Parte 3: Malware, ataques y atacantes

                Malware, ataques y atacantes


                                                Ocho tipos de malware:

Cabe resaltar que hay muchos más, sin embargo he elegido los más importantes para mí:

 VIRUS: Los virus son el malware más antiguo que existe. Estas piezas de software se centran en sustituir parte del código fuente de los ejecutables del sistema de manera que en los casos más agresivos los archivos quedan completamente destruidos y en los menos agresivos simplemente resultan una molestia para los usuarios.

WORMS: Los gusanos son virus capaces de duplicarse y distribuirse de forma automática por la red, siendo capaces de infectar a varios usuarios al mismo tiempo y sin la necesidad del atacante ya que esta programado. Los gusanos residen principalmente en la memoria del sistema y su principal función es generar problemas de red a diferencia del virus, cuya función se basa en la corrupción de archivos.

TROYANOSLos troyanos son actualmente las piezas de malware más peligrosas y más habituales. Los troyanos son principalmente herramientas de control remoto de sistemas. Cuando un usuario se infecta por un troyano, el pirata informático detrás de él puede tener acceso a los diferentes recursos del sistema tales como archivos, webcam, micrófono, teclado, pantalla, etc.

Existen varios tipos de troyanos:

  • Puertas traseras: Usadas para garantizar el acceso remoto a un sistema.
  • Keyloggers: Registran todas las pulsaciones del teclado y las envían a un servidor remoto.
  • Proxy: Establecer un proxy entre la víctima y el pirata informático para filtrar todo el tráfico y redirigir determinadas webs.
  • Password Stealer: Se centran en el robo de contraseñas, especialmente de correo electrónico y bancarias.
  • Bancarios: Se centran en el robo de credenciales y datos bancarios como cuentas, tarjetas, etc.
  • Botnets: Estos troyanos crean una «red zombie» que es utilizada por el pirata informático para diferentes tareas, por ejemplo, ataques DDOS.
  • Downloaders: Son troyanos utilizados para descargar principalmente otras piezas de malware para infectar a los usuarios.

SPYWARE: El spyware es un tipo de malware diseñado específicamente para espiar a los usuarios. Estos programas por lo general se centran en robar diferentes datos de los usuarios como historiales de navegación, cookies, usuarios, contraseñas y demás información personal que posteriormente es utilizada por los piratas informáticos para acceder a diferentes cuentas de las víctimas y suplantar su identidad o llevar a cabo otras tareas.


ADWARE: La función principal del adware es mostrar publicidad intrusiva a los usuarios. Esta publicidad generalmente genera un beneficio al pirata informático que lo distribuye y suele ser especialmente molesta para los usuarios. De igual forma, el consumo de datos por las aplicaciones de adware se dispara llegando a ralentizar notablemente el sistema.

Su función no es maliciosa ya que generalmente no roba datos ni daña el sistema, aunque sí que son muy molestos.


RANSOMWARE: El ransomware es un nuevo tipo de malware que está creciendo exponencialmente. Este malware se centra en «secuestrar» los datos de los usuarios y pedir un rescate por ellos a las víctimas. En algunos casos simplemente es una aplicación maliciosa que intenta engañar a los usuarios para que hagan un pago por «liberar» su ordenador, sin embargo, en los últimos meses han aparecido nuevos modelos ransomware que cifran realmente los datos del usuario y la única opción de liberarlos es pagar una considerable cantidad de dinero para obtener la clave de descifrado para poder recuperar los datos.

Sin duda este es uno de los malwares más peligrosos de los últimos tiempos y su crecimiento, así como la llegada a los dispositivos móviles, es digno de preocupación.


EXPLOITS: Estas aplicaciones maliciosas se centran en explotar vulnerabilidades de programas conocidas. Llegan a los usuarios a través de internet y, al ejecutarse, buscan el programa vulnerable y utilizan dicha vulnerabilidad para su propia función, por ejemplo, para descargar una pieza de malware más compleja de forma oculta al usuario.


ROGUE: Los falsos antivirus son aplicaciones maliciosas que se hacen pasar, como su nombre indica, por antivirus y que muestran mensajes falsos sobre virus que el usuario tiene en su sistema.

Para eliminar dichos virus la víctima debe pagar una cantidad de dinero, en teoría, por una licencia y posteriormente el programa no hace nada más que seguir molestando al usuario y pidiendo dinero para mantener un sistema seguro.


