¿Qué Es Un Gusano De Red? Tipos Y Ataques Significativos.
Gusano (gusano de red) - tipo de programas maliciosos, que se propagan en los canales de la red, capaces de superar de forma independiente los sistemas de protección de los sistemas automatizados e informáticos, y también a la creación y la posterior distribución de las copias, no siempre coincidiendo con el original, la realización de otras influencias nocivas.
Los gusanos se pueden transmitir a través de vulnerabilidades de software. Puedes despreocuparte por este tipo de gusano, en este blog aprenderás qué es un gusano de red, tipos y 9 ataques más significativos explicado detalladamente.
Los gusanos de computadora también pueden venir en forma de archivos adjuntos de correo electrónico o mensajes instantáneos (IM) no deseados. Cuando estos archivos se abren, pueden contener enlaces a sitios web maliciosos o descargar automáticamente gusanos informáticos.
Una vez instalado, el gusano se pone en funcionamiento silenciosamente e infecta la máquina sin que el usuario lo sepa.
También puedes leer: Mejores Antivirus Gratis Para Windows 10
¿Qué es un gusano de red?
Es un programa con código malicioso que ataca a los equipos de la red y se propaga a través de ella. Un gusano de red activo puede reducir la productividad del dispositivo de la víctima, eliminar archivos o incluso desactivar ciertos programas. Si se ha detectado este tipo de amenaza en tu equipo, te recomienda eliminar los archivos infectados de inmediato, ya que pueden contener código malicioso.
Tipos de gusanos de red
El rasgo más importante que distingue a los gusanos es la forma en que se propagan. Otras características de la diferencia son la forma en que se ejecuta una copia del gusano en la computadora infectada, los métodos de introducción en el sistema, así como el polimorfismo, el "sigilo" y otras características inherentes a otros tipos de malware (virus y troyanos). Dependiendo de la ruta de entrada en el sistema operativo, los gusanos se dividen por:
1. Gusano de correo
Gusanos que se distribuyen como mensajes de correo electrónico. El gusano envía una copia de sí mismo como un archivo adjunto a un correo electrónico, o un enlace a un archivo ubicado en un recurso de la red (por ejemplo, una URL de un archivo infectado ubicado en un sitio web comprometido o pirateado). El código del gusano es activado en el primer caso por abrir (o activar) un archivo infectado; y en el segundo caso, se activa el código del gusano por abrir un link a un archivo infectado. En ambos casos, el efecto es el mismo: el código del gusano se activa.
2. Gusanos IM (IM-Worm)
Los gusanos que usan buscadores de Internet. Los gusanos informáticos reconocidos como de este tipo emplean la única forma de esparcirse: enviando sus mensajes a los contactos con URLs a algún archivo localizado en algún otro servidor web detectados (de una lista de contactos). Este método repite casi completamente el método similar de distribución utilizado por los gusanos de correo.
3. Los Gusanos P2P (P2P-Worm)
Es un gusano que se propaga a través de redes de intercambio de archivos entre pares. El mecanismo de la mayoría de estos gusanos es bastante simple: para introducir un gusano en una red P2P, basta con copiar al directorio de intercambio de archivos, que suele estar ubicado en la máquina local.
Todos los demás trabajos de distribución de un virus P2P-network se llevan a cabo - en la búsqueda de archivos en una red informará a los usuarios remotos sobre este archivo y dará todo el servicio necesario para la descarga de un archivo del ordenador infectado.
Hay gusanos P2P más complejos que imitan el protocolo de red de un sistema particular de intercambio de archivos y las consultas de búsqueda son respondidas positivamente - el gusano ofrece descargar su copia.
4. Gusanos en los canales IRC (IRC-Worm).
Este tipo de gusano, al igual que los gusanos de correo, tiene dos formas de propagarse por los canales del IRC, repitiendo los métodos descritos anteriormente. La primera es enviar una URL a una copia del gusano.
La segunda forma es enviar un archivo infectado a un usuario de la red. En este caso, el usuario atacado debe confirmar la aceptación del archivo, y luego guardarlo en el disco y abrirlo (ejecutarlo hasta la ejecución).
