Un juego sin reglas

Los analistas de Kaspersky Lab están investigando, actualmente, una serie de ataques dirigidos contra la industria de los videojuegos. Se ha descubierto a cibercriminales robando dinero virtual, códigos fuente y

Troyano Winnti

Los analistas de Kaspersky Lab están investigando, actualmente, una serie de ataques dirigidos contra la industria de los videojuegos. Se ha descubierto a cibercriminales robando dinero virtual, códigos fuente y certificados digitales. En el post de hoy, os enseñaremos todo lo que necesitáis saber al respecto.

Los ataques APT no solo se dirigen contra agencias gubernamentales o bases militares; los ciberdelincuentes son capaces de gastar su tiempo, dinero y esfuerzos en hackear una compañía normal y corriente si existe la posibilidad de obtener algún beneficio.  Éste es el resultado de una investigación, realizada por los expertos de Kaspersky Lab, quienes descubrieron a un grupo criminal que estaba espiando a fabricantes de videojuegos.

Aunque los cibercriminales atacasen, exclusivamente, los ordenadores de dichas compañías; los primeros virus se detectaron en equipos pertenecientes a usuarios domésticos. Debido a un error cometido por el hacker, un troyano se instaló en el servidor de actualizaciones y se descargó en los ordenadores, donde fue detectado por algunos jugadores. El  troyano captó la atención de los analistas de malware porque era una herramienta de administración remota, la cual proporcionaba a los hackers el control completo del ordenador de la víctima. Además, incluía un driver con un certificado auténtico, que se podía instalar sin que se mostrara notificación o advertencia alguna.

Investigando cómo pudo este troyano introducirse en el servidor de actualizaciones, se descubrió una red de ciberespionaje, sacada de una película de ciencia ficción al más puro estilo de Hollywood. En primer lugar, se usaban mensajes de phishing para infectar los equipos de ciertos empleados de la compañía de juego. Una vez se había conseguido este primer paso, el troyano, apodado Winnti, descargaba módulos  de administración remota de servidores C&C. Así, una vez se establecía conexión manual con el equipo, el delincuente evaluaba la situación y decidía si merecía la pena continuar rastreando el ordenador o no.  Si este no era el caso, se eliminaban todas las huellas del spyware en el equipo. Pero si encontraban algo de valor, el cibercriminal recopilaba toda la información posible. La prioridad para ellos eran los códigos fuente de los juegos y los certificados de software. Una vez ya se había apoderado del botín, el delincuente buscaba las vulnerabilidades en el servidor y creaba un mecanismo para lanzar servidores de juego pirateados y vender el acceso. Con respecto a los certificados, se utilizan para firmar nuevos programas de malware y revenderlos a otros cibercriminales, que podrán utilizarlos para el ciberespionaje político.

Debido a la globalización de la industria del juego, a la cooperación entre fabricantes y el acceso de unos a las redes de otros, los cibercriminales pueden infectar la red de un solo fabricante y penetrar en otras compañías. Aunque es difícil evaluar el tamaño del problema, está claro que se han atacado a docenas de compañías en  Rusia, Alemania, EE.UU., China, Corea del Sur y otros países.

A pesar de que los cibercriminales ataquen a los desarrolladores de juegos, los jugadores también padecen las consecuencias. Las compañías, a las que se le ha robado su trabajo de muchos años, pueden no ser capaces de cubrir los costes porque algunos jugadores se han pasado a servidores piratas.  Además, los cibercriminales pueden atacar los servidores de actualizaciones para difundir malware en los equipos de los usuarios. No tenemos pruebas de que el grupo de Winnti haya infectado, deliberadamente, los ordenadores de los jugadores, pero tampoco lo podemos descartar.

Para evitar estas amenazas, debéis tomar las siguientes precauciones:

  • Comprueba los ajustes configurados para el juego, disponibles en muchas soluciones de seguridad. Como norma, los productos antivirus no muestran alertas y minimizan la pantalla de escáner para no afectar, negativamente, al rendimiento del sistema. En el caso de que se detecte algún programa malicioso, comprueba que se ha bloqueado o eliminado.
  • Usa una solución de seguridad completa que incluya protección antivirus, control de comportamiento, firewall y otras funciones. Actualiza, regularmente, dicha solución y toma en serio cualquier alerta; incluso si está relacionada con archivos procedentes de una fuente de confianza, como el servidor de actualizaciones de un videojuego.
  • Los productos de Kaspersky Lab detectan y neutralizan los programas maliciosos y sus variantes utilizados por el grupo Winnti: Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti and Rootkit.Win64.Winnti.

Por último, ofrecemos otro consejo a los jugadores: no apoyéis al mercado negro. Conectarse a servidores no oficiales ayuda a que los cibercriminales ataquen a los fabricantes de videojuegos una y otra vez. Cada ataque es un ladrillo más en el muro que separa a los usuarios de todos los juegos nuevos e interesantes que alguien ha creado para nosotros.

Consejos