7 tipos de virus: un breve glosario de ciberamenazas actuales
Credit to Author: Naked Security| Date: Tue, 07 Jan 2020 15:33:04 +0000
Técnicamente, este artículo trata sobre malware en general, no sobre un virus en particular.
Estrictamente hablando, un virus se refiere a un tipo de malware que se propaga por sí mismo, por lo que una vez que está en tu sistema, puede infectar cientos o incluso miles de archivos en cada ordenador de tu red, y en las redes que tu red puede ver, y así sucesivamente.
Actualmente, sin embargo, los delincuentes realmente no necesitan programar la propagación automática de su malware; gracias a la conexión permanente a Internet, la parte de “difusión” es más fácil que nunca, de hecho, ese paso se puede omitir por parte de los ciberdelincuentes.
Pero la palabra virus se ha mantenido como sinónimo de malware en general, y así es como la estamos usando aquí.
Entonces, para que conste, aquí hay siete categorías de malware que ofrecen una justa idea de la amplitud y la profundidad del riesgo que el malware puede representar para tu organización y para ti.
1. KEYLOGGERS
Los keyloggers son sorprendentemente simples y se pueden implementar de muchas maneras diferentes.
En pocas palabras, se conectan a la secuencia de datos que proviene de tu teclado, lo que les permite saber qué tecleaste y cuándo.
De hecho, los keyloggers a menudo no solo saben “escribiste F”: obtienen suficientes detalles para decir que presionaste la tecla mayúscula izquierda hacia abajo, luego presionaste F, luego soltaste F, luego soltaste la mayúscula.
Eso significa que incluso pueden realizar un seguimiento de las pulsaciones de teclas que no producen ningún resultado visible, como teclas de función, espacios de retroceso y otras combinaciones de teclas que activan o desactivan opciones.
Es importante destacar que los keyloggers no siempre necesitan implementarse en el nivel del sistema operativo, y a menudo no necesitan poderes administrativos para engancharse en la secuencia de datos de pulsación de teclas.
Por ejemplo, el código JavaScript dentro de su navegador puede monitorear (y alterar, si lo desea) el flujo de pulsaciones de teclas mientras navega, lo que significa que el JavaScript comprometido inyectado en una página de inicio de sesión podría, en teoría, reconocer y robar nombres de usuario y contraseñas.
Los troyanos bancarios comúnmente incluyen un módulo keylogger para que puedan tratar de capturar las contraseñas cuando reconocen que está a punto de iniciar sesión en su banco.
Curiosamente, los keyloggers también existen en forma de hardware: un pequeño dispositivo que está conectado entre un teclado externo y el puerto del ordenador al que está conectado.
El software no puede detectar de manera confiable los keyloggers de hardware (generalmente solo se identifican en tu ordenador como un teclado normal), pero a menudo se pueden detectar mediante una inspección visual del teclado o el cable.
2. LADRONES DE DATOS
Un ladrón de datos es un malware que hace más o menos lo que su nombre sugiere: busca en tu disco duro, y tal vez incluso en toda tu red si puede, archivos que contengan datos que valgan la pena para los delincuentes.
En los primeros días del malware, la mayoría de los ataques eran verdaderos virus informáticos, lo que significa que se propagaban automáticamente por sí mismos, a menudo enviando correos electrónicos que contenían un archivo adjunto infectado.
Por aquel entonces, muchos virus incluían un conjunto de herramientas de coincidencia de datos que revisaba casi todos los archivos del ordenador en busca de cadenas de texto que coincidieran con un patrón como [espacios] [alfanuméricos] ARROBA [alfanuméricos] PUNTO [alfanuméricos], en el supuesto razonable que probablemente era una dirección de correo electrónico.
Al recolectar deliberadamente direcciones de correo electrónico de todas partes, no solo del software de correo electrónico, obtuvieron listas exhaustivas de posibles nuevas víctimas, incluso personas con las que nunca se contactó, pero cuyas direcciones aparecieron en documentos, material de marketing o páginas guardadas de sitios web.
En estos días, los delincuentes están interesados en robar mucho más que las direcciones de correo electrónico: cualquier cosa que pueda reducirse a un patrón de coincidencia de texto es sorprendentemente fácil de cazar y robar, incluidos los detalles de la cuenta bancaria, números de identificación, datos de pasaporte, tarjetas de crédito y contraseñas de cuenta
Los ladrones de datos también saben cómo reconocer archivos especiales por su nombre o su estructura interna, como bóvedas de contraseñas que contienen detalles de inicio de sesión y bases de datos del navegador que pueden contener datos reveladores como tokens de autenticación e historial de navegación.
