Etiquetar Archivos: ciberguerra

StoneDrill: Hemos encontrado un nuevo y potente malware wiper similar a Shamoon (y la cosa es seria)

Si eres un lector asiduo del blog, conocerás nuestro equipo GReAT (equipo de investigación y análisis global), compuesto por más de 40 expertos en seguridad de todo el mundo especializados en la protección de nuestros clientes contra las ciberamenazas más sofisticadas. A los integrantes les gusta comparar su trabajo con la paleontología: explorar la Deep web en busca de “huesos” y “cibermonstruos”. Algunos considerarán que este enfoque está pasado de moda: ¿qué tiene de especial analizar los “huesos” de las “criaturas” del pasado cuando lo importante es proteger tus redes de los monstruos que viven hoy? Bueno, os contaré una historia que demuestra que, a veces, no encontraréis los monstruos de hoy si no es mirando a los de ayer…

Algunos de vosotros conoceréis los llamados wipers, un tipo de malware que, una vez instalado en el PC atacado, elimina por completo la información que contiene y deja a su propietario con un hardware con apenas utilidad. El wiper más famoso (e infame) es Shamoon, un malware que en 2012 hizo mucho ruido en Oriente Medio al destruir la información de más de 30.000 equipos de la mayor compañía petrolera, Saudi Aramco, además de atacar a un gigante energético, Rasgas. Imaginad: 30.000 sistemas inoperativos de la mayor compañía petrolera del mundo…

Shamoon. Shamoon 2.0, StoneDrill, Newsbeef. Los wiper se propagan mundialmente

Curiosamente, desde su devastadora campaña de 2012 contra la compañía saudí, poco se ha sabido de Shamoon, hasta que en 2016 volvió como Shamoon 2.0 con varias oleadas de ataques (de nuevo en Oriente Medio).

Desde que empezaron las nuevas oleadas de ataques de Shamoon, hemos ajustado nuestros sensores para que busquen el mayor número de versiones posibles de este malware (porque, seamos sinceros, no queremos que NINGUNO de nuestros clientes tenga que enfrentarse NUNCA a un malware como Shamoon). Y logramos encontrar varias versiones (¡hurra!). Pero junto con nuestra captura, nuestros investigadores, de forma inesperada, captaron un tipo completamente nuevo de malware wiper al que apodamos StoneDrill.

El código base de StoneDrill es diferente del de Shamoon y, por ello, creemos que se trata de una familia de malware completamente nueva; además, utiliza algunas técnicas avanzadas que evitan la detección, cosa que Shamoon no hace. Por ello, seguro que es un nuevo jugador. Y una de las cosas más inusuales (y preocupantes) que hemos aprendido de este malware es que, a diferencia de Shamoon, StoneDrill no se limita a buscar víctimas en Arabia Saudí o países vecinos. Hasta ahora, hemos descubierto solo dos objetivos de este malware y uno de ellos está en Europa.

¿Por qué es preocupante? Porque este descubrimiento indica que ciertos actores maliciosos con ciberherramientas devastadoras están comprobando el terreno de las regiones que anteriormente eran de poco interés para este tipo de actores.

Seguir leyendo:StoneDrill: Hemos encontrado un nuevo y potente malware wiper similar a Shamoon (y la cosa es seria)

Malas noticias cibernéticas: infectar a un amigo, reiniciando Boeings, agujeros sin autenticación y más

¡Hola, amigos!

Os presento la nueva entrega de mi columna Malas noticias cibernéticas, con la que os mantengo al tanto sobre las cosas frágiles y espantosas del mundo digital.

Desde la última entrega, ha habido mucho de lo que tenemos que hablar. Sí, el flujo de las malas cibernoticias ha sobrepasado, sin duda, el flujo de agua de una montaña del nivel del Niagara. Y cada vez aparecen más noticias.

Como veterano de la ciberdefensa, puedo deciros que en tiempos pasados se ha hablado de cataclismos de escala planetaria durante medio año. Ahora la corriente de mensajes es como la temporada de desove del salmón: ¡está sobrecargada! Hay temas que no vale la pena mencionar porque ya son cosa del pasado. “Me han dicho que el otro día hackearon la megacorporación X y lo robaron todo; ¡hasta se llevaron con un dron el hámster del jefe!”

