Derek Manky Global Security Strategist en Fortinet

Durante los últimos meses, el equipo de FortiGuard Labs ha seguido analizando las tendencias que ya avanzó en su informe ‘FortiGuard 2018 Threat Landscape Predictions’ publicado a principios de año. De este análisis se desprende que los Swarmbots y las Hivenets se extienden con rapidez y que las infraestructuras críticas se están convirtiendo en uno de los objetivos más deseados de los ciberdelincuentes. Asimismo, se destaca el desarrollo de la automatización en los exploits malware y el uso de la tecnología blockchain para mantener en el anonimato el comando y el control de los botnets.

Durante los últimos meses, el equipo de FortiGuard Labs ha seguido analizando las tendencias que ya avanzó en su informe ‘FortiGuard 2018 Threat Landscape Predictions’ publicado a principios de año. De este análisis se desprende que los Swarmbots y las Hivenets se extienden con rapidez y que las infraestructuras críticas se están convirtiendo en uno de los objetivos más deseados de los ciberdelincuentes. Asimismo, se destaca el desarrollo de la automatización en los exploits malware y el uso de la tecnología blockchain para mantener en el anonimato el comando y el control de los botnets.

Por supuesto, estas tendencias no se están produciendo de manera aislada, sino simultánea, en línea con la transformación digital que impulsa la convergencia de redes tradicionalmente aisladas, incluyendo la creciente integración de redes IT y OT para soportar entornos masivos e hiperconectados como las ciudades inteligentes. Por ejemplo, a medida que los desarrolladores añaden activamente la automatización y los nuevos exploits centrados en SCADA a su malware, estos pueden ser empleados no solo para las redes tradicionales, sino también para redes OT, lo que les permite atacar la infraestructura crítica. También vemos la aparición de sistemas de comando y control basados en blockchain para proteger a las organizaciones criminales o a las naciones-estado que lanzan tales ataques.

Hivenets y Swarmbots

Los ataques basados en enjambres pueden disminuir de manera significativa el tiempo necesario para violar un sistema aprovechando aspectos como la estigmergia, que es un mecanismo de red social basado en la colaboración indirecta entre agentes.  Las colonias de insectos basadas en enjambres como las hormigas y las abejas utilizan este proceso para gestionar la recolección y la distribución de los recursos y las cargas de trabajo. De igual modo, los enjambres artificiales pueden compartir rápidamente la inteligencia recogida, acelerar la prueba y el error y posteriormente aplicar ataques específicos a una vulnerabilidad aprovechando a los miembros especializados del enjambre armados con exploits específicos. Este desarrollo emergente no solo acelerará el tiempo requerido para violar un sistema, sino que el enorme volumen que puede ser aplicado por una botnet basado en enjambres, de forma simultánea, a múltiples dispositivos y exploits, puede vencer rápidamente a los sistemas de defensa tradicionales.

La botnet Hide ‘N Seek IoT ha permitido que una botnet funcione como un enjambre. Se comunica de una manera compleja y descentralizada utilizando comunicación personalizada punto por punto para implementar una variedad de rutinas maliciosas. 

Orientación a la infraestructura crítica

Como hemos observado con Hide ‘N Seek, los cibercriminales están maximizando el impacto de las botnets al cargarlas con múltiples ataques maliciosos. WICKED, otra variante de la botnet basada en Mirai, añadió recientemente al menos tres nuevos exploits a su barra de herramientas, permitiendo así apuntar mejor a los dispositivos IoT sin parchear. VPNFilter, el avanzado ataque impulsado por un gobierno, también puede dirigirse a entornos SCADA/ICS.

VPNFilter fue documentado y compartido por primera vez este pasado mes de mayo con la Cyber Treat Alliance (CTA), una organización cofundada por Fortinet e integrada por equipos líderes de investigación de seguridad, y es parte de otra línea de amenazas dirigidas a IoTque hemos estado rastreando en los últimos años.

Mejorando la economía de la Dark Web a través de la automatización

Agregar automatización al malware es crítico si los ciberdelincuentes quieren ser capaces de superar las herramientas actuales de seguridad de red. Los hackers también están añadiendo automatización a los servicios avanzados que están ofreciendo en los mercados negros de la web. Es un paso crítico en el camino hacia la implementación del machine learning y de la Inteligencia Artificial a los ciberataques.

