Identificación y exploración del horizonte de sucesos y espacio de observación vinculado al moderno malware
Prof. Dr. Javier Areitio Bertolín. Director del Grupo de Investigación Redes y Sistemas, Universidad de Deusto
22/07/2021En este entorno juega un papel fundamental la inteligencia artificial, el modelado de datos en base a reservorios de algoritmos, big-data/analítica de datos, funcionalidades que puede crear, transportar y aplicar en la carga útil un malware, etc. El moderno malware está basado en inteligencia artificial (ya no es una simple prueba de concepto sin importancia, sino algo real implementado, operativo en condiciones reales. Integra deep-learning, redes neuronales profundas, sistemas expertos, machine-learning, etc.), es modular, multifuncional, multidominio (espacio, fase, frecuencia, tiempo, código), actualizable bajo canales subliminares con esteganografía, con anonimato, con almacenamiento redundante, multi-capa, con habilidades para saltarse mecanismos CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), con aprendizaje automático, procesamiento del lenguaje natural, con movimiento lateral-multidimensional de engaño oculto, con propagación e infección multidimensional y multinivel, altísimamente ciberresiliente, no detectable, dotados de mecanismos de desinformación/deception, persistente, asintomático, etc., es oculto, no lineal, caótico, indeterminista, oscuro.
Como resultado surge el peligro de posibles (infecciones malware avanzadas no convencionales, rebrotes, crisis ciber-epidemiológicas graves y caos de ciberpandemias globales mundiales) es crítico. Estos modernos malware ya llevan bastantes años entre nosotros distribuyéndose por todo el mundo en formato no detectable. Es clave identificar el horizonte de sucesos y espacio de observación, pero para ello nos encontramos con: no detectabilidad, asintomatología, contagios ocultos, transmisión no perceptible, efectos negativos ocultos, supervivencia del malware en grado extremo, ganancia de funciones, evolución del malware por actualizaciones ocultas, etc. Como protección debe existir un potente entorno antimalware generalizado, multidimensional distribuido para poder hacer frente al caos de infecciones del malware adecuándose a los diferentes dispositivos, sistemas, objetos y plataformas de computación (clientes, servidores, nodos peer P2P, objetos IoT/IIoT/IoMT, etc.).
En el contexto del moderno malware puede identificarse un horizonte de sucesos y espacio de observación difícil de entender y oculto donde se entremezclan espionajes, sabotajes, ciber-ataques dirigidos y globales (a nivel del ciberespacio (OT, IT, nubes/cloud-fog-edge-computing, BDs, APPs, sistemas operativos, PLCs, SCADA, CRM, VMs, CPS, ICS, etc.) existe una vinculación con los niveles de defensa de tierra, mar, aire, espacio y ciberespacio, objetivos físicos del mundo real personas, seres vivos, medio ambiente, máquinas analógico-digitales, vehículos, infraestructuras, entidades virtuales, robots sociales, satélites, drones, etc.). El moderno malware opera sin parar de forma indefinida, si alguien trata de observarlo modifica lo observado (el malware).
Alguien dijo alguna vez “una palabra no dice nada y al mismo tiempo lo esconde todo… (Carlos Varela)” en el presente contexto esta palabra indudablemente es 'malware'. El término malware (integra las palabras malicious software-firmware-hardware. Esto significa que el malware es de naturaleza y ciber-ataca al software-programas, al firmware-microprogramas e incluso al hardware vía troyanos hardware contra procesadores Intel, AMD, ARM, etc., routers, videocámaras, etc.) es tanto una ciberamenaza (a la ciberseguridad en tierra, mar, aire, espacio y ciberespacio), como una ciberarma ofensiva (autónoma y/o guiada.
Existen ciberarmas que crean botnets, que espían, que realizan operaciones de creación y control de inventario, que destruyen, que inhabilitan, que dañan infraestructuras críticas, personas, medio ambiente, que roban identidades, etc.), como una herramienta muy sofisticada de ciberataque (para espionaje, sabotajes, secuestros, desinformación en redes sociales, DDoS, MITM, etc.) y como una ciber-arma defensiva (contra el espionaje, desinformando para proteger la privacidad, eliminación de ciberriesgos inactivando el malware, suprimir desastres anulando el malware, etc.) o herramienta de ciberdefensa (que proteja al antimalware, a las herramientas de protección y a todo el entorno del usuario IT/OT dentro de la organización y en las nubes).
El moderno malware basado en IA integra una carga útil o de infección múltiple, por ejemplo, con funcionalidades, módulos, semillas como worm, backdoor, spyware, rootkit, virus, etc. Algunas funcionalidades son ligeramente detectables “a propósito” (son cargas útiles de sacrificio o señuelos) y otras son extraordinariamente difíciles de detectar. El moderno malware está basado en inteligencia artificial altamente no detectable, ciber-resiliente, persistente, modular, actualizable de forma subliminar, esteganográfica (stegware) y cifrada/compresión con el exterior/interior para ganancia de funciones) puede ser bien autónomo o bien guiado por IA y una red distribuida oculta de servidores C&C, bot-master, etc. Según el WEF (World Economic Forum) en su informe Global Risks Report el fraude, el robo de datos y los ciberataques se colocan en una de las posiciones peores de riesgo a nivel mundial. Según el informe de FTI Consulting los ciberataques encabezan la lista de riesgos más críticos para las empresas que operan en España.
Mecanismos utilizados para la evolución de la vida del malware
Exploremos todos los medios (vulnerabilidades, vectores de infección y de impacto, ciber-riesgos, superficies de exposición, etc.) que posibilitan que pueda aparecer, vivir y evolucionar un moderno malware (nacimiento, introducción, inyección, crecimiento, infección-contagios, ejecución, reproducción, actualizaciones, eliminación de módulos que ya no necesita, etc.). Las vulnerabilidades las utilizan las funcionalidades malware (y sus componentes, módulos, semillas, etc. para su evolución). Las vulnerabilidades son los vectores que hacen llegar (los módulos, semillas, etc. del malware, las ejecuciones distribuidas, las infecciones ocultas, los secretos y el dinero obtenidos de forma no autorizada, etc.) a sus lugares destino parcial o definitivo.