De todos modos, dado que la corriente de conciencia de los escándalos cibernéticos crece rápidamente, por consiguiente, el número de escándalos sobre los que escribiré también ha aumentado. En el pasado había tres o cuatro por publicación. Hoy son ¡siete!

Palomitas/café/cerveza… ¿listos? ¡Allá vamos!

1) Infecta a un amigo y desbloquea tus archivos gratis.

Seguir leyendo:Malas noticias cibernéticas: infectar a un amigo, reiniciando Boeings, agujeros sin autenticación y más

Protegiendo a la Madre SCADA

¡Hola a todos!

En Kaspersky Lab siempre estamos evaluando el estado del mundo informático, proporcionando diferentes instrumentos de alta tecnología, midiendo los sensores de Internet y estudiando el “ruido”. A partir de toda la información que recopilamos, sumado a datos de otras fuentes, comprobamos, constantemente, la temperatura y la presión sanguínea del cuerpo informático y monitorizamos, cuidadosamente, las áreas en peligro. Esto es lo que estamos haciendo en este momento y el tema sobre el que os hablo en el post de hoy.

Para muchos, parece que los elementos enfermos del mundo digital son los equipos domésticos, las tablets, los teléfonos móviles y las redes corporativas; es decir, el mundo informáticos que todos conocemos a nivel personal o profesional. Pero están equivocados. A pesar de que la mayoría de los ciberataques ocurran en el ciberespacio “tradicional” (me refiero al espionaje cibernético, el cibercrimen…); estos no suponen la mayor amenaza. De hecho, lo más peligroso de todo son los ataques informáticos a las telecomunicaciones (Internet, redes móviles) e ICS (sistemas automáticos de control industrial).

Una investigación realizada por Kaspersky Lab, parte de un proyecto de seguridad para sistemas operativos, ha detectado un nivel bajo de “inmunidad informática” de los sistemas de control y las infraestructuras computarizadas ICS, incluyendo SCADA, software responsable de controlar que los procesos técnicos funcionen ininterrumpidamente en cualquier sector industrial: energía eléctrica, transporte, medios, etc. Los sistemas informáticos controlan las funciones más importantes de los coches, aviones y trenes; o de las plantas energéticas, fábricas y cualquier edificio moderno (ascensores, suministro de agua, sistemas de emergencia, aire acondicionado…). El SCADA y otros ICS, aunque sean imperceptibles al ojo humano, trabajan a escondidas para que el mundo que conocemos funcione a la perfección.

Por supuesto, estos sistemas también están expuestos al malware o a los ataques de hackers; como demostró el gusano Stuxnet en el 2010. Por lo tanto, proteger dichos sistemas se ha convertido en una prioridad para la seguridad informática de la mayoría de los países desarrollados; preparándose para la guerra contra los autores de estos ciberataques (con tanques y armas si supieran el país responsable).Como veis, estos problemas están subiendo de tono…

Sigamos con la seguridad de SCADA… Durante los últimos años, hemos realizado un análisis de los ICS, estableciendo los principios fundamentales de la seguridad de SCADA y desarrollando un prototipo de solución que garantice la protección de SCADA frente a las amenazas de malware. Estos productos todavía no están disponibles para su venta, pero seguimos trabajando fuerte para lanzarlos al mercado cuanto antes.

Mientras seguíamos con nuestro análisis de la seguridad de SCADA, esta mañana nos encontramos con una gran sorpresa: la “Madre SCADA”, el jefe de los ICS de todo el mundo; en la cual se basan todas las operaciones del planeta (la rotación de la Tierra, la velocidad de las estrellas…).

¡Sí, señor” Hemos encontrado el SCADA que gestiona todos los procesos tecnológicos desde la matriz.

Mother SCADA admin panel

Seguir leyendo:Protegiendo a la Madre SCADA

Resurrección de los antiguos programadores de virus

¡Hola a todos!