                                10 Técnicas de atacar




  1. SpearPhising adjunto. Consiste en el envío de emails, durante la fase inicial de un ataque, con un archivo adjunto malicioso para obtener información confidencial o comprometer el sistema. Según un reciente informe de la compañía Trend Micro, el 93% de las ciberamenazas que bloquearon sus productos en la primera mitad de 2020 se transmitieron por email.
  2. Archivos maliciosos. Tiene una relación directa con la técnica anterior, y busca que el usuario abra un archivo malicioso, en el dispositivo objetivo, siendo las extensiones más habituales .doc, .pdf, .xls, .rtf y .exe.
  3. Ficheros ofuscados. Esta técnica busca evadir los sistemas de protección como los antivirus, ya que consiste en cifrar los ficheros maliciosos para que el código no sea fácilmente analizable y por tanto no se pueda determinar si es malicioso hasta que se ejecute.
  4. Powershell. Esta herramienta de configuración y control de sistema es utilizada habitualmente por los administradores, y se basa en el uso intensivo de comandos y scripts. PowerShell está incluido por defecto en el sistema operativo Windows y el atacante puede usarla para realizar una serie de acciones, la búsqueda de información y la ejecución de código, así como descargar y ejecutar archivos desde Internet, en el disco y en la memoria. Cada vez es más habitual ver cómo los cibercriminales utilizan herramientas propias del sistema para intentar así pasar desapercibidos.
  5. Línea de comandos de Windows (Windows Command Shell). En la línea de la técnica anterior, la shell de comandos de Windows (también denominado cmd.exe) suele usarse por administradores de sistemas, desarrolladores o usuarios avanzados, y es también utilizada habitualmente en los ataques.
  6. Transferencia de herramientas de acceso. Esta técnica contempla que el atacante transfiere herramientas u otros archivos a través del canal de comando y control o mediante protocolos como FTP. 
  7. Entradas de arranque del registro / Carpeta de inicio. Se centra en mantener persistencia en el sistema agregando un programa a una carpeta de inicio o haciendo referencia a éste mediante una clave de ejecución del Registro. 
  8. Protocolos Web. Los cibercriminales se comunican con los sistemas afectados mediante el uso de protocolos de capa asociados al tráfico web para evitar ser detectados o filtrados al mezclarse con el tráfico web existente.
  9. Borrado de archivos. La técnica consiste en eliminar los ficheros que evidencian el ataque. El malware, las herramientas utilizadas u otros archivos no nativos creados en un sistema tras un ataque pueden dejar rastros que indiquen qué y cómo se hizo algo en la red, por lo que el borrado de estos archivos suele darse durante la misma intrusión o posteriormente con el objetivo de dejar el menor rastro posible. 
  10. Tareas programadas. El atacante hace uso del Programador de Tareas de Windows para colocar una tarea con código malicioso que se ejecute al iniciarse el sistema para mantener persistencia o que sea de tipo recurrente.


                          Perfiles de los atacantes

1) White Hacker

Este perfil es también conocido como el de Hacker Ético, son todos aquellos individuos que aprovechan toda su expertise y habilidades en proyectos que ayuden a la comunidad.

Comúnmente las empresas los contratan para trabajar en pruebas de penetración, intentando entrar en las redes de la compañía para encontrar e informar sobre vulnerabilidades de seguridad.

2) Black Hacker

Este perfil se enfoca en romper las reglas, son los individuos que obtienen intencionalmente acceso no autorizado a redes y sistemas con intenciones maliciosas.

Desde el robo de datos, la propagación de malware, aprovecharse de Ransomware, dañar  sistemas o incluso ganar fama. Son delincuentes porque violan las leyes contra el acceso a los sistemas sin autorización, pero también pueden participar en otras actividades ilegales, incluido el robo de identidad y los ataques distribuidos de denegación de servicio.

3) Gray Hacker

Este perfil es el intermedio entre los éticos y no éticos, son los individuos que se saltan las medidas de seguridad a su conveniencia.

Son más propensos que los hackers de sombrero blanco a acceder a los sistemas sin autorización; normalmente no están motivados solo por el dinero, pueden ofrecer soluciones a las vulnerabilidades que han descubierto a través de sus propias actividades no autorizadas, en lugar de utilizar su conocimiento para explotar las vulnerabilidades en busca de ganancias ilegales.

4) Hacker Delincuente

Este perfil de hacker es el más conocido, también conocido como ciberdelincuentes, pueden ser desde individuos o grupos pequeños hasta grupos delictivos organizados a nivel mundial.

La motivación principal: ganar dinero usando cualquier medio disponible, incluido el fraude, el robo de identidad, la suplantación de identidad (‘phishing’) y los ataques con rescate.

5) Hacker financiados por estados

Este perfil de hacker es el que se enfoca en tareas de ciberespionaje con el fin de robar secretos militares y gubernamentales, así como de propiedad intelectual. Están bien financiados, a menudo por gobiernos, y cuentan con recursos para contratar a los mejores talentos para perpetrar ataques sofisticados, incluidos ataques de día cero (vulnerabilidades previamente desconocidas) y amenazas persistentes avanzadas, que son las que no logran ser detectadas en un sistema o red durante largos periodos de tiempo.

6) Hacker hacktivista

Este perfil de hacker es el motivado por incentivos políticos y sociales, son aquellos individuos que suelen perpetrar ataques DDoS para derribar sitios web y poner en evidencia a empresas y entidades gubernamentales. Por lo general los hacktivistas no tienen antecedentes penales, sin embargo, no están exentos.

7) Hacker Terrorista

Este perfil es conocido como el más peligroso, también conocido como ciberterrorista, son individuos que se guían por religiosas o políticas. Su objetivo principal es provocar miedo y caos, conseguir poder y desestabilizar infraestructuras.










                                       















































Comentarios

Publicar un comentario