Exploración longitudinal y transversal de las infecciones de malware

Hoy en día el malware es una de las más terribles ciber-amenazas, ciber-armas y herramientas de ciber-ataque (autónomas o guiadas) que existen en nuestra Sociedad. Nuestro mundo (basado en OT/IT) es cada vez más dependiente de Internet, cloud-computing, edge-computing, fog-computing, dispositivos-objetos IoT/IIoT (según la compañía McAfee para el 2020 tendremos 25 billones de dispositivos IoT, dispositivos muy fáciles de infectar con malware), PAC (Process Automation Controller), smartphones, RTU (Remote Terminal Unit), tablets, PLCs (Programmable Logic Controllers), servidores de bases de datos, plataformas CRM (Customer Relationship Management), sistema ERP (Enterprise Resource Planning), sistema GRP (Govermment Resource Planning), redes PCN (Process Control Networks), HMI (Human Machine Interface), PCs, redes cableadas e inalámbricas como 2G, 3G, 4G, 5G, Wi-Fi, Bluetooth, LoRa-WAN, etc., IED (Intelligent Electronic Device), vehículos conectados (directa o indirectamente, por ejemplo, por smartphones) y vehículos autónomos, sistema CPS (Cyber Physical System), sistemas SCADA (Supervisory Control And Data Acquisition), sistema DCS (Distributed Control System), MES (Manufacturing Execution Systems), sistema ICS (Industrial Control System), sistema PCS (Process Control System), etc.

Actualmente el malware crece de forma inimaginable en número, variedades (especies, familias, subfamilias, funcionalidades, etc.), sofisticación, persistencia, grado de ocultación, resiliencia y tolerancia a fallos e intentos de eliminación, etc.

El malware explota todo tipo de vulnerabilidades (programas de red con fallos, APPs infectadas incluso descargadas de GooglePlay/AppStore, servicios Web contaminados, navegadores Web no actualizados o contaminados, personas sometidas a ingeniería social, sistemas operativos e hipervisores comprometidos, etc.). El malware emplea todo tipo de técnicas para subsistir como esteganografía, cifrado, compresión, cambio de forma y polimorfismo, ofuscación (como inserción de código de relleno, reasignación de registros, reordenación de subrutinas, sustitución de instrucciones, trasposición de código, integración de código, etc.).

Existe malware que se deja detectar-encontrar, pero previamente ya ha cargado otros componentes preferenciales de infección de forma muy oculta y se deja confinar y/o eliminar como elemento de sacrificio. Actualmente el malware esta, preparado para sobrevivir (es cada vez más resiliente) en cualquier tipo de sistema OT/IT, es sigiloso, automático, asintomático, evita ser detectado (las versiones actuales del malware no detectable crecen día a día y son muchísimo más sigilosas que malware antiguo como “brain”) por cualquier tipo contramedida de ciberseguridad empleada como antimalware, ng-firewall (y todas sus derivadas como WAF o Web Application Firewall, etc.), IDS, IAM, IPS, auditorías, pasarelas UTM, test de penetración, SIEM, etc.

El malware posee cada vez más funcionalidades-potencialidades, una vez dentro se oculta, replica, inactiva las posibles protecciones antimalware, se reinstala y puede llamar a servidores C&C para recibir información adicional como ganancia de funciones (mejor propagación-trasmisibilidad pasando de objeto, host o red a red, host u otra entidad intermedia, más invisibilidad, más rapidez de acciones, en cada nueva aparición añade nuevas formas de actuar como ausencia de firma o huella para evitar su detección, mejora sus capacidades, para robar datos, infectar otros dispositivos, etc. Todo esto nos exige a nuestra Sociedad preparación inmediata. El número y extensión de las infecciones malware crece día a día en todo el planeta con la dificultad de la no detectabilidad. No caigamos en el error histórico de reaccionar tarde y mal.

