Los ciberdelincuentes adoptan cada vez más una economía basada en servicios. En el pasado, un ciberdelincuente tenía que ser un hacker experto, capaz de llevar a cabo todos los aspectos de un ciberataque por su cuenta.
Ahora, los ciberdelincuentes venderán y alquilarán sus servicios y herramientas entre sí en el mercado negro. Esto significa que un ciberdelincuente podría especializarse en un área y comprar cualquier otro servicio que requiera o incluso no tener ninguna habilidad de piratería informática y comprar todo a piratas informáticos expertos.
Cualquiera puede convertirse en hacker. No se necesitan conocimientos informáticos avanzados.
Sí, es cierto, si no bastante aterrador. Cualquiera, desde tu competidor comercial que no te quiere demasiado, hasta el vecino al que no invitaste a esa fiesta de barbacoa el verano pasado. Pero, ¿por qué?
Si no has oído hablar de Malware-as-a-Service (MaaS), vale la pena leer esta publicación. Ah, y no te preocupes, hay muchas acciones que puedes tomar para evitar que esto suceda.
Te contamos qué es el Malware como servicio, cómo afecta a los usuarios, cómo detenerlo y cómo protegernos frente al mismo.
Indice
¿Qué es el Malware-as-a-Service?
Malware as a Service (MaaS) es un ejemplo de uno de los servicios prestados como parte de la economía de servicios del ciberdelincuente. Malware as a Service permite a cualquier persona realizar un ataque de malware a gran escala con poco o ningún conocimiento técnico o experiencia requerida.
Con Malware as a Service, el cliente alquila el acceso a una botnet, un conjunto de computadoras que se han visto comprometidas a través de malware o ataques de relleno de credenciales y se han visto obligados a cumplir las órdenes del atacante. Esta botnet alquilada está configurada para escanear Internet en busca de computadoras que sean vulnerables a la explotación mediante vulnerabilidades conocidas.
Una vez que la botnet ha identificado una máquina vulnerable, aprovecha la vulnerabilidad identificada y utiliza su acceso para enviar e instalar malware automáticamente en la máquina. Una vez que se ha instalado el malware, el operador de la botnet obtiene el beneficio previsto del malware, ya sea robando datos confidenciales, instalando ransomware u otros ataques.
Es posible que hayas oído hablar del software como servicio. Es cuando puedes ‘alquilar’ una aplicación a través de Internet. No es necesario que lo instales en tu computadora, por lo que todo el dolor de cabeza de mantenimiento recae en el proveedor, no en ti. Slack y Dropbox son ejemplos de SaaS.
Malware-as-a-Service, o MaaS, es una versión criminal de SaaS, un tipo de ciberdelito organizado. Pero en lugar de ofrecer servicios legítimos, las empresas de MaaS alquilan malware a sus clientes mediante suscripción. Por lo tanto, cualquier persona, independientemente de sus habilidades técnicas, puede lanzar un ciberataque utilizando los códigos prefabricados proporcionados. Incluso se actualizan periódicamente al igual que el software legítimo.
Historia
Desde la aparición de Internet, los piratas informáticos han estado vendiendo malware en el mercado de redes ilegítimas, la llamada darknet. Los mercados de Darknet son sitios web que operan a través de protocolos de comunicación no estándar, como I2P y Tor.
El objetivo principal de los mercados de la red oscura es facilitar las transacciones que involucran productos y servicios ilegales, por ejemplo, productos farmacéuticos, armas, drogas, esteroides y moneda falsificada sin licencia. Estos mercados también se utilizan a menudo para comprar o alquilar software malicioso.
Por ejemplo, se sostiene que el malware utilizado para realizar el ciberataque contra Sony Pictures no fue hecho a medida. Uno puede comprar fácilmente malware similar en los mercados de la red oscura. El ataque contra Sony resultó en la liberación de datos confidenciales del estudio de cine Sony Pictures, que incluyen, pero no se limita a, información personal sobre los empleados de Sony Pictures y sus familias.
Vale la pena mencionar que los mercados de redes oscuras no solo venden ransomware, sino también acceso a redes de bots informáticos. Las redes de bots informáticos son dispositivos conectados a Internet, cada uno de los cuales ejecuta uno o más bots. Las botnets se pueden utilizar para realizar ataques de denegación de servicio (es decir, hacer que las máquinas o los recursos de la red no estén disponibles al interrumpir los servicios), enviar spam y robar datos personales.
Una botnet que consta de 1000 computadoras infectadas en los Estados Unidos cuesta tan poco como 180 dólares. La botnet más barata se puede comprar por solo 35 dólares. Dicha botnet consta de 1000 computadoras infectadas ubicadas todas en todo el mundo.
Ecosistema del malware como servicio
El ecosistema de malware como servicio consta de tres componentes que examinamos con más detalle a continuación.
