En un intento por una mejor evasión de detección, los cibercriminales configuran cada vez más su infraestructura de comando y control de tal manera que las devoluciones de llamadas iniciales de malware se comunican con un servidor localizado en el mismo país que las máquinas recién infectadas.

Esta tendencia es una de las grandes y variadas conclusiones de un informe de FireEye, “The Advanced Cyber Attack Landscape,” que se publicó el día de ayer. FireEye reunió los datos del informe en un análisis de aproximadamente 12 millones de mensajes comunicados entre varias empresas dirigidas al malware y a sus servidores de comando y control (C&C) .

La creación y proliferación de malware es más global que nunca, actualmente se encuentran servidores C&C en 184 países. Esto es un aumento sustancial del 42% a partir de 2010, cuando solo 130 naciones fueron anfitriones de servidores C&C.

Mientras la amplitud y cantidad de dichos servidores cambia dramáticamente, aún queda mucho de lo mismo: las partes del Sur y Este de Asia y áreas cercanas al Este de Europa todavía son los puntos de acceso de ciberdelincuencia internacional. Se cree que China, Corea del Sur, India, Japón y Hong Kong son los responsables del 24% de los ataques cibernéticos, en cambio Rusia, Rumania, Polonia, Ucrania, Kazajstán y Letonia representaron el 22%. La advertencia a la afirmación de FireEyes de que estas regiones impulsan la mayoría de los ataques es que su análisis mostró que el 44% de los servidores C&C están actualmente localizados en América del Norte. FireEye cree que es una anomalía estadística que refleja la nueva realidad de que los atacantes evaden la detección y más por la distribución de los servidores C&C en las estrecha proximidad de sus objetivos.

De hecho, en América del Norte, la participación de estos servidores es del 44% y su más drástica del 66% de acciones de los servidores C&C responsables de las campañas de ataque al estilo de amenazas persistentes avanzadas de América del Norte es un indicador de que algo no ha cambiado de acuerdo a FireEye: en términos relativos, el panorama corporativo de Estados Unidos, sobre todo la riqueza de las empresas de alta tecnología, está densamente repleto de valiosa propiedad intelectual, por lo que los atacantes continúan dirigiéndose a empresas con sede ahí. Sin embargo, el análisis forense de los instrumentos utilizados en estos ataques y las tácticas de comunicación de la infraestructura C & C que los apoyan reveló que la gran mayoría de los ataques y hasta el 89% de las herramientas APT, la mayoría de ellas relacionadas con Gh0stRAT, se originaron en China desarrollados por grupos de hackers chinos.

Otra evolución es el movimiento hacia el uso de las redes sociales como Facebook y Twitter para comunicarse con las máquinas infectadas. Esta táctica y otras, mediante las cuales los atacantes integran contenidos robados en los archivos JPG de uso común, son desplegadas en un intento de hacer que el tráfico malicioso parezca benigno.

Otras conclusiones interesantes destacadas por FireEye son que las empresas de Corea del Sur, sobre todo debido a la infraestructura de Internet muy desarrollada de ese país, son testigos de un alto nivel de devoluciones de llamada por organización. Sus hallazgos también sugieren que la densidad de la propiedad intelectual de Japón podría ser rival con la de los Estados Unidos, teniendo en cuenta que el 87% de las devoluciones de llamada se originan y permanecen en ese país. Por último, la detección de alta velocidad de salida, tanto en el Reino Unido y Canadá sugiere a FireEye que los atacantes generalmente no se preocupan de ser detectados en esos países.