Algunas vulnerabilidades son: insuficiente protección de las capas TCP/IP (transporte/L4, red/L3, enlace de datos/L2, aplicación/L5, física/L1), fallos de restricción de acceso a URLs, almacenamiento criptográfico inseguro (por ejemplo, claves criptográficas), implementaciones de algoritmos criptográficos deficientes, referencias a objetos directos inseguros, utilizar ficheros o información ofuscada para ocultar la intrusión de un análisis antimalware, explotar vulnerabilidades del sistema de señalización para redireccionar llamadas y mensajes de texto SMS a un número de teléfono bajo el control de un ciberatacante. XSS (Cross Site Scripting), facilidad para realizar inyecciones de forma no autorizada como SQL-i, establecer conexiones de red seguras (con VPN, esteganografía/cifrado y anonimato con proxies), adquirir credenciales de los navegadores Web leyendo ficheros específicos del navegador deseado, crear o modificar demonios para ejecutar repetidamente cargas útiles maliciosas como parte de la persistencia, autenticación insegura, fallos en la gestión de memoria (dando lugar a buffer-overflow), deficiencias en la gestión de sesiones, comunicación y almacenamiento de datos insegura, uso incorrecto de la plataforma por API expuesta, modificar GPOs (General Policy Objects) para comprometer los controles de acceso discrecionales para un dominio con vistas a conseguir escalada de privilegios en dicho dominio, establecer persistencia ejecutando contenido malicioso disparado por Netshell, CSRF (Cross Site Request Forgery), ejecución de dll utilizando scripts PowerShell, configuraciones de ciberseguridad poco seguras, carencia de validación a la hora de poder realizar redirecciones y reenvíos no autorizados, sistemas operativos jailbreak-root-liberados (supone incrementar el riesgo de infección ya que aumenta los privilegios y posibilita el acceso a la raíz del dispositivo), sistemas operativos no actualizados, ni parcheados, recoger de forma no autorizada datos almacenados en el clipboard de usuarios que copian información dentro o entre aplicaciones, modificar binarios software del cliente para establecer acceso persistente al sistema, buscar localizaciones comunes de almacenamiento de contraseñas para obtener credenciales de usuarios, APPs no actualizadas, inyección de script maliciosos en el registro, ejecución de valores del registro codificados utilizando Jscript.Encode, utilizar PowerShell scripts codificados en Base64, ejecución de valores del registro utilizando Rundll32.exe, ejecución de valores del registro utilizando Mshta.exe, ejecutar dump-credentials para acceder a los secretos de la LSA (Local-Security-Authority), aprovecharse del envenenamiento de tablas ARP (que traducen direcciones MAC-L2 e IP-L3 para ciber-ataques MITM) y envenenamiento de las tablas DNS (que traducen direcciones IP-L3 y URLs-L5, esto se denomina pharming), abuso de interpretadores de comando y script para ejecutar comandos, scripts o binarios, abusar de PowerShell (potente interfaz de línea de comando interactivo incluido en el sistema operativo Windows) para realizar acciones como descubrir información y ejecutar código, antimalware no actualizado, vulnerabilidades de macro en documentos Office de Microsoft, abusar de AppleScript para ejecuciones, cuentas desprotegidas con privilegios máximos, fallos que permiten al malware borrar sus rastros (ficheros temporales, ficheros de logs y monitorización lugares de ocupación, etc.), bugs que posibilitan la escalada de privilegios, el malware puede interceptar y capturar datos sensibles procedente de SMS que incluye credenciales de autenticación, es el caso en el que el SMS se utiliza para transmitir códigos utilizados para autenticación multi-factor, explotación de servicios remotos y escritorio remoto, copia de ficheros remotos, cambios directos en los binarios por hooking, inhibir la recuperación del sistema, exfiltración de información a través de canales C&C, ocultar ficheros y directorios, etc.
En el mundo IoT se interconectan dos tipos de entornos: el entorno virtual (por ejemplo, con proveedores de servicio) y el entorno físico (por ejemplo, con objetos físicos), por tanto, podrán surgir problemas en ambos tipos de entornos y afectar a aspectos físicos (P), aspectos virtuales (V) y a los propios objetos o cosas (T). Un vector de impacto es un camino comprometido de enlaces de comunicación por los que un malware explota las vulnerabilidades de servicios, plataformas o dispositivos IoT/IIoT/IoMT que puede tener un efecto en los objetos-cosas (por ejemplo, vehículos, dispositivos de la Industria 4.0, prótesis médicas), el entorno físico (medio ambiente, seres vivos, robots, drones, altavoces inteligentes, PLCs, CPS, máquinas, etc.) y el entorno virtual-cibernético asociado al ciberespacio (por ejemplo, con APPs, IA, realidad virtual, avatares, realidad aumentada, realidad disminuida, asistentes personales virtuales como Siri-Alexa, etc.). Posibles vectores de impacto son: (1) V-T-V. Ejemplos de ciber-amenazas con vector de impacto V-T-V son los ciber-ataques dirigidos al entorno virtual de los objetos o cosas explotando sus vulnerabilidades y características implementadas incorrectamente, por ejemplo, es el caso de la denegación distribuida de servicios (DDoS) utilizando una botnet o el CSS/XSS. (2) V-T.
Un ejemplo de ciberamenaza con vector de impacto V-T es un ciber-ataque dirigido a una cosa u objeto desde dentro de su entorno virtual, por ejemplo, el robo de información confidencial-privada. (3) V-T-P. Un ejemplo de ciber-amenaza con vector de impacto V-T-P consiste en un ciber-ataque dirigido al entorno físico de los objetos para causar daño físico o dañar aspectos físicos de su funcionalidad, por ejemplo, un ciber-ataque a un vehículo conectado-autónomo, por ejemplo, cambiándole su velocidad, bloqueando su dirección o causar otros efectos físicos, ataques a sistemas de control industrial (ICS), ataques a prótesis médicas, etc. (4) T-V. Un ejemplo de ciber-amenaza con vector de impacto T-V consiste en explotar bugs/flaws, vulnerabilidades o características que dañen la seguridad del entorno, pueden tratarse como una cuestión de ciberseguridad, por ejemplo, un objeto virtual implementado inadecuadamente o infectado con malware capaz de dañar a otros. (5) T-P. Ejemplos de ciber-amenazas con vector de impacto T-P son los bugs/flaws software/firmware o las funciones que pueden afectar a factores importantes del entorno físico, por ejemplo, funciones de un sistema implementadas sin tener en cuenta o de forma insuficiente los requisitos y consideraciones de ciberseguridad (sin auditoría de código estática y dinámica, sin pentest, sin detección de vulnerabilidades). (6) P-T-V. Ejemplos de ciber-amenazas con vector de impacto P-T-V son acciones que presentan problemas para los aspectos de ciberseguridad de la información por medios físicos, por ejemplo, destruir hardware, trastornar físicamente un sistema de video vigilancia colocando una fotografía delante de la cámara o inyectando imágenes predefinidas con movimiento. (7) P-T. Ejemplos de ciber-amenazas con vector de impacto P-T son los azares físicos que son capaces de dañar a un sistema o a sus componentes, por ejemplo, un tratamiento con fallos, uso de generadores de EMP para destruir la electrónica. (8) P-T-P.
