En el presente artículo se explora e identifica la estructura del malware inteligente (en sus dos facetas ofensivo y defensivo), se adentra en el desarrollo del malware defensivo observando las operaciones de neutralización-eliminación de todo tipo de acciones y operaciones realizadas por el malware ofensivo y por último se clasifica el malware en relación a las personas (con y sin prótesis). 

INTRODUCCIÓN.

                  El malware inteligente avanzado es tanto una ciber-arma, como una herramienta de ciberataque como una ciber-amenaza tanto ofensiva (y perversa o malware ofensivo) como defensiva (antagónica a la anterior denominada malware defensivo). El malware inteligente defensivo tiene diferentes misiones: neutralizar, inhibir, desactivar, esterilizar, bloquear, inhabilitar, mitigar, inactivar, predecir-prevenir-proactivamente, responder, recuperar, reparar retrospectivamente, etc. las acciones negativas del malware ofensivo. El malware defensivo opera con mayores capacidades funcionales y de empoderamiento en estrategias, tácticas, inteligencia, técnicas, procedimientos, opacidad, invisibilidad, etc. utilizando el nivel más alto de madurez en todas las tecnologías/estrategias/enfoques/marcos/mecanismos/etc. utilizadas. Utiliza tecnología de inteligencia artificial redundante (y todas sus derivadas distributed-machine-learning con redundancia, synthetic  media, máscaras digitales, capacidades para saltarse mecanismos CATPCHA y biométricos maliciosos, distributed-deep-learning, procesamiento del lenguaje natural (NLP), motores de inferencia de IA, redes neuronales profundas y convolucionales, sistemas expertos, swaping biometric-data, deep-fake (para falsificar voces, imágenes, videos, etc.), etc.), caza de ciber-amenazas, automatización en base a bots-agentes móviles invisibles con IA y playbook. Emplea tecnologías redundantes y distribuidas de neutralización e inhibición de estrategias y TTPs perversas, usa inteligencia de datos (Big-Data, Data-Analytics), inteligencia de vulnerabilidades e inteligencia de ciber-amenazas. Combina, operatorias, acciones y actuaciones para dispositivos, sistemas, datos, aplicaciones, redes, objetos, entidades fijas o móviles, etc. Opera con todo dispositivo (tablet, PC, PLC, smartphone, etc.), sistema operativo (Linux, Windows-10, Solaris, Android-12, iOS-15, etc.), hipervisor, container, chatbot (o asistente virtual; próxima frontera de las APPs, sustituye al teclado; mantiene el micrófono siempre encendido; ejemplos: Alexa-Amazon, Siri-Apple, Cortana- MicroSoft, Assistant-Google, etc.), tipo de lenguaje, incluso personalizado, etc. Utiliza ZT (Zero Trust, basado en no confiar en nada ni nadie. Se exige aplicar el principio de precaución-prevención-prudencia que implica no confiar nada y sólo confiar con precaución, prudencia y prevención después de comprobar y verificar todo de forma muy rigurosa), ZK (Zero Knowledge, se basa en que, si una entidad tiene un secreto, contraseña, objeto biométrico/holográfico, etc. al resto de las entidades con las que puede interaccionar-comunicar les proporcionará una clave pública derivada del secreto en vez del propio secreto.

Tener en cuenta que al teclear una contraseña-secreto ya puede ser espiado), cifrado/firma/hash multicapa, side-channels, anti-ciberforensia maliciosa, canales subliminares anidados, esteganografía multinivel, ciber-mimetización/multidominio, transferencias trascordadas con redundancia, PRNGs, generación dinámica de compromisos digitales, C&C anidadas, multidimensionales, multidominio y redundantes, autenticación mutua y multi-factor o ZK, etc. No confundir identificar con autenticar una entidad. Identificar una entidad es capturar su user-name o envoltorio de una entidad, se puede identificar por reconocimiento facial, del rostro, huella dactilar, iris, retina, voz, forma de hablar-caminar, palma de la mano, ADN, etc. pero eso no demuestra que ese envoltorio con presencia, habla o imagen es quien dice ser ya que ha podido falsificarse y crearse con synthetic-media, máscaras médicas, cirugía facial, máscaras digitales, hologramas, modificación de imágenes, videos, fotografías, etc. Autenticar una entidad es demostrar fehacientemente que esa entidad identificada es quién dice ser, para ello se debe utilizar autenticación MF (multi-factor) heterogénea (no sólo biometría monomodal sino además algo que lleva, algo que sabe, algo que es, como se comporta, donde esta, cuando es, etc. Es muy importante autenticarse en doble sentido, del uno al otro y viceversa, esto se denomina autenticación mutua y que los secretos que sepan las entidades no los revelen a nadie porque en ese caso dejan de ser secretos, esto se denomina tecnología ZK. Si una entidad precisa autenticarse con otras sólo revelará-tecleará su clave pública vinculada a su secreto). Según ThycoticCentrify y Sapio Research el 79% de los encuestados a nivel mundial se involucró en al menos una actividad de ciber-riesgo durante el 2020 (acciones como guardar contraseñas en el navegador Web 33%, conectarse a Wi-Fi públicas el 32%, usar una contraseña para acceder a diferentes sitos un 23%, conectar su dispositivo personal a la red corporativa un 23%, compartir credenciales/contraseñas con compañeros un 13%, hacer clic en un correo electrónico de alguien que realmente no conozca un 12%, consumir contenido “adulto”, acceder a P2P (BitTorrent, eDonkey, Gnutella, Freenet, eMule, Ares, Pichat, Retroshare, etc. Caso de descargas Torrent) y a la Dark Web un 11%, visitar Webs que no han sido permitidas por el dpto. de IT de la organización, un 13%, permitir a familiares usar dispositivos de trabajo, un 12%, utilizar dispositivos personales no autorizados para trabajar, un 12%, utilizar una contraseña para uso personal en el contexto de trabajo, un 18%, etc.). Según un estudio de la compañía Redscan las vulnerabilidades van en aumento, el 68% no requieren interacción del usuario para poder explotarlas (presentan complejidad del ciber-ataque bajo, no necesitan privilegios, no necesitan la interacción del usuario y son muy confidenciales) lo cual facilita aún más el trabajo del malware que sólo tiene que detectar qué sistemas las tienen y actuar. El malware se aprovecha de todo tipo de vulnerabilidades como son: TOCTTOU (Time Of Check To Time Of Use) es una vulnerabilidad del tipo “race condition” en entornos Linux y Unix), APPs no auditadas debidamente, software con bugs/flaws ocultos, sistemas operativos y navegadores Web no actualizados correctamente, intercambios inapropiados de datos mediante dispositivos móviles, pérdida física de dispositivos móviles que exponen a la organización a ciber-riesgos, uso inapropiado que los empleados hacen de los recursos de IT/OT, ciber-incidentes relacionados con servicios de nube ofrecidos por terceros, etc. El malware puede ciber-atacar ATMs/cajeros automáticos, por ejemplo, vía jackpotting (vaciar el cajero de efectivo), software-skimming (obtención de datos de tarjetas), MITM por red (interceptar y/o modificar las comunicaciones entre el cajero y su servicio central), etc. Existen malware que exigen rescate como ransomware (que secuestran datos mediante cifrado) y doxware (que extraen-roban datos para amenazar con su publicación). 

