Seleccionar página

Los rootkits son programas que hacen invisibles las acciones de intrusos o software malicioso, y ayudan a los ciberdelincuentes a infiltrarse en un sistema, tomar control sobre él, pudiendo así espiar, robar datos, lanzar ataques de malware, entre otras cosas sin ser descubiertos.

Estos “invitados silenciosos” pueden ingresar en el sistema junto con correos electrónicos de phishing, aplicaciones instaladas o proceder de sitios web infectados. También es común que se infiltren a través de medios externos. A pesar de contar con toda la seguridad necesaria es fundamental estar alerta y tener conocimiento sobre este tipo de ataques para que puedas ser precavido y protegerte.  

Sin embargo, en muchas ocasiones, es probable que los atacantes encuentren una brecha en el sistema de una compañía, porque suelen saber cómo planificar y ejecutar ciberataques bien organizados de amenazas persistentes avanzadas (APT). 
 
Los rootkits se utilizan como parte de las campañas de ciber-espionaje, y suelen ser ataques destinados a robar dinero o irrumpir totalmente en la infraestructura de la empresa atacada. Estos objetivos suelen ser comunes a todos los ciberataques en general, pero los rootkits son peligrosos por su gran eficacia. La capacidad de apoderarse de sistemas ajenos sin que se note ha provocado muchas veces consecuencias irreversibles y suponen una gran amenaza

Es necesario analizar datos claves y hechos puntuales que pueden ayudarte a tomar conciencia y estar más seguro frente a posibles ataques. Para ello, tomamos como referencia un estudio realizado por Positive Technologies, una compañía de alcance mundial en el rubro tecnológico, sobre los 16 tipos de rootkits más conocidos de los últimos 10 años. El estudio analizó información sobre la venta, compra y desarrollo de rootkits en foros de la Dark Web. Hemos recapitulado datos y estadísticas interesantes del estudio: 
 
1. Los individuos con cargos de importancia deben tener especial cuidado con los rootkits.  
 
El estudio reveló que un 56% de las veces, los atacantes utilizaron rootkits para atacar a particulares. Los funcionarios de alto rango, los diplomáticos y los empleados de las organizaciones objetivo están en riesgo, puesto que son las víctimas preferidas de este tipo de ataques.   
 
2. Las instituciones estatales se encuentran entre las 5 organizaciones más atacadas. 
 
Las 5 organizaciones más atacadas por rootkits
 
Instituciones gubernamentales – 44%, 
Institutos de investigación – 38%, 
Operadores de telecomunicaciones – 25%, 
Empresas industriales – 19%, 
Organizaciones financieras – 19%. 
 
3. Los rootkits son difíciles de construir, pero esto no es un obstáculo para los atacantes: todos los tipos de rootkits son populares. 
 
Los rootkits que se ejecutan en modo usuario representan un 31% de los ataques y se aplican con más frecuencia en ataques masivos. Son más fáciles de desarrollar y explotan los derechos disponibles para las aplicaciones normales. Aquellos que se ejecutan en modo kernel, representan el 38 %, y pueden causar daños más graves. Son mucho más difíciles de desarrollar, pero son populares por su eficacia. El 31% de los rootkits combinan ambos modos. 
 
4. La función principal de los rootkits es ocultar la actividad. 
 
Mientras que en el pasado los rootkits se utilizaban para obtener privilegios a nivel de administrador o de sistema, ahora ocultan principalmente la actividad maliciosa de las herramientas de seguridad. Estas tácticas amplifican el alcance de la ciberdelincuencia. 
 
5. Los distribuidores de rootkits están interesados en tus datos 
 
Los motivos de los ataques suelen ser: 
 
77% – obtener información, 
31% – beneficio monetario, 
15% – infiltración en la infraestructura y exploración para ataques posteriores. 
 
6. Los rootkits se propagan a través de la ingeniería social 
 
Métodos de distribución de rootkits según la clasificación de MITRE ATT&CK 
 
69% – phishing, 
62% – obtención de acceso al sistema de destino mediante la explotación de vulnerabilidades en aplicaciones de acceso público 
31% – instalación silenciosa, 
15% – infección a través de medios extraíbles. 
 
7. La Dark Web tiene algo que ofrecer para casi todos los presupuestos 
 
Un rootkit promedio cuesta 2.800 dólares en el mercado negro, pero el precio puede oscilar entre 45.000 y 100.000 dólares. Depende del modo de funcionamiento, del sistema operativo, así como de las características adicionales y los casos de uso. Pueden también alquilarse por 100-200 dólares.  
 
8. Las 3 funciones más populares del rootkit 
 
-Proporcionar acceso remoto, 
-Ocultar los archivos de proceso y la actividad de la red, 
-Atacar el sistema operativo Windows. 
 
9. Windows en peligro 
 
Los porcentajes de sistemas operativos a los que se dirigen los rootkits se distribuyen de la siguiente manera: 
 
69% – Windows | 31% – Unix | 6% – Android | 6% – macOS | 6% – iOS 
 
Debido a esta mayor atención, en Windows 10 los desarrolladores han proporcionado una protección avanzada contra el lanzamiento de rootkits
 
10. En muchos casos, reinstalar el sistema es la única salida 
 
Según la European Network and Information Security Agency (ENISA), en la mayoría de los casos, el rootkit sólo puede eliminarse reinstalando el sistema comprometido. Para evitar esta desagradable experiencia, es recomendable familiarizarse con los métodos de ciberseguridad que evitarán o mitigarán las consecuencias indeseables de los rootkits
 
Toda esta información es relevante y necesaria para comprender mejor el impacto de este tipo de ataques, pero para poder profundizar conceptos es necesario brindar detalles basados en hechos reales. Comprender la magnitud y el impacto de ataques con rootkits puede ayudarte a estar más alerta y así evitarlos. 
 
