El concepto Malnet, ausente por ahora en Wikipedia, es la denominación y/o concepto que algunas empresas le dan a las redes sociales e infraestructuras organizadas por cybercriminales con el fin de lograr ataques masivos al mercado y afectar el mayor número de usuarios.
por Osvaldo Callegari*
Se prevee que para mediados del 2013 las infraestructuras de redes tendrán mas de dos tercios de ataques cibernéticos. La modalidad que los delincuentes de la información utilizan es la generación de un proceso continuo por el cual las personas son víctimas de un engaño, son infectadas con malware y luego utilizadas de puente para infectar a otros conformando una especie de red social.
A este proceso se lo denomina Círculo vicioso y se lo establece en cinco (5) etapas según la empresa Bluecoat.
La Malnet acerca el malware al usuario luego infecta la computadora con un troyano, este equipo tiene ahora un botnet, el cual atrae a nuevos usuarios hacia la Malnet con el envío de correo no deseado desde este computador que ahora esta infectado hacia todos los contactos de correo que ese usuario posee en su libreta de direcciones. Cuando un sistema se encuentra infectado roba información confidencial o dinero a la víctima, en algunos casos también funciona como punto de partida para ataques a equipos cercanos en esa red.
La expansión de los malnets se realiza orgánicamente con un proceso de autoperpetuación y se perfeccionan a medida que este círculo vicioso avanza. Resulta muy provechoso a estos procesos el comportamiento de los usuarios mientras juegan en Internet por ejemplo, generan ataques que se aprovechan de su confianza. Las artimañas para extraer información son múltiples.
Etapas en la concreción de una malnet:
Etapa 1: Construir la infraestructura
Actualmente, los Laboratorios de Seguridad de Blue Coat realizan el seguimiento de más de 1500 malnets exclusivas, lo que representa un aumento del 200 % en solo los últimos seis meses. El objetivo de la mayoría de estos ataques es inducir a los usuarios a que compartan información confidencial o financiera, o incluso dinero.
Al igual que cualquier empresa, las malnets aprovechan el gran alcance de Internet y la conectividad global para dirigir a los usuarios hasta sus sitios por diversos medios. Lo hacen a través de una infraestructura compuesta por varios miles de dominios, servidores y sitios web especiales, que trabajan en forma conjunta para canalizar a los usuarios hasta una carga útil de malware.
Esta infraestructura de servidores de transmisión y explotación permite que los operadores de malnets lancen rápidamente nuevos ataques que pueden adaptarse para atraer a posibles víctimas antes de que las tecnologías de seguridad puedan identificarlas y bloquearlas.
Las malnets habitualmente transitan en dos tipos de ataques. El primer tipo requiere que los usuarios hagan clic en un enlace, como por ejemplo los ataques de motores de búsqueda envenenados, las redes sociales, el correo no deseado y la pornografía.
El segundo tipo de ataque utiliza descargas ocultas para infectar las computadoras cuyos navegadores no tienen parches o revisiones de seguridad actualizados. En este caso, que es común en los ataques de malvertising (publicidad con malware), no es necesario que el usuario haga clic en algún lugar para que se produzca la infección.
Cada ataque utiliza diferentes señuelos y sitios de confianza para engañar a los usuarios, en ciertos procesos las amenazas no se producen desde los servidores de transmisión sino que la víctima es forzada a conectarse a un servidor de explotaciòn el cual puede detectar las vulnerabilidades del sistema y o de las aplicaciones. Cuando esto sucede la carga útil de Malware es diseminada.
Etapa 2: Engaño a los usuarios
El click en un enlace es el punto de partida para lograr su éxito, cuanto más grande sea el grupo de personas más eficaz será el propósito. Generalmente los lugares donde concurren muchas personas con variados intereses están más predispuestos a ingresar en estos falsos enlaces. Esta modalidad facilita los ataques de malnet.
Ya sea que estén investigando mediante un motor de búsqueda o que sigan las recomendaciones de amigos en los sitios de redes sociales, esa predisposición los hace vulnerables a los ataques de malnet. En el caso de las empresas, comprender el comportamiento de los empleados cuando navegan en su computador ayudará a interiorizarse de las conductas que los hacen más vulnerables.
De esta manera, estarán en condiciones de establecer políticas que mitiguen esos riesgos. Las malnets (redes de malware) son infraestructuras distribuidas dentro de Internet, que delincuentes cibernéticos crean, administran y mantienen con el objeto de lanzar ataques permanentes contra usuarios desprevenidos por períodos prolongados.
Los motores de búsqueda continúan dominando las solicitudes de Internet, ya que los usuarios los emplean como su principal método para localizar el contenido en Internet y acceder a él. Al ser la categoría de contenido más visitada, tienen un gran valor para las malnets.
De hecho, muchas malnets se dedican especialmente a los ataques de envenenamiento de motores de búsqueda. No es viable bloquear los motores de búsqueda; por lo tanto, las empresas deben adoptar un enfoque educativo con sus empleados.
Las solicitudes de los sitios de redes sociales disminuyeron casi dos puntos porcentuales en los últimos seis meses. Esto podría reflejar una mayor tendencia a acceder a estos sitios a través de aplicaciones móviles, en lugar de hacerlo a través de la Web. Aún así, las redes sociales representan un punto bastante concurrido de Internet y un lugar donde se puede atacar fácilmente a los usuarios.
