El cibercrimen está en constante evolución. Los cibercriminales siempre están buscando nuevas maneras de comprometer nuestra seguridad informática y causar problemas para usuarios y organizaciones en todo el mundo. Pero con un ritmo tan frenético tanto en adaptación del malware como en nuevas tácticas de ciberataque, y tantos esfuerzos para frenar las nuevas ciberamenazas, a veces olvidamos las amenazas que causaron estragos en el pasado.
Sin embargo, un artista, Guo O Dong, ha creado una obra que nos recuerda de los pasados éxitos del cibercrimen. El pasado 29 de mayo, una obra llamada The Persitence of Chaos se vendió por más de un millón de dólares. La obra consiste en un portátil que contiene seis de los malware más peligrosos de la historia. Con la ayuda de una empresa de ciberseguridad, Guo O Dong llenó el portátil de código peligroso. Para evitar que la obra se utilice con fines maliciosos, contiene un air gap, una medida de seguridad que impide que se conecte a Internet.
Los seis malware que se encuentran en este portátil son de los más temidos de la historia reciente de la seguridad informática, como ILOVEYOU de 2000; Sobig de 2003; Mydoom de 2004; BlackEnergy de 2007; DarkTequila de 2013; y WannaCry de 2017.
A continuación, analizamos en detalle algunos de estos malware, los efectos devastadores que tuvieron en su momento y las técnicas que se utilizaron.
Los gusanos informáticos
ILOVEYOU. En mayo de 2000, decenas de millones de ordenadores en todo el mundo recibieron un correo electrónico con el asunto “ILOVEYOU” (te quiero) y un archivo adjunto llamado ‘LOVE-LETTER-FOR-YOU. TXT.vbs’. Los sistemas Windows escondían automáticamente la extensión .vbs, así que parecía ser un archivo de texto plano.
Sin embargo, abrir el archivo activaba un VBScript que sobrescribía archivos en el equipo de la víctima. Luego, reenviaba el email a todas las direcciones en el libro de direcciones de Microsoft Outlook. Al parecer ser enviado por un contacto conocido animó a muchas personas a abrirlo, ya que suponían que era seguro.
Se estima que este gusano causó entre 5,5 y 8,7 mil millones de dólares de pérdidas en todo el mundo, y tras 10 días había llegado a unos 50 millones de equipos – un 10% de todos los ordenadores con conexión de Internet en ese momento.
Sobig. Este gusano llegó a equipos con sistemas de Windows en 2003, es el segundo gusano más rápido de la historia, y tiene el récord por el mayor número de emails enviados. Se enviaba con asuntos como “rv: películas”, “rv: archivo” o “rv: muestra”, y los costes generados por este gusano alcanzaron los 37 mil millones de dólares. En su punto álgido, 2 de cada 3 emails de spam venían del botnet de Sobig.
Mydoom. Este gusano apareció en 2004, y es el gusano más rápido de la historia. Con asuntos como “Error” o “Sistema de distribución de email”, el email contenía un archivo adjunto que, si se abría, reenviaba el correo a todas las direcciones de email que encontraba en archivos locales. Los payloads incluían abrir un backdoor que permitía controlar el equipo infectado de manera remota, y un ataque DoS.
Ataques a estados
BlackEnergy fue descubierto por primera vez en 2007. Es un toolkit basado en HTTP que puede ser utilizado para ejecutar ataques DDoS, y también para construir botnets que llevan a cabo campañas de spam para entregar otros tipos de malware. A diferencia de los gusanos, este malware no utilizó campañas indiscriminadas de spam para llegar a sus objetivos; para llegar a organizaciones específicas, utilizaba spear phishing.
Su uso más destacado fue en 2015, cuando se empleó en los ciberataques a la infraestructura crítica de Ucrania, causando apagones en todo el país. Antes de eso, en 2014, consiguió infiltrarse en la infraestructura de Estados Unidos.
¿Qué podemos aprender de estos ciberataques históricos?
Algunos de estos malware – ILOVEYOU, Sobig, Mydoom – ya no son un problema para la comunidad de la seguridad informática. En cambio, otros mundialmente conocidos, como BlackEnergy o WannaCry, siguen causando problemas a día de hoy. Sin embargo, las técnicas utilizadas en todos los ataques pueden enseñarnos lecciones vitales para la ciberseguridad actual.
Los ciberataques que hemos visto aquí tienen una cosa en común: la ingeniería social; todos utilizaban asuntos creíbles, direcciones de correo de contactos conocidos (o al menos direcciones parecidas) y archivos adjuntos para infectar el mayor número de equipos posible. Y BlackEnergy con sus técnicas de spear phishing utilizaba todas estas técnicas, pero con mayor grado de personalización para llegar a los directivos de empresas y organizaciones importantes.
Todas estas técnicas siguen siendo muy populares entre los cibercriminales y, por lo tanto, es imprescindible saber evitar que causen problemas en tu empresa. Lo primero es la concienciación. Los empleados tienen que saber identificar los correos falsos y saber qué hacer en el caso de recibir un email de este tipo. Otro paso importante es subrayar que los archivos adjuntos de remitentes desconocidos nunca deben abrirse.
El cibercrimen ha cambiado mucho en los últimos años, y no dejará de avanzar, mejorando sus métodos e incorporando nuevas tácticas para conseguir colarse en nuestra red corporativa. Puedes seguir todos sus avances y conocer las últimas tendencias aquí.