AutoSpolites un exploiter masivo que automatiza la explotación de hosts remotos. Recolecta objetivos específicos a través de avanzados motores de búsqueda online como Shodan o Zoomete, los cuales están diseñados para localizar dispositivos conectados e incluye la opción de personalizar objetivos y listas de host. El programa permite que un atacante inserte una consulta de búsqueda específica de la plataforma y luego genera una lista de candidatos. Una vez que el hacker ha seleccionado los dispositivos para atacar, AutoSploit aprovecha la biblioteca Metasploit de herramientas de penetración para asociar automáticamente los objetivos con los exploits relacionados. Luego ejecuta sistemáticamente dichos exploits en esos dispositivos hasta que uno de ellos tiene éxito. Posteriormente se informa sobre una violación exitosa utilizando un proxy y un agente de usuario personalizado para evitar el seguimiento del tráfico hasta el atacante.

El uso creciente de la automatización continuará teniendo un impacto poderoso en el ROI de las empresas cibercriminales, tanto actuales como futuras, y ayudará a impulsar un interés continuo y creciente en su potencial de ganancia.

Creando redes de enjambre

Las herramientas como AutoSploit son otro de los elementos fundamentales para permitir a las personas construir la nueva generación de redes de enjambres. Al incluir esta funcionalidad automatizada en una botnet de dispositivos comprometidos, los ataques podrán funcionar como parte de un sistema cooperativo e integrado. La automatización es una tremenda herramienta de reducción de costes para un atacante porque elimina la sobrecarga asociada con el uso de la monitorización humana, el cual tiene que decidir cada paso de un ataque. La automatización de redes de enjambre es un avance significativo porque el uso de personas para controlar grandes redes es extraordinariamente ineficiente en términos de tiempos de respuesta, especialmente cuando la superficie de ataque es una mezcla heterogénea de diferentes sistemas operativos y tipos de dispositivos que requieren mecanismos separados para lanzar un exploit, entregar la carga útil, filtrar datos y reaccionar a la detección.

Uso de Blockchain para comando y control (C2)

A medida que organizaciones como el FBI y la Interpol trabajan más y más para rastrear y arrestar a los cibercriminales, los delincuentes se ven obligados a buscar nuevas formas de evitar ser descubiertos y detenidos. Bitcoin nos enseñó que era posible construir sistemas que se implementan entre múltiples entidades para realizar transacciones sin comprometer la privacidad de los individuos participantes. Esta habilidad hace que Blockchain sea un candidato deseable para crear sistemas anónimos C2. Sin embargo, hasta hace poco esto era solo una teoría. Actualmente, el investigador de seguridad, Omer Zohar, ha empleado con éxito la tecnología blockchain para crear una infraestructura de comando y control para botnets construidas sobre la red Ethereum.

El mayor desafío de cualquier botnet es mantener la comunicación con su controlador. Las comunicaciones C2 son el eslabón más débil en cualquier entorno de botnet, lo que expone al atacante a su detección. Un desarrollo interesante, por lo tanto, es la integración de varios elementos en una única solución: 1) uso de automatización para construir enjambres, 2) aprovechamiento de la inteligencia de enjambre para la utilización de recursos, y 3) uso de Blockchain para un último punto de contacto / comunicación seguro con un enjambre autónomo para reemplazar las soluciones de C2 más vulnerables como las redes Fast Flux (una técnica utilizada por las botnets para ocultar los sitios de entrega de malware) o las comunicaciones P2P.

Conclusión

Debido a que el coste económico de interrumpir una botnet centralizada es muy bajo desde la perspectiva del defensor, los ciberdelincuentes tienen dos opciones. La primera de ellas es reducir el coste del desarrollo de botnets para que no sean penalizadas por continuos derribos. La otra es invertir más dinero en el desarrollo de una botnet más robusta.

Por el contrario, y mientras el uso de blockchains para C2 y otros servicios puede ofrecer muchas ventajas para un atacante debido a su transparencia y coste, no vemos a los delincuentes adoptándolo para ransomware de productos básicos o malware genérico. Sin embargo, sigue siendo una opción potencial para ataques de alto valor dirigidos por grupos bien financiados. Por ejemplo, un grupo delictivo que lleva a cabo campañas de ransomware o que distribuye malware criptomining podría estar dispuesto a gastar parte de sus ganancias en su implementación.

Lo que es seguro es que tenemos que mantener nuestras mentes abiertas respecto a lo que está por venir. Los atacantes siempre han encontrado formas creativas de evolucionar y van a continuar haciéndolo en el futuro. Pero con un seguimiento y un análisis cuidadoso, y comprendiendo los modelos económicos en los que se basan, podemos continuar haciendo predicciones sobre las direcciones a las que se dirigirán. Al hacerlo, podemos defendernos a nosotros mismos en un mundo digital cada vez más interconectado.