El malware (malicious software-firmware-hardware) moderno integra cada vez más códigos, programas, microprogramas, hardware (de diversidad de especies, familias, clases, variantes, tipos, géneros, categorías, funcionalidades, etc.) malicioso dotado de mecanismos de supervivencia. Lo cual le permite generar de forma oculta diferentes grados de infecciones, brotes, rebrotes, crisis ciber-epidemiológicas e incluso ciber-pandemias malware globales. El malware se reinventa y auto adquiere ganancia de funciones. Puede clasificarse atendiendo a criterios y atributos de naturaleza-especie-comportamiento en diversas categorías:

1. Malware de difusión masiva. Este tipo de malware se caracteriza por enviarse masivamente a todo el mundo. Actualmente tiene vigencia porque puede añadirse funcionalidades adicionales como no detectabilidad, puertas traseras, malware asintomático, etc. El resultado es que todos están infectados, pero no lo saben y sólo se deja (si el malware lo desea), que unos pocos lo sepan.
2. Malware persistente. Integra capacidades de tolerancia a fallos supervivencia a vacunas antimalware, a eliminaciones, inactivaciones, borrados, etc. y se caracteriza por su resiliencia y resistencia a ser detectado y eliminado. Utiliza enfoques como, por ejemplo, malware sin ficheros en RAM, malware embebido de forma esteganográfica y subliminar.
3. Malware desconocido y 0-day. Su diseño no se conoce, utiliza múltiples vulnerabilidades 0-day.
4. Malware dirigido. Es no detectable y se caracteriza por transmitirse únicamente a un conjunto de víctimas u objetivos específicos concretos.
5. Malware de una sola vez. Sólo infecta una vez, puede o no utilizar mecanismos de persistencia (si los utiliza puede infectar de otro modo las veces siguientes), puede o no hacer creer que se ha capturado, inhabilitado o limpiado.
6. Malware conocido. Ya sea recientemente o desde hace mucho tiempo, pero puede incorporar nuevas capacidades de infección que desconcierten y desorientan y que persistan.
7. Malware sigiloso y oculto. No es detectable, es asintomático. Si se le intuye lanza contramedidas para engañar y deja que un clon se inactive o elimine como elemento de sacrificio.
8. Malware abierto. Si se detecta no se oculta, pero previamente ha dejado múltiples semillas de activación de nuevas infecciones malware en lugares ocultos y no imaginables.

Las modernas especies de malware persistentes, con ganancia de función, multifuncionales y asintomáticos combinan diferentes funcionalidades de las categorías anteriores por ejemplo malware de difusión masiva pero además persistente, con funcionalidades dirigidas, con múltiples comportamientos como espionaje de difusión masiva, bomba de tiempo de diferente valor por ejemplo para objetivos específicos, etc.

La inteligencia artificial (IA) se utiliza desde hace tiempo para desarrollar malware cada vez más sofisticado. Emplea multiplicidad de tecnologías como redes neuronales profundas avanzadas, deep-learning, sistemas expertos, machine-learning, etc. Permite aumentar la efectividad del malware haciéndolo más independiente, rápido, inteligente, capaz de operar de forma autónoma, capaz de elegir las técnicas de movimiento lateral, más complejo, más difícil de detectarlo e identificarlo (simula el comportamiento de aplicaciones legítimas) y oculta su presencia. Se auto-propaga tanto en redes como en dispositivos finales y memoria. Las áreas de acción de la IA a nivel de potenciar y empoderar el malware son:

