La colaboración entre las empresas de seguridad y las Fuerzas y Cuerpos de Seguridad hizo posible operaciones importantes en la lucha contra el cibercrimen

“Cuando estábamos a punto de despedir el mes y muchos empezaban ya a hacer la maleta para disfrutar de sus vacaciones, un nuevo ciberataque hizo acto de presencia y volvimos a experimentar situaciones similares a las que sufrimos con WannaCryptor el mes pasado”, explica Josep Albors, responsable de concienciación en ESET España. “Los informativos y medios de comunicación se llenaron de imágenes de sistemas afectados por lo que parecía un nuevo caso de ransomware, aunque pronto vimos que había algo más detrás”, continúa.

La amenaza copiaba parte de la funcionalidad de un ransomware que apareció en 2016, de nombre Petya. Entre las acciones que realizaba se encontraba el cifrado del MBR (o sector de arranque del disco) y de otros ficheros con ciertas extensiones. Sin embargo, por mucho que esta supuesta variante de Petya se anunciase como ransomware, las investigaciones realizadas a posteriori apuntan a que su verdadera finalidad era la destrucción de la información almacenada en los discos de los sistemas infectados. El vector de ataque inicial y las herramientas de movimiento lateral para propagarse en las redes corporativas también demostraron que esta amenaza había sido diseñada para causar el mayor daño posible en un país en concreto: Ucrania.

El hecho de utilizar un servidor de descargas comprometido y perteneciente a una empresa que desarrolla un software de contabilidad muy utilizado en Ucrania (y por empresas extranjeras que operan en ese país) demuestra lo dirigido de este ataque. Además, no sólo se utilizaron algunos de los exploits de la NSA utilizados por WannaCryptor, sino que también se añadieron herramientas legítimas para garantizar su propagación en redes con equipos parcheados.

A día de hoy aún es pronto para asegurar categóricamente quién hay detrás de esta acción pero la información aportada por algunos investigadores de ESET indican que este ataque podría estar relacionado con otros anteriores, como el que dejó sin electricidad a miles de usuarios en Ucrania, y con casos de ransomware observados durante la primera mitad de 2017 perpetrados por el grupo TeleBots.

Relacionados con los ataques a infraestructuras críticas de Ucrania, los investigadores de ESET, junto a la empresa especializada en ciberseguridad industrial Dragos, publicaron sus conclusiones sobre los ataques a las centrales eléctricas ucranianas de diciembre de 2016. En este informe se habla de Industroyer como un nuevo malware capaz de comunicarse con los conmutadores e interruptores digitales de una subestación eléctrica para que hagan lo que los atacantes quieran. Debido a que los protocolos de comunicación usados por estos sistemas no se diseñaron con la seguridad en mente, los atacantes no necesitan buscar vulnerabilidades en estos protocolos, sino tan sólo enseñar al malware a comunicarse con sus objetivos para enviar órdenes. El principal problema de Industroyer es que puede ser utilizado en una gran variedad de sistemas industriales por lo que los investigadores no descartan ver nuevos ataques en un futuro cercano.

Otro de los ataques analizados durante las últimas semanas está relacionado en la forma en la que los delincuentes que están detrás del grupo Turla utilizan las redes sociales para conseguir que sus víctimas se conecten a sus centros de mando y control y así poder enviar órdenes y recibir información de sus bots. Según las investigaciones de ESET, además de inyectar código malicioso en páginas webs legítimas, los atacantes han realizado pruebas uniendo una extensión maliciosa de Firefox con comentarios en perfiles de redes sociales como en el de Instagram de Britney Spears. Estos comentarios estaban redactados de forma que la extensión del navegador comprobaba si su hash coincidía con 183. De ser así, se le proporcionaba a la víctima un enlace acortado apuntando a la dirección del centro de mando y control para recibir órdenes de los delincuentes.

Otro caso de malware descubierto por los laboratorios de ESET durante el pasado mes fue el de Birthday Reminder, una supuesta aplicación con funcionalidad de recordatorio de cumpleaños que, además, descargaba componentes adicionales para interceptar peticiones DNS con el fin de inyectar avisos publicitarios en las webs visitadas por la víctima. Esta amenaza sólo se distribuía desde un único enlace pero esto no impidió que se repartiese de forma bastante uniforme por todo el mundo. De hecho, España se situó en el segundo puesto de países más afectados, sólo por detrás de Estados Unidos.

Un clásico que volvió a aparecer en junio fue el del falso paquete enviado supuestamente por una empresa de mensajería. Si el usuario mordía el anzuelo preparado por los delincuentes en forma de correo electrónico, era invitado a rellenar numerosas encuestas que le solicitaban datos para enviarle más spam a su cuenta de correo.

Una de las campañas de propagación de spam más curiosas de las analizadas últimamente por el laboratorio de ESET España aprovechaba los incidentes de seguridad más recientes como WannaCry para generar miedo entre los usuarios que recibían el correo y tratar de convencerles de que pagasen una “fianza” para no resultar afectados. Los delincuentes proporcionaban una fecha límite en la que, supuestamente, realizarían varios ataques contra las víctimas que hubieran recibido el correo, ataques que incluían, DDoS, ransomware y la filtración de datos robados de las bases de datos de la empresa. “Al final todo quedó en agua de borrajas y, por suerte, la mayoría de usuarios ignoró estos mensajes y no pagó este chantaje”, subraya Albors.

Pero no fueron todo malas noticias durante el mes de junio y, una vez más, la colaboración entre las empresas de seguridad y las Fuerzas y Cuerpos de Seguridad hizo posible operaciones importantes en la lucha contra el cibercrimen.

Por un lado, una operación policial encabezada por Europol consiguió detener a varios sospechosos acusados de desarrollar y utilizar los servicios de una plataforma destinada a ofuscar malware y así evadir las detecciones de las soluciones de seguridad. Además, estos delincuentes habían desarrollado su propio sistema de análisis online para probar como de indetectables eran sus códigos maliciosos sin tener que compartirlas en servicios públicos.

Y por otro, la operación Shadowfall, encabezada por la RSA, consiguió inutilizar miles de subdominios ocultos que eran utilizados por los delincuentes en las fases iniciales de propagación de malware mediante kits de exploits como RIG. Estos subdominios maliciosos estaban alojados principalmente en webs legítimas comprometidas con lo que los delincuentes conseguían evitar que fueran incluidos en listas negras y podían alojar malware en ellos sin temor a que fueran bloqueados, al menos durante un tiempo.

Estas operaciones han permitido frenar la propagación de numerosas amenazas y, aunque son muchas las existentes, gracias a ellas se consigue reducir el número de víctimas e incluso apresar a alguno de los criminales que se hallan detrás de toda esta infraestructura delictiva.