La evolución de los rootkits y qué podemos esperar de ellos en el futuro Redes Zone : Portal sobre telecomunicaciones y redes

Qué es un rootkit y cómo se usa

Un rootkit podemos definirlo como un conjunto de software que permite un acceso con privilegios a un ordenador y que, además, mantiene su presencia oculta a los administradores. Normalmente los ciberdelincuentes instalan rookits en un ordenador tras haber obtenido permisos de escritura en cualquier parte de la jerarquía del sistema de ficheros. Luego se aprovecha de una vulnerabilidad conocida o de haber obtenido una contraseña para poder instalarlo.

Los rootkits se usan habitualmente para esconder algunas aplicaciones que podrían actuar en el sistema atacado. Además suelen incluir backdoors o puertas traseras para ayudar a que el ciberdelincuente pueda acceder fácilmente al sistema. También hay que señalar que puede afectar a una amplia variedad de sistemas operativos como pueden ser Microsoft Windows, Linux y MacOS para que luego, remotamente, los piratas informáticos puedan enviar comandos o extraer información confidencial.

El estudio de Positive Technologies sobre los rootkits

En un nuevo estudio de Positive Technologies se ha analizado cómo han evolucionado los rootkits en los últimos años y el peligro que representan. Se trata de un estudio en profundidad de rootkits utilizados por los grupos de cibercriminales durante la última década, es decir, desde el año 2011. En el 44% de los casos, los piratas informáticos utilizan rootkits para atacar agencias gubernamentales. Por otra parte, con un porcentaje un poco menor del 38% se utilizó el rootkit para atacar institutos de investigación. En cuanto a la elección de los objetivos, los expertos opinan que el objetivo principal de los distribuidores de rootkits es la recolección de datos.

Según este estudio, las industrias y usuarios más atacados por este software dañino serían:

1. El ataque a personas específicas con un 56%. En este caso los ataques dirigidos como parte de campañas de ciberespionaje afectaron principalmente a funcionarios de alto rango, diplomáticos y empleados de organizaciones de víctimas.
2. Telecomunicaciones con un 25%.
3. Manufactura con el 19%.
4. Instituciones financieras el 19%.

Según comenta Yana Yurakova, analista de seguridad de Positive Technologies, los rootkits que son capaces de operar en modo kernel1 son muy difíciles de desarrollar. Éstos son desarrollados por grupos centrados en APT muy sofisticados o por grupos con los medios económicos para comprar rootkits en el mercado negro. Por otro lado, estos piratas informáticos que hacen uso de rootkits se centran principalmente en el ciberespionaje y la recolección de datos. Fundamentalmente actúan para:

• Robar grandes sumas de dinero.
• Extraen información.
• Dañar la infraestructura de la víctima en nombre de un pagador.

Quizás te interese conocer cómo evitar la amenaza de un rootkit.

Evolución de cara al futuro

El estudio de Positive Technologies añade que el 77% de los casos de rootkits bajo investigación se usaron para recopilar datos. Por otro lado, el 31% estaban motivados por ganancias financieras, y luego con un 15% estaban los ataques para explotar la infraestructura de la empresa víctima y luego realizar ataques con posterioridad.

En cuanto al precio de un rootkit en la web oscura, varía entre 45.000 a 100.000€ dependiendo del modo operativo, sistema operativo y tiempo de alquiler. Por último, de cara al futuro los investigadores opinan que los ciberdelincuentes seguirán desarrollando y utilizando rootkits. En ese aspecto los especialistas de Positive Technologies han identificado nuevas versiones de rootkits, lo cual nos indica que los ciberdelincuentes están implementando nuevas técnicas para eludir la protección.