Ejemplos de ciberamenazas con vector de impacto P-T-P son los azares físicos que son capaces de dañar el entorno físico o a las personas, por ejemplo, sabotajes, negligencias, fuerzas de la naturaleza provocadas (terremotos, incendios, etc.). Cada día hay más y más dispositivos de computación (PCs, smartphones, tablets, vehículos conectados y autónomos, wearables, smartwatch, objetos IoT/IIoT, IoMT, robots, etc.) son parte de nuestra vida, se acceden desde cualquier sitio y en cualquier instante de tiempo de forma continuada utilizando un navegador Web, en nuestro mundo existen cada vez más billones y billones de usuarios activos (personas, programas de IA, entidades virtuales y robots), no existen fronteras geográficas, etc.
El resultado son patrones de ciber-ataque malware no detectables cada vez más sofisticados por ejemplo utilizando sitios Web de redes sociales, mensajería instantánea, correo electrónico, video conferencias, VoIP, utilización de redes de bots o botnets, electrodomésticos smart, ciudades inteligentes, juguetes inteligentes, vehículos conectados-autónomos, etc. Algunos vectores de infección son: ingeniería social utilizando ficheros adjuntos en correo electrónico con spear-phishing, no recargar la electricidad del smartphone, tablet, PC, etc. a través de interfaces USB públicos ya que pueden tener habitado no sólo los hilos de alimentación sino también los hilos de datos y nos pueden infectar o espiar, no hacer clic en links o botones situados en cualquier sitio como SMS, mensajes de email y de mensajería instantánea, sitios de redes sociales, sitio Web de compras e incluso pop-ups o ventanas emergentes, no visitar ni si quiera un instante sitios Web infectados tanto introduciendo la URL, siendo redireccionados o a través de códigos QR, no introducir un pendrive en un PC o vehículo sin antes no ha sido analizado y desinfectado, no transferir información sensible o personal si su dispositivo esta conectado a una WiFi pública o pirata, sólo activar las conexiones inalámbricas (Bluetooth, WiFi, NFC) cuando sean absolutamente necesarias y desactivarlas al final, realizar copias de seguridad o backup redundante y guardarlas lejos del dispositivo, cifrar la información sensible o personal almacenada en los discos, tarjetas SD, SIM, etc., no instalar APPs si no esta muy bien informado de fuentes de calidad y nunca si los permisos que solicita son excesivos de root, no use dispositivos no corporativos (los suyos de casa) o BYOD (Bring Your Own Device) en su empresa ya que no están preparado para las políticas de ciberseguridad de la empresa, por ejemplo pueden inyectar en su empresa malware a través de APPs, videoconferencias, no se deje engañar a través de booking-scam (estafa de phishing) dirigida a usuarios que buscan realizar reservas hoteles, viajes, etc.
Tipos de funcionalidades malware
Los modernos malware transportan en su carga útil diversidad de funcionalidades (worm, backdoor, spyware, etc.). Para poder clarificar la complejidad del horizonte de sucesos asociado al malware es necesario clasificar el moderno malware atendiendo a lo que hace, cómo infecta-propaga o explota vulnerabilidades, dónde opera, cuando ejecuta sus acciones, qué prefiere, cuando se pone en vida latente, cuando se actualiza, por qué reacciona así, dónde prefiere operar-ejecutarse (localmente o de forma remota en algún servidor independiente o en alguna nube lejana, cercana, próxima estilo cloud-fog-edge-computing de tipo público, privado o híbrido), dónde deberían estar sus recursos (cercanos, integrados en el sistema o lejos en las nubes), etc. Vamos a caracterizar los diferentes tipos de malware más relevantes identificando sus múltiples funcionalidades. Exploremos las funcionalidades más importantes identificadas en los modernos malware:
(1) Virus. Es una funcionalidad malware que puede existir en la carga útil de un malware es un código malicioso ejecutable que se inserta en alguna parte de una aplicación/APP o fichero y que se dispara cuando la aplicación se ejecuta. Se duplica, reproduce o propaga utilizando ficheros, programas y máquinas conectadas en red. Un malware con funcionalidad de virus no se puede ejecutar de forma independiente, por tanto, se añade a ficheros/programas/APPs huésped (ficheros ejecutables, MBR/Master Boot Record, etc.). Cuando el huésped ejecuta el virus puede espiar, corromper o destruir ficheros, programas, el funcionamiento del computador y la red compartida se puede ver envuelta en una denegación de servicios y degradación del rendimiento del sistema. El virus se propaga cuando un fichero infectado se pasa de un sistema a otro. Los virus pueden modificar, borrar, espiar datos, disparar otras funcionalidades maliciosas, etc. El abrir un fichero infectado puede disparar un virus (vale para cualquier fichero, si no es ejecutable puede incorporarse un mecanismo de auto-run para lanzar su ejecución). Una vez que un virus de programa se ha activado infectará a otros programas del dispositivo de computación. Una vez el virus dentro de una red se puede utilizar para robar datos sensibles, lanzar ciber-ataques DoS/DDoS, etc. Un virus no se puede ejecutar o reproducir a menos que la aplicación infectada se ejecute, esta dependencia (de necesitar una aplicación huésped) convierte al virus en diferente de los troyanos que requieren que los usuarios las descarguen y diferente de los gusanos que no utilizan aplicaciones para ejecutarse. Ejemplos de malware con funcionalidad de virus son Creeper y Melissa. Algunos malware presentan múltiples funcionalidades, por ejemplo, Stuxnet es APT, gusano, rootkit y virus.