Muchos otros tipos de malware, especialmente bots y troyanos bancarios, incluyen módulos de robo de datos como una forma útil de extender su criminalidad.
3. RAM SCRAPERS
El malware no siempre puede encontrar lo que busca en los archivos de tu ordenador, incluso si el malware en sí ya tiene acceso de administrador o de nivel raíz.
Esto se debe a que algunos datos solo existen temporalmente en la memoria y luego se eliminan sin llegar al disco.
Una razón para eso se refiere a las regulaciones de seguridad de datos como PCI-DSS, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago y el GDPR (el Reglamento General Europeo de Protección de Datos).
Esas regulaciones dicen que hay algunos tipos de datos que simplemente no se pueden almacenar después de haber terminado de utilizarlos; se deben usar solo en el momento en que se los necesite y luego deshacerse de ellos para siempre.
Un ejemplo obvio es el número CVV (el código corto) en el reverso de su tarjeta de crédito: ese código se utiliza para autorizar una transacción, pero nunca debe guardarse en el disco o conservarse de otro modo más allá de ese punto.
Esa es una mala noticia para los ciberdelincuentes, porque significa que no pueden obtener fácilmente los códigos CVV para las transacciones que ya han sucedido pero con el malware de RAM scraping que vigila los datos a medida que se almacenan temporalmente en la memoria, los delincuentes pueden identificar datos críticos como CVV e información completa de la tarjeta de crédito y “rasparlos” directamente de la RAM.
Otros datos secretos a menudo aparecen en la RAM, aunque sea brevemente, como claves de descifrado, contraseñas de texto sin formato y tokens de autenticación de sitios web, por lo que los RAM scrapers también pueden verlos.
4. BOTS, también conocidos como ZOMBIES
Un bot, abreviatura de programa de robot, es un malware que abre una puerta trasera en tu ordenador para que los ciberdelincuentes puedan enviar comandos remotamente.
Una colección de bots se conoce, a su vez, como una red de bots, abreviatura de red de robots, y los delincuentes que controlan un ejército de bots en red pueden comandarlos de forma remota al mismo tiempo, con resultados mucho más efectivos que solo tener control sobre uno o dos ordenadores en internet.
Los bots también se conocen comúnmente como zombis, porque actúan un poco como “agentes durmientes” que los delincuentes pueden volver en tu contra cuando quieran.
Los comandos a menudo integrados en los bots incluyen: enviar spam en grandes cantidades, buscar archivos localmente, rastrear contraseñas, atacar los sitios web de otras personas y hacer clic secretamente en anuncios en línea para generar ingresos de pago por clic.
Un aspecto importante que recordar acerca de los bots es que no se basan en que los delincuentes se conectan hacia adentro hacia el ordenador para enviarles comandos, por lo que su router no los bloquea automáticamente.
La mayoría de los bots funcionan llamando regularmente a casa, solo haciendo conexiones salientes, algo que su router doméstico probablemente permite, y descargando la última lista de comandos publicados por los delincuentes.
Otro hecho importante sobre los bots es que casi todos los existentes incluyen un comando que permite a los ladrones actualizarlo o incluso reemplazarlo cuando lo deseen.
Lamentablemente, eso significa que es difícil predecir de antemano qué daño podrían hacer los ciberatacantes si descubres que estás infectado con un bot, porque podría haber estado haciendo otra cosa ayer y podría pasar a un ataque completamente distinto mañana.
5. TROYANOS BANCARIOS
Este es el término general para el malware que persigue información sobre banca online.
Como puedes imaginar, los troyanos bancarios generalmente incluyen un componente keylogger para detectar las contraseñas a medida que las introduces.
También suelen tener una parte de robo de datos para rastrear archivos probables, como bases de datos de navegadores y bóvedas de contraseñas, con la esperanza de encontrar contraseñas sin cifrar o detalles de cuenta.
Otro truco ampliamente utilizado por los troyanos bancarios se conoce como inyección de formularios web, donde el malware agrega furtivamente campos de datos adicionales en los formularios que se muestran en su navegador.
Al hacerlo, esperan engañarte para que ingreses datos adicionales, como tu número de tarjeta de crédito o la fecha de nacimiento, en un punto en el que normalmente no se harían tales preguntas.
Quizás el nombre más conocido en la escena del troyano bancario es Gozi, una familia de malware grande y poco definida que apareció por primera vez hace más de una década.
El código fuente original de Gozi se publicó en línea hace muchos años, y esta familia de amenazas ha proliferado y evolucionado desde entonces.