1. Combinar diversas técnicas de infección/ciberataque. Al objeto de encontrar las opciones más efectivas que no pueden ser fácilmente detectadas y las prioriza sobre las alternativas con menos éxito.
2. El malware detecta entornos sospechosos. Si el algoritmo del malware detecta una máquina virtual (VM), sandbox, honeypot, honeynet, recintos de engaño/deception y de cautividad estancos, trampas malware, zona de confinamiento/aislamiento u otras herramientas de protección antimalware, el malware asediado puede alterar su comportamiento o parar temporalmente su actividad para evitar su detección, incluso ocultándose de forma esteganográfica.
3. Implementar mecanismos de autodestrucción en el malware. Esto se activa si se detecta un comportamiento indebido o peligroso. Inducido por un login de un programa o perfil de usuario no estándar, el malware automáticamente activa un mecanismo de autodestrucción para evitar su detección o para hacer imposible un análisis ciber-forense ulterior, pero dejando previamente semillas malware bien ocultas.
4. Generar variantes de malware nuevas, tolerantes a fallos y muy difíciles de detectar. Ocultas la mayoría y dejando unas pocas dando la cara a hurtadillas.
5. Ajuste de características y enfoque del malware basado en el entorno. Si el malware desea dirigirse, por ejemplo, a navegadores Web, en vez de incorporar una lista completa de escenarios y navegadores en el malware, sólo necesita implantar unas pocas para las marcas más frecuentemente encontradas. El algoritmo de IA del malware utiliza este entrenamiento y aprende directamente del dispositivo final la mejor forma de infiltrarse y los navegadores Web previamente no especificados y el menos popular.
6. Se oculta el malware en la red de la(s) victima(s). El malware puede monitorizar el comportamiento de los nodos y dispositivos de computación finales de la red objetico del malware y construir patrones que se parezcan al tráfico de red autorizado/legítimo (comunicaciones subliminares, comunicaciones side-channel, uso de canales esteganográficos, uso de fraccionamiento de secretos, uso del cifrado-compresión, etc.).
7. Ayuda a que otros nodos de una botnet aprendan colectivamente e identifiquen las formas más efectivas de infección/ciberataque. Aprender y compartir información utilizando múltiples nodos infectados puede ser una ventaja para el malware ya que cada uno de los bots o zombis esclavizados de una botnet puede testear diferentes técnicas de infiltración y reportar los resultados obtenidos. Esto puede ayudar a agentes malware (existentes o adicionales) a aprender más sobre la infraestructura a infectar en un espacio de tiempo menor.
8. Aumenta la velocidad de la infección/ciberataque. La velocidad de una infección malware puede ser crucial. Los algoritmos de IA del malware pueden realizar la extracción o robo de datos mucho más rápido de lo que necesitaría una persona, haciendo más difícil de detectar y casi imposible de prevenir, ya que el malware puede copiar y sacar los datos del perímetro protegido antes de que los mecanismos de protección/defensa puedan reaccionar a tiempo.
9. El malware decide si el dispositivo de computación que visita una Web infectada merece la pena. Para ello monitoriza el tráfico y selecciona quienes son más valiosos y les inyecta el malware.

Actualmente existe una carrera por identificar y detectar todo tipo de malware. Algunas de las tácticas y mecanismos existentes son:

1. Análisis estático de malware. Consiste en analizar el malware sin ejecutarlo. Se utilizan herramientas que utilizan las propiedades sintácticas o estructurales conocidas del código malware para extraer información del fichero infectado. A veces se utiliza el análisis basado en línea de comandos para extraer información. La información recogida durante este tipo de análisis es simple y no siempre suficiente para sacar una conclusión sobre el rastro malicioso del fichero. Para actuar contra malware polimórfico se puede utilizar un análisis estático del programa basado en un grafo de flujo de control para el malware que se va a analizar, es un grafo cuyos nodos son los bloques básicos del programa donde un bloque básico es una secuencia de instrucciones con al menos una instrucción de flujo de control (tipo jump, call, etc.) al final del bloque y donde las aristas del grafo son los posibles caminos entre bloques básicos. Aunque se introduzcan grupos de instrucciones en el código malware sin ningún efecto se mantiene el flujo de control básico. Por tanto, el grafo de flujo de control del malware original y del polimórfico tendrían la misma forma. El grafo de flujo de control actúa como una firma del malware.
2. Análisis dinámico de malware. El malware se analiza mientras se ejecuta en el sistema. Se ejecuta en un entorno controlado (de confinamiento-aislamiento) para evitar la transferencia del malware a otros dispositivos, entidades, sistemas o redes. Implica observar el malware interactuando con el sistema. Se toma una “instantánea” del estado original de la máquina virtual, se introduce, se ejecuta y se comparan el estado final con el original para observar los cambios. Los cambios monitorizados se utilizan para eliminar la infección de los sistemas contaminados y modelizar las firmas de forma más efectiva que el análisis estático. El análisis dinámico permite observar las APIs, llamadas de función del sistema pedidas, ficheros creados y/o borrados, cambios del registro y los datos procesados por el malware y como interactúa con el sistema
3. Detección de malware basada en firmas. Utiliza secuencias de código de bytes específicos que identifican de forma única una muestra de malware de una familia o variante concreta de ellos para detectar la presencia de ficheros codificados similares en un sistema de computación. La secuencia de código de bytes única se guarda en la base de datos del antimalware/AV en forma de firmas y las desarrollan grupos de expertos en malware después de un análisis detallado de un número importante de malware (recogidas a nivel mundial, por ejemplo, en honeypots/honeynets, etc.). Cualquier fichero escaneado por un AV que encuentre que contiene la firma de una secuencia de código de bytes única se declara malicioso. Esto implica la necesidad de actualizar las firmas en el AV para poder detectar nuevos malware. Los malware 0-day lógicamente no se detectan.
4. Detección de malware basada en heurística. En este caso no existe la necesidad de saber demasiado sobre la estructura interna o la lógica del programa malicioso que se esta escaneando. El objetivo principal que trata alcanzar es una decisión tan conclusiva como sea posible utilizando el mejor camino óptimo. Los enfoques de detección basados en heurística utilizan algoritmos y/o reglas que escanean patrones conocidos. La mayor parte de antivirus (AV) utilizan una combinación de motores heurísticos y escaners basados en firmas. La detección de malware basada en minería de datos se considera un enfoque de detección basada en heurística. La heurística es básicamente un conjunto de procedimientos para dar una solución en base a prueba y error o por reglas que sólo se han definido de forma aproximada.
5. Detección de malware basada en comprobar la integridad. Las infecciones necesitan hacer cambios en el entorno o dispositivo a infectar. Los comprobadores de integridad se utilizan bajo la base de que un fichero que existe en un entorno operativo no infectado se utiliza como patrón/medida para encontrar cualquier futuro cambio. Para ello se utilizan firmas digitales y funciones hash como SHA512, SHA256, etc. para calcular el hash/resumen del programa/fichero y almacenado en la base de datos offline para protegerse de modificaciones maliciosas. Posteriormente, los valores hash de los programas/ficheros se recalculan y se comparan con los valores hash originalmente calculados para comprobar si el fichero se ha modificado.
6. Detección de malware basada en semántica. Se enfoca en identificar el malware deduciendo la lógica del código y comparándola con los patrones de lógica maliciosos conocidos. Sigue la semántica de las instrucciones del código dentro del fichero en vez de mirar a las propiedades sintácticas a diferencia de la detección basada en firma. Esto permite a los enfoques de detección basada en semántica superar la posible ofuscación del malware y poder detectar variantes de malware desconocidas.
7. Detección de malware basada en comportamiento. Se enfoca en utilizar el comportamiento y las actividades de las aplicaciones específicas y sistemas observados durante el análisis dinámico de las muestras para formar patrones que pueden utilizarse para identificar software que tenga patrones similares de infección malware. Aunque estas técnicas son muy inmunes a la ofuscación, su aplicabilidad es limitada debido a su rendimiento ya que el análisis dinámico necesita tiempo y además el determinar las actividades no maliciosas dentro del ecosistema/entorno es complejo.