ESTRUCTURA DEL MALWARE INTELIGENTE AVANZADO.  

  Actualmente el malware inteligente (ofensivo y defensivo) integra cada vez más cargas útiles, semillas, componentes, módulos, tácticas, técnicas, procedimientos, funcionalidades, capacidades de ganancia de funciones, etc. y lleva a cabo un número creciente de tareas: 

1. Búsqueda de objetivos. Se utiliza código para localizar y transferir el malware a su(s) objetivo(s) (víctimas si es malware ofensivo) y si es malware defensivo (busca y transfiere unidades de neutralización, inactivación, etc. al malware ofensivo encontrado). La búsqueda de nuevos objetivos (primarios, secundarios, improvisados, etc.) puede basarse en información encontrada localmente en el dispositivo de computación que el malware está visitando y puede basarse en búsqueda sistemática a través de la red o en actuaciones inalámbricas. La información local puede encontrarse en los ficheros de configuración de varias clases, contienen direcciones de otros dispositivos de computación que pueden utilizarse para diversos propósitos. El malware que se distribuye por correo electrónico aparece en los libros de direcciones de correo personal o se buscan a través de ficheros de texto que pueden contener direcciones de correo electrónico, normalmente ficheros con extensiones .txt, .html, .xml, .php, etc. La búsqueda a través de red normalmente se basa en el escanéo de puertos (utilizando herramientas como Nmap, Spyse, Geekflare; la utilidad NBTScan busca servidores de nombres NetBios abiertos) ya que la propagación de malware depende (de la existencia de vulnerabilidades) como la presencia de un puerto abierto adecuado que puede ser contactado. La búsqueda a través de Internet de dispositivos con vulnerabilidades (como cámaras Web sin contraseña, dispositivos IoT inteligentes con fallos) utiliza motores de búsqueda de dispositivos como Shodan (https://www.shodan.io/). Las búsquedas pueden estar basadas en IA y pueden ser muy específicas a nivel individual, de grupo o globales. 
2. Propagación y distribución. Se utiliza código para transferir el (o los) malware al(los) objetivo(s) o victima(s). Los medios a través de los cuales ocurre la propagación pueden afectar a la velocidad y sigilo del malware. Algunas tecnologías utilizadas son: (i) El uso de droppers. No detectados por anti-malware. El empleo de otros malware. (ii) Canal secundario. Algunos malware necesitan de un canal de comunicaciones secundario (subliminar, esteganográfico oculto cableado o inalámbrico) para completar la infección, caso del malware Blaster. Aunque la explotación utiliza RPC (Remote Procedure Call), el dispositivo de computación de la víctima se conecta de vuelta al dispositivo de infección utilizando TFTP (Trivial File Transfer Protocol) para descargar el cuerpo del malware completándose el proceso de infección. (iii) Auto-transportado. El malware se transmite activamente como parte del proceso de infección. Por ejemplo, el malware pasivo CRClean utiliza este tipo de propagación auto-transportada. (iv) Estrategia embebida. Un malware embebido se envía él mismo como parte de un canal de comunicación normal, bien añadiendo o reemplazando mensajes normales. Como resultado la propagación no aparece como anómala cuando se observa como un patrón de comunicación. La estrategia de propagación embebida es relativamente sigilosa tiene sentido cuando la estrategia de selección de destino es también sigilosa. La velocidad a la que se difunde un malware embebido depende de cómo se utiliza la aplicación. La distribución de las cargas útiles del malware relacionadas puede ser bien uno a muchos (cuando un único sitio proporciona un malware, semilla, fragmento o módulo a otros sitios una vez que han sido infectados inicialmente. Es el método más rápido y evita que “las entidades de protección” puedan eliminar la fuente del malware), muchos a muchos (cuando múltiples fragmentos, módulos propagan el malware creando ondas de infección y contagio masivas, globales y generalizadas) o con un enfoque híbrido(cuando el malware se propaga de manera muchos a muchos con actualizaciones recibidas de un único sitio central).
3. Activación. Representa los medios a través de los cuales un malware se activa en el(los) dispositivos(s) objetivo(s). Afecta a la rapidez de difundirse, algunos malware se activan casi inmediatamente mientras que otros pueden esperar incluso años para activarse. Algunos mecanismos de activación son: (i) Auto-activación (auto-run). Los malware que se activan más rápido pueden iniciar su propia activación explotando vulnerabilidades en servicios que siempre están activos y disponibles (por ejemplo, explotar servidores Web IIS o explotar las librerías que los servicios emplean como XDR). Estos malware ciber-atacan a servicios en ejecución o ejecutan otros comandos utilizando permisos asociados al servicio ciber-atacado. La ejecución ocurre al localizar el malware una copia del servicio vulnerable y transmite el código de explotación. Como contramedidas ejecutar software no vulnerable y limitar el acceso a los servicios que están siempre activos. Pero peligro, ¿qué es software sin infectar?, existen lugares de almacenamiento de APPs legales como Google-Play, AppGallery de Huawei, etc. donde, al descargar una APP podemos llevarnos un troyano Joker. (ii)Activación humana. El malware debe convencer (utilizando técnicas de ingeniería social, por ejemplo, apelan a la vanidad, codicia, urgencia, fantasía, necesidades económicas, búsqueda de trabajo, etc.) a un usuario local para que ejecute una copia local del malware, por ejemplo, ejecutar un programa adjunto, hacer clic en un link, icono, botón o aspa X de cerrar, ver un video, abrir un fichero, etc. Esto da lugar a explotar vulnerabilidades del software del usuario, cargar malware adicional para controlar el dispositivo de la víctima, etc. La activación basada en la actividad humana la utilizan algunos malware cuando el usuario resetea un dispositivo, cierra una ventana, abre sesión y ejecuta scripts de login, abre remotamente un fichero infectado, escribe datos en el disco destino sin poder directamente disparar la ejecución, etc. (iii) Activación basada en procesos planificados. Muchos sistemas operativos y aplicaciones incluyen programas de auto-actualizador que periódicamente descargan, instalan y ejecutan actualizaciones software/firmware. Cada versión de estos sistemas no utiliza autenticación, de modo que el ciber-atacante/malware sólo necesita servir un fichero al sistema de la víctima para infectarlo. Otros sistemas periódicamente ejecutan backup y otras clases de software de red que incluyen vulnerabilidades. Las habilidades del malware inteligente necesitan explotar dichas vulnerabilidades. Si la herramienta ciber-atacada no incluye autenticación puede ser suficiente un ciber-ataque de redirección DNS, en caso contrario se puede necesitar adquirir las claves privadas del servidor de actualización y del que firma el código.    