(2) Gusano (worm). A diferencia de los malware con funcionalidad de virus, el malware con funcionalidad de gusano no necesita de un huésped ya que puede ejecutarse de forma independiente. Los malware con funcionalidad de gusano se auto-replican y auto-propagan a través de la red o dispositivos de almacenamiento. Los malware con funcionalidad de gusano se aprovechan de las vulnerabilidades (por ejemplo, del sistema operativo), pero, no corrompen los ficheros del sistema o del usuario. Consumen recursos de computación y de red residiendo en memoria principal mientras se replican y propagan causando DoS/DDoS e incluso modificaciones perversas en el SPD (Software Defined Perimeter. Restringen el acceso a la red y crean una “nube negra” que oculta los sistemas dentro del perímetro para que las entidades autorizadas no puedan observarlos. Imposibilita que todos los puntos finales que intentan acceder a una infraestructura determinada no se les permita la entrada por haber modificado la autenticación y autorización). Los malware con funcionalidad de gusano utilizan vulnerabilidades (por ejemplo, del sistema operativo) para instalarse en las redes. Pueden obtener acceso de diversas formas: utilizando backdoors integradas en el software, aprovechándose de vulnerabilidades software no intencionadas o flash drives. Una vez colocado el malware con funcionalidad de gusano se puede utilizar para lanzar ciber-ataques DoS/DDoS, robar datos sensibles, modificar datos, realizar ciber-ataques ransomware. Se replican ellos mismos en el sistema, se adjuntan a diferentes ficheros y buscan caminos entre dispositivos de computación utilizando redes que comparten áreas de almacenamiento de ficheros comunes. Los malware con funcionalidad de gusano pueden reducir la velocidad de las redes. Un malware con funcionalidad de virus necesita un programa huésped para ejecutarse sin embargo los malware con funcionalidad de gusano pueden ejecutarse ellos mismos. Después de que un malware con funcionalidad de gusano afecta a un dispositivo de computación puede propagarse muy rápidamente a través de la red. Un ejemplo de worm es Stuxnet (se introdujo utilizando un pendrive en Iran para trastornar a los controladores industriales o PLCs que gestionaban el proceso de enriquecimiento de uranio). Otros ejemplos de gusanos son MyDoom y SQL Slammer.
(3) Spyware. Es una funcionalidad malware que espía a los usuarios sin su conocimiento ni consentimiento. Normalmente se utiliza para vigilar las actividades del usuario-dispositivo, recoger lo que pulsa en el teclado o información sensible (credenciales, etc.). Recoge información (como contraseñas, PINes, información de pagos, mensajes no estructurados, etc.) sobre las actividades de los usuarios sin su conocimiento ni consentimiento; también puede degradar el rendimiento-reputación de la organización y dañar la productividad. El empleo del spyware no se limita al navegador del puesto de trabajo (PC, sistema de computación, etc.) ya que también puede operar en una APP o un smartphone/tablet. Su propósito es espiar y robar información privada de un dispositivo de computación a una tercera parte (ciber-atacante). El spyware recoge información y se la envía al ciber-atacante. Ejemplos de spyware son LogKext, GPSSpy, DarkHotel (se dirige a altos cargos de negocios y gobierno que utilizan la WiFi de un hotel una vez accedidos se instala un keylogger para capturar información sensible valiosa). Algunas subcategorías del spyware son:
(a) Adware. Es una funcionalidad malware que está diseñada para mostrar anuncios en la pantalla que puede ocasionar que los datos sensibles del usuario acaben en manos no deseadas sin su conocimiento y consentimiento. Administra código y contenido malicioso y/o anuncios de publicidad a usuarios a través del navegador Web, APP del móvil o dispositivo PC, etc. para generar ingresos por publicidad al ciber-atacante. Otra denominación de esta funcionalidad de malware es malvertising ya que puede utilizar empresas con reputación para distribuir códigos maliciosos. Proporciona anuncios de publicidad no deseados. Sigue la pista de la actividad de navegación de la víctima para determinar que anuncios servirle. Es similar al spyware, pero no instala código malicioso ni captura lo tecleado. El peligro es la violación de la privacidad de la víctima, los datos recogidos se cotejan con los datos capturados de forma abierta o encubierta sobre la actividad de la víctima en Internet y se utiliza para crear un perfil de la víctima que incluye amigos, familiares, lo que compra, lo que vende, donde trabaja, parámetros de su salud, donde vive, descriptores de su identidad, donde viaja, etc. Este malware tiene el potencial de ejecutar código de forma remota y descargar ficheros maliciosos. Un ejemplo es Fireball que data del 2017 secuestra los navegadores Web y cambia los motores de búsqueda por defecto y obtiene la trazabilidad de la actividad Web de la víctima. Otros ejemplos de adware son Plankton y AllSearchApp. Un subtipo del adware es el pornware que se instala maliciosamente sin el conocimiento del usuario para visualizar contenidos pornográficos y conducirle a sitios Web infectados o de negocios sexuales.
(b) Keylogger o keystroke-logger o password grabbers. Es un tipo de spyware que roba información/datos sensibles y monitoriza la actividad de los usuarios. Pueden utilizarse para robar contraseñas, PINes, números de tarjetas de crédito, información de bancos y otras informaciones sensibles. Pueden introducirse en la víctima utilizando spear-phishing (basado en ingeniería social) y descargas de material software/firmware infectado. Registra todo lo que teclea el usuario-víctima en su dispositivo de computación para obtener contraseñas, números de cuenta bancaria y otras informaciones sensibles-confidenciales y las envía al ciber-atacante o fuente del programa de keylogging. Una contramedida es utilizar teclados virtuales. Estos malware se transfieren a la víctima cuando se visita un sitio Web infectado, un código QR contaminable o se instala un software contaminado. Un ejemplo es Olympic Vision que ciber-ataca correos electrónicos de organizaciones en Asia, USA, etc. Puede utilizarse también en forma no maliciosa para vigilar los empleados de una organización y los padres para el seguimiento de las actividades y comportamiento online de sus hijos (control parental). Otros ejemplos de keyloggers son SpyEye y Formgrabber.
(c) Trackware. Es una funcionalidad de malware que realiza trazabilidad y recoge las actividades y hábitos del usuario y comparte dichos datos con terceras partes no deseables. Daña la privacidad del usuario. Ejemplos de trackware son Rewardnet y Win32/WebHancer.A.
(d) Riskware o Grayware. Es un código o programa genuino que utilizado por el malware puede causar daño a la ciberseguridad del sistema o a los datos borrándolos, duplicándolos o modificándolos. Ejemplos de riskware son los clientes IRC y los descargadores de ficheros.