5. Gusanos de red (Net-Worm), de Internet y LAN
Otros gusanos de red, entre los cuales tiene sentido asignar adicionalmente gusanos de Internet y gusanos LAN. Gusanos que utilizan protocolos de Internet para su distribución. Preferentemente este tipo de gusanos se distribuye con el uso de un procesamiento incorrecto por algunas aplicaciones de paquetes base de una pila de protocolos TCP/IP. A diferencia de los gusanos LAN son gusanos que se propagan en los protocolos de red de área local
Solución de seguridad de ICS / SCADA
El ICS incluye un gran segmento de arquitectura de OT multicapa que cubre muchos tipos diferentes de dispositivos, sistemas, controles y redes que controlan los procesos de producción. Los más comunes son los sistemas SCADA y los sistemas de control distribuido (DCS)[1].
Desde hace muchos años, la mayoría de las organizaciones han aplicado medidas de seguridad de la información, pero la seguridad de los OT es un área algo nueva. Con la creciente penetración de la tecnología de la Internet de las cosas (IIoT) y la consiguiente convergencia de la producción de TI/OT, se ha perdido la "brecha aérea" que protegía sus sistemas de OT de los piratas informáticos y los programas malignos.
Como consecuencia de ello, los atacantes se dirigen cada vez más a los sistemas de OT para robar información confidencial, interrumpir las operaciones o cometer actos de ciberterrorismo contra infraestructuras críticas. Una serie de desafíos han desempeñado un papel en la evolución de los ataques cibernéticos que han afectado a los sistemas de OT a lo largo de los años. Entre ellos:
- Inventario insuficiente de dispositivos de OT: Las organizaciones no pueden proteger los activos, ya sea mediante parches o controles de seguridad, si no tienen un control total del entorno.
- Insuficiente acceso remoto a la red: La mayoría de las tecnologías subyacentes a los SCI se basan en un acceso físico limitado y en componentes y protocolos de comunicación ocultos.
- Hardware y software anticuados: A menudo este tipo de hardware se despliega en entornos donde los sistemas no se pueden apagar para parchear o actualizar.
- Poca segmentación de la red: En los SCI no se suelen utilizar las prácticas de seguridad estándar para segregar las redes en segmentos funcionales que restringen los datos y las aplicaciones que pueden migrar de un segmento a otro.
- Control de acceso restringido y gestión de permisos: A medida que los sistemas anteriormente aislados o cerrados se interconectan, los controles y procesos que prescriben el acceso a menudo se vuelven confusos.
Los ataques más significativos a los entornos de OT y ICS 1988-2019
La aparición de nuevos mecanismos de amenaza y ataque ha cambiado fundamentalmente la forma en que funcionan los sistemas de control industrial (ICS) y el SCADA. A continuación se enumeran algunos de los ciberataques más notables a los SCI que se han producido en la última década y se describe su impacto en las estrategias actuales para asegurar la infraestructura crítica.
1. BlueKeep (2019)
En mayo de 2019, se descubrió una vulnerabilidad llamada BlueKeep en los sistemas operativos de Windows que afectaba a hasta un millón de dispositivos. La vulnerabilidad existía en el Protocolo de Escritorio Remoto (RDP) y un mes después de que se descubriera, los expertos en seguridad empezaron a detectar intentos de explotar la vulnerabilidad.
2. EternalBlue (2017)
Esta vulnerabilidad se hizo notoria en 2017, cuando se utilizó para llevar a cabo ataques mundiales contra el cifrador WannaCry. Estos ataques afectaron a las computadoras de más de 150 países y causaron un total de 4.000 millones de dólares en daños.
Esta vulnerabilidad también se utilizó en el ataque de encriptación de NotPetya. Por cierto, el parche para cerrar esta vulnerabilidad estaba disponible un mes antes de que WannaCry fuera atacado.
3. El malware de TRITON
Detectado en 2017, estaba dirigido a los sistemas de seguridad industrial. Específicamente, se dirigió al sistema de seguridad instrumental (SIS) modificando el firmware incorporado para añadir funcionalidad maliciosa.
Esto permitió a los atacantes leer o modificar el contenido de la memoria y activar su propio código, junto con una programación adicional para apagar, bloquear o cambiar de forma segura la capacidad de fallo del proceso industrial.
