Identificación y exploración de tendencias en el incremento, tipos de impactos y efectos del malware

Actualmente el malware puede ser de muy diversa naturaleza: programas de código malicioso software como Zperm (malware metamórfico cuyo propio motor metamórfico es RPME), microprogramas maliciosos firmware en CPUs y electrónica/chips maliciosos hardware, por ejemplo, troyanos hardware. Ejemplos de malware son las APT (Advanced Persistent Threats), por ejemplo, 'stuxnet', las ART (Advanced Ransomware Threats) como 'criptolocker', 'DeepLocker' basado en inteligencia artificial/redes neuronales, 'Conflicker' tipo malware metamórfico, 'Whale' tipo malware oligomórfico, etc. El malware es cada vez más evolucionado en persistencia, ocultación, multifuncionalidad, transformación/mutabilidad, asintomatología, capacidades de replicación, de inteligencia artificial, sin ficheros, etc. Algunas tendencias que influyen en la creciente difusión del malware o código malicioso son: (i) Incremento del número y conectividad de todo tipo de dispositivos de computación OT/IT como PCs, smartphones, servidores IT, tablets, PLCs, servidores SCADA, objetos-dispositivos IoT/IIoT, casas, coches, juguetes y electrodomésticos inteligentes, etc.). Todo se conecta y depende de dispositivos de computación, el número de ciberataques aumenta, los ciberataques pueden lanzarse fácilmente en forma de ciberataques automatizados, sigilosos, asintomáticos, persistentes, etc. (ii) Crecimiento de la complejidad de los sistemas. Se utilizan lenguajes de programación no seguros, existe elevada heterogeneidad, código oculto, es fácil la verificación, pero la validación es casi imposible (permite pruebas en solitario). (iii) Los sistemas son fácilmente extensibles. Código móvil, módulos dinámicamente cargables, evolución incremental de los sistemas. (iv) Conexión con las nubes y nieblas (cloud-computing, fog-computing, edge-computing, etc.). (v) Las macros de Microsoft Office se encuentran habilitadas por defecto. (vi) Existencia de mecanismos de persistencia como malware sin ficheros. (vii) Cada vez hay más plugs-in.

Las funcionalidades de virus y gusano especifican dos enfoques de auto-propagar el malware. Cuando un malware implementa su funcionalidad de gusano, significa que el malware tiene la capacidad de replicar copias completas de dicho malware a través del sistema e incluso sobre las redes. Cuando un malware implementa su funcionalidad de virus significa que tiene la capacidad de insertar su código funcional en programas y ficheros existentes en un sistema. Los vectores de propagación (difusión, transmisión, contagio, infección, expansión, distribución) de malware hacen referencia a métodos normalmente electrónicos que permiten que el malware se transmita a sistemas de información IT, sistemas OT, infraestructuras, plataformas, dispositivos, objetos IoT/IIoT, etc. buscando infectar (modernamente de forma asintomática). Aplicaciones como el correo electrónico, la mensajería instantánea, etc., el reparto gratuito de pendrives o dejarlos visibles-tirados como que se han perdido, etc. son algunos de los vectores más comunes utilizados para distribuir malware empleando técnicas de ingeniería social. Cualquier medio que permita al software distribuirse o compartirse, puede ser un vector de infección para el malware, ejemplos de vectores de infección son www (world wide web), medios de almacenamiento removibles (como unidades-tokens de almacenamiento USB), sistemas de ficheros compartidos en red, redes de compartición de ficheros P2P, IRC (Internet Relay Chat), Bluetooth-WPAN (es muy utilizado para propagar malware en dispositivos móviles), WiFi-WLAN, (2G, 3G, 4G, 5G)-WWAN, etc.