4. Cargas útiles (defensiva u ofensiva). El malware inteligente (controlable, autónomo y actualizable) puede tener una o varias cargas útiles (defensivas/de protección u ofensivas) ocultas, puede ser modular/distribuido, puede estar cifrada, fragmentada o bajo esteganografía la carga útil. La carga útil es el código a ejecutar en el(los) objetivo(s) o víctimas. Puede ser múltiple e incluso de creación ilimitada “ad-hoc” (o recogido por la red). Los malware con carga útil de funcionalidad nula o sin carga útil pueden tener un efecto malicioso, ya que la tarea de propagar este malware puede consumir muchos recursos de red y causar ralentización de la red o una denegación de servicios o DoS, por ejemplo, el malware W32.Slammer. Lascargas útiles pueden ser de muy diferentes tipos y finalidades: (i) Dañar/recuperar los datos (para realizar actuaciones ofensivas o defensivas). El malware puede integrar unidades de borrado a bajo nivel de datos con retardo temporal y manipuladores de datos (como Klez). El malware puede también cifrar los datos e incluso distribuir información sensible para generar confusión. (ii) Control remoto del mundo físico. El malware puede afectar a servicios y objetos no de Internet, por ejemplo, las redes se utilizan también para controlar los objetos del mundo físico (como robots) utilizando por ejemplo sistemas SCADA (Supervisory Control And Data Acquisition), CPS (Cyber Physical Systems), PLCs, etc. Los dispositivos de computación también pueden utilizarse para realizar acciones sobre personas (directa o indirectamente caso de vehículos conectados, ciberprótesis/IoMT vitales, etc.). Las “cargas útiles coercitivas” pueden no hacer daño a menos que el malware sea atacado. Dichos malware intentan permanecer atrincherados dando al usuario una elección: “permitir al malware trabajar y no sufrir daño o intentar eliminarlo y riesgo de resultados adversos”. (iii) Daño al mundo físico (seres vivos, recursos analógicos, medio ambiente). El malware (estilo Chernobyl) puede incluir rutinas de reflashing para diversos tipos de BIOS. Puesto que las memorias flash-ROM están soldadas a la tarjeta madre un ciber-ataque de este tipo puede destruir las tarjetas madre cuando no exista una BIOS de recuperación protegida u otro mecanismo análogo. (iv) Mantenimiento del malware. Se emplea para mejorarlo (ganancia de funciones), mejorar su capacidad de dañar, de defensa, de esconderse, mejorar su propagación, o mejorar su adaptación a operaciones de defensa (malware defensivo) o maliciosas (malware ofensivo). Se utilizan mecanismos como pedirlo a sitios Web (corta, media o larga distancia vía edge-fog-cloud-computing por cable o inalámbricamente) en busca de nuevo código verificando la integridad criptográfica antes de ejecutarlo (ganancia de funciones). Análogamente herramientas DDoS/DoS dentro de malware zombi/bot también se actualizan. El malware actualizable puede aprovecharse de nuevos módulos de exploits para aumentar su velocidad, añadir nuevas funcionalidades sofisticadas y depurar posibles vulnerabilidades. (v) Denegación de servicios en el mundo físico. Los malware pueden utilizarse para denegar el servicio (no sólo a los dispositivos de computación, aplicaciones y redes del ciberespacio) sino también en el mundo físico utilizando módems para marcar a servicios de emergencia o a otros teléfonos críticos o utilizar mecanismos para saturar mailboxes físicos de un elevado número de objetivos. (vi) Recoger datos. Este tipo de carga útil puede utilizarse para recopilar/capturar/recoger y manipular datos sensibles guardados en dispositivos víctima (u objetivos infectados). Puede realizar espionaje/vigilancia/exfiltración de datos inadvertida adjuntando ficheros aleatorios a sus mailings. Busca documentos con diversas palabras clave, números de tarjetas de crédito, etc. También pueden robar identidades y tras descubrir cifra y transmite utilizando diversos canales (C&C, canales subliminares, etc.) por tolerancia a fallos. El malware de redes sociales obtiene identidades e información de personas. Entre los propósitos del spam se encuentra el obtener información personal de los usuarios. (vi) Sin funcionalidad o con funcionalidad nula. En este caso no existe carga útil. Un malware con vulnerabilidades en la carga útil tiene un efecto de cargar el dispositivo de la víctima y crear carga de tráfico lo cual también tiene sus efectos negativos. (vii) Perturbar/Molestar. En este caso la carga útil puede utilizarse para atraer/desviar la atención y para consumir recursos tanto de computación, de red, como humanos (reduciendo la productividad). (viii) Distribución de proxies Web/HTML. Permite redireccionar peticiones Web (utilizando DNS) a dispositivos de computación proxy seleccionados aleatoriamente (ofensivos-infectados o de defensa), de modo que es mucho más difícil a los que protegen de malware ofensivo cerrar sitios Web infectados/comprometidos utilizados para realizar actividades ilegales como estafas que intentan inducir a los usuarios a introducir datos financieros (técnica denominada envenenamiento DNS o pharming). (ix)Retransmisión de spam (correo electrónico basura masivo). Permite crear numerosos dispositivos de retransmisión de correo-abiertos en Internet para que los spammers (generadores de spam) puedan evitar los mecanismos basados en blackhole que bloquean direcciones IP de spamming conocidas. (x) Reconocimiento del mundo físico. Este tipo de carga útil permite realizar el proceso de escanear números de teléfonos para realizar tareas con módems (war-dialing). Los malware pueden acceder sin autorización a un módem y realizar el reconocimiento posterior en ciber-ataques no basados en Internet. (xi) IRC (Internet Remote Control). El malware abre una puerta trasera con privilegios que posibilita la capacidad para ejecutar código arbitrario. Esto puede permitir emitir comandos, inhabilitar servidores, resetear dispositivos de computación, etc. (xii) Denegación de servicios en Internet. El malware integra mecanismos DoS/DDoS a objetivos específicos o configurables, permite operar canales (subliminares-esteganográficos) sigilos y cifrados. Los dispositivos infectados se denominan zombis/bots y pueden ciber-atacar a sitios de actualizaciones, canales de respuesta, al sistema DNS, etc. El malware tipo ransomware (como WannaCry, Egregor, CryptoLocker, TeslaCrypt, Petya, TorrentLocker, RansomExx, CryptoWall, etc.) generan denegación de servicios a ficheros, carpetas, APPs, redes, discos y dispositivos de computación. (xiii) Acceso en venta. Este tipo de carga útil es una extensión del control remoto y recogida de datos. En este caso se da permiso al malware para el acceso remoto a objetivos o víctimas especificados a las que desee el cliente que pague por esos servicios de acceso. (xiv) Destructivo (o de reparación retrospectiva, subsana posibles modificaciones maliciosas si es malware de defensa). Puede cambiar datos y disparar comandos para crear sabotajes en vehículos, IoMT, AIoT (combina IA e IoT son dispositivos con IA en automatización industrial, agricultura, domótica, ciudades inteligentes, vehículos conectados-autónomos, etc.), medio ambiente, infraestructuras críticas, puede borrar datos de bases de datos y ficheros, formatear a bajo nivel discos duros, actuar maliciosamente sobre sistemas ciber-físicos (en este caso el malware incluye el conocimiento del sistema potencial y cómo controlarlo, etc. (xv)Desinformación (o de reparación de dicha desinformación si es malware defensivo). Utilizadas en ciber-guerras de información. Suelen ser dirigidas contra sistemas concretos como centros de monitorización de recursos vitales, de planificación de documentos, sistemas de monitorización ciber-físicos, etc. Este tipo de carga útil tiene un gran potencial de controlar la información de entidades de la oposición. Realiza operaciones como ocultar, crear clones falsos (ciber-ataque poltergeist), confundir logísticas, descontrolar equipos, engañar, ocultar o falsear la ruta de vehículos controlados por geolocalización para generar accidentes por posicionamiento por satélite falseado, etc. (xvi) Capturar-recoger inteligencia. Buscan ficheros basados en nombre, contenido, analizan redes a las que se encuentran conectados los dispositivos de computación objetivo, utilizan micrófonos y cámaras Web del sistema, recogen datos del teclado y de la pantalla, de la WebCam, del micrófono, etc. Todo esto se puede enviar (a puntos de inteligencia de vulnerabilidades, ciber-amenazas y datos), a controladores de operaciones de malware, a botmasters, etc., por ejemplo, utilizando canales subliminares o C&C (Command and Control). Si no se dispone de conectividad de red, el malware puede transmitir de forma inalámbrica, así como los datos se pueden adjuntar al malware y transportarse junto al código del malware.