Desarrolladores de malware
Los desarrolladores de malware diseñan exploits, escriben malware y realizan investigaciones de seguridad de la información con el objetivo de detectar vulnerabilidades de seguridad de la información. Es importante tener en cuenta que los desarrolladores de malware no siempre piratean a activistas que actúan en contra de la ley.
Los desarrolladores de malware pueden, por ejemplo, trabajar como autónomos de programación legítimos que completan tareas a petición de sus clientes. A menudo desconocen que los resultados de su trabajo se utilizarán con fines maliciosos. Los motivos de los desarrolladores y diseminadores de malware incluyen la remuneración financiera, los desafíos intelectuales, la venganza contra ciertas organizaciones, el alivio del aburrimiento y las ganancias sociales.
Vendedores de malware
Los vendedores de malware suelen ofrecer sus productos en los mercados de la darknet y buscan activamente clientes. Los vendedores normalmente ofrecen sus productos en dos categorías, a saber, paquetes de malware de creación propia y servicios de administración alojados necesarios para propagar malware.
Los paquetes de malware que puedes crear tu mismo incluyen no solo malware, sino también instrucciones detalladas sobre cómo personalizar el malware según las necesidades de la persona que lo implementa. Por ejemplo, cualquiera puede comprar un kit de autoconstrucción que le permitirá implementar ransomware que imita la funcionalidad de CryptoLocker (un troyano de ransomware popular). El precio de un kit de este tipo es de solo 100 dólares.
El precio es relativamente bajo, teniendo en cuenta que Cryptolocker puede tener la capacidad de persuadir a las víctimas, incluidos los departamentos de policía, de que paguen el rescate.
Los vendedores de malware también suelen proporcionar servicios de administración alojados que permiten a sus usuarios difundir aún más el malware. Dichos servicios pueden incluir acceso a redes de bots. Este último puede propagar virus, spam y software espía a un gran número de personas a la vez.
Las redes de bots presentan desafíos importantes para las autoridades policiales porque los propietarios de las máquinas afectadas suelen ser usuarios legítimos que desconocen el hecho de que sus máquinas se utilizan para actividades ilícitas. Por lo tanto, incluso si las autoridades identifican las máquinas que constituyen una botnet, es posible que no puedan identificar el origen del código malicioso y la residencia de los delincuentes que controlan la botnet.
Compradores de malware
Los compradores de malware pueden incluir tres categorías de personas, a saber, delincuentes que planean usar el malware con fines maliciosos, investigadores de seguridad que buscan identificar y abordar las vulnerabilidades de seguridad y funcionarios gubernamentales.
No hace falta decir que los delincuentes compran y usan malware para su propio beneficio. Por ejemplo, los delincuentes pueden implementar ransomware para obtener ganancias económicas o crear botnets para venderlos a otros delincuentes.
Por otro lado, los investigadores de seguridad también pueden convertirse en clientes de productores de malware. Pueden utilizar el malware comprado para diversos fines, incluida la publicación de artículos académicos, la creación de mecanismos de protección para los sistemas informáticos frente al malware comprado y el desarrollo de actualizaciones para programas anti-malware.
Curiosamente, el gobierno de EE. UU. se ha convertido en el mayor comprador en un mercado gris floreciente donde los piratas informáticos y las empresas de seguridad venden herramientas para acceder a las computadoras. El gobierno parece utilizar malware para infiltrarse en redes informáticas en el extranjero. Como resultado, muchos investigadores de seguridad prefieren trabajar con malware que se puede utilizar para realizar ataques, en lugar de trabajar en mecanismos de defensa contra el malware.
Implicaciones
El malware como servicio es un tipo de amenaza diferente de lo que la mayoría de la gente imagina cuando piensa en un ciberataque. En lugar de que el pirata informático altamente calificado intente romper las defensas de una organización y lograr un objetivo particular, un programa automatizado que se ejecuta en muchas máquinas comprometidas está buscando computadoras con una vulnerabilidad conocida y explotándolas para entregar malware.
Esta diferencia en la forma en que se realizan los ciberataques tiene varias implicaciones diferentes. El malware como servicio genera un aumento de los ataques de malware, una explotación más rápida de los objetivos y una gama más amplia de posibles víctimas de los ataques.
Aumento de los ataques de malware
Uno de los principales impactos de Malware as a Service es un aumento en la cantidad de ataques de malware. Con Malware as a Service, todo el proceso, desde la identificación de posibles objetivos hasta la explotación y la entrega de malware, está completamente automatizado.
El uso de la automatización permite identificar y explotar un número mucho mayor de objetivos de lo que sería posible antes. Realizar un ataque no requiere conocimientos técnicos, lo que significa que muchos atacantes podrían operar en paralelo y la escala de sus ataques está limitada principalmente por el tamaño y la disponibilidad de las botnets.
Explotación más rápida
El malware como servicio utiliza la automatización para la mayor parte del proceso de explotación. Desde la identificación de un objetivo potencial hasta la entrega del malware, no hay ningún ser humano involucrado en el proceso.