Es fundamental el informar ya que es prevenir. El siguiente protocolo-código de buenas prácticas posibilita dificultar las infecciones y las transmisiones de malware:

1. No abrir ficheros adjuntos en correos electrónicos y otras aplicaciones similares ya que podrían estar infectadas y menos de remitentes desconocidos. Abrir los correos electrónicos conocidos en texto plano, inhabilitar autoejecutables y pantallas emergentes. No dejar las sesiones abiertas, aunque figure esa opción por defecto. Cerrar las sesiones si la persona no se encuentra delante de su dispositivo o si la persona se encuentra ocupada haciendo otras cosas.
2. Evitar el uso de redes Wi-Fi no seguras en lugares públicos, estas redes posibilitan inyección de todo tipo de malware y ciber-ataques como MITM (Man-In-The-Middle). Una contramedida es utilizar VPN para protegerse.
3. Complementar el control de acceso con el control del uso. No recargar la batería de nuestro smartphone en sitios públicos ya que podría utilizar conectores trucados con acceso a nuestros datos.
4. Realizar copias de seguridad o backup redundantes y en lugares remotos. Hacer copias de seguridad de los datos, por ejemplo, del smartphone, en base a un plan sistemático de sincronización de los datos importantes.
5. Actualizar todo el software: hipervisores, sistemas operativos, aplicaciones, navegadores Web (Chrome, Firefox, Internet Explorer, Opera, Netscape, Safari, etc.), etc. incluyendo los últimos parches y revisiones. Borre todo lo innecesario del escritorio, incluido software redundante, etc. ya que cuantos más servicios tenga más fácil será para el malware encontrar vulnerabilidades.
6. Revisar las configuraciones de todo el software, por ejemplo, que los navegadores Web avisen si algún programa abre la cámara Web para vigilar al usuario, para descargar algún complemento innecesario, para descargar adware, para abrir pantallas emergentes o pop-ups, etc.
7. Complementar el control de acceso a quién, a qué recursos, y qué permisos se necesitan considerar además de la localización (en el exterior geográfica basada en drones, satélites GPS, Glonass, BeiDou, GNSS, etc. o por triangulación por torres de antenas de telefonía móvil o en el interior basada en i-Beacon con Bluetooth, RFID, cámaras cctv, etc.) del usuario y su dimensión temporal (fecha, hora, instante de tiempo).
8. Utilizar software antivirus profesional (completo con todas las funcionalidades FW, IPS, VPN, Whitelisting, reglas WAX, firmas y atributos de ficheros, listas de revocación de reputación de sitios Web, antispam, antiphishing, etc.) actualizado que utiliza análisis heurístico, de comportamiento (para malware 0-day y que cambie de forma con cada ejecución tipo metamórfico, polimórfico, etc.) y basado en firmas y dispone de zonas de cuarentena.
9. Complementar el retorno de inversión (que sólo es dinero) con el retorno de inclusión es decir revelar los beneficios que aportan a la organización por el hecho de aplicar prácticas de control y ciberseguridad ante el malware.
10. Utilizar contraseñas de elevada entropía, asegurarse que no sean fáciles de adivinar no se encuentren en el diccionario y sean diferentes para cada sitio. Si fuera posible incluir un mecanismo de limitación del número de reintentos y tecnología ZK.