5. Inteligencia, supervivencia, protección contra tareas de ciber-forensia, ciber-resiliencia, tolerancia a fallos, de entidades de protección ocultas con ciber-mimetización y alta disponibilidad. Estos elementos se pueden repartir en parte en los componentes anteriores. Incluye capacidades de invisibilidad (en base a ciber-mimetización, canales subliminares, esteganografía, IA, cifrado, compresión, codificación, virtualización, fragmentación en módulos, semillas, etc.), ocultabilidad (en sitios inimaginables como RAM, impresoras, routers, discos duros SATA con mecanismos de tolerancia a fallos RAID, esteganografía, etc.), cambio de forma (con oligo-meta-poli-morfismo), de asintomatología (eliminando posibles indicios, trazas, rastros, anomalías, síntomas, etc. como cambio de velocidad, cambio de longitud, cambio del número de ítems, cambio de forma, cambio de la hora y fecha, etc.), de supervivencia y alta disponibilidad (con generación de señuelos de sacrificio, emisión sigilosa de multiplicidad de clones de malware en caso de eliminación de unas partes para continuar la misión), etc. El malware inteligente puede modificarse de modo que sus propiedades puedan cambiar con el tiempo. Las principales propiedades de los malware inteligentes son: (i) Diseño modular multi-componente. Los diversos componentes (semillas, módulos, fragmentos, etc.) actúan conjuntamente para poder realizar ciber-ataques ofensivo o defensivos muy sofisticados (caso del malware ofensivo o realizar operaciones de defensa y protección como inactivación, esterilización, anulación, reparación retrospectiva, etc. caso del malware defensivo). Algunos de estos componentes se relacionan con las comunicaciones (componente Bluetooth/BLE, WiFi-6/7, LoRaWAN, NFC/RFID, 5G, etc.). Otros componentes más específicos pueden controlar de forma maliciosa un sistema SCADA (Supervisory Control And Data Acquisition) de una infraestructura crítica. Otros componentes permiten al malware ocultarse de las defensas (antimalware) y sobrevivir. (ii) Orientado al objetivo. Los objetivos específicos son muy variados de acuerdo a los efectos del ciber-ataque, son, por ejemplo, espionaje-monitorización-exfiltración (se trata de obtener información sensible del objetivo sin el permiso del propietario), sabotajes (el malware destruye información sensible, recursos del sistema como hardware/firmware/software/datos del ciberespacio, medio ambiente, seres vivos, etc. antes del sabotaje se realiza un espionaje para aumentar la probabilidad de éxito de dicho sabotaje si este es total), etc. En el caso de malware defensivo bloquea, neutraliza, fagocita, etc. al malware ofensivo y realiza operaciones retrospectivas de reparación de los posibles desperfectos. (iii) Detectar mecanismos de defensa. El éxito de un ciber-ataque malware depende de saltarse los buenos mecanismos de defensa aplicados a los nodos. El malware ofensivo debe percibir los mecanismos de defensa y actualizar su comportamiento para impedir su percepción durante el ciber-ataque, por su parte, el malware defensivo se oculta y no muestra su existencia al malware ofensivo. El camino del ciber-ataque puede cambiarse de forma flexible y dinámica, dependiendo de los mecanismos de defensa detectados por el malware ofensivo o de las capacidades del malware ofensivo frente a los anti-malware. Cuando el malware detecta un mecanismo de defensa utiliza muchos mecanismos para impedir su detección (sigilo) o puede cambiar el camino del ciber-ataque. (iv)Empleo de múltiples vulnerabilidades. El malware inteligente es modular, dinámico y distribuido y puede actualizar sus módulos de acuerdo a las vulnerabilidades de cada nodo. Normalmente utiliza múltiples vulnerabilidades para ciber-atacar (o tareas de ciberdefensa si es malware defensivo) pero puede elegir sólo algunas. La capacidad de reconfiguración del malware en tiempo real aumenta el éxito de un ciber-ataque en cada nodo concreto. (v)Utilización de criptografía y esteganografía. Para diferentes fines, por ejemplo, para ocultarse, actualizarse, comunicarse (FOTA/SOTA-Firmware/Software Over The Air), extender los efectos del ciber-ataque, propósitos de daño sobre servicios/mecanismos, hacer un malfuncionamiento del nodo, consumir recursos de CPU del nodo víctima, secuestro de datos cifrando ficheros (caso del ransomware), extracción de datos y amenazar con su publicación (caso de doxware), etc. (vi) Modularidad-fragmentación. Debido a que el malware inteligente es muy sofisticado y modular (contiene muchos componentes, semillas, fragmentos, etc.), puede cambiar los objetivos por muchas razones y es fácilmente modificable. Por ejemplo, el malware puede completar su objetivo primario y puede necesitar llevar a cabo un objetivo secundario. El malware puede necesitar capacidades adicionales para llevar a cabo el nuevo objetivo secundario. Puede conseguir estas nuevas capacidades actualizando sus componentes como añadir nuevos componentes (semillas, fragmentos) sobre el nodo infectado. El proceso de actualización puede iniciarse descargando componentes de fuentes tanto predefinidas como generadas dinámicamente. Debido a que las capacidades del malware pueden modificarse actualizando componentes puede utilizarse para diferentes propósitos a lo largo del tiempo y en todos los casos protegiendo su no detectabilidad. (vii) Sigilo. El malware debe ocultar su traza de mecanismos que dependen del lugar (debe modificar/borrar metadatos, logs, geolocalización, etc.). Cada nodo puede tener diferentes mecanismos de defensa en el ciberespacio. Cuando el malware se traslada por muchos nodos puede utilizar diferentes técnicas para ocultase de cada tipo de nodo. Por ejemplo, un nodo puede contener un firewall, mientras que otro contiene un programa antimalware, de modo que el malware necesita diferentes mecanismos para ocultar sus trazas. La capacidad de sigilo hace al malware inteligente ofensivo más peligroso que el malware convencional y al malware inteligente defensivo más eficaz. (viii) Empleo de multilenguaje. El malware puede escribirse en diferentes lenguajes de programación. Debido a que el malware se considera una ciber-arma puede escribirse con lenguajes específicos diseñados “ad-hoc” para producir un malware con múltiples “ciber-municiones”. Muchos entornos físicos se conectan al ciberespacio y pueden controlarse de forma remota utilizando el ciberespacio. Consecuentemente el malware puede necesitar componentes que estén escritos con lenguajes específicos. Por ejemplo, algunos componentes pueden escribirse en lenguajes de programación dedicados para controlar algunos dispositivos físicos concretos como los PLCs (caso de los componentes del malware-APT Stuxnet). 

