Los hackers se reinventan y emplean nuevas ciberarmas encriptadas
Desde Check Point alertan de una nueva generación de ciberarmas con sofisticados sistemas de encriptación.
La aparición de Gauss en agosto responde al perfil de ataque “dirigido” que se comporta a la vez como un troyano, infectando equipos, y un backdoor que permite suplantar procesos de autenticación. Pero además, tal y como señalan desde la firma de seguridad Check Point, tiene la particularidad de que inocula la “carga útil” o payload del malware directamente en el sistema atacado.
Tal combinación indica una constante evolución en las ciberarmas utilizadas por los ciberdelincuentes para sus fines delictivos y en el cuidado estudio de los procesos que emplean, ya que, en como en el caso antes citado, los cibercriminales inoculan la “carga” en el sistema, pero antes buscan aspectos específicos de dicho sistema, incluyendo nombres de archivos o carpetas, que utilizan como parte de la clave de desencriptado que descifra y ejecuta el malware. Para Mario García, director general de Check Point Iberia, “esto significa que, de no conocer cómo son el fichero del sistema y su configuración, es prácticamente imposible para los analistas descifrar la ‘carga útil’ y, por tanto, completar su análisis”.
Gauss también aplica el modelo de encriptación IBE (Host Identity-Based Encryption) que inocula un programa en un ordenador determinado utilizando un único identificador y en los últimos tiempos se ha estado empleando con asiduidad. De hecho, los creadores de la botnet FlashBack, que comprometió más de 500.000 
ordenadores Mac OSX a principios de año, fueron los primeros en implementar está técnica.
Su funcionamiento era el siguiente: cuando un sistema era infectado con FlashBack a través de una vulnerabilidad Java concreta, la “carga útil” no era el verdadero malware, sino que era una pequeña carga que utilizaba un identificador único de la máquina atacada. Este identificador viajaba de vuelta al servidor de control de los cibercriminales y era utilizado para encriptar, comprimir y ofuscar la versión completa del virus que era la que realmente infectaba con posterioridad el sistema, explican desde la firma de seguridad.
“Esto significa que esta nueva versión solo funcionaría en un ordenador con un UUID idéntico, complicando el análisis de esta amenaza, ya que los sistemas automatizados de análisis de malware serían automáticamente expulsados”, señala Mario García. “Técnicas como IBE representan un nuevo reto al que enfrentarse en materia de seguridad y el payload Gauss un ejemplo más de la evolución continuada de las ciberarmas.