(e) Cookie. Son ficheros en texto plano con información de las sesiones de navegación Web del usuario. Se almacenan en el dispositivo de computación del usuario para uso futuro. Existen muchos tipos de cookies algunas muy persistentes que no las elimina ni el navegador ni los antimalware. La trazabilidad de cookies (con rastreadores de cookies) se puede utilizar para obtener detalles personales del usuario. Las Sneaky cookies o flash LSOs (Local Shared Objects) o cookies flash son un tipo de cookies difíciles de borrar, nunca expiran y de gran capacidad, los operadores de sitios Web pueden utilizarlas de forma furtiva para recrear cookies tradicionales con identificador único; como contramedida, utilizar herramientas antimalware avanzadas, ccleaner (http://www.ccleaner.com/), etc.
(f) Sniffer. Es un tipo de spyware que observa y captura el tráfico de red. Analiza los diversos campos de los paquetes que circulan por la red y recoge información para poder preparar ciber-ataques malware. Sniffer legítimos son Wireshark y Ethereal. Sniffer para propósitos maliciosos son BUTTSniffer, Aircrack-ng.
(g) Creepware. Es un tipo de spyware que graba de forma no autorizada al usuario utilizando la Webcam del móvil y micrófono, PC, smartTV, vehículo conectado, smarthome, etc.
(4) Bomba lógica. Es una funcionalidad malware que utiliza un disparador para activar la(s) carga(s) útil(es) maliciosa(s) (que puede ser multi-funcional). La bomba permanece sin funcionar hasta que el suceso del disparador se active utilizando un evento interno o externo fecha, hora, nivel de tráfico de red, grado de infección, código tecleado, etc. Una vez disparada una bomba lógica implementa un código malicioso que espía, borra, causa daños en el dispositivo de computación (a nivel del software, a nivel de firmware, a nivel de componentes hardware como ventiladores, discos duros, fuentes de alimentación, etc.), efectos colaterales (a las personas, medio ambiente, etc.), etc.
(5) Rootkits. Es una funcionalidad malware sigilosa que oculta procesos y programas específicos y permite acceso privilegiado a dispositivos de computación y datos. Permite al ciberatacante acceder y controlar al sistema/dispositivo de forma remota sin ser detectado ya que normalmente se ejecuta con los privilegios de root y evita los logs del sistema y el software de ciberseguridad como anti-malware. Proporciona control remoto del dispositivo de la víctima con todos los privilegios administrativos. Puede inyectarse en aplicaciones, APPs, kernel de sistema operativo, hipervisores, firmware, etc. Se transmite por spam, phishing, spear-phishing/stegware (esteganografía), APPs, códigos QR, descargas de ficheros maliciosos, dispositivos drives compartidos infectados, etc. También pueden usarse para ocultar otros módulos-funcionalidades malware como los keyloggers. Un rootkit modifica el sistema operativo para instalar un backdoor. El malware entonces utiliza el backdoor para acceder de forma no autorizada al dispositivo/sistema de computación a distancia. La mayor parte de rootkits se aprovechan de las vulnerabilidades software para modificar los ficheros del sistema. Un ejemplo de rootkit es Zacinlo que infecta dispositivos cuando descargan una APP tipo VPN falsa. Una vez instalada realiza una exploración para eliminar posibles entidades adversarias. Otros ejemplos de rootkit son Stuxnet y NTRootkit. Una subcategoría del rootkit es:
(a) Bootkit. Es una funcionalidad malware que infecta al MBR (Master Boot Record) o VBR (Volume Boot Record). Al residir en el sector de arranque es muy difícil que sea detectado por herramientas antimalware convencionales y esta, activo después del rearranque del sistema. Ejemplos son FinFisher y BooTrash.
(6) Backdoor o puerta trasera. Es una funcionalidad malware que se auto-instala y crea una entrada secreta al malware y ciber-atacantes saltándose todos los procedimientos de autenticación multi-factor/autorización y accede y realiza actividades no autorizadas y maliciosas. Se salta la autenticación usual utilizada para acceder a un dispositivo o sistema de computación. Normalmente va acompañado de otros malware. El propósito de la puerta trasera es conceder a los ciber-atacantes/malware un acceso futuro al dispositivo/sistema incluso aunque la organización haya reparado (con una actualización o parche) la vulnerabilidad original utilizada inicialmente para ciber-atacar el dispositivo/sistema de computación. Ejemplos de backdoor son cuentas de desarrollador en APPs, Olyx, Rustok.B y BaseBridge. Una herramienta típica de backdoor es RAT (Remote Access Terminal/Trojan).
(7) Ransomware. Es una funcionalidad malware que genera una denegación de servicios a datos y/o dispositivos, a veces no pide rescate. Opera bien cifrando los datos (ficheros, carpetas, disco duro, etc.) o bien bloqueando el sistema/dispositivo/plataforma de modo que se impide el acceso al usuario víctima hasta que page un rescate del secuestro (en criptomonedas-criptodivisas para el anonimato del ciber-atacante y dificultar su trazabilidad). El pago del rescate no garantiza la obtención de la clave de descifrado. El ransomware cifra los datos del dispositivo/sistema con una clave criptográfica desconocida por la víctima. Ejemplos de este tipo de malware son Ryuk de origen ruso, WannaCry, Tesla, CryptoLocker, SamSam, RobbinHood, Petya, FakeDefender, CryptoWall, Cerber, TorrentLocker, Locky, REvil (tipo RaaS, Ransomware as a Service), etc. Entre las contramedidas utilizadas contra el ransomware están los backups redundantes lejos del dispositivo a proteger. Existen variedades del malware con funcionalidad ransomware-combinado que no piden rescate, pero cifran, bloquean, espían, etc.
(8) Troyano software/firmware. Es una funcionalidad malware que aparenta ser un programa o microprograma benigno, pero realiza actividades maliciosas en el dispositivo/plataforma/sistema sin el conocimiento del usuario. Los troyanos no infectan ficheros o se replican, sino que crean backdoors para el acceso no autorizado al sistema para borrar ficheros, instalar programas o sacar datos privados (números de cuenta, contraseñas, etc.). Esta funcionalidad malware se disfraza como código, APP o software útil autorizado. Una vez descargado puede tomar el control de los sistemas de la víctima para propósitos maliciosos (como espiar, robar credenciales, información sensible y enviarla de forma encubierta o subliminar a un servidor C&C del ciber-atacante). Se pueden ocultar en juegos, APPs o incluso actualizaciones software y parches firmware o pueden estar embebidos como ficheros adjuntos en correos con phishing. Es un malware que transporta operaciones maliciosas bajo la apariencia de una operación deseada por ejemplo jugar un juego online, una canción-video de éxito, un fondo de pantalla, etc. Un malware con funcionalidad de troyano software se diferencia de un malware con funcionalidad de virus debido a que el troyano software se puede ligar a ficheros no ejecutables como ficheros de imágenes, ficheros de audio, etc. Ejemplos de malware con funcionalidad de troyanos son Zeus, Zitmo, Emotet (es un troyano de banca surgido en 2014, esquiva la detección basada en firmas, es persistente e incluye módulos que le ayudan a propagarse).
