¡Temporada de caza de malware y ransomware!

Cuando celebramos la innovación y la democratización de la tecnología, con frecuencia olvidamos que también los usuarios malintencionados sacan provecho de sus frutos. El lanzamiento del o el nunca ha sido tan fácil de lograr, a pesar del avance de los programas antivirus. Desde hace un año y medio, OVH contribuye en gran medida con la seguridad de las redes, mediante la detección de programas maliciosos, y, en ocasiones, el desenmascaramiento de sus creadores, evitando de tal manera el lanzamiento de tales programas desde su red. Frank Denis, experto de seguridad informática del centro de operaciones de OVH, nos comenta al respecto.

El malware: un problema más propagado que los ataques DDoS

Los ataques DDoS se señalan con bastante regularidad, a pesar de que en la actualidad están bien controlados gracias a la implementación de equipos llevada a cabo por OVH con el objetivo de detectarlos y mitigarlos (minimizar las consecuencias de estos ataques mediante la absorción del tráfico ilegal). Este tipo de protección tiene un costo elevado, además de la capacidad de red que debe añadir OVH para absorber gigantescos volúmenes de solicitudes sin afectar a los usuarios. No obstante, para contener los ataques DDoS, es necesario poner en juego varios elementos -equipos y humanos- de manera simultánea, ya que este combate requiere vigilancia permanente para detectar nuevos tipos de ataques, así como acción rápida para contenerlos y actualizar el sistema de códigos algoritmos que rigen los equipos e protección. Un verdadero reto, en particular para la protección anti-DDoS Game.

El problema que ocupa al equipo del centro de seguridad de OVH desde hace un año y medio, es mucho más serio. Se trata de frenar la proliferación de malware y ransomware (muy de moda este último desde hace tres años). Estos programas maliciosos infectan las máquinas y los servidores para codificar sus datos y chantajear a sus propietarios, o transmitirlos a terceros mediante un montaje de complejidad comparable a la de equipos importados. En ocasiones, también se trata de tomar el control de las máquinas para crear una botnet capaz de generar ataques DDoS. Para llegar a los creadores de estos programas, en su mayoría provenientes de la Europa del este, específicamente Rusia y Ucrania, Frank debe ser inteligente, y su técnica debe tener tanta tecnología e ingeniería inversa como astucia policial.

Trampas para el malware y redes de spam

Basado en el principio de la ratonera, OVH coloca intencionalmente en su red, máquinas fáciles de hackear. "Estas máquinas registran toda la actividad llevada a cabo, y nos permiten comprender cómo y con qué objetivo específico son hackeados los servidores de nuestros usuarios." Como complemento para esta estrategia, OVH ha creado miles de direcciones email válidas, e incluso dominios enteros, y los ha lanzado a la red a través de foros, listas de correo, etc., a fin de ponerlos al alcance de los spammers. Solo resta levantar las redes con regularidad: "Se analizan los correos recibidos, de los cuales, solo se agrupan y almacenan aquellos que contienen adjuntos interesantes. Este procedimiento posibilita el reconocimiento de campañas en curso y la identificación de correos que implican servidores relacionados con la infraestructura de OVH."

Frank añade que ha desarrollado un entorno basado en máquinas virtuales, que permite observar un programa malintencionado sin contaminar la red local ni infectar las máquinas. La mayoría de las tareas son automatizadas, pero el análisis se confía en gran medida a los humanos. "El aprendizaje automático aún no es lo suficientemente efectivo como para bloquear el malware, que continúa evolucionando para limitar las posibilidades de ser detectado."

Investigaciones a largo plazo

Una vez recogida toda la evidencia, comienza la investigación: una investigación compleja pues, en la mayoría de los casos, el "ratón" no agarra el queso voluntariamente. "Casi siempre se trata de un servidor infectado y reconfigurado de manera que actúe maliciosamente, por ejemplo: soportando una página de phishing diseñada para recoger datos financieros y transmitirlos a otro servidor. Las redes de máquinas son vastas y complejas, con servidores que propagan el malware y controlan los servidores infectados, o recuperan datos y juegan un papel de proxy al transferir la conexión hacia una tercera máquina, a través de un VPN; hacia una cuarta, a través de la red Tor..." y por supuesto, los servidores están repartidos en distintos alojamientos, en centros de datos geográficamente distantes y sujetos a leyes distintas.