Algunos de los vectores de propagación más utilizados son:

1) Dropper. Es un vector de infección-contagio, como también lo son los correos spam (correos basura), los correos electrónicos en general que pueden incluir links y ficheros adjuntos corruptos, el phishing, drive-by, las infecciones realizadas en las cadenas de suministro que pueden inyectar troyanos software/firmware y hardware/circuitos electrónicos embebidos, etc. para espiar, obsolescencia programada, sabotajes, estar ocultos hasta las necesidades del ciber-atacante, etc. El dropper es un tipo de programa utilizado para instalar malware en computadores. En muchos casos, el dropper no se encuentra infectado con código malicioso y por tanto no puede ser detectado por software de análisis de malware. Un dropper también puede conectarse a Internet y descargar actualizaciones para el software del malware que esta residente en un sistema/dispositivo comprometido-infectado.

2) Programas P2P. Algunos malware se propagan copiándose en carpetas que se asume son compartidas (tales como aquellas con 'share' en su nombre de carpeta) o para las que activa compartición y utiliza un nombre de fichero invisible o no llamativo (normalmente se hacen pasar por un software legítimo o como una imagen archivada).

3) Sistemas de ficheros compartidos en red. Una compartición por red es una estructura de ficheros digitales accesibles de forma remota en una red de computadores. Una compartición por red puede convertirse en un problema de ciberseguridad para todos los usuarios de red cuando el acceso a los ficheros compartidos es obtenido por agentes maliciosos o malware y la estructura de ficheros de red incluida dentro del sistema operativo de un computador de usuario haya sido infectada-comprometida.

4) Correo electrónico. El malware puede estar en el “correo masivo” (spam) enviando un gran número de mensajes de correo electrónico con malware adjunto o embebido. Existen muchos ejemplos de malware propagado con éxito utilizando mailers masivos debido a la capacidad de los agentes maliciosos de utilizar ingeniería social (basada en jugar, desorientar, intimidar, confundir, desinformar, atemorizar, seducir, enamorar, realizar funciones de ciber-sumisión, etc. al componente humano) para distribuir malware rápidamente a través de todo el planeta.

5) Spam. El spam es correo electrónico basura, masivo o comercial no solicitado. Es, en principio una molestia, que provoca retardos y pérdida de productividad y de tiempo a los usuarios. Aunque también se utiliza como un vector de infección para realizar algunos ciber-ataques, como colocar links maliciosos que invita a acceder a algo valioso o ficheros adjuntos infectados para descarga de malware furtivo más o menos dañino. El spam se entiende como mensajes de correo electrónico no solicitados, no deseados, masivos y potencialmente dañinos. Existe una correlación entre malware y spam, no obstante, el spam se utiliza como vector de contagio y distribución de malware.

6) Medios removibles. Si el malware se instala en un medio removible como un pendrive USB, CD-ROM, DVD, etc. puede infectar y/o propagarse automáticamente ejecutándose tan pronto como se conecte a otro dispositivo de computación (PC, PLC, etc.)

7) Mensajería instantánea. El malware se puede propagar utilizando los servicios de mensajería (como Whatsapp, Messenger) de Internet enviando copias de dicho malware a través de la característica de transferencia de ficheros común en la mayoría de programas de mensajería instantánea y otras funcionalidades como notas de voz, videos, fotos, voz, etc. Los mensajes de mensajería instantánea pueden también incluir links Web maliciosos que direccionan al usuario a otro sitio donde se hospede malware descargable. Una vez que el usuario hace clic en el link malicioso visualizado en la caja de diálogo del software de mensajería instantánea se descarga automáticamente una copia del malware y se ejecuta en el sistema afectado.

8) Web. Los ciber-atacantes cada vez más utilizan sitios Web infectados para distribuir malware a posibles víctimas. Para ello utilizan correo electrónico spam para dirigir a los usuarios a sitios Web donde el ciber-atacante ha instalado malware capaz de infectar un computador simplemente por conectar el navegador Web a dicho sitio Web. Si el sitio Web es un sitio legítimo y popular los usuarios van de acuerdo permitiendo que sus computadores se puedan infectar sin necesidad de correo electrónico spam que los dirija. Existen dos métodos de infección vía Web: infectar el sitio Web existente para que hospede malware o crear un sitio Web dedicado para que hospede malware en un dominio especialmente registrado para este propósito.

