetivo principal es la obtención de rédito económico. Dicha tendencia se ha mantenido constante en el tiempo y ha estado acompañada de malware que busca conformar botnets, es decir, redes de computadoras que una vez infectadas (zombi), quedan a merced de un grupo de ciberdelincuentes (botmasters) que las pueden utilizar para robar información, perpetrar ataques en contra de otros sistemas, almacenar contenido ilegal sin el consentimiento de la víctima, entre otras acciones maliciosas.

TENDENCIAS 2014 24

Si se considera que el principal objetivo es la obtención de ganancias económicas, resulta comprensible que los cibercriminales destinen recursos en la conformación de botnets debido a que mientras más computadoras infectadas controlen, mayor será la probabilidad conseguir dinero. En esta línea, no solo se ha podido observar un aumento de códigos maliciosos que poseen dicha capacidad, sino también técnicas que buscan aumentar la complejidad de este tipo de amenazas con el propósito de evitar que las autoridades u otros organismos desarticulen este tipo de redes. El primer caso observado en 2013 tiene que ver con el código malicioso detectado como Win32/Rootkit.Avatar. Dicha amenaza utiliza Yahoo! Groups como medio para controlar las computadoras zombis. Asimismo, este código malicioso posee técnicas para evadir análisis forenses, es decir, dificultar aquellos estudios que se realizan con el objetivo de poder determinar aspectos de la infección que son necesarios durante un proceso judicial.

Otra tendencia observada en torno a las Botnets, es la utilización de TOR como forma de ocultar el actuar de los ciberdelincuentes. Si bien no es una técnica novedosa per se, en los últimos meses se ha visto un incremento en el uso de esta metodología debido a los siguientes motivos: en algunas ocasiones, realizar un análisis de los datos que se transmiten desde y hacia una botnet permite determinar qué información se está robando; asimismo, facilita la desarticulación de la red y el posible reconocimiento de los responsables. Sin embargo, al utilizar TOR los atacantes dificultan considerablemente los objetivos mencionados anteriormente, ya que esta red fue diseñada específicamente para cifrar todos los datos transmitidos, por lo que realizar una captura de tráfico resulta una tarea bastante más compleja. A lo largo de 2013 también ha quedado de manifiesto que los cibercriminales además de utilizar variantes de códigos maliciosos ya conocidos, también desarrollan nuevas familias como Napolar, malware que afectó a países como Perú, Ecuador y Colombia. Dicha amenaza se propagó mediante Facebook y posee la capacidad de formar una botnet, realizar ataques de denegación de servicio (envío masivo de peticiones a un servidor con el objetivo de provocar un colapso y dejar sitios web fuera de línea), robar información de la víctima, entre otras acciones.

Por otro lado, pruebas de concepto como la creación de una red botnet conformada por 1.000.000 de navegadores, que fue presentada en el evento BlackHat 2013, reafirman la posibilidad de que en un futuro los ciberdelincuentes utilicen otras técnicas para continuar obteniendo rédito económico a través de redes de computadores zombi. Como se mencionó, el uso de estas metodologías obedece no solo al aumento de la complejidad y la consiguiente dificultad en el estudio de este tipo de amenazas, sino también al incremento en la efectividad de las soluciones de seguridad. En este sentido, a medida que los métodos de detección proactiva, como la heurística y las firmas genéricas, evolucionan, también lo hacen las amenazas. Es probable que en el futuro se detecten nuevos casos de códigos maliciosos y familias que estén destinadas a conformar este tipo de redes y que a la vez, implementen técnicas consignadas a perfeccionar el funcionamiento de dichas amenazas.

Ransomware en América Latina

Hasta hace algún tiempo, los códigos maliciosos del tipo ransomware, es decir, que solicitan dinero (un rescate) a cambio de la información que borran o cifran, afectaban principalmente a países como Rusia, no obstante, esta metodología de ataque está consolidándose en América Latina y ya existen varios usuarios que resultaron afectados. En el caso de los códigos maliciosos citados en las secciones anteriores, la obtención de ganancias económicas reside en el robo directo de la información, sin embargo, en el caso del ransomware la metodología es a través de la extorsión de la víctima.

Cuando un usuario ejecuta un código malicioso de estas características, puede suceder que el acceso al sistema sea bloqueado. Un ejemplo de este comportamiento es el que presenta la familia de malware LockScreen (Multi Locker) o el coloquialmente denominado “Virus de la Policía”. En este caso, la persona no podrá acceder al equipo hasta que se remueva la amenaza del sistema. En otras ocasiones, la información es cifrada tal como lo realiza la familia de códigos maliciosos Filecoder, de este modo, se imposibilita el uso de esos datos. En ambos casos, los cibercriminales le solicitan a la víctima una suma de dinero a cambio del control de la computadora o el acceso a la información “secuestrada”.

Con respecto a la tendencia en el aumento de amenazas ransomware en América Latina, se destaca México como el país más afectado por Multi Locker. En este sentido, las detecciones de LockScreen en dicha nación han aumentado casi tres veces con respecto a todo 2012. Asimismo, en 2012 México ocupaba la posición 37ª a nivel mundial de detecciones de LockScreen; en la actualidad, ascendió a la posición 11ª. Asimismo, Nymaim es otro código malicioso que afecta a ese país y que solicita una suma de dinero que asciende a los 150 dólares aproximadamente por el rescate del equipo. Cabe mencionar que el precio por el rescate varía de acuerdo a cada país. El siguiente gráfico muestra el monto solicitado en algunas naciones:

TENDENCIAS 2014 25

Con respecto a las estadísticas de Filecoder en la región, se destaca Perú como el país que registra el mayor índice de detecciones de América Latina durante 2013, siendo Rusia la nación más afectada del mundo. En relación a la complejidad técnica de esta familia de malware, es importante mencionar que en algunos casos la posibilidad de recuperar los archivos cifrados es factible debido a que el algoritmo utilizado no es lo suficientemente robusto,

...