MAPS Número 1 en Ciberseguridad

  • Home
  • “Killware”: ¿Es tan malo como suena?

“Killware”: ¿Es tan malo como suena?

noviembre 8, 2021 admin 0 Comments

El 12 de octubre, después de entrevistar al secretario de Seguridad Nacional de Estados Unidos, Alejandro Mayorkas, el consejo editorial de USA TODAY advirtió a sus lectores sobre una nueva y peligrosa forma de ciberataque bajo este llamativo titular:

“La próxima gran amenaza cibernética no es el ransomware.
Es killware. Y es tan malo como suena”.

Pero si bien “killware” suena aterrador, el término en sí mismo no ayuda a describir los muchos tipos de ciberataques que, como USA TODAY escribió, “literalmente pueden acabar con vidas”, y eso se debe a que casi cualquier tipo de pirateo, sin importar la intención, puede resultar en la muerte. Para complicar esto, está el hecho de que los ciberataques conocidos que supuestamente han provocado muertes ya tienen una categoría: ransomware. Además, el término “killware” puede confundir a los clientes de antivirus que buscan la seguridad de que su propio proveedor los está protegiendo de esta amenaza, pero los proveedores de antivirus no detienen los ataques basados ​​en la intención, los detienen según el método.

Como ejemplo, el director de inteligencia de amenazas de Malwarebytes, Jerome Segura, dijo que Malwarebytes no tiene ningún indicador de compromiso (IOC) específico para “killware” y que, en cambio, “seguimos protegiendo a nuestros clientes con nuestras diferentes capas de protección”.

“Muchas de nuestras capas son ‘indiferentes a la carga útil’, lo que significa que bloqueamos el ataque independientemente de lo que esté destinado a hacer (podría ser para pedir un rescate, podría ser para destruir MBR, o cualquier cosa intermedia). No nos centramos tanto en esa carga útil final como en bloquear cómo un atacante podría llegar allí “.

Piénselo así: los cerrajeros no desarrollan un juego de cerraduras para prevenir robos y otro juego de cerraduras para prevenir asaltos; desarrollan cerraduras para prevenir principalmente robos, sin importar lo que haya planeado un invasor.

“Killware” es un término demasiado vago para ser útil

En febrero, un empleado de una instalación de tratamiento de agua en Oldsmar, Florida, vio el mouse en la pantalla de su computadora moviéndose sin su participación. El empleado, según Wired, pensó que esto era algo normal, ya que su lugar de trabajo utilizaba una herramienta que permitía a los empleados y supervisores remotos tomar el control de las computadoras en la propia planta. Pero cuando el empleado vio que el cursor se movía por segunda vez el mismo día, supuestamente vio un intento de un intruso de aumentar maliciosamente los niveles químicos en la instalación de tratamiento de agua, aumentando la cantidad de hidróxido de sodio, que puede ser corrosivo en altas concentraciones. cantidades — a niveles peligrosos.

En el artículo de USA TODAY sobre “killware”, el secretario Mayorkas señaló directamente este ciberataque. Fue diferente a otros ataques cibernéticos, dijo Mayorkas, porque “no fue para obtener ganancias financieras, sino simplemente para hacer daño”.

Pero si el ataque realmente tenía la intención de dañar o incluso matar a personas, lo que muy bien puede haber hecho, ¿de qué sirve asociarlo con esta nueva categoría de “killware”? “Killware”, después de todo, todavía tiene el sufijo “ware”, lo que significa que debería tener al menos alguna relación con una pieza de software, o un programa, o quizás con muchas líneas de código.

Sin embargo, es posible que la brecha en la planta de agua de Oldsmar no haya involucrado ningún malware. Sin ataques de suplantación de identidad (spear-phishing) contra el dispositivo personal de un ejecutivo. Sin implantación subrepticia de software espía para recopilar credenciales de administrador. Sin ruptura inicial y movimiento lateral. En cambio, existe una teoría frustrantemente más simple: contraseñas reutilizadas en toda la planta de tratamiento de agua para una herramienta crucial de acceso remoto.

Tras el ataque en las instalaciones de Oldsmar, el estado de Massachusetts emitió un aviso de advertencia de ciberseguridad a los proveedores públicos de agua, detallando algunas fallas básicas de ciberseguridad que pueden haber jugado un papel en el ataque. Como dijo el estado en su aviso:

“Los actores no identificados accedieron a los controles de la planta de tratamiento [control de supervisión y adquisición de datos (SCADA)] a través del software de acceso remoto, TeamViewer, que se instaló en una de varias computadoras que el personal de la planta de tratamiento de agua utilizó para realizar verificaciones del estado del sistema y responder a alarmas o cualquier otro problema que surgió durante el proceso de tratamiento del agua. Todas las computadoras utilizadas por el personal de la planta de agua estaban conectadas al sistema SCADA y usaban la versión de 32 bits del sistema operativo Windows 7. Además, todas las computadoras compartían la misma contraseña para el acceso remoto y parecían estar conectadas directamente a Internet sin ningún tipo de protección de firewall instalada “.