9) IRC (Internet Relay Chat). IRC es una forma de chat Internet especialmente diseñado para comunicaciones de grupo en muchos “canales” sobre temas, todos ellos continuamente y anónimamente están disponibles desde cualquier localización de Internet. Muchos 'bot master' (ciber-atacantes que operan redes de máquinas infectadas por malware o botnets) utilizan IRC como el canal central de comunicaciones C&C (Command and Control) para coordinar y dirigir las acciones de los sistemas infectados de su “botnet”.

10) Bluetooth. Es un protocolo de red inalámbrica (WPAN) que permite a los dispositivos como móviles, impresoras, cámaras digitales, cascos de música, consolas de video-juegos, teléfonos manos libres de vehículos, portátiles, PCs, etc. conectarse a muy pequeña distancia utilizando espectro de radio no licenciado. Debido a que los mecanismos de ciberseguridad implementados en los dispositivos Bluetooth son muy simples de saltarse, dichos dispositivos son vulnerables al malware utilizando técnicas de ciber-ataque que se denominan 'bluejacking' y 'bluesnarfing'. Un dispositivo bluetooth es más vulnerable a este tipo de ciber-ataques cuando una conexión de usuario se pone a 'discoverable' lo que permite ser encontrado por otros dispositivos bluetooth cercanos infectadores de malware. El Bluetooth es una WPAN (Wireless Personal Area Network) que permite a los dispositivos como smartphones, impresoras, cámaras digitales, consolas de video-juegos, PCs, etc. conectarse a corta distancia en RF (Radio Frecuencia) sin licencia; el rango de distancia va de 100 m para PCs a unos 10 m para móviles. El Bluetooth puede infectar utilizando técnicas como bluejacking (consiste en enviar mensajes no solicitados a dispositivos Bluetooth conectados) y bluesnarfing (permite el acceso no autorizado a información desde un dispositivo inalámbrico utilizando una conexión Bluetoooth) y es muy vulnerable cuando una conexión de usuario se pone a “descubrible” lo que permite ser encontrado por otros dispositivos Bluetooth cercanos que pueden estar infectados, por ejemplo, para programar el manos libres en un vehículo).

11) WLAN (Wireless Local Area Network). Es una red local inalámbrica que permite la conexión de dos o más dispositivos de computación a mayor distancia sin utilizar cables, un protocolo conocido es WiFi. Las WLAN utilizan tecnología de modulación OFDM (IEEE 802.11a) o espectro extendido basada en ondas de radio frecuencia (RF) para posibilitar la comunicación entre dispositivos en un área limitada una empresa, universidad, parque tecnológico, etc. Esto proporciona a los usuarios la movilidad para circular dentro de un área de cobertura y aún estar conectados a la red. Se puede ampliar el área de cobertura con repetidores, bridges, switches, b-routers, routers, pasarelas-gateways, etc. incluso cubriendo una ciudad.

