43 INVESTIGACIÓN Intelsat, Thuraya, Terrestar, Amazonas-2, Indium, Astra, STSAT-2C, SatMex, Telstar, Arsat, Hylas, Embratel-Star-One, etc. • Satélites metereológicos como: Meteosat-8, GOES-12, MTSAT-1R, MSG3, TIROS-1, GOMS, RESURS, METEOR, NOAA-18, FENGYUN/FY-2D, etc. • Satélites de observación, vigilancia, reconocimiento, cartografía y satélites espías como: Earth Observing EO-1 (NASA), NROL-32, Discover, Vela Hotel, Corona (USA), Spainsat/PNOTS (España), Yantar, Cartosat-1, Kosmos 2542 (Rusia), USA-245/NROL-65, Ofeq7 (Israel), UNISAT-7, USA 271, SJ-20 (Shijian-20 China), Paz, Sicral (Italia), Helios 2B, Vela Sierra (113000Km), IGS, Keyhole-KH, SAR/Lupe1-5 (Alemania), Zircon (UK), Zenit (Rusia), RORSAT-3 (Ucrania), etc., drones, alarmas de edificios, etc. Puede espiar, robar datos-información sensible (la información es el petróleo de nuestros días), modificar información crítica, realizar sabotajes, puede degradar servicios, puede realizar apagones (o blackout), puede generar señales e información falsa (desinformación multimedia), puede crear caos, etc., de forma sigilosa o con falsa bandera. Las vulnerabilidades son el elemento facilitador delmalware ofensivo (la vulnerabilidadCVE-2014-0160/’heartbleed’ permite a unmalwaremanipulando el tráfico SSL obtener volcados de segmentos de la memoria RAM de un servidor remotoque podrían contener datos sensibles y que fue causado por fallos de programación en las librerías OpenSSL. La ‘búsqueda y extracción de datos confidenciales de lamemoria RAM’ o ‘RAM Scraper’ o ‘Memory-parsing’ lo utilizan los malware como POSeidon, JackPOS, etc. contra cajeros electrónicos, POS (Point-Of-Sale) o TPV (Terminales de Punto de Venta) (en tiendas, supermercados, hoteles, etc.), la comunicación entre TPV y el centro autorizador está cifrada, sin embargo, durante el proceso de datos de la tarjeta se almacenan temporalmente en RAM en texto en claro y el malware busca y extrae esos datos de la tarjeta evitando el cifrado, esto se denomina ‘RAM-Scraper’). Las vulnerabilidades (que pueden ser conocidas, desconocidas o 0-day y creadas por el malware) son debilidades, confianzas, fallos, errores, bugs, flaws, deficiencias, malas configuraciones, etc., a todos los niveles (software, firmware, hardware, en todo tipo de protocolos, reglas (NGFW/WAF), configuraciones de todo tipo, personas, gobiernos, organizaciones, sistemas operativos, infraestructuras de containers y servicios (docker daemon), hipervisores, APPs, APIs, juegos de computador, metaversos o universos virtuales, vehículos conectados o autónomos, elementos OT (como SCADA, PLCs, IPCs, MES, CPS, ICS, HMI, etc.), blockchain, elementos IT (como PCs, BDs, tablet, smartphones, CRM, ERP, etc.), cripto-divisas/criptomonedas (como bitcoins) y sus billeteras, cajeros/ATM, ‘exchanges’ para cambiar demonedas ($, €, etc.) a bitcoins y viceversa, etc. Así mismo los malware ofensivos utilizan exploits (como Eternal-Blue), vectores de ciberataque (comoMDM/Mobile Device Manager corporativo que opera como sistema de control central para toda una red móvil corporativa). El número de variantes malware es elevadísimo: Stuxnet tipo APT (para sabotajes), Wannacry (tipo ransomware), Shamoon, Snifula, Sword, Flame (espionaje), Nymaim, Lucifer (cripto-minería no autorizada), Robbinhood, Duqu (su dropper esperaunperiodode inactividad del teclado para iniciar sus perversas operaciones), Chernobyl, Spora, Rozena, DoNot, KPOT (troyano), Ryuk (tipo ransomwae), PsycoBot y BrickerBot (Bot), Remcos (tipo RAT), Hamas, MalLocker.B, Zeus (troyano), Wiper, WebC2, Babar, Glupteba (tipo backdoor), Lucy (es MaaS y dropper), LokiBot (tipo infostaler), Clop (ransomware), Remcos, Betabot, AgentTesla (RAT), EquationGroup, Ramnit, Gauss (robo credenciales), Cerberus (captura datos sensibles y los envía a un servidor remotoC&C), Marble-Framework (ofusca-scrambling el malware y pone falsa bandera), etc. El malware inteligente avanzado puede realizar ciberataques de muy diferentes tipos: visibles o invisibles/ocultos, detectables o no detectables, persistentes (APT) o no persistentes, globales, dirigidos, simultáneos, tipo campañas, con actuación retardada, en vida latente (uso demódulos durmientes), con y sin desinformación, etc. Algunas características del malware ofensivo son: nivel de dispersión geográfica, número de funcionalidades que integra (worm, virus, backdoor, etc.), frecuencia (número de infecciones por unidad de tiempo), capacidad de ganancia de funciones, capacidad de comunicarse con servidores C&C (se pueden identificar distintas opciones de organización C&C: totalmente centralizado, totalmente descentralizado (auto-sincronización), colaborativa-descentralizada, centralizada para control y descentralizada para ejecución, etc.), etc. El malware inteligente avanzado defensivo (MIAD) actúa vigilando, descubriendo y neutralizando/bloqueando todo tipo de exploits, vulnerabilidades como intentos de inyección, CSS, SSRF (Server Side Request Forgery), controles de acceso rotos o deficientes, fallos de integridad en software/datos, fallos en identificación/autenticación/autorización, deficiente configuraciones de seguridad, fallos criptográficos, componentes desactualizados/vulnerables, fallos en monitorización y logging de seguridad, diseño inseguro, etc. Así mismo bloquea cualquier intento de intrusión, de crear archivos no autorizados, de acceder de forma maliciosa a datos de procesos y subprocesos, de crear problemas en el registro (claves de software sin usar, referencias COM no válidas, asociación del tipo de fichero no válido, servicios y controladores de dispositivos no válidos, fuentes no válidas, etc.), acceso a ficheros no deseados de Internet (por ejemplo, ficheros caché del navegador Web), etc. Actualmente el MIAD o brevemente malwaredefensivo es una oportunidada tener en cuenta contra los ciberataques cada vez más sofisticados del malware ofensivo. Según Netskope el 97% de las aplicaciones y servicios en la nube son ‘Shadow IT’, es decir, no han sido autorizadas ni están cubiertas y protegi-
RkJQdWJsaXNoZXIy Njg1MjYx