(9) Botnet y bot. Un bot es una funcionalidad malware que posibilita al ciber-atacante denominado botmaster o bot-herder (humano o virtual) controlar de forma remota el dispositivo/plataforma/objeto/sistema infectado sin el conocimiento de la víctima utilizando canales C&C (Command and Control) desde un sistema denominado servidor C&C. También se denomina bot o zoombie al dispositivo infectado. Un bot es una funcionalidad malware que se auto-propaga que realiza tareas automatizadas bajo comando y se conecta con un servidor central malicioso. Un cluster de bots controlados por un servidor C&C se denomina botnet. Normalmente los bots se organizan en forma de colectivos de gran cardinalidad para crear una botnet que es una red de dispositivos infectados o bots controlados por un conjunto de bot-masters utilizando servidores C&C para lanzar de forma remota ciber-ataques de fraude phishing, enviar spam, ciberataques DDoS/DoS, etc. A veces el malware de infección de cada dispositivo de la botnet también se denomina bot. Mirai es tanto un malware como una botnet (de millones de dispositivos) destinada a infectar objetos IoT que ejecutan Busybox. El malware busca dispositivos con el puerto 23 telnet abierto y vector de contraseña débil (contraseñas por defecto) para obtener acceso al dispositivo e infectarlo. Una vez instala la funcionalidad malware contacta con el servidor C&C para recibir instrucciones. El principal objetivo es infectar routers, cámaras IP, objetos IoT/smart y grabadoras de vídeo para realizar ciberataques DDoS. Gafgyt es tanto un malware como una botnet para dispositivos IoT. La botnet Gafgyt se ha utilizado para ciber-atacar servidores de juegos como Xbox Live incrementando el retardo de red de los jugadores oponentes en el mismo servidor incluso desconectándolos para poder ganar el juego. Algunos de los puertos utilizados por Gafgyt son el 80, el 3074, el 30000, el 30200, 37215, etc. Gafgyt como malware también ataca a routers SOHO (Small Office and Small Home) y objetos IoT para lanzar ciberataques DDoS. JenX es también una funcionalidad malware bot y a la vez una botnet que utiliza exploits de ejecución de código remoto para obtener acceso y reclutar routers WiFi para su botnet con objeto de ciber-atacar servidores de juegos (que ejecutan VSE/Valve-Source-Engine). La botnet Echobot es una variante de la botnet Mirai explota vulnerabilidades, Oracle-WebLogic server, busca sistemas antiguos sin parches, lanza ciberataques DDoS, interrumpe cadenas de suministro, realiza sabotajes, roba información sensible de la cadena de suministro, etc.). Otros ejemplos de botnets son Agobot y Sdbot y botnet IoT como JenX, Mirai, Gafgyt. Algunas subcategorías de bots son:
(a) Reverse Shell. Es una funcionalidad de malware que proporciona acceso no autorizado de un dispositivo no determinado al ciber-atacante. Permite al ciber-atacante ejecutar y escribir comandos en la víctima ya que el ciberatacante es local. Ejemplos son JSP Web Shell y Netcat.
(b) Spamware o spambot. Es una funcionalidad malware que envía spam. Busca y realiza una lista de direcciones de correo electrónico y envía un gran número de correos electrónicos de spam. Es un elemento de una botnet que funciona como red distribuida de envío de spam. Spamware puede usar la dirección IP o identificador del correo del usuario infectado para enviar correos electrónicos, lo que significa que puede consumir gran cantidad de ancho de banda y ralentizar el sistema/dispositivo. Ejemplos son las botnet Necurs y Trik Spam.
(10) Fileless/sin ficheros. Esta funcionalidad malware que no instala inicialmente nada, en su lugar, hace cambios en los ficheros que son nativos al sistema operativo como PowerShell o WMI. Debido a que el sistema operativo reconoce los ficheros editados como legítimos, los ciber-ataques basados en el malware fileless no es detectado por las herramientas antimalware y debido a que estos ciberataques son sigilosos tienen más éxito que los malware convencionales. Un ejemplo de fileless es Astaroth que se transporta en spam con links a un fichero atajo.LNK. Cuando las víctimas descargan el fichero, se lanza una herramienta WMIC junto con otras herramientas legítimas Windows. Estas herramientas descargan código adicional que sólo se ejecuta en memoria RAM no dejando ciberevidencias que podrían ser detectadas por escáners de vulnerabilidades. Seguidamente el malware puede ejecutar, una funcionalidad de troyano, para robar información sensible, credenciales, etc. y enviarle a un servidor remoto malicioso.
(11) Deeplocker. Este tipo de funcionalidad de malware desarrollado inicialmente por IBM como prueba de concepto utiliza inteligencia artificial (DNN/Deep-Neural-Network), actualmente existen diversas versiones implementadas operativas en condiciones reales y prácticas de producción. Como troyano se oculta dentro de otro software legítimo (por ejemplo, una aplicación de video-conferencia) mientras espera para lanzar su ciber-ataque. De todos los dispositivos infectados asintomáticos sólo ciber-ataca de momento a una entidad específica.
(12) Secuestradores de navegadores Web. Este tipo de funcionalidad de malware altera la configuración de navegadores Web sin el consentimiento del usuario/víctima para inyectar código en el navegador o reemplazar el motor de búsqueda y la página home/error. Algunos ejemplos son RocketTab y CoolWebSearch.
(13) Downloader. Este tipo de funcionalidad de malware descarga, instala y ejecuta nuevas versiones del malware desde Internet localizadas en dispositivos infectados. Se embebe en sitios Web y software. Ejemplos son Trojan-Downloader-OSX/Jahlev.A y Trojan-Downloader-W32/JQCN.
(14) Diallerware. Este tipo de funcionalidad malware envía mensajes/llamadas multimedia/SMS sin el conocimiento del usuario móvil causándole gastos muy importantes de dinero. Bloquea los mensajes del proveedor de servicios a la víctima para evitar que se dé cuenta la víctima de los cargos adicionales no deseados. Los mensajes/llamadas multimedia/SMS de tipo premium proporcionan servicios de valor añadido que pueden ser aprovechados por el ciber-atacante. Ejemplo HippoSMS.