NEUTRALIZACIÓN DE ACCIONES DEL MALWARE OFENSIVO.

                  El malware inteligente avanzado defensivo está diseñado para impedir (neutralizar, bloquear, etc.) todas las operaciones y acciones del malware ofensivo: como intentos maliciosos de borrados, de modificaciones, de accesos maliciosos (a los datos de procesos-subprocesos, al registro Windows, al BIOS, a todo tipo de elementos internos como PowerShell, etc.), intentos de ocultación maliciosa de datos legales, intentos de cifrado malicioso como ransomware, intentos maliciosos de espionaje y exfiltración de datos, intentos de sabotajes y monitorizaciones maliciosas (por ejemplo, contraseñas, secretos), intentos de denegación de servicios y de ralentización (de sistemas, redes, dispositivos, sistemas operativos, contenedores, hipervisores, APPs, servidores, ficheros, carpetas, etc.), intentos de violaciones de privacidad, intentos de ocupación maliciosa-ilegal de todo tipo de propiedades (dispositivos de computación, memorias, impresoras, routers, objetos (IoT/IIoT/IoMT, AIoT), hardware (CPUs, GPUs, DSPs, MCUs para inferencia de IA (para aplicaciones AIoT), µ-NPU (Unidades de Procesamiento micro-Neural)), etc.), intentos de creación maliciosa (de ficheros, de procesos, de información falsa o engañosa en registros contables, de creación de cuentas piratas, de creación de particiones, de creación de información falsa o engañosa a través de Web, correo electrónico, mensajería instantánea, RRSS, etc.), intentos de realizar operaciones maliciosas como (lectura, escritura, borrar a bajo nivel, etc.), etc. Para neutralizar cada táctica malware se actúa sobre sus componentes como técnicas, sub-técnicas, procedimientos, etc. y se inactiva-bloquea cada una de ellas. Para impedir/neutralizar la táctica acceso inicial se neutralizan los dispositivos que utilizan servicios desconocidos o cuando se observa conexiones nuevas anómalas para un origen desconocido. Se bloquean conexiones que indican intentos de explotar aplicaciones públicas por fuerza bruta. Se bloquean comportamientos no usuales como comunicaciones con protocolos no usuales o establecer comunicaciones con dispositivos no esperados. Se bloquean las conexiones de medios removibles infectados como pendrives. Se bloquean los intentos de acceso malicioso a servidores C&C. Se bloquean las conexiones de red para realizar actividad maliciosa. Para impedir/neutralizar la táctica de persistencia se impiden los intentos maliciosos de creación de servicios Windows para esconderse como componente legítimo. Se bloquean los intentos maliciosos de cargar de DLLs (Dynamically Linked Libraries) con carencia de validación y existencia de vulnerabilidades. Se eliminan cargas útiles de malware que se esconden embebidos en ficheros PNG de forma esteganográfica. Se bloquean descargas de firmware-programas que crean comportamientos maliciosos. Para impedir/neutralizar la táctica de ejecución se impiden la actividad maliciosa de APIs. Bloquea el tráfico malicioso para acceder al GUI. Bloquea las comunicaciones con tráfico malicioso-anómalo del tipoMITM (Man-In-The-Middle). Bloquea intentos maliciosos de reprogramación desde dispositivos no autorizados. Bloquea comportamientos maliciosos de usuario como resets y cambios de configuración.