El malware se aprovecha de cualquier tipo de vulnerabilidad existente o por descubrir. Actualmente crece el número de fuentes de vulnerabilidades son, por ejemplo: (1) Las relacionadas con la virtualización. Debido a que las empresas continúan implementando la virtualización para ahorrar la protección de los sistemas virtualizados crecerá en importancia. Los ciber-riesgos debidos a la virtualización se deben tener en cuenta. (2) Las relacionadas con la externalización. Un estudio llevado a cabo por el Instituto Ponemon mostraba que el 50% de profesionales de IT se muestran temerosos de un “ciber-riesgo crítico e inminente” debido a la externalización. Incluso organizaciones con buena ciberseguridad pueden sufrir de exposición a su ciberseguridad debida a socios de negocio descuidados. (3) Las relacionadas con la inseguridad de las bases de datos. El malware y los ciber-atacantes ven inseguras las bases de datos. Las ven como cofres de tesoros abiertos llenos de información valiosa. Un informe señala que las preocupaciones presupuestarias tienen que ver con un mayor control dedicado a la ciberseguridad de las bases de datos. (4) Las relacionadas con el incremento de la movilidad. Cada vez más procesos IT/OT/IoT/IIoTse realizan vía inalámbrica: WLAN-WiFi, WWAN-5G/4G, WPAN-Bluetooth, etc. Investigadores del Georgia Tech Information Security Center han predicho que las ciber-amenazas móviles seguirán creciendo. Debido al incremento de las aplicaciones de banca y comercio en el mundo móvil, el malware y los ciber-atacantes buscarán ganancias. (5) Las relacionadas con rich-media. J. Grossman y R. Hansen realizaron una demostración de clickjacking utilizando Adobe Flash. Se esperan ver vulnerabilidades similares en un futuro en aplicaciones web-enabled rich media, RIA (Rich Internet Application) como Adobe Flex y Silverlight. (6) Las relacionadas con inyecciones SQL masivas. El malware y ciber-atacantes continuarán sacando partido de aplicaciones y sitios Web inseguros. Se apoyarán en recursos botnet y otras herramientas automatizadas para realizar ataques SQL masivos como Asprox. (7) Las relacionadas con el secuestro de reputación. De acuerdo a investigadores de Cisco, el número de ciber-amenazas que se originan de sitios Web legítimos se incrementa en porcentajes cercanos al 90%. Los contenidos incorrectos, las inyecciones SQL y otros métodos permiten aprovecharse del buen nombre de organizaciones honestas. (8) Las relacionadas con el aumento del problema del scareware/rogueware. Consiste en alarmar con todo tipo de alertas de seguridad falsas y anuncios para sacar dinero con software de ciberseguridad falso, fraudulento, y/o infectado. (9) Las relacionadas con despidos de empleados. Un estudio realizado a los empleados de Wall Street encontró que el 58% huiría con los datos de su compañía si fueran despedidos. En el clima actual de despidos este tipo de ciber-riesgos debe tenerse en cuenta. (10) Las relacionadas con dispositivos USB infectados. Es necesario gestionar las posibles infecciones malware de dispositivos USB debido al creciente riesgo de gusanos USB como el SillyFDC USB. (11) Las relacionadas con el aumento del uso de las tecnologías cloud-computing, fog-computing, edge-computing. Actualmente las nubes-niebla (a larga, media y corta distancia) parecen ser esenciales. (12) Las relacionadas con nuevas tecnologías: IA, AmI, criptomonedas, redes sociales, mensajería instantánea, etc.

1) Keyloggers o keystroke-loggers. Son programas malware ocultos que registran y logean cada tecla presionada en el teclado del sistema de computación infectado, cuando el usuario legítimo del sistema teclea en el proceso de registrar datos personales como nombres de usuario, contraseñas, números de tarjeta de crédito, cuentas bancarias, etc. Los keyloggers almacenan en secreto los datos en ficheros ocultos que pueden transmitirse a un punto de recogida remoto en cualquier parte de la red-Internet. La funcionalidad keylogger se incluye normalmente en la mayoría de programas troyanos. Los “teclados virtuales” que utilizan clics de ratón son una buena contramedida contra este tipo de programa malicioso. El keylogger registra todo lo que el usuario teclee en su sistema de computación para obtener contraseñas y otras informaciones sensibles y las envía al origen del programa de keylogging.