Cuando una máquina de OVH presenta indicios de estar implicada en la distribución de malware, el control de máquinas infectadas o la extracción de datos -incluso a los más altos niveles- la posibilidad de intervenir directamente es muy limitada. De hecho, OVH no dispone de acceso a los datos almacenados en el disco duro del servidor. En casos como este, Frank debe informar a las autoridades, que tienen la potestad de abrir una investigación judicial. Dicha investigación se desarrolla en varias etapas: primeramente, la identificación del administrador del servidor mediante una demanda policial, para determinar su nivel de implicación (si se trata de una víctima, culpable por negligencia, o de un cómplice de la red criminal). En caso necesario, las autoridades proceden a la confiscación de los discos duros y/o a la interceptación legal de la actividad. Todas las operaciones se llevan a cabo bajo la supervisión estricta de un juez, conjuntamente con el control del departamento legal de OVH. "Gracias al análisis forense y a los acuerdos de cooperación internacional, las autoridades realizan investigaciones a fondo, con el fin de llegar a los operadores del botnet, y desmantelar las redes criminales que con frecuencia originan o respaldan actividades ilícitas fuera del ciberespeacio..." Las acciones de OVH se complementan con los procedimientos legales: "Nuestra especialización consiste en la identificación, sobre una base técnica, de las máquinas ubicadas en la cima de las redes de cibercriminales, que generan las campañas de malware. Por su parte, las autoridades legales se dedican a investigar. Nuestra colaboración les ayuda a concentrar sus pesquisas en las máquinas más interesantes."

Análisis de la memoria de un servidor infectado por Locky, que muestra las direcciones IP de las máquinas contactadas por un programa malicioso, con el objetivo de recuperar una llave que permita codificar los datos.

La ingeniería inversa para detectar las intrusiones lo más rápido posible

"A excepción de los casos en que las autoridades solicitan la no intervención de manera temporal, nosotros tomamos todas las medidas necesarias ante la propagación de programas maliciosos, y el robo o la receptación de datos a través de máquinas que se encuentran dentro de nuestro perímetro de acción."
De este modo, cuando el servidor de un cliente de OVH aparece como hackeado, se previene a dicho cliente, y se le sugiere la toma de acciones tales como la corrección de la falla, o la limpieza o reinstalación de la máquina, en defecto de las cuales, OVH suspende el servidor en cuestión. Este procedimiento se lleva a cabo también para las reincidencias. "Cuando una instancia WordPress, por ejemplo, ha sido pirateada, nosotros ofrecemos al cliente la lista de páginas añadidas por los hackers, con señalamiento de aquellas modificaciones efectuadas en el código de sus sistemas, que tienen por objetivo la creación de puertas traseras para el acceso ilegal a los datos." Sin embargo, en ocasiones el servidor hackeado ha sido contratado por intermediarios, y en esos casos OVH no conoce la identidad del cliente final que administra el servidor comprometido, por lo que "nos ponemos en contacto con el revendedor para que sea este quien alerte al administrador del servidor. Si no hay respuesta de su parte, y además constatamos que este revendedor acumula máquinas implicadas en alguna red de cibercriminales, interrumpimos todos los contratos y no dudamos en romper cualquier vínculo que exista con ese revendedor. Sabemos por experiencia que en el 99% de los casos, los cibercriminales no contratan directamente servidores a través de los cuales van a delinquir, sino que utilizan el servicio de los intermediarios para este propósito. Ante estas situaciones, nosotros somos intransigentes."

Seguir la pista de los cibercriminales es una tarea necesaria, pero también es un proceso largo. La intervención únicamente en caso de señalamiento es la política que siguen la mayoría de los proveedores de internet, pero resulta muy ineficaz: los enlaces transmitidos ya no son válidos, los servidores afectados han sido devueltos, y la mayor parte de la campaña de malware ya ha pasado (sin contar con los señalamientos erróneos). "Se deben orientar las fuerzas hacia dos objetivos: sensibilizar a nuestros clientes y desalentar a los cibercriminales de actuar desde la red de OVH." Y es ahí que Frank abandona sus funciones de investigador, y retoma las de ingeniero informático. "La otra parte de mi trabajo consiste en aplicar la ingeniería inversa contra el malware detectado en nuestras múltiples trampas, o señalado por otros especialistas en seguridad informática." Se persigue adoptar una posición proactiva, captar los signos de debilidad en el establecimiento de las nuevas prácticas, y así desestabilizar a los cibercriminales, "sin recurrir a métodos invasivos y automatizando al máximo nuestros procedimientos para aumentar la eficiencia," precisa Frank. "A finales de 2015, comenzó a propagarse un programa malicioso bancario a partir de servidores en su mayoría alojados en OVH. Logramos comprender la configuración de los servidores hackeados, y los interrumpimos incluso antes de que pudieran ser utilizados. Como resultado, este programa malicioso no regresó jamás a OVH. El malware detectado a tiempo y eliminado antes de actuar, es más desalentador para los cibercriminales."