En los últimos días han tenido lugar múltiples eventos de seguridad informática en todo el mundo, pero la Conferencia RSA es el más importante de todos ellos. Sin embargo, en esta ocasión, no os voy a contar los detalles de esta cita, simplemente os dejo algunas fotografías del día anterior a su inauguración, cuando la conferencia estaba tomando forma. Así, podréis ver el recinto antes de que miles de visitantes llenaran sus pasillos…

RSA Conference 2013

Stands con mucho estilo…

Movimiento en la dirección correcta

El pasado martes, 12 de febrero, el Presidente Obama habló de la esperada orden ejecutiva sobre seguridad cibernética, cuyo objetivo es compartir una mayor información entre el gobierno y el sector privado. La orden ejecutiva requiere el desarrollo de un marco de estándares que mejoren la protección de las infraestructuras estadounidenses. Los recursos son limitados y, por este motivo, es necesario priorizar aquellas áreas que corran mayor peligro. La sofisticación de las amenazas y los ataques dirigidos contra sectores económicos clave, a escala internacional, incrementan la necesidad de actuar y mejorar la protección de las infraestructuras. El esfuerzo del Presidente Obama es un paso positivo para cubrir el vacío que existe a la hora de proteger a los activos de EE.UU.

El riesgo que corren dichas infraestructuras es real y representa un reto internacional al que se deben enfrentar los gobiernos y el sector privado conjuntamente. A medida que aumentan las amenazas contra la seguridad nacional y económica de los países, es necesario aumentar la protección de las infraestructuras nacionales. Ataques como StuxnetFlameGauss y Shamoon se están convirtiendo en algo habitual  y están aumentando su grado de sofisticación.

Creo que esta orden ejecutiva es un movimiento en la dirección correcta ya que busca incrementar las defensas digitales de las infraestructuras e intenta facilitar el intercambio de información entre el gobierno y el sector privado. Es necesaria una mejor cooperación entre los gobiernos mundiales y los sectores privados para que ambos compartan la información relevante sobre amenazas cibernéticas. Del mismo modo, los operadores de las infraestructuras deben trabajar para implementar estándares flexibles basados en resultados que protegen sus activos.

Estamos en un punto crítico para la protección en ciberseguridad; el liderazgo en EE.UU y en todo el mundo es imprescindible. Esperamos que otras naciones sigan este ejemplo y avancen en su camino para mejorar la protección de las infraestructuras de las naciones.

Estamos listos para ayudar en la ciberdefensa a escala nacional e internacional con nuestra investigación, tecnología y equipo humano.

¿Está KL desarrollando su propio Sistema Operativo? ¡Rumores confirmados y fin de las especulaciones!

¡Hola a todos!

Hoy quiero hablaros sobre el futuro: un futuro no muy alentador con ciberataques masivos a plantas nucleares, centrales energéticas, centros de transporte, sistemas financieros y de telecomunicaciones, a lo que llamamos, a grandes rasgos, instalaciones críticas. Para haceros una idea, recordad la película La Jungla 4: Ultimátum, donde un ataque a infraestructuras sumergió el mundo entero en un caos total.

Pero, esta vez, no está John McClane para solucionar el problema de vulnerabilidad de los sistemas industriales. Incluso si éste fuera el caso, sus métodos no funcionarían. Sin embargo, estamos trabajando en el desarrollo tecnológico de un sistema operativo seguro con el cual proteger a esos sistemas TI tan críticos, (sistemas de control industrial (ICS)). Ya han circulado en Internet algunos rumores al respecto, así que me imagino que ya es hora de correr (un poquito) la cortina sobre nuestro proyecto secreto y compartir con vosotros qué nos traemos entre manos.

Pero, primero, quiero hablar un poco sobre los vulnerables sistemas industriales y por qué el mundo necesita, realmente,  nuestro nuevo y diferente enfoque.

Los Sistemas Industriales, totalmente indefensos…

Casos e Historias de Miedo que Causan Pesadillas – las Cinco Cuestiones Principales de la Seguridad IT

Hace poco me estaba preguntando cuántas entrevistas con la prensa hago cada mes. Por supuesto, la suma Skelter Helter varía mucho de un mes a otro, pero en los períodos más activos ¡La cifra puede llegar hasta las 70! Y eso son sólo entrevistas “habladas”, es decir, las que se realizan de forma presencial o por teléfono. Si tuviera que incluir también las entrevistas por correo electrónico – el número sería un sinsentido.