2) Ransomware/cryptolocker/ART (Advanced Ransomware Threat) como Wannacry, Petya, NoPetya, etc. El ransomware es un tipo de malware que cifra y bloquea ilegalmente el acceso a los datos, ficheros, programas, carpetas, disco duro, etc. de la víctima y amenaza publicarlos o borrarlos a menos que se pague un rescate (estilo secuestro de datos) una cierta cantidad de dinero (para reducir la trazabilidad en criptomonedas como el bitcoin). Mientras algunos ransomware simples pueden bloquear el sistema de modo que no es difícil para una persona con conocimientos revertirlo, el malware ransomware más avanzado utiliza una técnica denominada extorsión criptoviral que cifra los ficheros y carpetas de la víctima de forma que hace casi imposible recuperar sin la clave de descifrado. El exploit #0day RCE denominado EternalBlue (explota una vulnerabilidad del protocolo SMBv1 (Server Message Block versión 1) en Windows de Microsoft esta vulnerabilidad se denota como CVE-2017-0144 y posibilita ejecutar código arbitrario en el dispositivo de computación destino víctima) se utiliza como un método para difundir rápidamente el ransomware denominado WannaCry. Como posibles contramedidas realizar backups, actualizar el sistema operativo y antivirus aplicando los parches a tiempo, etc. El ransomware/cryptolocker pertenece a la categoría ART (Advanced Ransomware Threat). El ransomware se apropia de un sistema de computación o de los datos que contiene hasta que la víctima realiza un pago al ciber-atacante. El ransomware cifra los datos del dispositivo de computación (PC, smartphone, PLC, servidor, etc.) con una clave que es desconocida para la víctima. La victima debe pagar un rescate (precio) a los ciber-atacantes para poder recuperar los datos. Una vez que la víctima paga dicha cantidad (normalmente en bitcoins para dificultar la trazabilidad) no se asegura que la víctima pueda a volver a recuperar los datos o sistemas infectados.

3) Adware. El término adware se compone de dos palabras “advertisement” que se traduce como “anuncio” y “software” que hace referencia a programa. El adware es un tipo de malware. El adware es una aplicación software utilizada por las empresas para propósitos de marketing; los banners de anuncios se visualizan mientras cualquier programa se está ejecutando. El adware puede descargarse automáticamente a su sistema mientras se navega por cualquier sitio Web y puede verse utilizando ventanas emergentes (pop-up) o utilizando una barra que aparece en la pantalla del computador de forma automática. Existen dos tipos de adware: (a) No dañino. Es un software que de modo automático exhibe al usuario anuncios publicitarios, de este modo el fabricante del adware obtiene ganancias a partir de estas publicidades. (b) Potencialmente no deseado o peligroso. Algunos adwares pueden provocar ralentizaciones en el sistema, sensaciones de inestabilidad en el propio dispositivo de computación o incluso daños evidentes. Algunos adwares, se actualizan de forma automática y sin notificar nada al usuario. Son programas peligrosos porque empiezan a obtener información muy sensible del usuario, como pueden ser la localización GPS/Galileo/Glonass, detalles de contraseñas, así como las direcciones IP del computador, del servidor DNS o la de correo electrónico. El objetivo de algunos adwares es recopilar información personal y registrar las pulsaciones del teclado o incluso realizar un seguimiento a fondo de los sitios Web que visita. Muchas veces el adware también es un “shareware”, es decir un programa que se distribuye de modo gratuito, pero con diversas restricciones-limitaciones. Lo habitual en estos casos es que el usuario tenga la posibilidad de pagar para que el software deje de exhibir los anuncios publicitarios. Para eliminar el adware en el computador se puede utilizar antimalware profesionales, software específico, firewall cuando se navega por Internet, parches de ciberseguridad, actualizaciones pertinentes del sistema operativo y del navegador. Ciertos adwares son señalados como spyware porque registran información del usuario sin que éste se percate, por ejemplo, analizando sus búsquedas en Internet. Consiste en utilizar anuncios con ventanas emergentes (pop-ups). Un ejemplo de malware malicioso es “adware Borlan”.

4) Fireball. Es un tipo de malware que se hace con el control de los navegadores Web en los equipos infectados convirtiéndolos en “zombis” /”mulas” que obedecen al ciber-atacante; este malware tiene dos facetas puede utilizarse para descargar más contenido malicioso o para manipular el tráfico Web para generar ingresos publicitarios.

5) Malware polimórfico. Es capaz de modificarse a si mismo, normalmente para evitar las protecciones anti-malware que suelen buscar coincidencias con su base de datos de patrones. Cifra su código original para impedir que lo detecten. Aunque su código cambia y por tanto su comportamiento, su función sigue siendo la misma. Siempre realiza las mismas acciones, pero sigue modificando el resto de su código.

6) RoughTed. Esta clase de malware es del tipo “malvertising” (publicidad maliciosa) a gran escala permite difundir cualquier tipo de contenido malicioso de forma rápida y sin dejar a penas huellas.