Para impedir/neutralizar la táctica de evasión se bloquean los tráficos de mensajes que indican mensajes falsificados. Bloquea intentos de instalar rootkits debido a alteración de la configuración y el firmware. Otras actuaciones del malware defensivo son bloquear los intérpretes de línea de comandos innecesarios, procedentes de malware ofensivo (actuando contra la técnica “Command-Line-Interface”). Cambiar la configuración del Office-MS para que permita la vista protegida para ejecutar dentro de un entorno aislado y para bloquear macros a través de la política de grupo; aplicar la microsegmentación de aplicaciones; inactivar las funciones no utilizadas o restringe el acceso a los motores de secuencias de comandos como VBScript o a las macros de administración de secuencias de comandos PowerShell. Bloquear algunos tipos de inyección de procesos en función de secuencias comunes de comportamiento que se producen durante el proceso de inyección. Restringe o inactiva selectivamente NTLM. Cerrar puertos y servicios no necesarios evitando ciber-riesgos de descubrimiento y explotación. Inactiva PowerShell cuando no sea necesario. Inhabilitar el servicio WinRM cuando se requiera para evitar el uso de PowerShell para la ejecución remota. Utilizar capacidades para impedir al malware acceso a credenciales incluyendo formas de bloqueo de “credential dumping”. Denegar el acceso a software potencialmente vulnerable o innecesario para impedir el acceso del malware. Bloquear la ejecución de código a través del control de la APP y/o bloqueo de scripting. Bloquear a los usuarios o grupos la instalación de software no aprobado. Restringir el acceso configurando los permisos de directorio y fichero que no sean específicos para usuarios o cuentas con privilegios. Modificar las reglas del firewall de red/host para permitir sólo tráfico BITS (Background Intelligent Transfer Service) de Windows legítimo. Limitar el acceso al interfaz BITS a usuarios o grupos específicos legítimos. Reducir el tiempo de vida de “BITS-Jobs” por defecto (para neutralizar la ejecución persistente de malware). Cerrar las sesiones de navegador Web cuando finalicen. Inspeccionar las sesiones SSL/TLS para ver que el tráfico Web cifrado no sea para actividades maliciosas, si es así bloquear dichas sesiones maliciosas.        

CATEGORÍAS DE MALWARE. TRANSMISIÓN-CONTAGIO MAQUINA-HUMANO. 

                  El malware ofensivo se puede clasificar en diversas categorías atendiendo a diferentes criterios, por ejemplo, en función de la direccionalidad y naturaleza de los extremos de la infección podemos identificar las siguientes categorías de malware:

1 – Infección de malware desde entidades-cibernéticas/ciber-sistemas a entidades (personas, seres vivos) sin ciber-implantes (ciber-nosis). El malware puede pasar (es decir, sus efectos nocivos y negativos) del sistema cibernético infectado a la persona y causarle daños. Por ejemplo, el malware oculto en un sitio Web contaminado, una APP, un código QR, en música, películas, video-clips, juegos, un pendrive, etc. puede disparar enfermedades en las personas propensas a cuadros/ataques epilépticos, en este caso puede desencadenar un proceso de epilepsia agudo si el malware actúa sobre la cadencia de destellos, parpadeo de luz, fasheo rápido tanto de la luz ambiental LED como del fondo de las pantallas (PCs, smartphone, smartTV, tablet, etc.) y su contenido introduciendo estroboscopia, luminosidad vibrante, colores, parpadeo de letras, fondo, marcas con cadencia de cambio, dibujos, fotos, sonido, etc. en videos, juegos, sitios web, etc. tratados con herramientas como synthetic-media. Otro caso es el malware que puede disparar enfermedades en las personas, caso de las personas propensas a cardiopatías, infartos y ataques al corazón, en este caso el malware actúa maliciosamente (cambiando o acelerando el sonido, ritmo, cadencia, volumen, frecuencia, velocidad para ir acelerando el corazón de la víctima) de la música, video, contenidos, etc. combinada con imágenes para provocarle una aceleración de su corazón y causarle alguna dolencia cardíaca infectando juegos, videos, sitios Web, etc. o redireccionando a la víctima a sitios Web específicos. Otro caso es el malware (que actúa sobre el audio) que puede disparar enfermedades a todo tipo de personas y seres vivos relacionadas con la generación y uso de infrasonidos (por ejemplo, con frecuencias bajas de 0,1 a 30 Hz.), en este caso el malware actúa maliciosamente sobre el sonido, videos de sitios Web inyectando frecuencias bajas que pueden perturbar e interferir con las señales de las funciones cerebrales y fisiológicas del cuerpo humano, creando mareos, mal estar, desmayos e incluso la muerte. Así mismo la inyección de mensajes subliminares y desinformación en video y audio puede causar dolor de cabeza, aumento de las pulsaciones, suicidios, perturbaciones-taras cognitivas, depresiones, etc. Existen cada vez más casos de daños a personas por parte de CPSs infectadas con malware. Es el caso de todo tipo de vehículos (camiones, autobuses, automóviles, barcos, aviones, taxis voladores, etc. conectados/autónomos con o sin vinculación con smartphones normales o vía satélite). Estos sistemas pueden herir e incluso matar a sus ocupantes o personas del entorno físico cuando el malware los infecta (por ejemplo, acelera el vehículo a fondo y bloquea la dirección en una curva). La infección puede proceder de smartphone, APP, pendrive, comunicaciones y actualizaciones OTA (Over-The-Air), etc. 