TRITON es el primer malware conocido diseñado específicamente para atacar sistemas de seguridad industrial que protegen vidas humanas[2]. En 2015, se descubrió que el malware BlackEnergy se utilizaba para usar macros en documentos de Microsoft Excel. El malware estaba penetrando en la red a través de correos electrónicos de phishing enviados a los empleados.
4. Havex (2013)
es un conocido troyano de acceso remoto (RAT) descubierto por primera vez en 2013[4]. Havex, que pertenece al grupo de amenazas GRIZZLY STEPPE, está destinado a los sistemas ICS y se comunica con el servidor C2 que puede desplegar cargas útiles modulares.
Su carga objetivo específica del SCI recogió información del servidor para la plataforma de comunicación abierta (OPC), incluyendo CLSID, nombre del servidor, identificador del programa, versión de la OPC, información del proveedor, estado de ejecución, número de grupos y ancho de banda del servidor, y pudo contar las etiquetas de la OPC.
Al interactuar con la infraestructura C2, el malware de Havex planteó una amenaza significativa a su capacidad de enviar instrucciones que proporcionan capacidades avanzadas y desconocidas al malware.
Los investigadores húngaros de seguridad cibernética detectaron el malware identificado como Duqu (2011), que era muy similar en estructura y diseño a Stuxnet. Duqu fue diseñado para robar información enmascarando la transmisión de datos como tráfico HTTP normal y transmitiendo archivos JPG falsos.
5. Gusano Stuxnet (2010)
En junio de 2010, un ciberataque de Stuxnet logró destruir las centrifugadoras de una central nuclear iraní. Aunque se cree que Stuxnet entró en los sistemas de la central eléctrica a través de un dispositivo extraíble, utilizó cuatro vulnerabilidades de día cero para la propagación, así como las mismas vulnerabilidades que utilizó Conficker.
6. El gusano Conficker (2008)
El Conficker es un gusano que fue descubierto por primera vez en noviembre de 2008. Ha explotado varias vulnerabilidades, incluida una en un servicio de red que puede encontrarse en varias versiones de Windows como Windows XP, Windows Vista y Windows 2000.
A medida que se propagó, Conficker utilizó ordenadores infectados para crear una red de bots. Se estima que infectó entre 9 y 15 millones de ordenadores. A pesar de estar bastante extendido, el Conficker no causó muchos daños.
7. Zotob (2005).
Este gusano, que infectó los sistemas que ejecutan varios sistemas operativos de Microsoft, incluyendo Windows 2000, explotó varias vulnerabilidades, incluyendo la vulnerabilidad MS05-039 en los servicios Plug & Play.
Como resultado, las máquinas infectadas se reiniciaban constantemente y cada vez que el ordenador se reiniciaba, se creaba una nueva copia de Zotob. Aunque no afectó a un gran número de ordenadores, consiguió tener un grave impacto en sus víctimas.
los expertos estiman que las empresas afectadas gastaron un promedio de 97.000 dólares para limpiar el malware de sus sistemas, lo que llevó unas 80 horas para arreglar sus sistemas.
8. SQL Slammer (2003)
El SQL Slammer es otro gusano que infectó cerca de 75.000 máquinas en sólo diez minutos en 2003. Esto dio lugar a la denegación del servicio de algunos proveedores de servicios de Internet, lo que redujo drásticamente el tráfico de Internet.
Para propagarse tan rápidamente, SQL Slammer aprovechó una vulnerabilidad de desbordamiento del búfer en Microsoft SQL Server. Por cierto, seis meses antes de este incidente, Microsoft publicó un parche para corregir este error.
9. Morris Worm (1988)
Para ver uno de los primeros ejemplos de un virus informático que utilizó vulnerabilidades conocidas, debemos volver a 1988, dos años antes de la invención de la World Wide Web. El gusano Morris fue uno de los primeros gusanos informáticos que se propagó por Internet.
Utilizó vulnerabilidades conocidas en Unix Sendmail, rsh/rexec y contraseñas débiles. Aunque el creador no tenía la intención de causar ningún daño, sino de destacar las debilidades del sistema de seguridad, su creación causó daños que oscilaron entre los 100.000 y los 10.000.000 de dólares.
También puedes leer: Cómo Instalar Avast Antivirus En 10 Pasos Para Windows.
Deja una respuesta