6. RAT
El nombre RAT es la abreviatura de Remote Access Trojan (Troyano de Acceso Remoto), generalmente el tipo de herramienta de acceso remoto que permite a los rastreadores espiarte al tomar capturas de pantalla ocultas o encender en secreto tu cámara web.
El RAT más conocido es probablemente Blackshades, que apareció en los titulares hace unos años cuando un delincuente llamado Jared James Abrahams utilizó una variante de esta familia de malware para espiar a cientos de mujeres, incluida la entonces Miss Teen USA, Cassidy Wolf.
Abrahams terminó con una pena de prisión de 18 meses, los autores y distribuidores del malware Blackshades también fueron arrestados y condenados.
Una pregunta que a menudo plantea RATware es: “¿puede un malware activar mi cámara web sin que se encienda la luz?”
La respuesta es: depende.
Algunas cámaras web tienen su LED conectado a la cámara web, de modo que se enciende con la cámara web siempre; otros tienen el LED configurado para que pueda programarse independientemente de la cámara web, y en este tipo de cámara web, al menos en teoría, podría grabar sin ningún signo visible.
¡En caso de duda, cubre tu webcam o un pequeño trozo de cinta aislante te proporcionará un escudo web que el malware no puede desactivar!
7. RANSOMWARE
Este es probablemente el tipo de malware más temido de la última década: en general, el ransomware codifica todos sus archivos, envía la copia única de la clave de descifrado a los delincuentes y luego exige un rescate por la clave de descifrado para que puedas desbloquear tu ordenador y volver al trabajo.
En un mundo ideal, el ransomware no funcionaría en absoluto, porque simplemente limpiarías tu ordenador (quitando fácilmente el ransomware al mismo tiempo), restaurarías tu copia de seguridad más reciente y estarías en funcionamiento sin tener que pagar ningún rescate.
Pero la vida rara vez es así de simple, y los delincuentes de ransomware de hoy maximizan su ataque de varias maneras:
- Por lo general, primero encuentran un camino hacia tu red, por lo que pueden codificar cientos o incluso miles de ordenadores al mismo tiempo. Incluso si tienes copias de seguridad para todas ellas, la renovación y restauración de miles de ordenadores puede llevar más tiempo que el simple pago.
- Buscan copias de seguridad en línea en la red y las eliminan antes del ataque del ransomware. A menos que tenga un proceso confiable de hacer y mantener regularmente copias de seguridad fuera de línea, los delincuentes pueden tener más de un disparo.
- Primero pasan tiempo investigando tu configuración de ciberseguridad para poder desconectar las configuraciones que podrían detener o limitar el ransomware. Nunca ignores nada en tus registros que sean cambios inusuales o inesperados en la configuración de seguridad de la red, pueden ser ciberdelincuentes preparando el ataque.
Las demandas de ransomware han aumentado dramáticamente desde 2013, cuando el ransomware Cryptolocker extorsionó $ 300 por ordenador.
Los ataques modernos de ransomware como SamSam, Bitpaymer y Ryuk suelen eliminar redes enteras y demandan entre $ 50.000 y $ 5.000.000 para deshacer el daño en toda una red infectada.
8. ¿QUÉ HACER?
- Parchea rápido, parchea a menudo. Muchos ataques comienzan porque alguien, en algún lugar, ha dejado un agujero de seguridad abierto que los ciberdelincuentes ya saben cómo explotar. Incluso si estás utilizando actualizaciones automáticas en cualquier lugar, verifica regularmente el estado de los parches; si no verificas tus propias redes, ¡los delincuentes lo harán por ti!
- Busca y actúa según las señales de advertencia de tus registros. Muchos ataques de malware duran un tiempo o hacen un seguimiento de ataques anteriores o “expediciones de exploración” que dejan signos reveladores en tus registros. La creación inusual de nuevas cuentas, el uso de herramientas de administración donde no las esperarías, y la evidencia de alguien jugando con la configuración de seguridad siempre debe investigarse. El personal autorizado debe revisar todos los datos y puede recibir asesoramiento en consecuencia, los usuarios no autorizados pueden identificarse y eliminarse del sistema lo antes posible.
- Implementa una defensa en profundidad. Busca un antivirus con bloqueo de comportamiento y filtrado web, así como escaneo de archivos sin formato. La mayoría de los ataques de malware modernos implican una secuencia de pequeños pasos. Los ladrones tienen que tener éxito en cada paso para completar su ataque, mientras que a menudo puedes detener el ataque bloqueando cualquiera de esos pasos.