Como analista de amenazas de Canadá, uno de los retos que enfrentamos otros analistas y yo es que hay muy pocos informes de amenazas que se centran o cubren Canadá. Hay unos pocos, pero por lo general, dependen de los informes de los EE.UU. (como el informe de Trend Micro que examina el Underground Norteamericano), y luego se deben extrapolar en el contexto canadiense. Después de todo, las amenazas en Estados Unidos y Canadá son las mismas, ¿no?
En realidad no es el caso. Nuestra cultura, motivaciones, conductas, y el clima político son únicos en Canadá. Estos influyen en cómo los cibercriminales se comportan aquí. Como resultado, las estadísticas estadounidenses no son siempre un reflejo exacto de las amenazas canadienses. Este es un factor que debe ser considerado cuando se mira en las estadísticas relativas a las amenazas aquí en Canadá.
Veamos los indicadores de amenazas para Canadá en los últimos meses para poder tener una idea del panorama de las amenazas canadienses en lo que respecta al malware.
¿Cuáles son los volúmenes y las tendencias de las infecciones de malware canadienses de acuerdo a Trend Micro?
En la actualidad, la amenaza más importante en Canadá es la barra de herramientas que genera el adware OpenCandy. Los usuarios son engañados para que la instalen en su máquina, que luego se utiliza para descargar el malware en la misma. Adware, infostealers y troyanos bancarios constituyen el saldo de las amenazas más comunes vistas en Canadá durante el mes de noviembre de 2015. En particular, hay una notoria ausencia: ransomware. Aunque el ransomware es actualmente una de las principales amenazas en los EE.UU., no la vemos como una amenaza particularmente común en Canadá, en noviembre de 2015.
¿Cuáles son los patrones de IPs y dominios maliciosos en Canadá?
Canadá no es un proveedor de alojamiento de sitios maliciosos, sólo tiene el 0,2% del tráfico mundial de sitios maliciosos dirigido a sitios alojados en Canadá. Sin embargo, hay un factor clave que diferencia los sitios web maliciosos en Canadá de los de otros países.
A diferencia de otros países, la relación de direcciones IP y dominios maliciosos hosteados es casi 1: 1. Esto indica que los dominios maliciosos en Canadá tienden a ser alojados en una única dirección IP y no se mueven alrededor o utilizan múltiples IPs al mismo tiempo, como lo hacen en otros lugares.
Como tal, parece que los sistemas peer-to-peer y fast-flux no se utilizan comúnmente para hostear sitios web maliciosos y dominios en Canadá. Esto destaca que la infraestructura para el hosting malicioso en Canadá no es tan sofisticado como lo es en otros países que son más conocidos como hotspots del cibercrimen. En cambio, parece que los sitios web legítimos que han sido inyectados con contenido malicioso se utilizan con más frecuencia.
¿Qué país “ataca” más a Canadá?
Para determinar qué país “ataca” con mayor frecuencia a Canadá, examinamos los sitios web que visitan los usuarios canadienses y que han sido bloqueados por nuestros productos. Viendo los datos de noviembre, una cosa está clara: el sitio(s) maliciosos que los canadienses visitan se alojan principalmente en los Estados Unidos. El número de “hits” a sitios maliciosos en los EE.UU. es superior relación a cualquier otro país.
Lo que es más interesante es el resto de países que son importantes fuentes de tráfico de sitios web maliciosos. Los números de Australia se deben a una gran cantidad de nodos peer-to-peer de ZeuS (y sus sucesores); la actividad de Holanda, Alemania, Rusia y Ucrania se debe a la presencia de empresas de hosting a prueba de balas en estos países. Estos hosts antibalas se utilizan para alojar la infraestructura de “comando y control” (C&C) de varias botnets, y parece por las estadísticas que al igual que otros países, los canadienses también son víctimas de estos sitios.
¿Existe un Underground Canadiense?