2 – Infección de malware desde personas con y sin ciber-implantes/ciber-prótesis biotecnológicas a ciber-sistemas/sistemas cibernéticos. El malware puede pasar (es decir, sus efectos nocivos) de una persona a un sistema cibernético (servidor, vehículo conectado/autónomo, PCs, smartphones, tablets, PLCs, etc.). Es el caso de que una persona conecte un flash-pendrive (por ejemplo, de automatización en un PLC o de música en un vehículo) infectado en un ciber-sistema o descargue un fichero adjunto infectado o haga clic en un link, botón o icono malicioso, o visite un sitio Web infectado directamente, redireccionado o a través de un código QR perverso, etc. Así mismo, los dispositivos SOC (System-On-Chip), COM (Computer-On-Module) y ciber-prótesis (pequeños sistemas de computación miniatura con comunicación entrante y saliente integrados y embebidos en seres vivostanto para operaciones generales (IoT/IIoT/AIoT) como para acciones médicas (IoMT) como marcapasos, ciber-implantes para superar deterioros cognitivos, estimuladores cerebrales, tele-desfibriladores embebidos, bombas de insulina, ciber-implantes cocleares, ciber-implantes en el cerebro, etc.) además de ser infectados por malware pueden infectar a aparatos cibernéticos como vehículos, electrodomésticos, juguetes, contadores de luz/agua/gas, instrumental de medicina, PET, radiografías, ecografías, resonancias magnéticas, robots para operaciones, sistemas asistentes personales para actuar en una smart-city, smart-home, smart-business, smart-manufacturing, entornos AmI (Ambient Intelligence), etc. Existen personas en empresas con ciber-implantes en manos/brazos para manipular equipos, abrir/cerrar motores, cilindros, puertas de seguridad, puede desbloquear procesos, etc. que pueden ser infectados y transmitir ese malware a equipos externos.  Es posible comunicar, almacenar y manipular datos en los ciber-implantes, acceder remotamente a los ciber-implantes espiar, cambiar la programación, etc. por ejemplo utilizando actualizaciones OTA (Over-The-Air) como SOTA (Software-Over-The-Air) y FOTA (Firmware-Over-The-Air) infectadas por malware.

3 – Infección de malware desde ciber-sistemas a personas con ciber-implantes (ciber-patías). El malware puede pasar (es decir, sus efectos nocivos) del sistema cibernético infectado y causar daños a la persona/animal con ciber-implantes. Es el caso de seres vivos dependientes de ciber-implantes como marca-pasos, ciber-implantes en cerebro (para realizar funciones de estimulación cerebral, mejorar la memoria del paciente o su coeficiente intelectual o sanar deterioros cognitivos y demencias u otras patologías), ciber-implantes cocleares (a nivel de los oídos), ciber-asistentes en páncreas, riñones, bombas de insulina, unidades de desfibrilación implantadas, etc. Se puede perturbar maliciosamente estos sistemas cibernéticos embebidos (incluso soc (system-on-a-chip)) para dañar a las personas y animales que los lleven. Existe el peligro de infección malware que estropee el ciber-implante, cambie sus parámetros e incluso se controle remotamente y acceda a la información sensible del usuario.

4 – Infección de malware desde entidades-cibernéticas/ciber-sistemas a entidades-cibernéticas/ciber-sistemas. Es el caso tradicional de pasar la infección y contagiarse entre sí ciber-sistemas de todo tipo: PCs, smartphones, tablets, vehículos, impresoras, routers, smartwatches, objetos IoT/IIoT/AIoT, robots, avatares, servidores, nubes (máquinas virtuales y containers), asistentes personales, PLCs, robots, drones, SCADA, BDs, CRM, ERP, CPS, etc. utilizando redes, ficheros infectados compartidos, personas, asistentes virtuales personales (chatbots), redes P2P y cliente-servidor, etc.

CONSIDERACIONES FINALES.

                  La tecnología ZT (Zero-Trust, consiste en no confiar hasta verificar en profundidad todo y después tener precaución) permiten tomar el control “completo” sobre qué software-firmware-datos se debe ejecutar y bloquear todo lo demás incluido cualquier malware. Actualmente la cantidad de objetos-dispositivos conectados crece y crece sin parar en todo tipo de entornos OT/IT (hogares inteligentes, entidades financieras, negocios, automatización industrial (ICS, CPS, SCADA, HMI, DCS, PLC, MES, etc.), dispositivos portátiles, nubes (edge-fog-cloud privadas, públicas, etc.), automatización de edificios, ciudades, hogares, robots (sociales, para automatización industrial, submarinos, para desactivación de bombas, de vigilancia-policiales, para operaciones remotas medicas como Da Vinci, militares (antropomórficos, a cuatro patas francotiradores, etc.) , de pintura-soldadura, sexuales, etc.), todo tipo de satélites (de reconocimiento-observación-espías-cartografía (como Sentinel-3A/P.Copérnico, Helios 2A, SAR-Lupe-1-5, Yantar, Almaz, Zenit, Vortex/Chalet, Quasar, PeruSAT1, Zircon, Ofeq-7, PNOTS/Paz, Spainsat, Sicral, RORSAT-3, Sina-1, Thuraya-1, Asterix, UKRSAT-1, STSAT-2C, KitSat-A, Samos, Lacrosse/Onyx, Cosmo-SkyMed, OPTSAT-3000, etc.), metereológicos (como MTG/Meteosat-3G, MetOp-SG, etc.) de telecomunicaciones (como Hispasat, IRIDIUM, etc.) para Internet (como GeoEye-1 de Google, Starlink/OneWeb, etc.)), vehículos (en el mundo de los automóviles el malware puede actuar sobre diferentes buses como CAN-bus, FlexRay, LIN, CAN-FS, etc., sobre ECUs (Electronic Control Units que gestionan el funcionamiento del motor, pueden bloquear la dirección, control remoto de la calefacción y aire-acondicionado, pueden bloquear o abrir las cerraduras, crear un caos en el encendido-apagado de las luces de alerta, confundir con la presión de los neumáticos (como si existiese un pinchazo), bloquear las ventanillas, activar los air-bag, producir aceleración y frenado forzado, modificar la navegación, bloquear los frenos, actuar sobre el entretenimiento, manipular el registro de diagnóstico del vehículo (afecta al conductor y talleres), descargar maliciosamente los datos de conducción (donde vive, trabaja, rastreo GPS, etc.), etc.), sobre sistemas como ADAS (Advanced Driver Assist Systems) con sus sensores aprovecharse de las vulnerabilidades y contaminar los datos de los sensores para que detecten lo que desee el malware), el puerto OBD2 (permite programar, codificar, diagnosticar todo dispositivo electrónico que incorpore el vehículo, un malware puede ciber-atacar y controlar el vehículo (algunas compañías de seguros para rebajar su póliza les conectan un dispositivo a dicho puerto, que puede infectarse, para saber los hábitos del conductor), etc.). Un pronóstico de International Data Corporation estima que habrá 41,6 mil millones de dispositivos/objetos IoT conectados que generarán 79,4 zettabytes de datos en 2025. Según un informe Gartner el número de dispositivos IoT (y todos sus derivados IoMT, IIoT, AIoT, etc.) conectados en todos los dominios técnicos alcanzará un trillón para el 2025. Esto implica una ciber-amenaza malware de proporciones inimaginables. El malware puede ciber-atacar todo: la virtualización lo que significa que las instancias virtuales y máquinas virtuales pueden espiarse e interactuar entre sí, puede distorsionar la realidad, puede hacer que un vehículo se pierda por fallo en la geolocalización, el malware infiltrado en carpetas o ficheros permite saber la geolocalización de la persona que los abra, etc. Una PUF es una función embebida en un objeto físico como un chip o circuito integrado que cuando se le pregunta con un desafío z, la PUF genera una respuesta w que depende tanto del desafío z como de las propiedades físicas específicas del dispositivo y del material únicas del objeto que contiene la PUF (es decir de la estructura interna única de la PUF (es como su “ciber-ADN”) que es causada por variaciones de fabricación aleatorias; estas variaciones no son recreables y no están bajo el control del fabricante de la PUF). Las PUF son una buena técnica para poder detectar hardware clonado, falsificado, suplantado, duplicado, etc. caso de prevenir suplantación de video-cámaras, CPUs, etc. La tecnología PUF está basada en hardware y por tanto no se puede falsificar, hace al dispositivo donde opera “único”. En cambio, las entidades/objetos (ficheros, videos, fotos, etc.) NFT (Non-Fungible-Tokens) están basadas en block-chain que es software, que tiene sus vulnerabilidades y por tanto podría falsificarse y dejar de ser “único” dicho objeto o entidad. Según Gartner para el año 2025 el malware tendrá capacidad absoluta para actuar contra todo tipo de entornos OT (Operative Technology) para provocar lesiones, contaminación o quitar la vida a personas, es el caso de ciber-ataques malware a sistemas CPS, ICS, vehículos, fábricas, SCADA, PLCs, etc. Un informe de RiskRecon y Cyentia Institute muestra que en empresas con dispositivos IoT sin una configuración y ciberseguridad adecuada se multiplica por setenta el ciber-riesgo de exposición de sus activos críticos, además el 86% de los problemas de ciberseguridad en los dispositivos IoT se consideran críticos. 

