Con presencia en la América Latina desde 2019, CrowdStrike genera reportes periódicamente sobre el estado y la evolución del cibercrimen regional, estudios que incluyen el análisis de familias de malware nativas. Para conocer un poco al respecto hablamos con Adam Meyers, vicepresidente de operaciones contra adversarios de esta firma.
¿Cuando escucha nombres como caimán, culebra y ocelote qué se le viene a la cabeza? La respuesta más común sería animales, pero la gente de CrowdStrike piensa de otra forma: ellos ven grupos de criminales APT (Amenaza Persistente Avanzada o Advanced Persistent Threat) que se identifican con cada país. De esta forma, a Rusia le corresponde el oso, a China el panda y a Colombia el ocelote.
Y es que esta firma de Ciberseguridad tiene su propia forma de bautizar a diferentes actores del cibercrimen. Por ejemplo, las arañas (Spider) se relacionan con ciberdelincuentes, los estados nación (grupos APT) con animales y a los hacktivistas con chacales (Jackals).
De hecho, CrowdStrike suele combinar el nombre de los animales con otras características que lo identifiquen, generando nombres tan llamativos como Wicked Panda, Fancy Bear, Deadeye Jackal o Galactic Ocelot. Por cierto, “En Colombia, vemos un actor que es Blind Spider”, afirma Meyers hablando de un grupo que lleva a cabo campañas de spam dirigidas a entidades del sector público y privado.
Otros grupos rastreados por CrowdStrike en la región son Squab Spider, que centra sus operaciones en México; Plump Spider, que tiene como objetivo Brasil; y Odyssey Spider, que opera desde Brasil y tiene como objetivos a Argentina, Brasil, Colombia y República Dominicana, y se concentra especialmente en el segmento de hostelería y aviación.
Algunas características del cibercrimen en América Latina
Con el paso del tiempo, los grupos criminales de América Latina han ido evolucionando tanto en sus técnicas como en su forma de operación, que tiende a concentrarse en la región favorecidos por el uso del idioma, lo que facilita las labores de ingeniería social. “Un hablante de español tiene una predilección natural en tener víctimas objetivo de ese mismo idioma”, recuerda Meyers.
Parte de esta evolución se ha manifestado en usar lenguajes de programación modernos como Rust para mejorar las capacidades de evasión y dificultar su análisis, además de generar campañas de infección de múltiples etapas usando spam infectado con malware y sitios web de phishing.
“Lo que hemos visto a lo largo de los años es que América Latina está bastante adelantada en términos de banca electrónica y cosas por el estilo. En otras palabras, América Latina lideró el camino con PIN y CHIP y muchas personas usan la banca en línea. Y es allí donde empezamos a ver muchos fraudes en cajeros automáticos”, afirma Meyers.
Como dato curioso, tradicionalmente los creadores de malware de América Latina prefieren el lenguaje de programación Delphi para el desarrollo de los componentes principales, una característica que comparten con los criminales de Europa del Este, especialmente bandas de Rusia, lo que demuestra una interconectividad y colaboración entre algunos de estos colectivos.
“Delphi fue una herramienta muy popular a finales de los 90, principios de los 2000. Es un lenguaje bastante frecuente en el mundo del crimen electrónico y es casi como lo que aprendiste en la escuela y con eso es con lo que te quedas”, afirma Meyers.
Ofuscación y LOTL
El “living off the land” o Living of the Land (LOTL) es otra de las técnicas cada vez más populares entre los cibercriminales. “El concepto es, imagina que te pierdes en la jungla sin nada, tendrías que construir un refugio y encontrar comida y agua. Lo que pasa en el dominio cibernético con LOTL es que si traes herramientas adicionales contigo, si traes malware adicional, puedes elevar tu perfil, lo que hace más fácil la detección. Así que en lugar de llevar herramientas especiales, usas lo que encuentras cuando aterrizas en ese sistema”, dice Meyers.
De esta forma, si un cibercriminal ataca sistemas informáticos basados en Windows, lo que hace es usar el PowerShell para continuar su operación, ya que PowerShell ya está instalado en el mismo Windows.
Una ofuscación del código más avanzada es otra de las tendencias presentes en la región. Recordemos que la ofuscación es una técnica que básicamente busca modificar el código fuente de un programa de manera que sea más difícil de entender para los seres humanos, pero sin cambiar su funcionalidad. Para ello incluye prácticas como incluir código muerto, eliminar comentarios y espacios en blanco, renombrar variables y funciones, entre otros factores que pretenden confundir a los analistas de seguridad informática y ganar tiempo.
“Si hago el código muy complejo y confuso, entonces puede que te lleve 3 horas averiguar lo que hace en lugar de 10 minutos y eso son 2 horas y 50 minutos extra que tengo para robar información o para lograr mi objetivo”.