7) Malware oligomórfico. Intenta evadir la detección y es un paso más avanzado que el cifrado de parte del código (malware polimórfico). Cuando el malware utiliza el cifrado, cifra una parte (la carga maliciosa) y un descifrador/cargador que carga en memoria la parte cifrada, la descifra en memoria y la ejecuta. La clave para el descifrado esta explícitamente en el descifrador/cargador. El malware oligomórfico tiene un conjunto de diferentes descifradores/cargadores que se eligen al azar en cada nueva víctima a infectar. Por tanto, el código del descifrador/cargador no es el mismo en todos los casos. Esto dificulta la detección del descifrador/cargador ya que se deberán comprobar todas las posibles formas que puede tener el descifrador/cargador.

8) Botnets y bots. Los botnets son colectivos de elevada cardinalidad de sistemas infectados (por ejemplo, PCs, servidores, smartphones, tablets, PLCs, objetos IoT/IIoT, etc.) con malware bajo el control del ciber-atacante para realizar diferentes tipos de ciber-ataques, por ejemplo, del tipo DDoS. Estos sistemas-dispositivos infectados (denominados bots o zombies, así mismo los programas maliciosos existentes en los equipos bots se suelen denominar malware de bots) se utilizan para llevar a cabo ciber-ataques contra sistemas destino normalmente saturando el ancho de banda y capacidades de procesamiento de dichos sistemas destino. Estos ciber-ataques del tipo DDoS son difíciles de detectar sin trazabilidad debido a que las botnets se sitúan en diferentes localizaciones geográficas detrás de redes de proxies. Las botnets se mitigan utilizando contramedidas como: (a) Filtrado RFC3704/IETF que denegarán el tráfico de direcciones falsificadas y ayudarán a que el tráfico pueda tener trazabilidad a su red origen correcta. Por ejemplo, el filtrado RFC3704/IETF eliminará los paquetes de direcciones IP falsas (filtrado de bogons). (b) Filtrado black hole. Elimina el tráfico no deseado antes de que entre en una red protegida. Cuando se detecta un ciber-ataque DDoS el dispositivo BGP (Border Gateway Protocol) debería enviar actualizaciones de routing a los routers ISP para que enruten todo el tráfico. Las botnets se utilizan para los siguientes propósitos: (i) Localizar e infectar otros sistemas de computación con programas maliciosos específicos para bots y otros tipos de malware. Esta funcionalidad permite a los ciber-atacantes mantener y construir su suministro de nuevos bots para permitir encargarse de las funciones siguiente. (ii) Realizar ciberataques DDoS (Distributed Denial of Service) que afectan a la disponibilidad o propiedad de asegurar que los datos digitales y recursos dentro de un sistema IT/OT se encuentren disponibles a tiempo para los usuarios autorizados. (iii) Como un servicio que puede comprarse, venderse o alquilarse. (iv) Rotar las direcciones IP bajo uno o más dominios con el propósito de aumentar la duración de los sitios Web fraudulentos en los que por ejemplo se hospedan sitios de malware y/o phishing. (v) Enviar spam que a su vez puede distribuir más malware. (vi) Robar información sensible de cada sistema de computación infectado que pertenece a la botnet. (vii) Hospedar el sitio de phishing malicioso, a menudo junto con otros miembros de la botnet para proporcionar redundancia. (viii) Muchos clientes botnet permiten al ciber-atacante ejecutar código adicional de su elección haciendo el cliente botnet muy flexible para añadir nuevos ciber-ataques. La operativa cíclica (ciclo de generación de la botnet) e infección de una botnet es la siguiente: (1) Fase-1. El malware infecta al dispositivo de la víctima. (2) Fase-2. Roba diferentes cosas (información, secretos, dinero, credenciales de autenticación de los usuarios, etc. (3) Fase-3. El equipo infectado se convierte en una parte de la botnet. La botnet se compone de equipos bots que: roban información (por ejemplo, sitio phishing hospedado con direcciones IP rotativas), sitios mula hospedados con direcciones IP que rotan, lanza ciber-ataques DDoS, compromete/infecta otros dispositivos de computación con malware) y vuelta a la fase-1. Dos modelos C&C de una botnet son: (1) Modelo C&C centralizado. Todos los equipos bots informan a una única localización (servidor C&C) esperando comandos. El modelo centralizado ofrece herramientas software que lo hace fácil de operar y da lugar a poco retardo de comunicación entre el bot master y los equipos bots infectados. Cada vez más se observa que los ciber-atacantes utilizan los protocolos Web HTTP y HTTPS como método de comunicación entre bots y bot master. Esto significa que es más difícil para los operadores de red detectar y bloquear las comunicaciones bot entrantes y salientes ocultas en un volumen elevado de tráfico Web normal. Los bots se comunican con el bot-master utilizando un servidor C&C y canales IRC. El bot master de este modo proporciona instrucciones que dirigen la operación de la botnet. El servidor C&C normalmente es un computador infectado que ejecuta diversos servicios de red. Después de infectar un computador por medio de un programa bot, el bot conecta periódicamente con el servidor C&C pidiendo instrucciones. (2) Modelo C&C tipo P2P. Carece de una jerarquía central de comunicación lo que hace a la botnet más resiliente para echarla abajo. Es difícil detener los ciber- ataques lanzados desde botnets que se comunican utilizando P2P sus equipos bots ya que no existe un único punto de fallo.