Además, al testificar sobre el ataque al Comité de Seguridad Nacional de la Cámara de Representantes, el exdirector de la Agencia de Seguridad de Infraestructura y Ciberseguridad Chris Krebs dijo que el ataque fue “muy probable” causado por “un empleado descontento”, escribió el informe del Washington Post Ellen Nakashima.

Por lo tanto, el ataque puede provenir de un ex empleado, que ya puede haber poseído las credenciales de acceso remoto, que ya eran las mismas credenciales para todos los usuarios en la instalación de tratamiento de agua, que también carecía de protecciones de firewall.

Entonces, ¿qué parte de esta cadena de ataque
debería etiquetarse como “killware”?

A decir verdad, ninguno, y eso se debe a que etiquetar cualquier cosa como “killware” ignora los hechos básicos sobre las defensas de ciberseguridad. Los proveedores de ciberseguridad no clasifican ni identifican los ataques en función de sus intenciones finales. Una contraseña reutilizada es una mala idea, pero no es una mala idea que solo se pueda usar para dañar a las personas. De manera similar, carecer de protecciones de firewall es una mala práctica, pero no es una mala práctica que solo se puede usar para amenazar la vida de las personas.

De hecho, incluso si los proveedores de ciberseguridad quisieran categorizar los ataques intencionalmente, ¿cómo podrían hacerlo?

A principios de este año, una madre en duelo presentó una demanda contra un hospital en Alabama que, según ella, no brindó la atención adecuada a su bebé porque el hospital fue paralizado por un ataque de ransomware. La incapacidad del hospital para cuidar adecuadamente a su bebé, según la demanda, eventualmente condujo a la muerte de su hijo. Casi un año antes, la muerte de un paciente durante un ataque de ransomware en un hospital alemán generó acusaciones similares, aunque no demandas, pero esas acusaciones se desmoronaron en los meses posteriores al ataque, ya que el fiscal jefe encargado de investigar el ataque concluyó que, incluso sin las demoras en el tratamiento causadas por el ataque de ransomware, es probable que el paciente hubiera muerto.

Ninguna de estas situaciones involucró a piratas informáticos cuyo objetivo final era simplemente dañar o matar personas. La intención, como está claro en casi todos los ataques de ransomware, es recibir un pago. Los ataques de ransomware en hospitales, específicamente, pueden usar la amenaza de muerte como palanca para su objetivo final, pero incluso la amenaza de muerte no altera el objetivo final, que es recibir pagos potencialmente millones de dólares. Si incluso intentáramos usar el término “killware” en estos ataques, no encajarían, a pesar del resultado final.

Por último, etiquetar los ataques como “killware” perjudica tanto a los proveedores de ciberseguridad como al público porque, si “killware” es un término que requiere comprender la intención de un atacante, entonces se debe aplicar “killware” después de que ya haya ocurrido un ataque. Las buenas herramientas de ciberseguridad no solo limpian un ataque después de que sucedió, sino que en realidad evitan que ocurran ataques en primer lugar. Entonces, ¿cómo podría un proveedor de ciberseguridad prevenir un ataque que, por su naturaleza definitoria, no se puede determinar hasta que ya haya ocurrido?

Recuerda al humano

“Killware”, como término, no ayuda a nadie y solo aumenta el pánico. Evoca imágenes de piratas informáticos enloquecidos y asesinos en serie entrenados en la web oscura que trabajan con nada más que una computadora portátil, imágenes que en realidad podrían encajar mejor en dramas policiales de procedimiento excesivamente dramatizados en la televisión.

Es importante destacar que el “killware” no reconoce que, ya, los ataques a computadoras, máquinas, dispositivos y redes tienen un impacto dramático en las personas que los usan. Los ataques de ransomware ya causan un tremendo daño emocional y mental a las personas encargadas de limpiarlos. Las estafas en línea ya arruinan la vida de las personas al vaciar sus cuentas bancarias.

No necesitamos un término nuevo que se enfoque aún más en el atacante en ciberamenazas. Lo que necesitamos es recordar que los ciberataques, ya son ataques contra personas, sin importar su intención.

leave a comment