Sensibilización de los usuarios para reducir el factor humano

Desde el punto de vista educativo, aún queda trabajo por hacer. El origen de una infección por virus se debe generalmente a un error humano -al menos a un descuido. Con respecto a las máquinas personales, el correo electrónico aún constituye un medio muy efectivo de contaminación, seguido de cerca por la publicidad maliciosa (malvertising) y la explotación de fallas de software (exploit kits). Paralelamente, en los servidores se distinguen dos categorías de administradores infractores: los que "dejan la llave en la cerradura", al establecer contraseñas demasiado fáciles; y los que "dejan las ventanas abiertas de par en par", y olvidan actualizar con regularidad las versiones de WordPress o Joomla. "No es que el código de estas aplicaciones esté mal desarrollado, más bien se trata de su despliegue masivo, que despierta el apetito de los hackers, ávidos de encontrar vulnerabilidad en la seguridad. Los hackers con personas ordinarias, con un extraordinario sentido de preocupación por la eficiencia."

Obviamente, las fallas de seguridad más explotadas se reconocen fácilmente, pero no se puede llevar a cabo el análisis de la red (network scanning), que es ilegal en Francia y además podría acarrear una gran responsabilidad para OVH dado el caso de afectación de alguna de las aplicaciones alojadas. Por este motivo, resulta engorroso tomar medidas preventivas... "Sin embargo, hacemos todo lo posible. Cuando detectamos la filtración de información confidencial en un foro especializado o en un servidor específico, por ejemplo, un nombre de usuario o una contraseña, procedemos a la identificación del cliente de OVH asociado, con el fin de alertarlo al respecto."

OVH podría, en este sentido, recurrir a un análisis pasivo de la red, o sea, a la observación del tráfico de la red sin llegar a efectuar el scanning, que consiste en la consulta individual y minuciosa de las máquinas, una por una. "Un análisis pasivo se puede implementar de manera simple en las pequeñas redes, pero no en la red de una empresa de la talla de OVH, pues sería un proceso muy complejo." Otra estrategia sería la detección de hacks mediante el monitoreo de las herramientas instaladas, y la alerta inmediata a los propietarios de los servidores; eficaz, pero no del todo: los programas maliciosos pueden ser codificados especialmente para desactivar dichas herramientas e incluso para modificar el resultado del monitoreo... Frank recomienda también el aislamiento de procesos (sandbox), que permite la ejecución de archivos sospechosos en un entorno aislado para observar el comportamiento de las aplicaciones; tampoco la panacea: "El malware es capaz de identificar el sandbox y modificar su conducta. Las nuevas técnicas de localización de productos de seguridad emergen de manera incesante."

¿Es entonces una lucha inútil? "Realmente no, concluye Frank. Estamos constantemente a merced de ataques específicos para los cuales no existe un modelo de detección por definición, y de ataques oportunistas que explotan las fallas de naturaleza humana. Es nuestro trabajo el que hace estas actividades delictivas cada vez más difíciles y costosas. Los criminales, al saberse perseguidos y conocer nuestra política de suspender las máquinas implicadas en actividades ilícitas, se ven obligados a actualizar sus infraestructuras. Esto no constituye un obstáculo para aquellos cuyos ingresos provienen exclusivamente del delito, que irán a otra parte a buscar el entorno apropiado para continuar infringiendo la ley, pero sí establece una barrera para otros." Para OVH, líder europeo del cloud, con 250 mil servidores y un millón de clientes, es un medio de reducir la proporción entre sus usuarios involucrados en el delito y los que utilizan sus servicios para el desarrollo de proyectos legítimos.

Con el aprendizaje automático, se pueden detectar los hackers desde que alquilan un servidor

Debido a la diversidad y constante renovación del malware, es complicado modelar patrones que permitan detectarlo antes de que actúe, pero a través del aprendizaje automático, OVH ha desarrollado un retrato-robot de hacker, con el que ha bloqueado a una buena cantidad de usuarios malintencionados que intentaban hacer uso de sus servicios para alojar programas maliciosos o realizar otras operaciones delictivas. Gracias al Big Data, OVH estudia las características de las cuentas de usuarios asociadas a operaciones ilícitas, y las compara con las cuentas de usuarios legítimos, lo cual brinda la posibilidad de determinar puntos en común y comportamientos similares entre los criminales, así como de aumentar la eficacia de las máquinas que procesan los nuevos pedidos, de manera que estas soliciten la intervención humana ante alguna sospecha.

Mi cuenta de clienteContact SalesWebmail OVHcloud Blog

¡Bienvenido/a a OVHcloud!

Identifíquese para contratar una solución, gestionar sus productos y servicios, y consultar sus pedidos

Conectar