9) Hivenets/Swarmbots/Clusteres inteligentes de dispositivos infectados. Es una evolución de las redes de bots (o botnets) integrando auto-aprendizaje, automatización, inteligencia artificial compartida. Son en esencia redes inteligentes de bots (NewGeneration-botnets).

10) Malware metamórfico. Puede transformarse en función de su capacidad para traducir, editar y reescribir su propio código. Se considera uno de los malware mas infecciosos. Este malware cambia su estructura interna reescribiéndose y reprogramándose cada vez que infecta un dispositivo de computación. Este tipo de malware muta su código utilizando un motor metamórfico que cambia el cuerpo del malware incluso el propio motor de mutación. No tiene parte cifrada y por tanto no necesita descifrador. Cada vez que se propaga se crea una nueva versión que mantendrá el mismo efecto y comportamiento en general. Algunos malware metamórficos se comunican con la Web y otros no se comunican con el exterior durante la mutación.

Los principales impactos y efectos de los diferentes tipos de malware a nivel de la información son:

1. Denegación. Es el caso del malware ransomware que secuestra ficheros y pide recompensa para devolver la disponibilidad. Como contramedida disponer de backups y redundancia.
2. Destrucción. Es el caso de malware de formateo del disco duro.
3. Revelación. Es el caso de revelar contenidos de datos sensibles vía spyware (espionaje).
4. Descubrimiento. Es el caso de malware que descubre la existencia de recursos burlando mecanismos de anonimato.
5. Distorsión. Es el caso de malware que genera desinformación por capas, confusión, engaños, realidad disminuida, post-realidad, disuasión por capas, etc.

Los principales impactos y efectos de los diferentes tipos de malware a nivel operacional son:

a) Daño físico o destrucción de sistemas OT/IT. Un ejemplo es el malware Stuxnet (utilizaba múltiples vulnerabilidades 0-day) que dañó las centrifugadoras de purificación de uranio de Iran.

b) Pérdida competitiva a una organización o estado. Malware tipo spyware de escuchas clandestinas que revela los planes secretos, información propietaria, información clasificada o datos técnicos confidenciales. El ciber-atacante que recibe información del malware puede utilizando ingeniería inversa determinar tecnología clasificada.

c) Trastorno de las operaciones dentro de una organización. Un ejemplo es malware que altera información en un sistema de base de datos de un suministrador para re-encaminar productos críticos a destinos incorrectos.

d) Daño o muerte de seres humanos y medio ambiente. Un ejemplo es un malware que se introduce en un vehículo y bloquea la dirección en una curva o un malware que libera al aire productos venenosos por chimeneas en una fábrica, etc.

e) Daño a la reputación, actuación maliciosa sobre la voluntad de las personas, incitación al suicidio, autolesiones, etc.