Pero no me quejo. De hecho, todo lo contrario – ¡Me encantan las entrevistas!  Me hacen recordar a Richard Branson y su regla con respecto a las entrevistas: “Si CNN me telefonea y quiere hacer una entrevista conmigo, voy a dejar todo para hacerla.” Yo también sigo esta regla al pie de la letra- y no sin una buena razón.

La mayoría de las entrevistas son como te las esperas. Recibo un montón de preguntas, y yo las respondo lo mejor que puedo, y eso es todo.

Pero en alguna ocasión, me entrevistó un periodista muy bien preparado y meticuloso, hasta el punto que no sólo lo sabe todo sobre mí y Kaspersky Lab, y lo que hacemos, sino también todo sobre el tema en concreto de la entrevista. Al final de la entrevista, estoy agotado, siento que mi cabeza va a explotar, como si mi alma hubiera sido “arrancada” con mis largas respuestas a las complejas preguntas.

Estas son las entrevistas más difíciles y complicadas…

Flame Cambió el Mundo

Yo nunca olvidaré los momentos que viví en el Oktoberfest de 2010. Sí me gusta la cerveza, especialmente las cosas alemanas y más concretamente el Oktoberfest. Pero ni siquiera recuerdo la cerveza, y eso no es porque tomara demasiada 🙂 Fue en aquel momento cuando recibimos las primeras noticias de una tendencia desagradable que yo había temido durante años. Así es, ésta era la primera vez que Stuxnet mostraba su lado oscuro –el primer malware creado con el apoyo del Estado y diseñado para cumplir una misión militar específica. Esto es exactamente lo que nosotros habíamos hablado en nuestra conferencia de prensa en el Oktoberfest: ¡Bienvenido a la era de la guerra cibernética! Era entonces evidente que Stuxnet era sólo el comienzo.

Poco ha cambiado desde Septiembre hasta el día de hoy. Todo el mundo tenía una idea bastante buena sobre de dónde viene y quién está detrás de Stuxnet, aunque ni un sólo Estado asumió la responsabilidad; de hecho, ellos se distanciaron de la autoría tanto como les fue posible. El “avance” se produjo a finales de mayo cuando nosotros descubrimos un nuevo malware, el cual dejó pocas dudas sobre sus orígenes militares y sus objetivos.

Sí, hoy estoy hablando sobre Flame…

Llamada a la Acción: Internet Debería Convertirse en una Zona Desmilitarizada

¿Cuál es la diferencia entre un misil nuclear y un  malware?

No es una pregunta con trampa -el malware puede tener la misma importancia táctica que un misil, pero un misil no puede usarse para destruir un malware. Con las herramientas adecuadas, un misil puede ser desviado por un malware, pero el fuego no puede desviar al software infectado una vez que éste está activo.

A diferencia del armamento tradicional, el malware puede replicarse a sí mismo hasta el infinito. Y mientras que un misil puede ser controlado de algún modo, el malware suele atacar indiscriminadamente: nadie sabe a quién le hará daño, ni las formas en que el malware puede llegar a un destino. En las inescrutables trayectorias de la web, tan pronto como algún “black hat” (también conocido como hacker de sombrero negro) pone en marcha un programa malicioso para ganar dinero fácil, cualquier cosa puede pasar. Es imposible calcular qué efecto tendrá, qué partes se verán afectadas por el accidente y como incluso el boomerang puede de nuevo dañar a sus creadores. Las personas tienden a cometer errores en todo lo que hacen, y escribir código de programación, malicioso o no, no es la excepción. Existen numerosos ejemplos de este tipo de “daño colateral”- puedes leer mi antiguo post acerca de las fortunas de Internet.

Por lo menos estamos viendo algunos esfuerzos conjuntos para combatir a los cibercriminales.

La industria de seguridad está metiendo presión sobre los cibercriminales…