Esto hace que sea mucho más difícil para una organización responder de manera efectiva a un ataque en curso. Cuanto antes un defensor pueda responder a un ataque, menor será el daño y el coste incurridos por la organización. Con un ataque completamente automatizado, hay pocas oportunidades para que un defensor detecte y responda a un ataque antes de que el atacante haya logrado su objetivo previsto, como robar datos confidenciales o cifrar la computadora con ransomware.
Mayor rango de víctimas de ataques
Una creencia común entre las empresas es que son demasiado pequeñas para llamar la atención de un ciberdelincuente o que no tienen nada que valga la pena robar. Con Malware as a Service, este argumento ya no se aplica.
Los ataques de malware están completamente automatizados mediante una botnet de Malware as a Service. Los bots dentro de la botnet escanearán Internet en busca de computadoras que sean vulnerables a la explotación. Con ello, las computadoras que tienen más probabilidades de ser explotadas por una botnet de Malware as a Service son las que contienen vulnerabilidades que un atacante podría aprovechar.
Esto significa que, muy probablemente, las pequeñas empresas serán los objetivos más comunes de una botnet de Malware as a Service. Las empresas más grandes a menudo tienen los recursos y la experiencia en seguridad necesarios para operar un programa de administración de parches efectivo, lo que significa que es menos probable que sus computadoras sean explotadas utilizando las vulnerabilidades conocidas a las que se dirige la botnet.
Las empresas más pequeñas, por otro lado, carecen de estos recursos y es más probable que estén ejecutando computadoras vulnerables y sin parches. Un gran primer paso es determinar las responsabilidades dentro de tu organización y determinar el nivel de acceso que necesitarán en lugar de proporcionar a todos un acceso completo.
Protección contra el MaaS
El malware como servicio representa una amenaza significativa para la ciberseguridad corporativa. El uso de una gran botnet para distribuir malware automáticamente aumenta la probabilidad de que los ciberdelincuentes se aprovechen de las vulnerabilidades explotables dentro de los sistemas de una organización. La protección contra la amenaza de Malware as a Service requiere sólidos procesos de administración de parches y antivirus instalados en todos los sistemas de la computadora.
Gestión de parches
Las botnets de malware como servicio se aprovechan de las computadoras vulnerables conectadas a Internet. Analizan en busca de equipos conectados a Internet que contengan vulnerabilidades sin parchear.
Uno de los métodos más efectivos para protegerse contra el malware como servicio es asegurarse de que los equipos de una organización no contengan vulnerabilidades explotables. Tener buenos procesos de administración de parches en su lugar minimiza la ventana durante la cual un atacante podría aprovecharlos para atacar a la organización.
Utiliza un antivirus potente
Las botnets de malware como servicio están diseñadas para enviar malware a una computadora vulnerable sin parches. Incluso si una organización es vulnerable al exploit inicial que entrega el malware, aún puede protegerse de los efectos del ataque.
Las organizaciones deben tener un antivirus sólido instalado en todas sus computadoras y asegurarse de que el antivirus escanee y actualice regularmente. Un antivirus podría detectar y bloquear el malware entregado por la botnet Malware as a Service, minimizando el impacto del ataque.
¿Qué hacer si tu dispositivo ya está infectado?
Es fundamental ‘escuchar’ su dispositivo. Por ejemplo, si tu computadora comienza a ralentizarse sin razón, los anuncios emergentes parecen aparecer de la nada, o si de repente se queda sin espacio en tu disco duro, tu dispositivo probablemente esté infectado. Pero recuerda, el procedimiento para eliminar el virus del iPad o iPhone es un poco diferente al de «desinfectar» tu Mac o PC.
No importa el caso, así es como normalmente eliminas el malware de una computadora:
- Saca tu computadora de la red para evitar que se propague el malware.
- Si aún no tienes un programa anti-malware legítimo , instálalo y escanea tu dispositivo.
- Repite el procedimiento con todos los dispositivos de tu red para asegurarte de que estén limpios.
- Cambia las contraseñas de todas tus cuentas y servicios en línea.
Atrás quedaron los días en que un ciberdelincuente necesitaba tener una sólida formación técnica para implementar un truco maligno. Hoy en día, el modelo de malware como servicio puede convertir a cualquier persona en un ciberdelincuente. Pero esto no significa que debas evitar Internet por completo.
El malware como servicio representa una amenaza para todas las organizaciones. A diferencia de los ciberataques altamente dirigidos diseñados para robar datos confidenciales o dinero de grandes organizaciones, los ataques de Malware as a Service pueden apuntar a cualquier organización. El uso del escaneo automatizado para identificar máquinas vulnerables y entregar malware significa que las organizaciones que son más vulnerables a estos ataques son las que tienen las peores prácticas de ciberseguridad.
Mantener la calma, estar alerta y tener la última solución de ciberseguridad en tu dispositivo son los remedios más efectivos contra el contagio de un virus digital.