11. Borrar smishing (enlaces que se envían a través de SMS para robar datos, secuestrar cuentas, robar dinero, etc.). Correlacionar la confianza, el temor, la incertidumbre, las dudas, etc. con hechos, observaciones, predicciones anticipadas, prevenciones, mediciones, datos, etc. Borrar el spam (correo basura normalmente con malware).
12. No hacer clic en los link o vínculos colocados en los correos electrónicos, en los mensajes colgados en las redes sociales, en software de mensajería, en sitios Web, etc. No hacer clic en botones colocados en pop-ups o pantallas emergentes (botones como salir, quedarse, dar conformidad o cerrar X) es una forma de propagar malware. Como contramedida cerrar la sesión mediante control-alt-del.
13. La funcionalidad Bluetooth sólo activar cuando sea muy necesario, pero con contraseña y en modo oculto. Complementar la visión de los ciber-riesgos conocidos con una visión de ciber-riesgos latentes y emergentes (malware no detectable).
14. No descargar APPs de sitios no oficiales, incluso algunos oficiales (GooglePlay, AppStore, etc.) pueden tener algún fichero infectado sin saberlo. No descargar software de sitios Web en general ya que podría estar troyanizado, en caso necesario, guardarlo en zona de confinamiento y analizarlo con antimalware.
15. Nos podemos infectar tan sólo por visitar o acceder a sitios Web que escondan malware 0-day (aunque el antivirus este actualizado ya que no podrá detectarlo). No abra URLs reducidas (ya que no se entiende su dominio, ni procedencia) que se han podido generar por herramientas incluso gratuitas. No acceder a sitios Web a través de códigos QR que ocultan su URL ya que nos podemos infectar mediante “drive-by”.
16. Desinfectar ficheros con macros por ejemplo Office de Windows como Excel, Word, etc. ya que pueden incluir virus de macro. Analizar si ha habido cambios en ficheros nativos al sistema operativo como PowerShell o WMI que preludia malware sin ficheros.
17. Desinfectar ficheros.pdf, .docx, .ppt, etc. de scripts. No dejar engañarse por el phishing del correo que integra tecnología de ingeniería social muy efectiva.
18. Eliminar plugins o complementos del navegador Web maliciosos e innecesarias (como Istbar, Boggles.co, Total Dating Guide, etc.). Existen plugins de navegador legítimos (como Adobe Acrobat Reader, Macromedia Flash, Google Toolbar, etc.
19. No utilice su dispositivo de computación para compartir P2P como BitTorrent sin tomar las contramedidas necesarias.
20. Ponga cinta adhesiva negra sobre la(s) cámaras Web para protegerse del malware espía como creepware en smartphones, tablets, PCs, smart-TV, juguetes y electrodomésticos con conexión a Internet por Wi-Fi, por Bluetooth, etc. Anular los micrófonos (no es suficiente poner un esparadrapo delante) de los dispositivos que lo tengan, así como los que integren reconocimiento vocal (asistentes personales con control por voz) como smartphone, Smart-TV, PC, vehículos conectados directa e indirectamente, vehículos autónomos, electrodomésticos, dispositivos y juguetes conectados a Internet, etc.
21. Limite o elimine los privilegios de administrador/root en su dispositivo de computación (smartphone, PC, tablet, servidor SCADA, etc.) ya que abre puertas no deseadas. Sólo utilizar los privilegios mínimos necesarios para poder realizar estrictamente nuestro trabajo.

