Aunque no lo crea: cibercriminales reutilizan y reciclan viejas prácticas de ataque

En la actualidad, el malware ha afectado a muchas personas y empresas. Además, el mundo fue testigo de cómo los wipers (malware de borrado de información) fueron distribuidos en organizaciones ucranianas después de la invasión rusa, lo cual marcó el comienzo de un tiempo de inestabilidad que incluyó amenazas de ransomware y otros InfoStealers.

Los expertos del laboratorio de inteligencia de amenazas de Fortinet, FortiGuard Labs descubrieron que los cibercriminales buscan sacar el máximo provecho de los negocios, como cualquier persona de este ámbito. Se podría decir que están utilizando los principios de reducir, reutilizar y reciclar, pero en lugar de enfocarlos en el medio ambiente los están adaptando con el código malicioso para permitir resultados criminales más exitosos.

Según Derek Manky, jefe de Estrategia de Seguridad y VP Global de Inteligencia de Amenazas de FortiGuard Labs, al parecer no solo los diamantes son eternos, pues también los son algunas variantes de malware. Desde la segunda mitad de 2022 se captó el resurgimiento de nombres familiares de malware, wiper y botnet, incluyendo Emotet y GranCrab, por nombrar algunos.

Las principales cinco familias de ransomware, de un total de 99 detectadas, fueron responsables del 37 % de la actividad de ransomware. El más prominente fue GrandCrab, una amenaza RaaS (Ransomware as a Service) que resurgió en 2018.

Variantes y emprendedores

También investigó un grupo de variantes del botnet Emotet para evaluar su propensión a tomar prestado el código y reciclarlo. Según la investigación, el Emotet ha experimentado una diversificación significativa, con variantes que se dividen en unas seis “especies” diferentes de malware.

Igualmente, no contentos con simplemente automatizar las amenazas, los atacantes cibernéticos mejoran agresivamente las nuevas versiones para volverlas exitosas.

Según el experto, “los ciberadversarios tienen un espíritu emprendedor y buscan constantemente formas de aumentar el valor de sus inversiones y el conocimiento en operaciones de ataque para aumentar su efectividad y rentabilidad”.

La reutilización de código permite a los cibercriminales aprovechar tácticas exitosas anteriores mientras mejoran iterativamente sus ataques y superan las barreras defensivas. La mayor parte de los primeros puestos estaban ocupados por malware que tenía más de un año.

Algunos de ellos, como Lazurus, existen desde hace más de 10 años y son pilares de la historia de Internet.

Viejas mañas

Manky aseveró que junto con la reutilización de código, los atacantes están maximizando las oportunidades utilizando amenazas conocidas e infraestructura existente.

En este sentido, se ve a las amenazas de botnet con omnipresencia, pues muchas de las principales redes de bots no son novedosas. Mirai y Gh0st.Rat han seguido dominando en todas las geografías, lo que no es sorprendente.

Entre las cinco principales redes de bots observadas, solo RotaJakiro se creó en los últimos años. Aunque existe una tendencia a ignorar los riesgos más recientes como historia, las empresas de todas las industrias deben mantenerse alerta.

Agregó que estas redes de bots ‘antiguas’ siguen teniendo una amplia circulación porque siguen siendo muy eficaces, los cibercriminales continuarán explotando la infraestructura de botnet actual y transformándola en versiones cada vez más persistentes, utilizando técnicas altamente especializadas.

En particular, el sector manufacturero, los proveedores de servicios de seguridad administrados (MSSP) y el sector de telecomunicaciones/operadores fueron los principales objetivos de Mirai, lo que demuestra un esfuerzo intensivo de los delincuentes para apuntar a estos.