(15) Scareware. Este tipo de funcionalidad malware engaña a la víctima para que compre y descargue software de ciberseguridad potencialmente malicioso, abriendo ficheros adjuntos de correo electrónico o visitando sitios Web infectados. Intenta asustar a las víctimas visualizando mensajes de peligro falsos. Cuando se instala el malware captura información almacenada de la víctima que puede vender en Internet. Ejemplos de este tipo de malware son Registry-Cleaner XP y Mac Defender.
(16) Funcionalidades malware para móviles. Infectan dispositivos móviles (smartphones, tablets, wearables, smartwaches, etc. cuyos sistemas operativos son muy variados iOS, Android, Wear, etc.) que carecen de protecciones por defecto que son parte del sistema operativo y no incorporan antimalware. Se distribuyen por phishing y descargas de ficheros maliciosos. El malware Timpdoor ciber-ataca a dispositivos con sistema operativo Android y se introduce en el dispositivo víctima utilizando una APP de correo de voz fraudulenta (que engaña a la víctima que la descargue de GooglePlay como un fichero de extensión APK o de una fuente desconocida recibida en un SMS con un link para que la descargue también con extensión APK para confundir o vía un código QR). Una vez instalada la APP de correo de voz convierte al dispositivo móvil en un servidor proxy para tráfico cifrado, el objetivo es invadir organizaciones privadas y redes domésticas a las que el propietario del dispositivo tiene acceso. También se puede utilizar para enviar spam (incluyendo correos electrónicos con phishing) y participar en botnets para lanzar ciberataques DDoS similares a lo que hace la botnet Mirai. Otro ejemplo de malware para móviles es Triada un troyano de rooting que fue inyectado en la cadena de suministro cuando dispositivos Android se vendieron con malware pre-instalado. Triada obtiene acceso a áreas sensibles del sistema operativo e instala APPs de spam que reemplaza anuncios legítimos. Cuando la víctima hace clic en un anuncio no autorizado va al servidor de Triada.
(17) Otros tipos de funcionalidad malware. Este tipo de funcionalidades malware roba, secuestra, falsifica o manipula maliciosamente la identidad digital y la reputación de entidades (personas físicas y jurídicas, objetos IoT, robots, máquinas, dispositivos de computación, entidades de inteligencia artificial, etc. La identidad de las personas genera infinitos descriptores-identificadores tanto efímeros como permanentes: números de teléfono, direcciones MAC-L2 e IP-L3, fotografías, geolocalización a lo largo de los años, parámetros biométricos (como rostro, huellas dactilares retina, etc.), direcciones postales y de apartados de correos, direcciones de correo electrónico y sus credenciales (username y contraseñas) para acceder al correo, a redes sociales, a Skype (como aitor.ruiz), al sitio Web del trabajo, a sitios de juegos, a sitios de comercio y negocio electrónico, a sitios de sanidad, a sitios de servicio de mantenimiento de su vehículo, etc.). Malware que realiza operaciones maliciosas en IoMT (marcapasos, respiradores inteligentes, bombas de insulina, implantes cocleares con conexión de mantenimiento que puede recibir órdenes perversas, etc. con conexión a Internet. Malware que realiza acciones maliciosas y perversas sobre vehículos conectados y autónomos, drones, trenes, buques, aviones, etc. Malware que manipula-modifica la hora de relojes atómicos (por ejemplo, de máser de hidrógeno con precisión elevada de, por ejemplo, diez elevado a la menos nueve o a la menos quince o a la menos dieciocho) para ciber-atacar procesos de sincronización. Malware que manipula datos/programas en servidores de la nube lejana-cercana y próxima (cloud-fog-edge-computing) a todos los niveles desde convencionales, en máquinas virtuales, ocultos en satélites, etc. Malware que modifica las bases de información de aprendizaje (deep-learning, machine-learning, etc.) para motores de IA legítimos. Malware que realiza operaciones perversas en BDs/IT, drones, PLCs, servidores SCADA/OT, ICS, tecnología GNSS (Global Navigation Satellite System) (que utiliza redes de satélites para geolocalización/posicionamiento como GPS Americano, Galleo Europeo, BeiDou Chino, Glonass Ruso, Navic sistema regional de la India, QZSS de Japón), sistemas financieros, sanidad, CPS, sección de aviónica en artefactos voladores, control de semáforos, control metereológico, etc. Malware que ciber-ataca a cajeros o ATM/Automatic Teller Machine, BTM/Bitcoin Teller Machine, etc. Malware específico para sistemas operativos como iOS, Android, Windows, Linux, Solaris, Unix, Wear, etc. El malware del tipo cryptomining denominada adylkuzz se introduce sigilosamente en un dispositivo sin que lo sepa su propietario para crear y robar criptomonedas, apareciendo síntomas muy sutiles de que el dispositivo se encuentra infectado como que su rendimiento baja (utilización de recursos CPU, GPU, etc.), se hace algo más lento y se calienta algo.
Consideraciones finales
Actualmente nos encontramos con un moderno malware muy avanzado que es intervencionista y que realiza operaciones tanto sigilosas (no perceptibles, no invasivas, de bajo trastorno, mínimo desorden y no aparatosas) como de elevado grado de impacto e intrusividad (produciendo efectos y síntomas visibles o invisibles en equipos, datos, programas, personas, medio ambiente-ecología). Actualmente se sigue subestimando la ciberamenaza del malware de forma insensata, llegando a convertirse en una temeridad, por muchas razones: porque es no detectable, porque es altamente mutante, persistente, ocultable, ciberresiliente, con capacidades de supervivencia modular, asintomático (no da señales de vida y no molesta), se encuentra oculto realizando operaciones silenciosas sin ser monitorizado o esperando sigilosamente sus propias órdenes o las procedentes de botmasters de botnets, etc., por el gran número de aplicaciones y APPs en nuestros móviles, tablets, PCs, (casi todas sin dar señales maliciosas; cada vez más se necesitan APPs, para todo: para poder comer en un restaurante, para poder pagar, para poder acreditar nuestra identidad, para poder aparcar el vehículo, para oír música, para poder estudiar, poder acceder a los servicios de salud, para poder acceder a otros servicios, etc.), por el gran número de plug-ins, etc. Hoy en día el moderno malware puede ciberatacar y paralizar a todo el mundo, no se salva nada ni nadie: redes sociales (como Twitter, Instagram, Facebook, Twich, etc. podría crear desinformación, influir en los individuos, provocar suicidios en personas, etc.), mensajería instantánea, bancos, aeropuertos, redes, petroleras, fábricas, sistemas financieros, telecomunicaciones, universidades, puertos mercantes, vehículos, hoteles, servicios de salud, infraestructuras críticas, medio ambiente, personas con implantes IoMT, etc.