Te mostramos algunos ejemplos de los mayores ataques de rootkits a lo largo del tiempo: 
 
El error de Sony y la creación de un rootkit que se viralizó. 
 
En 2005, la empresa de discos musicales Sony BMG Music Entertainment creó la tecnología de protección anticopia XCP. Sin embargo, sus desarrolladores al intentar evitar la piratería crearon un sistema de protección que a su vez funcionaba como un rootkit, que era imposible de eliminar con métodos convencionales, y tampoco era posible detectarlo. 
 
Sony negó que su tecnología fuera maliciosa y afirmó que no la utilizaba para recopilar datos personales, aunque las empresas antivirus siguieron añadiendo el rootkit DRM a sus bases de datos. La empresa tuvo que soportar muchas demandas y reembolsar los daños a sus clientes durante mucho tiempo.  
 
Los bancos del Reino Unido se convierten en objetivo de Kronos 
 
Los atacantes suelen estar interesados en ganar dinero. La amenaza bancaria más notoria y a gran escala en el Reino Unido fue el troyano Kronos, que era capaz de robar credenciales de usuario, información personal y datos bancarios de las víctimas. 
 
El malware Kronos se amortizaba rápidamente y era fácil de usar, por lo que se compró y distribuyó activamente, lo que lo convirtió en una amenaza dominante en el panorama mundial de la ciberdelincuencia, con enormes implicaciones financieras para los bancos y sus clientes que son difíciles de evaluar. 
 
El grupo de ciberdelincuentes Strider y su “Ojo de Sauron” 
 
Una amenaza persistente avanzada (APT) es un ciberataque en varias fases, que tiene como objetivo una industria específica o empresas concretas. Los ataques APT suelen ser creados por grandes grupos criminales con importantes recursos financieros y capacidades técnicas. Uno de ellos, conocido como Strider, ProjectSauron, G0041, se hizo famoso por su campaña a gran escala contra las instituciones estatales de Rusia, Bélgica, China, Irán, Suecia y Ruanda. 
 
Los atacantes fueron capaces de lanzar herramientas maliciosas en la red y permanecer sin ser detectados durante 5 años. El grupo creó vectores de ataque previamente desconocidos, robó claves criptográficas, archivos de configuración y recopiló las direcciones IP de los servidores de infraestructura de claves criptográficas. Strider se infiltró en 30 organizaciones de diferentes países. 
 
Stuxnet antinuclear 
 
Hay un rootkit que ha hecho temblar al mundo entero llamado Stuxnet, cuyo objetivo eran las instalaciones nucleares de Irán y hacía que los ordenadores cambiaran la velocidad de rotación de las centrifugadoras, provocando su colapso. Como resultado, el programa nuclear de Irán retrocedió dos años. 
 
El mundo tembló no por la forma en que se utilizó el virus, sino por cómo podría haberse utilizado. Lo mismo podrían hacer fácilmente las organizaciones terroristas, ya que poco antes, este virus se vendía libremente en el mercado negro.  
 
Estos ataques fueron los más impactantes a nivel mundial y reflejan el poder de estas herramientas no sólo para atacar a empresas de sectores privados, sino también a entes gubernamentales, individuos y todo tipo de organizaciones en general. Estar al tanto del pasado permite ampliar la visión a futuro.  

Desde Softline contamos con una solución de Seguridad Ofensiva, que permite anticiparte a los ciberataques, permitiendo que veas tu organización como lo hacen los atacantes. Podrás descubrir los puntos que es necesario reforzar y se brindan los posibles caminos y soluciones para ayudarte a estar más seguro, evitando riesgos innecesarios. 

Si quieres mas información, escanea el QR y solicita una reunión con nuestros especialistas. 

Acerca de Softline  

“Softline es un proveedor global de soluciones y servicios de transformación digital y ciberseguridad, con sede en Londres. La compañía permite, facilita y acelera las transformaciones digitales para los negocios de sus clientes, conectando a más de 150.000 organizaciones de todos los sectores con más de 6.000 proveedores de TI de primera clase, junto con sus propios servicios y soluciones. 

Con una facturación de 1.800 millones de dólares en el ejercicio de 2020, Softline es actualmente una de las empresas de mayor crecimiento del sector. En octubre de 2021, la empresa cotizó en la bolsa de Londres. El crecimiento de Softline se sustenta en su estrategia tridimensional de expansión geográfica, de portafolio de productos, servicios y de canales de venta. La estrategia está respaldada por el enfoque activo de Softline respecto a las fusiones y adquisiciones, lo que permite a la empresa aprovechar la consolidación en curso en el sector. Desde el final del año fiscal 2020, Softline ha adquirido varias empresas con un volumen de negocios anual de aproximadamente 200 millones de dólares. Se han anunciado otras cinco adquisiciones desde el inicio de 2022. 

Los 8200 empleados de Softline trabajan en casi 60 países de Asia, América Latina, Europa del Este y África, mercados con un importante potencial de crecimiento. La empresa ofrece una amplia gama de soluciones de TI y está en el centro de la mega tendencia de la transformación digital.”