Los principales impactos y efectos de los diferentes tipos de malware a nivel de sistemas son:

i) Compromiso de privilegios de root. El malware gana privilegios no autorizados de root, supervisor o administrador en un sistema o dispositivo concreto.

ii) Denegación de servicios. El malware deniega a la víctima acceso a recursos físicos (periféricos) y de información o servicios de sistemas.

iii) Compromiso persistente. El malware obtiene una ubicación en la red o computador que lo hace no detectable durante un gran período de tiempo lo que le permite realizar otras acciones.

iv) Compromiso de privilegio de usuario. El malware gana privilegios no autorizados de usuario o no-administrador en un sistema o dispositivo concreto.

v) Instalación de malware adicional. El malware descarga malware adicional para incrementar sus efectos maliciosos.

vi) Mal uso de recursos. El malware crea un uso no autorizado de recursos del sistema, por ejemplo, el equipo infectado cede su potencia de CPU para que el ciber-atacante pueda realizar minería ilegal de criptomonedas.

vii) Daño a la confidencialidad, integridad, autorización, autenticación, trazabilidad, no repudio, disponibilidad, repetición autorizada, autenticidad, suplantación software (robo de identidad) o hardware (sustitución de circuitos, cámaras de vigilancia, cifradores hardware, etc.), etc.

Referencias

• Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2020.
• Areitio, J. “Estrategias, enfoques y tácticas de protección para la Industria 4.0 en ciber-seguridad”. Revista Eurofach Electrónica. Nº 456. Febrero 2017.
• Areitio, J. “Identificación y análisis del anonimato y otros ejes maestros de la ciber-seguridad”. Revista Eurofach Electrónica. Nº 412. Septiembre 2012.
• Areitio, J. “Exploración y evaluación de la privacidad de la información en entornos de movilidad y espacios digitales de intimidad”. Revista Eurofach Electrónica. Nº 404. Diciembre 2011.
• Areitio, J. “Complejidad de los procesos de la seguridad-privacidad de la información”. Revista Eurofach Electrónica. Nº 453. Octubre 2016.
• Schryen, G. “Anti-Spam Measures: Analysis and Design”. Springer. 2007. - Lee, W., Wang, C. and Dagon, D. “Botnet Detection: Countering the Largest Security Threat”. Springer. 2007.
• Howard, R. “Cyber Fraud”. Auerbach Publishers, Inc. 2009. - Flegel, U. “Privacy Respecting Intrusion Detection”. Springer. 2007.
• Aycock, J. “Computer Viruses and Malware”. Springer. 2006. - Alazab, M. and Tang, M. “Deep Learning Applications for Cyber Security”. Advanced Sciences and Technologies for Security Applications. Springer. 2019.
• Kambourakis, G., Anagnostopoulos, M., Meng, W. and Zhou, P. “Botnets: Architectures, Countermeasures, and Challenges”. Series in Security, Privacy and Trust. CRC Press. 2019. - Perdisci, R., Maurice, C., Giacinto, G. and Almgren, M. “Detection of Intrusions and Malware, and Vulnerability Assessment”. 16th International Conference, DIMVA 2019, Gothenburg, Suecia, junio 19–20. 2019. Springer. 2019.
• Matrosov, A., Rodionov, E. and Bratus, S. “Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats”. No Starch Press. 2019. - Elisan, C.C., Davis, M.A., Bodmer, S.M. and LeMasters, A. “Hacking Exposed Malware & Rootkits: Security Secrets and Solutions”. Second Edition. McGraw-Hill Education. 2016.
• Saed Alrabaee, S., Debbabi, M., Shirani, P., Wang, L., Youssef, A., Rahimian, A., Nouh, L., Mouheb, D., Huang, H. et al. “Binary Code Fingerprinting for Cybersecurity: Application to Malicious Code Fingerprinting”. Springer. 2020.
• Greenberg, A. “Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers”. Doubleday. 2019.