Formjacking es la nueva táctica ciberdelincuente

 Globalmente, uno de 108 de estas agresiones fueron neutralizadas, el año pasado, en nuestro país, según lo advierte Symantec en su Informe Anual de Amenazas. El ransomware y el cryptojacking tuvieron su auge en el mundo del ciberdelito y ahora llegó el turno del “formjacking”. El nuevo reporte de las amenazas a la seguridad en Internet (Internet Security Threat Report o ISTR) Volumen 24 de Symantec , entrega los últimos hallazgos mundiales en cuanto a las amenazas informáticas globales, las tendencias cibercriminales y las motivaciones de los atacantes que son aún más destructivas y ambiciosas.

“El formjacking (se inserta en un sitio un pequeño código malicioso que permite sustraer la información de las tarjetas de crédito)  representa una grave amenaza, tanto para los negocios como para los consumidores. Los consumidores no tienen manera de saber si están visitando un sitio infectado en línea, sin usar una solución de seguridad integral, dejando su valiosa información personal y financiera a merced de un potencialmente devastador robo de identidad”, sostuvo Greg Clark, director ejecutivo de Symantec.

“Para las empresas, el colosal aumento del formjacking refleja el creciente riesgo de los ataques a la cadena de suministro, sin mencionar los riesgos de reputación y responsabilidad que los negocios enfrentan cuando se ven comprometidos”, amplió Greg Clark.

El informe de este año revela en forma notable que el formjacking (cuando servidores web infectados remueven la información de pago de los consumidores) ha surgido como la amenaza de vanguardia de 2018. El 1% de todos los ataques mundiales de formjacking fueron bloqueados en Argentina en 2018 y, globalmente, uno de 108 de estos ataques fue bloqueados, el año pasado, en nuestro país.

Esta amenaza mostró un crecimiento exponencial (y posiblemente grandes ganancias para los delincuentes) al final del año, pronosticando un posible incremento en 2019 y más allá. Al usar con mayor frecuencia aplicaciones de terceros para infiltrarse en los sitios web, el formjacking también ilustra aún más los peligros de los ataques a la cadena de suministro, una creciente debilidad destacada en el informe del año pasado. Necesitando solo unas cuantas y simples líneas de código cargadas en un sitio web, el formjacking representa una significativa amenaza para los minoristas en línea, o para cualquiera que recopile información personalmente identificable de sus clientes a través de su sitio web.

Ataques fáciles

Aunque ya no generan dinero fácil, el ransomware y el cryptojacking no han desaparecido. El ISTR muestra que, con el declive en el valor de las criptomonedas, hacerse rico rápidamente a través del cryptojacking no es tan fácil como antes, y algunos atacantes se han cambiado a actividades más lucrativas. Sin embargo, los ataques son fáciles de instigar y gestionar, lo que significa que aquellos criminales que participan en el juego a largo plazo todavía pueden hacer dinero. En general, Symantec bloqueó cuatro veces más ataques de cryptojacking el año pasado que en 2017, y continúa siendo una amenaza activa en 2019.

El ransomware sigue ofreciendo la oportunidad de generar grandes sumas de dinero. Se calcula que la banda SamSam ha generado seis millones de dólares gracias a sus ataques de ransomware. De hecho, los delincuentes del ransomware se fijan cada vez más en las empresas, un blanco de alto valor. Las infecciones por ransomware crecieron en los ambientes empresariales en un 12%, mientras que las infecciones en consumidores bajaron. Los consumidores probablemente se beneficiaron debido a su creciente uso de dispositivos móviles, ya que los criminales prefieren archivos adjuntos de Office en mensajes de correo electrónico y scripts de PowerShell, los cuales no funcionan tan bien en dispositivos móviles, para llevar a cabo sus ataques de ransomware.

A pesar de estos descubrimientos, el panorama de amenazas no solo trata sobre crimen y la búsqueda de dinero. Los gobiernos adoptaron rápidamente la Internet para realizar espionaje y la han usado con fines destructivos. A finales del año pasado, Shamoon volvió a emerger en forma notable después de una ausencia de dos años, desplegando malware para borrar archivos en las computadoras de organizaciones específicas en Medio Oriente. De hecho, casi uno de cada diez grupos de ataque dirigido ya usa el malware para destruir y trastornar operaciones comerciales, con un aumento del 25%, comparándolo con el año anterior.

También siguen refinando sus técnicas de ataque, prefiriendo el spear-fishing sobre cero días y usando técnicas de “vivir de la tierra” (living off the land o LoTL, por sus siglas en inglés) para mantener un bajo perfil y esconder sus ataques en un mar de procesos de TI legítimos.

De hecho, la tecnología de Análisis de Ataques Dirigidos Targeted Attack Analytics (TAA) de Symantec descubrió un grupo de ataque llamado Gallmaker en 2018 que no necesitaba malware para infiltrarse en sus blancos. “Mientras los atacantes siguen usando nuestras propias herramientas contra nosotros, la detección debe evolucionar de identificar malware a determinar intenciones. Soluciones basadas en el aprendizaje automático e inteligencia artificial avanzada, como TAA, son cada vez más cruciales para detectar ataques”, explica Daryan Reinoso, Gerente de Ingeniería para Rest of LATAM.