Las solicitudes de clips de audio/video prácticamente se duplicaron durante los últimos seis meses. Este crecimiento es un reflejo de la fuerte tendencia hacia el contenido multimedia enriquecido. El video sigue consumiendo más y más ancho de banda de Internet.
Con el aumento del tráfico de video, los comprobados ataques de ingeniería social, como por ejemplo los códecs de video falsos, tienen mayores posibilidades de engañar a los usuarios para que descarguen malware.
El permanente aumento de solicitudes no visibles es un claro indicio de que es cada vez más común realizar un seguimiento de las conductas de los usuarios en Internet. Esta categoría de contenido representa: análisis web, seguimiento de visitantes y sitios de informes. En seis meses, el porcentaje de solicitudes casi se duplicó.
El aumento de análisis y de seguimiento de usuarios legítimos representa un problema de privacidad que debe preocupar tanto a los usuarios de Internet como a los encargados de su protección. El seguimiento del comportamiento en Internet no solo les brinda más información sobre los usuarios a las agencias de publicidad, sino que también proporciona información detallada a los delincuentes cibernéticos para que puedan atacar a esos mismos usuarios. Es importante tener en cuenta que los delincuentes cibernéticos no obtienen datos de sitios de análisis y seguimiento legítimos, sino a través de sus propias herramientas.
Etapa 3: Lanzar ataques
Los operadores de malnets utilizan la infraestructura de servidores de transmisión y de explotación, además del conocimiento sobre las conductas de los usuarios, para lanzar rápidamente nuevos ataques que entregan cargas útiles dinámicas de malware.
El lanzamiento de un ataque comienza con el vector de amenazas, el punto de entrada en la malnet. Estos puntos de entrada generalmente exhiben una de estas dos características: son aplicaciones que son fáciles de vulnerar, como sucede con el correo electrónico; o bien, son lugares que visita mucha gente, como los motores de búsqueda.
Los motores de búsqueda y el subsiguiente envenenamiento de los motores de búsqueda siguen siendo el principal punto de entrada a las malnets que dirigen a los usuarios hasta el malware (más del 35 % de las veces). Esto disminuyó casi un cinco por ciento desde principios de año, lo que demuestra que los usuarios están más conscientes de que los resultados de los motores de búsqueda pueden estar infectados.
Para infectarlos, los delincuentes cibernéticos no están apuntando a las noticias de último momento ni a los grandes acontecimientos. En cambio, están atacando despiadadamente términos de búsqueda aleatorios que pueden describirse mejor como la “cola larga” (o long tail) de Internet. El objetivo de estos ataques no es atacar a un millón de personas con un solo término de búsqueda, sino apuntar a un millón de personas con un millón de términos de búsqueda diferentes.
Los recientes Juegos Olímpicos del 2012 demostraron que los delincuentes cibernéticos no están teniendo
éxito cuando apuntan a grandes acontecimientos. De los más de 28 000 ataques exitosos de envenenamiento de motores de búsqueda que se produjeron en las semanas previas a los Juegos Olímpicos e incluso en los 13 días que duró el evento, solo 52 (el 0,18 %) de los ataques de envenenamiento de motores de búsqueda estaban relacionados con este evento.
Mayoritariamente, fueron términos inofensivos, como “caballos retirados de la carrera de Greyville en la copa de oro” o “compra de oro en línea” los que convencieron a los usuarios de hacer clic en el enlace malicioso, y los enviaron hasta el malware .Como vector de amenazas, el correo electrónico y la pornografía continúan teniendo casi el mismo porcentaje de ataques de malnet; un poco más del 11% y 4%, respectivamente, como lo han hecho a Motor de búsqueda contenido no clasificado 10,9% 35,3%
Principales puntos de entrada de malnets
1) Evite los resultados que parecen estar alojados en otros países, por ejemplo: .IN, .RU, .TK, a menos que su búsqueda esté relacionada con ese país.
2) Evite los resultados que incluyan texto misterioso, que pareciera estar redactado por una máquina.
3) Si sospecha de un vínculo, haga clic en alguno de los otros resultados obtenidos que sean conocidos por usted.
El cambio más grande que se observó en los últimos ocho meses fue el descenso de malnet las redes sociales (desde el 6,48 % de todos los ataques hasta poco más del 1 %). No se conoce con exactitud el motivo de esta merma, pero se lo atribuye en parte a una mayor concientización entre los usuarios de las redes sociales y a un fuerte control del contenido malicioso por parte de las empresas proveedoras de las redes sociales en sí.
Una de las características que hacen que las malnets sean un desafío de seguridad importante es que están estructuradas especialmente para lanzar múltiples ataques en un determinado momento. Si bien un ataque de envenenamiento de un gran motor de búsqueda está dirigido a millones de términos de temas diferentes, un ataque de correo no deseado podría enviar millones de mensajes de correo electrónico.
Cada ataque utilizará diferentes señuelos y sitios de confianza para engañar a los usuarios. Es posible que estemos ante la mayor de las amenazas, la que congrega los ataques masivos de millones de usuarios en las redes sociales.
El agradecimiento a Bluecoat por su documentación en este caso de estudio. Las marcas y nombres mencionados son marcas y nombres registrados de sus propias empresas.
*Si desea puede escribirle al autor de este artículo por consultas o inquietudes a [email protected]
Deje su comentario