Procedemos a realizar una radiografía de nuestra Sociedad identificando las dimensiones que permiten al malware sigiloso, no detectable inyectarse, extenderse y actuar de forma absolutamente dañina derribando todas nuestras columnas actuales que soportan la modernidad, evolución, progreso, sostenibilidad, etc. Exploremos y analicemos algunos ejes que dan soporte al crecimiento alarmante y vertiginoso del malware. Toda nuestra Sociedad, es cada día:

1. Más digital. Nos encontramos en la era digital, donde es una obligación la transformación digital de todo tipo de organizaciones (financieras, sanitarias, industriales, comerciales, gubernamentales, etc.) donde se incrementa el uso de la economía digital, fabricación moderna, votación electrónica, AmI, Industria 4.0, IIoT, realidad disminuida, desinformación, IoT, digitalización generalizada en todos los sectores IT/OT, todo debemos dejarlo en el ciberespacio/Internet, nubes (cloud-computing, edge-computing, fog-computing), etc. donde existen cada vez más familias, variantes y volumen de malware sigiloso.
2. Más basada en software. El software se integra cada vez más en todo: vehículos conectados directa o indirectamente y vehículos autónomos, 4G, 5G, apertura de puertas, electroválvulas, cambio de luces de los semáforos y railes en trenes, etc. con cantidades ingentes de malware asintomático al acecho.
3. Más definida por software. Nos encontramos cada día con más entidades definidas por software: SDR (Software Defined Radio), SD-WAN (SoftwareDefined-WideAreaNetwork), SDN (Software Defined Networking), sistema global de routers, etc. con un incremento de vulnerabilidades e infecciones malware ocultas.
4. Más automatizada por software. Observamos un incremento del control automatizado de todo tipo de infraestructuras con controladores PLCs, sistemas SCADA, CPS, dispositivos ATM, etc. infectados con malware no detectable.
5. Más basada en hardware/firmware. Detectamos cada día más microprogramas-firmware en electrónica embebida, microprocesadores y CPUs infectadas con malware oculto, chips electrónicos, tarjetas madre, circuitos digitales/analógicos, etc. infectadas con troyanos hardware y otros tipos de malware.
6. Más basada en datos digitales. Los datos digitales se han convertido en un elemento clave en nuestro mundo y nuestra vida, por ejemplo, muchas universidades desde hace tiempo han incluido en sus planes de estudios nuevas titulaciones como, por ejemplo, la de “ciencia de los datos”. Los datos suponen un activo estratégico que crea valor y que cada vez se inyecta con más malware no detectable. Según un informe de la consultora Olive Wyman, el 92% de los datos digitales de Europa se encuentran almacenados en servidores pertenecientes a Estados Unidos (la identidad digital de muchos europeos depende de direcciones de correo electrónico extranjeras).

Nuestra sociedad no se puede permitir el lujo de no prestar a tiempo la suficiente atención a la ciber-amenaza, ciber-arma, herramienta de ciber-infección/ciberataque de los malware (autónoma o guiada C&C).

Referencias

• Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2020.
• Areitio, J. “Búsqueda y hallazgo de confluencias esenciales entre actividades hostiles y contramedidas en ciberseguridad”. Revista Eurofach Electrónica. Diciembre 2020.
• Areitio, J. “Identificación y exploración de tendencias en el incremento, tipos de impactos y efectos del malware”. Revista Eurofach Electrónica. Noviembre 2020.
• Areitio, J. “Confluencias, correlaciones y sinergias entre ciberataques y actuaciones eficientes de ciberseguridad ciber-resiliente/intensiva”. Revista Eurofach Electrónica. Octubre 2020.
• URL de EICAR (European Institute for Computer Anti-Virus Research) para realizar test de malware: http://www.eicar.org/
• Ligh, M., Adair, S., Hartstein, B. and Richard, M. “Malware Analyst's Cookbook and DVD: Tools and Techniques for Fighting Malicious Code”. Wiley. 2010.
• Rains, T. “Cybersecurity Threats, Malware Trends, and Strategies: Mitigate exploits, malware, phishing, and other social engineering attacks”. Packt Publishing. 2020.
• Aichelbaum, O. “Le Virus Informatique (3e hors-série, HS3)”. ACBM; PublishDrive Edición. 2020.
• Hassan, N.A. “Ransomware Revealed: A Beginner’s Guide to Protecting and Recovering from Ransomware Attacks”. Apress; 1st ed. Edición. 2019.
• URL de VIRUSTOTAL: https://www.virustotal.com/ - Szor, P. “Art of Computer Virus Research and Defense”. Addison-Wesley Professional. 2005.
• Ludwig, M. “The Giant Black Book of Computer Viruses”. American Eagle Books. 2019.
• White, G. “Crime Dot Com: From Viruses to Vote Rigging, How Hacking Went Global”. Reaktion Books. 2020.
• Aichelbaum, O. and Gueulle, P. “Le 42e Virus Informatique (Le Virus Informatique)”. ACBM; PublishDrive Edición. 2019.
• Crawford, D.H. “Viruses: A Very Short Introduction”. 2nd Edición. OUP Oxford. 2018.
• Sole, R. and Elena, S.F. “Viruses as Complex Adaptive Systems”. Princeton University Press. 2018.