Sí hay. Si bien no es tan grande o bien desarrollado como otras comunidades, hay un underground canadiense también. A diferencia del Underground de Estados Unidos, que se centra principalmente en la venta de documentos y credenciales falsos o robados. Esto incluye tanto identificaciones falsas, tales como licencias de conducir y pasaportes, así como datos de tarjetas de crédito robadas y otra información bancaria. También incluye crédito “fullz” (paquetes completos de información personal de un individuo), que incluyen los informes de crédito de una persona e incluso sus credenciales de identificación de Apple.
Lo más interesante en el underground de Canadá es la ausencia de toolkits y servicios de infraestructura que podrían atribuirse de ser alojados en Canadá. A pesar de extensas búsquedas, los servicios de VPN, botnets toolkits, servicios de DDoS y similares no se pudieron encontrar. Esto es particularmente notable teniendo en cuenta que algunos de los miembros de las pandillas de alto perfil de juegos residen en Canadá; por lo que la falta de estos servicios es sorprendente.
Finalmente, fue reconfortante observar que, además de la falta de ofertas de servicio/infraestructuras subterráneas, también parece que no es un mercado para los servicios relacionados con la delincuencia violenta. No pudimos encontrar armas en venta u ofertas de asesinato a sueldo, ni “todos los servicios” del tipo tráfico organizado en Canadá, o servir un mercado principalmente canadiense. Sólo podemos suponer que la reputación de Canadá de ser amable y respetuoso de la ley aparece también se extiende al underground.
¿Qué tipo de credenciales robadas o falsificadas se pueden encontrar en el Underground Canadiense?
Casi cualquier tipo de documentación y credenciales se encontraron durante nuestra investigación. Esto incluye las licencias de conducir de todas las provincias, pasaportes canadienses, y tarjetas con el Número de Seguro Social (SIN). También incluyó información de tarjetas VISA, Master Card, y American Express así como de tarjetas bancarias de cada institución financiera.
El precio de estos productos tiende a ser algo inferior a la de la información de América, como se puede ver en nuestro resumen del Underground Americano.
No sólo se puede adquirir documentación falsa, la venta de información de crédito y tarjeta de débito está prosperando. En este caso, los costos tienden a ser mayores que los equivalentes de Estados Unidos. Se podría inferir que esto no es sólo debido a la menor oferta, sino que a diferencia de los EE.UU., en Canadá las tarjetas incluyen la tecnología de Chip y Pin haciéndolos más difíciles de usar.
Información bancaria también está disponible para la venta. Durante el tiempo de nuestra investigación se podían encontrar sitios que vendían información de cuentas de diferentes Instituciones Financieras Canadienses (CFI). Siguiendo aún más, el vendedor estaba dispuesto a ofrecer capturas de pantalla de las cuentas y cantidades recientes para probar la autenticidad de los productos que vendía.
Usando configuraciones de malware, se evaluó que marca canadiense fue el target en 2015. Basado en nuestro análisis, la marca más predominantemente fue Toronto Dominion (TD) Bank, casi el doble de la siguiente marca objetivo.
Mientras investigamos se encontró que varias marcas de compañías de telecomunicaciones (Telus, Rogers, Fido) también fueron atacados.
¿Qué pasa con las drogas – tanto ilegal como farmacéutica? ¿Se pueden encontrar?
Otro foco de la clandestinidad canadiense es el tráfico de drogas – tanto las drogas ilegales se venden a los mercados estadounidenses y canadienses, como las ventas de medicamentos con prescripción médica principalmente a clientes de EE.UU e internacionales.
Durante nuestra investigación hemos sido capaces de encontrar a los vendedores canadienses de muchas variedades diferentes de medicamentos. A modo de ejemplo, el vendedor anterior aparece como un comercio bastante activo, e incluso sus clientes le dieron puntajes altos por la calidad y la puntualidad de la entrega.
Resumen
Como investigador de amenazas por mucho tiempo aquí en Canadá, era importante ver las estadísticas que incumben directamente Canadá. También fue interesante ver que tan similar (y diferente) puede ser el Underground Canadiense.
Sería interesante comparar estas estadísticas contra las de otros países y otras estadísticas globales sólo para ver cómo nos comparamos directamente con la misma metodología y las métricas. Tal vez eso es lo que haré el próximo año – así que estén pendientes de nuevas actualizaciones!
Leave a Reply