Cuando una herramienta anti-malware intenta y trata de observar (monitorizar y detectar) un malware modifica lo observado (el propio malware) debido a que la presencia del antimalware dispara en el malware las capacidades y mecanismos de supervivencia-ciber-resiliencia para impedir detectar a dicho malware (utilizando la ocultación, mimetismo, el K-anonimato, la desaparición, la aparición de señuelos sin valor de sacrificio, etc. El malware no se quiere ver observado y por ello genera desinformación-deception grandes volúmenes de datos degradados, falsos, engañosos, ambiguos, etc. El moderno malware genera diferentes comportamientos en función del modelo de inteligencia artificial que escoja utilizar eligiendo dinámicamente de entre un colectivo amplio que tiene a su disposición. La superficie de exposición a nivel mundial es cada vez más grande y las ciber-amenazas (como el moderno malware) mayores y más sofisticadas La ciberseguridad ya no es una opción, es algo crítico-necesario para la protección, por ejemplo, contra el moderno malware.
La ciberseguridad no es ni una amenaza, ni una pesadilla, ni una fatalidad, ya que, al contrario, proporciona protección para poder sobrevivir, evolucionar y ser más rentable. Lo que realmente son amenazas, pesadillas y fatalidades son las ciber-amenazas y los ciber-ataques. Hay quien trata de engañarse diciendo que el moderno malware no es para tanto. Esta afirmación no tiene ningún recorrido y si mucha trascendencia por los impactos que genera de forma detectable y no detectable (pérdidas, daños de reputación, económicos, a la salud, penalidades, sufrimientos, espionaje, etc.). El moderno malware posee auto control, es automático, opera en lazo cerrado con sensores. Los principales marcadores-receptores en los dispositivos, sistemas, infraestructuras, objetos y plataformas de computación para visualizar cuales son más fáciles de contagiar son las vulnerabilidades (compartición, falta de formación eficaz, bugs, flaws, confianza sin base, errores, fallos, versión del sistema operativo obsoleta, debilidades de contraseñas, sistemas operativos liberados (que aumentan los privilegios vía jailbreak o root), defectos en diseño, implementación, configuración, despliegue, ejecución, etc.
Los exploits asociados a los malware se aprovechan de estas vulnerabilidades (0-day, n-day) para introducirse, infectar, contagiar, afectar y ejecutar las cargas útiles dañinas que transporta el malware. El moderno malware ciber-ataca todo tipo de interfaces: CLI (Comand-Line-Interface), GUI (Graphical-User-Interface), TUI (Text-based-User-Interface), interfaces M2M/máquina a máquina, interfaces hombre-máquina subliminares, interfaces basados en objetos IoT/IIoT/IoMT y smart, etc. El moderno malware se aprovecha de las vulnerabilidades que se crean dinámicamente con el tiempo en vehículos conectados y autónomos incluso aunque cumplan con la norma ISO26262 para seguridad funcional dentro del vehículo, donde además hay que tener en cuenta las anomalías de posicionamiento GNSS que son externas al vehículo. Según Gartner estima que para el 2025 habrá 1100 millones de vehículos conectados comerciales y de consumo.
Referencias
- Areitio, J. ‘Seguridad de la Información: Redes, Informática y Sistemas de Información’. Cengage Learning-Paraninfo. 2020.
- Areitio, J. ‘Exploración, identificación y detección de malware inteligente para evitar caos ciber-epidemiológicos y ciber-pandemias’. Revista Seguridad. Interempresas. Julio 2021.
- Areitio, J. ‘Matizaciones sobre los efectos de la no anticipación contra el incremento creciente del malware oculto no detectable’. Revista Eurofach Electrónica. Interempresas. Nº 481. Abril 2021.
- Areitio, J. ‘Exploración longitudinal y transversal de las infecciones de malware’. Revista Seguridad. Febrero 2021.
- Areitio, J. ‘Identificación y exploración de tendencias en el incremento, tipos de impactos y efectos del malware’. Revista Eurofach Electrónica. Noviembre 2020.
- URL de EICAR (European Institute for Computer Anti-Virus Research) para realizar test de malware: http://www.eicar.org/
- Rains, T. ‚Cybersecurity Threats, Malware Trends, and Strategies: Mitigate exploits, malware, phishing, and other social engineering attacks‘. Packt Publishing. 2020.
- Aichelbaum, O. ‘Le Virus Informatique (3e hors-série, HS3)‘. ACBM; PublishDrive Edición. 2020.
- Hassan, N.A. ‘Ransomware Revealed: A Beginner’s Guide to Protecting and Recovering from Ransomware Attacks‘. Apress; 1st ed. Edición. 2019.
- White, G. ‘Crime Dot Com: From Viruses to Vote Rigging, How Hacking Went Global‘. Reaktion Books. 2020.
- Crawford, D.H. ‘Viruses: A Very Short Introduction‘. 2nd Edition. OUP Oxford. 2018.
- Sole, R. and Elena, S.F. ‘Viruses as Complex Adaptive Systems‘. Princeton University Press. 2018.
- Ryan, M. ‘Ransomware Revolution: The Rise of a Prodigious Cyber Threat‘. Springer. 2021.
- Stamp, M., Alazab, M. and Shalaginov, A. ‘Malware Analysis Using Artificial Intelligence and Deep Learning‘. Springer. 2021.
- Calder, A. ‘The Ransomware Threat Landscape: Prepare for, Recognise and Survive Ransomware Attacks‘. IT Governance Publishing. 2021.
- Wiser, C., McCracken, G., Sachs, A., Hughes, F. et al. ‘Cybersecurity Now‘. Prominence Publishing. 2021.
- David, A.P. ‘Ghidra Software Reverse Engineering for Beginners: Analyze, Identify, and Avoid Malicious Code and potential threats in your Networks and Systems‘. Packt Publishing. 2021.
- Kumar, S. ‘Computer virus‘. Independently published. 2021.
- White, G. ‘Crime Dot Com: From Viruses to Vote Rigging, How Hacking Went Global‘. Reaktion Books. 2020.