REFERENCIAS. 

- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2020.

- Areitio, J. “Control del creciente empoderamiento del malware: identificación y exploración de los aspectos clave del malware”. Revista Conectrónica. Nº 240. Febrero 2021.

- Areitio, J. “Peligro del desconocimiento de la existencia de contaminación malware tendente a situaciones ciber-epidemiológicas globales muy graves”. Revista Conectrónica. Nº 241. Marzo-Abril 2021.

- Areitio, J. “Puntualizaciones sobre el malware, ciber-pandemias y escenarios críticos ciber-epidemiológicos. Protección contra el malware defensa anticipada”. Revista Conectrónica. Nº 242. Mayo-Junio 2021.

- Areitio, J. “Confluencias entre malware, vulnerabilidades y exploits: indicadores de infiltración, superficie-vector de infección y peligrosidad malware”. Revista Conectrónica. Nº 243. Julio 2021.

- Areitio, J. “Adaptación a la variabilidad de los eventos de infección malware no detectados en todo tipo de escenarios, entornos y ecosistemas actuales””. Revista Conectrónica. Nº 244. Septiembre 2021. 

- Areitio, J. “Dualidad del malware inteligente avanzado (ofensivo y defensivo), puntos de actuación y operativa de expansión transparente”. Revista Conectrónica. Nº 245. Octubre 2021.

- Areitio, J. “Elementos y enfoques para el diseño y síntesis de malware inteligente avanzado defensivo”. Revista Conectrónica. Nº 246. Noviembre 2021.

- Astra, J.D. “Malware”. Shadow Alley Press. 2021.

- DiMaggio, J. “The Art of Cyberwarfare: An Investigator's Guide to Espionage, Ransomware, and Organized Cybercrime”. No Starch Press. 2021.

- Ryan. M. “Ransomware Revolution: The Rise of a Prodigious Cyber Threat”. Springer. 2021. 

- Wardle, P. “The Art of Mac Malware: The Guide to Analyzing Malicious Software”.  No Starch Press. 2021.

- Gupta, B.B. and Dahiya, A. “Distributed Denial of Service (DDoS) Attacks: Classification, Attacks, Challenges and Countermeasures”.  CRC Press. 2021.   

- Yehoshua, N. and Kosayev, U. “Antivirus Bypass Techniques: Learn Practical Techniques and Tactics to Combat, Bypass, and Evade Antivirus Software”. Packt Publishing. 2021.   

- Calder, A. “The Ransomware Threat Landscape: Prepare for, recognise and survive ransomware attacks”. IT Governance Publishing. 2021.

- Barker, D. “Malware Analysis Techniques: Tricks for the Triage of Adversarial Software”. Packt Publishing. 2021.

- Bilge, L., Cavallaro, L., Pellegrino, G. et al. “Detection of Intrusions and Malware, and Vulnerability Assessment”. 18th International Conference, DIMVA. Springer. 2021.

- Ahmed, A. “Privilege Escalation Techniques: Learn the Art of Exploiting Windows and Linux Systems”. Packt Publishing. 2021. 

- Karbab, E.B., Debbabi, M., Derhab, A. and Mouheb, D. “Android Malware Detection using Machine Learning: Data-Driven Fingerprinting and Threat Intelligence”. Springer. 2021.

- Boutwell, M. “The Ransomware Handbook: How to Prepare for, Prevent, and Recover from Ransomware Attacks”. Mike Boutwell. 2021.    

- Sarwar, F.A. “Python Ethical Hacking from Scratch: Think like an Ethical Hacker, Avoid Detection, and Successfully Develop, Deploy, Detect, and Avoid Malware”. Packt Publishing. 2021.

- Liska , A. “Ransomware: Understand. Prevent. Recover”. ActualTech Media. 2021.