Ya hablamos sobre el alcance de los rootkits, herramientas que pueden vulnerar la seguridad de tu compañía, pero es necesario analizar datos claves y hechos puntuales que pueden ayudarte a tomar conciencia y estar más seguro frente a posibles ataques. Para ello, tomamos como referencia un estudio realizado por Positive Technologies, una compañía de alcance mundial en el rubro tecnológico, sobre los 16 tipos de rootkits más conocidos de los últimos 10 años. El estudio analizó información sobre la venta, compra y desarrollo de rootkits en foros de la Dark Web. Hemos recapitulado datos y estadísticas interesantes del estudio:

1. Los individuos con cargos de importancia deben tener especial cuidado con los rootkits.

El estudio reveló que un 56% de las veces, los atacantes utilizaron rootkits para atacar a particulares. Los funcionarios de alto rango, los diplomáticos y los empleados de las organizaciones objetivo están en riesgo, puesto que son las víctimas preferidas de este tipo de ataques.  

2. Las instituciones estatales se encuentran entre las 5 organizaciones más atacadas.

Las 5 organizaciones más atacadas por rootkits:

Instituciones gubernamentales - 44%,
Institutos de investigación - 38%,
Operadores de telecomunicaciones - 25%,
Empresas industriales - 19%,
Organizaciones financieras - 19%.

3. Los rootkits son difíciles de construir, pero esto no es un obstáculo para los atacantes: todos los tipos de rootkits son populares.

Los rootkits que se ejecutan en modo usuario representan un 31% de los ataques y se aplican con más frecuencia en ataques masivos. Son más fáciles de desarrollar y explotan los derechos disponibles para las aplicaciones normales. Aquellos que se ejecutan en modo kernel, representan el 38 %, y pueden causar daños más graves. Son mucho más difíciles de desarrollar, pero son populares por su eficacia. El 31% de los rootkits combinan ambos modos.

4. La función principal de los rootkits es ocultar la actividad.

Mientras que en el pasado los rootkits se utilizaban para obtener privilegios a nivel de administrador o de sistema, ahora ocultan principalmente la actividad maliciosa de las herramientas de seguridad. Estas tácticas amplifican el alcance de la ciberdelincuencia.

5. Los distribuidores de rootkits están interesados en tus datos

Los motivos de los ataques suelen ser::

77% - obtener información,
31% - beneficio monetario,
15% - infiltración en la infraestructura y exploración para ataques posteriores.

6. Los rootkits se propagan a través de la ingeniería social

Métodos de distribución de rootkits según la clasificación de MITRE ATT&CK

69% - phishing,
62% - obtención de acceso al sistema de destino mediante la explotación de vulnerabilidades en aplicaciones de acceso público
31% - instalación silenciosa,
15% - infección a través de medios extraíbles.

7. La Dark Web tiene algo que ofrecer para casi todos los presupuestos

Un rootkit promedio cuesta 2.800 dólares en el mercado negro, pero el precio puede oscilar entre 45.000 y 100.000 dólares. Depende del modo de funcionamiento, del sistema operativo, así como de las características adicionales y los casos de uso. Pueden también alquilarse por 100-200 dólares. 

8. Las 3 funciones más populares del rootkit

-Proporcionar acceso remoto,
-Ocultar los archivos de proceso y la actividad de la red,
-Atacar el sistema operativo Windows.

9. Windows en peligro

Los porcentajes de sistemas operativos a los que se dirigen los rootkits se distribuyen de la siguiente manera:

69% - Windows | 31% - Unix | 6% - Android | 6% - macOS | 6% - iOS

Debido a esta mayor atención, en Windows 10 los desarrolladores han proporcionado una protección avanzada contra el lanzamiento de rootkits.

10. En muchos casos, reinstalar el sistema es la única salida

Según la European Network and Information Security Agency (ENISA), en la mayoría de los casos, el rootkit sólo puede eliminarse reinstalando el sistema comprometido. Para evitar esta desagradable experiencia, es recomendable familiarizarse con los métodos de ciberseguridad que evitarán o mitigarán las consecuencias indeseables de los rootkits.

Toda esta información es relevante y necesaria para comprender mejor el impacto de este tipo de ataques, pero para poder profundizar conceptos es necesario brindar detalles basados en hechos reales. Comprender la magnitud y el impacto de ataques con rootkits puede ayudarte a estar más alerta y así evitarlos.

Te mostramos algunos ejemplos de los mayores ataques de rootkits a lo largo del tiempo:

El error de Sony y la creación de un rootkit que se viralizó.

En 2005, la empresa de discos musicales Sony BMG Music Entertainment creó la tecnología de protección anticopia XCP. Sin embargo, sus desarrolladores al intentar evitar la piratería crearon un sistema de protección que a su vez funcionaba como un rootkit, que era imposible de eliminar con métodos convencionales, y tampoco era posible detectarlo.

Sony negó que su tecnología fuera maliciosa y afirmó que no la utilizaba para recopilar datos personales, aunque las empresas antivirus siguieron añadiendo el rootkit DRM a sus bases de datos. La empresa tuvo que soportar muchas demandas y reembolsar los daños a sus clientes durante mucho tiempo.

Los bancos del Reino Unido se convierten en objetivo de Kronos

Los atacantes suelen estar interesados en ganar dinero. La amenaza bancaria más notoria y a gran escala en el Reino Unido fue el troyano Kronos, que era capaz de robar credenciales de usuario, información personal y datos bancarios de las víctimas.

El malware Kronos se amortizaba rápidamente y era fácil de usar, por lo que se compró y distribuyó activamente, lo que lo convirtió en una amenaza dominante en el panorama mundial de la ciberdelincuencia, con enormes implicaciones financieras para los bancos y sus clientes que son difíciles de evaluar.

El grupo de ciberdelincuentes Strider y su "Ojo de Sauron"

Una amenaza persistente avanzada (APT) es un ciberataque en varias fases, que tiene como objetivo una industria específica o empresas concretas. Los ataques APT suelen ser creados por grandes grupos criminales con importantes recursos financieros y capacidades técnicas. Uno de ellos, conocido como Strider, ProjectSauron, G0041, se hizo famoso por su campaña a gran escala contra las instituciones estatales de Rusia, Bélgica, China, Irán, Suecia y Ruanda.

Los atacantes fueron capaces de lanzar herramientas maliciosas en la red y permanecer sin ser detectados durante 5 años. El grupo creó vectores de ataque previamente desconocidos, robó claves criptográficas, archivos de configuración y recopiló las direcciones IP de los servidores de infraestructura de claves criptográficas. Strider se infiltró en 30 organizaciones de diferentes países.

Stuxnet antinuclear

Hay un rootkit que ha hecho temblar al mundo entero llamado Stuxnet, cuyo objetivo eran las instalaciones nucleares de Irán y hacía que los ordenadores cambiaran la velocidad de rotación de las centrifugadoras, provocando su colapso. Como resultado, el programa nuclear de Irán retrocedió dos años.

El mundo tembló no por la forma en que se utilizó el virus, sino por cómo podría haberse utilizado. Lo mismo podrían hacer fácilmente las organizaciones terroristas, ya que poco antes, este virus se vendía libremente en el mercado negro.

Estos ataques fueron los más impactantes a nivel mundial y reflejan el poder de estas herramientas no sólo para atacar a empresas de sectores privados, sino también a entes gubernamentales, individuos y todo tipo de organizaciones en general. Estar al tanto del pasado permite ampliar la visión a futuro. Desde Noventiq buscamos asesorarte para que tus datos y los de tu compañía se encuentren seguros y debidamente resguardados.