El malware puede aparecer donde menos lo esperas, así lo señala Claudia Rincón Pérez, CEO de Factoría IT. Los investigadores descubrieron un ataque de bomba lógica en el repositorio del índice de paquetes de Python (PyPI), que es un repositorio de código para los desarrolladores de Python y parte de la cadena de suministro de software. Los atacantes tenían como objetivo que los desarrolladores de software honestos incluyeran las bombas en sus aplicaciones por accidente.
Los investigadores encontraron seis cargas útiles maliciosas, todas cargadas por un solo usuario. El atacante los diseñó para que se ejecutaran durante la instalación de un paquete. La gente ha descargado colectivamente estas cargas útiles unas 5.000 veces. Algunas de las bombas lógicas eran typosquats, diseñadas para engañar a las personas haciéndoles creer que eran programas normales. Su propósito: secuestrar los sistemas de desarrollo para la criptominería.
El evento PyPI es complejo porque combina tres tipos diferentes de ataques: bombas lógicas, cryptojacking y ataques a la cadena de suministro de software.
Sirve como recordatorio para que todas las empresas y agencias se protejan contra los tres tipos de ataques.
La amenaza que representan este tipo de bombas lógicas y la amenaza que representan los ataques de malware en la cadena de suministro requieren un enfoque de toda la industria por parte de los desarrolladores, los repositorios y el mundo más amplio de herramientas y especialistas de seguridad. Pero eso es a largo plazo. A corto plazo, debe proteger a su grupo de este tipo de ataque.
Desactivar una bomba lógica
Una bomba lógica también se puede llamar bomba de código, bomba cibernética o código de escoria. Es un conjunto de instrucciones que se ejecutan bajo ciertas condiciones, generalmente con intenciones maliciosas.
Un desafío con los ataques con bombas lógicas es que no hacen nada al principio. No puede encontrarlos buscando un comportamiento extraño mientras están inactivos. Otra es que varían en forma y función entre sí. Evitar patrones conocidos ayuda a los actores malintencionados a plantar bombas lógicas que las víctimas no pueden detectar fácilmente.
La carga útil es el problema. Pueden hacer cualquier cantidad de cosas, incluido robar datos, eliminar o corromper datos, bloquear sistemas o iniciar procesos de criptominería.
Un tipo común se llama bomba de tiempo, lo que significa que la condición de activación del malware es una fecha y una hora. Otros se activan después de algún evento o actividad específica en la máquina donde está instalado. Los atacantes pueden instalar este tipo de malware en múltiples sistemas dentro de una organización, y las muchas instancias aumentan la posibilidad de que la carga útil maliciosa tenga el efecto deseado. El disparador de tiempo asegura que el disparo de una bomba no alertará a los profesionales de seguridad sobre la existencia de las otras.
De cualquier manera, es posible encontrar y destruir bombas lógicas antes de que estallen.
Descifrando el código en Cryptojacking
Esto va de la mano con el cryptojacking, el secuestro ilícito de recursos para la criptominería. Los atacantes pueden robar un gran ancho de banda y cómputo, energía y, al final, recursos financieros mientras trabaja para resolver las ecuaciones necesarias para la minería de divisas. De hecho, la alta demanda de recursos, el alto costo de la minería de criptomonedas, es exactamente la razón por la que los atacantes lo están robando con malware de minería de criptomonedas.
Más allá de eso, el cripto-malware presenta un riesgo porque su comportamiento es difícil de predecir. Además, es un pie en la puerta para otros tipos de cargas útiles y brechas. Protegerse contra él debe ser una alta prioridad.