Un juego sin reglas

Los especialistas de Kaspersky Lab están actualmente investigando una serie de ataques dirigidos contra la industria de los videojuegos. Se ha descubierto a cibercriminales robando dinero virtual, códigos fuente y certificados

Los especialistas de Kaspersky Lab están actualmente investigando una serie de ataques dirigidos contra la industria de los videojuegos. Se ha descubierto a cibercriminales robando dinero virtual, códigos fuente y certificados digitales. En la nota de hoy, les enseñaremos todo lo que necesitan saber al respecto.

 

Los ataques APT (advanced persistent threat, o en español: Amenaza avanzada y persistente) no solo se dirigen contra agencias gubernamentales o bases militares; los ciberdelincuentes son capaces de gastar su tiempo, dinero y esfuerzos, en hackear una compañía común y corriente, si existe la posibilidad de obtener algún beneficio de ella.  Éste es el resultado de una investigación realizada por los expertos de Kaspersky Lab, quienes descubrieron a un grupo criminal que estaba espiando a fabricantes de videojuegos.

Aunque los cibercriminales apuntaban exclusivamente a las computadoras de las compañías de videojuegos, los primeros sistemas infectados fueron detectados en equipos pertenecientes a jugadores comunes. Debido a un error cometido por el hacker, el troyano se instaló en el servidor de actualizaciones y se descargó en las PC de los usuarios, donde fue detectado por algunos jugadores. El  troyano captó la atención de los analistas de malware porque era una herramienta de administración remota, la cual proporcionaba a los hackers el control completo del ordenador de la víctima. Además, incluía un driver con un certificado auténtico, que se podía instalar sin que se mostrara notificación o advertencia alguna.

Investigando cómo pudo este troyano introducirse en el servidor de actualizaciones, se descubrió una red de ciberespionaje, sacada de una película de ciencia ficción, al mejor estilo de Hollywood. En primer lugar, se usaban mensajes de phishing para infectar los equipos de ciertos empleados de la compañía de videojuegos. Una vez que se había conseguido este primer paso, el troyano, apodado Winnti, descargaba módulos  de administración remota de servidores C&C. Así, una vez que se establecía la conexión manual con el equipo, el delincuente evaluaba la situación y decidía si merecía la pena continuar rastreandoel equipo o no.  Si este no era el caso, se eliminaban todas las huellas del spyware de la PC. Pero si encontraban algo de valor, el cibercriminal recopilaba toda la información posible. La prioridad para ellos eran los códigos fuente de los juegos y los certificados de software. Una vez obtenido el botín, el delincuente buscaba las vulnerabilidades en el servidor y creaba un mecanismo para lanzar servidores de juego pirateados y vender el acceso. Con respecto a los certificados, se utilizan para firmar nuevos programas de malware y revenderlos a otros cibercriminales, que podrán utilizarlos para el ciberespionaje político.

Debido a la globalización de la industria del videojuego, a la cooperación entre fabricantes y el acceso de unos a las redes de otros, los cibercriminales pueden infectar la red de un solo fabricante y penetrar en otras compañías. Aunque es difícil evaluar el tamaño del problema, está claro que se han atacado a docenas de compañías en Rusia, Alemania, EE.UU., China, Corea del Sur y otros países.

A pesar de que los cibercriminales ataquen a los desarrolladores de juegos, los jugadores también padecen las consecuencias. Las compañías, a las que se le ha robado el trabajo de muchos años, pueden no ser capaces de cubrir los costes porque algunos jugadores se han pasado a servidores piratas.  Además, los cibercriminales pueden atacar los servidores de actualizaciones para difundir malware en los equipos de los usuarios. No tenemos pruebas de que el grupo de Winnti haya infectado deliberadamente las computadoras de los jugadores, pero tampoco lo podemos descartar.

Para evitar estas amenazas, se deben tomar las siguientes precauciones:

  • Comprueba los ajustes configurados para el juego, disponibles en muchas soluciones de seguridad. Por regla, los antivirus no muestran alertas y minimizan la pantalla de escáner para no afectar negativamente el rendimiento del sistema. En el caso de que se detecte algún programa malicioso, comprueba que haya sido bloqueado o eliminado.
  • Usa una solución de seguridad completa que incluya protección antivirus, control de comportamiento, firewall y otras funciones. Actualiza regularmente dicha solución y toma en serio cualquier alerta; incluso si está relacionada con archivos procedentes de una fuente de confianza, como el servidor de actualizaciones de un videojuego.
  • Los productos de Kaspersky Lab detectan y neutralizan los programas maliciosos y sus variantes, utilizados por el grupo Winnti: Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti and Rootkit.Win64.Winnti.

Por último, ofrecemos este consejo a los jugadores: no apoyen al mercado negro. Conectarse a servidores no oficiales ayuda a que los cibercriminales ataquen a los fabricantes de videojuegos una y otra vez. Cada ataque es un ladrillo más en el muro que separa a los usuarios de todos los juegos nuevos e interesantes que alguien ha creado para nosotros.

Consejos