Etiquetar Archivos: ciberguerra

¿Qué grupo de ciberdelincuentes está atacando tu red corporativa? ¡No lo adivines, compruébalo!

Hace unos cuatro años, la ciberseguridad se convirtió en un peón en los juegos geopolíticos de ajedrez. Los políticos de todas las tendencias y nacionalidades se señalan y se culpan mutuamente por las operaciones hostiles del ciberespionaje, mientras que, al mismo tiempo (aparentemente sin ironía) amplían las ofensivas ciberarmasherrramientas en sus propios países. Y atrapados en el fuego cruzado de travesuras geopolíticas están las compañías independientes de ciberseguridad, que tienen la capacidad y el valor para descubrir este juego tan peligroso.

¿Pero por qué? Todo es muy simple.

En primer lugar, “ciber” sigue siendo un término genial/romántico/de ciencia ficción/hollywoodiense/glamuroso desde su inicio. Además, también vende suscripciones a periódicos online. Es popular, incluso entre los políticos. Y es una distracción útil, dada su frescura y popularidad, cuando la distracción es necesaria, algo que ocurre muy a menudo.

En segundo lugar, “ciber” es muy tecno. La mayoría de la gente no lo entiende. Por ello, cuando los medios cubren algo que tiene que ver con esto y siempre con el objetivo de obtener más clics en sus historias, pueden escribir todo tipo de cosas que no son del todo ciertas (o que son completamente falsas), pero pocos lectores se dan cuenta. El resultado son muchas historias en la prensa que afirman que este o ese otro grupo de ciberdelincuentes de tal país es responsable de este o aquel ciberataque vergonzoso/costoso/dañino/indignante. Pero ¿podemos creer algo de todo eso?

Nos atenemos a los aspectostécnica. Es nuestro deber y lo que hacemos como empresa.

En general, es difícil saber qué podemos creer. Dicho esto, ¿es realmente posible atribuir con tanta precisión un ciberataque a esta o aquella nación o, incluso, organización?

La respuesta consta de dos partes:

Desde un punto de vista técnico, los ciberataques poseen una serie de características particulares, pero el análisis imparcial del sistema de estos solo puede llegar a determinar la apariencia de un ataque para determinar si se trata de la obra de este o aquel grupo de ciberdelincuentes. Sin embargo, si el grupo de ciberdelincuentes pertenece a la Subunidad de Inteligencia Militar 233, el Grupo Nacional de Proyectos de Investigación de Defensa Avanzada o el Grupo de Trabajo Conjunto de Capacidades Estratégicas y Reducción de Amenazas (ninguno existe, puedes ahorrarte la búsqueda en Google) … se trata de un problema político, y allí, la probabilidad de manipulación objetiva es casi total. La atribución pasa de ser técnica, basada en pruebas, y precisa a… bueno, lo puedes imaginar. Por esta razón, dejamos esta parte a la prensa. Nos mantenemos bien alejados. Mientras tanto, curiosamente, el porcentaje políticos que se basan en los hechos de la ciberseguridad pura aumenta con la llegada de eventos políticos clave. ¡Oh, como el que está programado para dentro de cinco meses!

Conocer la identidad del atacante hace que combatirlo sea mucho más fácil: la respuesta a un incidente se puede implementar sin problemas y con un riesgo mínimo para la empresa.

Por lo que sí, evitamos la atribución política. Nos atenemos a los aspectos técnicos; de hecho, es nuestro deber y lo que hacemos como empresa. Y podría agregar con modestia que lo hacemos mejor que nadie.Vigilamos de cerca a todos los grandes grupos de ciberdelincuentes y sus operaciones (más de 600), y no prestamos atención a su posible afiliación. Un ladrón es un ladrón y debería estar en la cárcel. Y ahora, finalmente, después de más de 30 años en este juego, después de recopilar tantos datos sin parar sobre las irregularidades digitales, sentimos que estamos listos para comenzar a compartir lo que tenemos, en el buen sentido.

El otro día lanzamos un nuevo servicio increíble para expertos en ciberseguridad. Se llama Kaspersky Threat Attribution Engine. Analiza archivos sospechosos y determina de qué grupo de ciberdelincuentes proviene un ataque cibernético determinado. Conocer la identidad del atacante facilita mucho la lucha, ya que permite una serie de contramedidas contrastadas. Se pueden tomar decisiones, elaborar un plan de acción, establecer prioridades y, en general, implementar una respuesta a incidentes sin problemas y con un riesgo mínimo para el negocio.

Seguir leyendo:¿Qué grupo de ciberdelincuentes está atacando tu red corporativa? ¡No lo adivines, compruébalo!

SAS-2019: Noticias de ciberseguridad desde el lado oscuro

¡Hola a todos!

Hoy os traigo una nueva actualización de noticias de ciberseguridad desde el lado oscuro, esta vez dedicada a las presentaciones de nuestra Security Analyst Summit anual del mes pasado en Singapur.

Una de las características principales de todas las SAS son las presentaciones de los expertos. A diferencia de otras conferencias geopolíticamente correctas, los analistas comparten sus descubrimientos sobre cualquier ciberamenaza, sin importar de dónde proceda, ya que siguen sus principios. Después de todo, el malware sigue siendo malware y los usuarios tienen que estar protegidos de las amenazas, independientemente de las intenciones de sus creadores. ¿Recuerdas el efecto bumerán?

Y si algún medio de comunicación decide mentir abiertamente sobre nuestros principios, que así sea. Pero que sepan que no solo van en contra de nuestros principios, nos gusta predicar con el ejemplo y esto demuestra nuestro liderazgo en la resolución de operaciones de ciberespionaje. Además, deben saber que no tenemos pensado cambiar nuestra posición en perjuicio de los usuarios.

Dicho esto, aquí os dejo las charlas más interesantes, increíbles y aterradoras que han tenido lugar en la SAS.

1. TajMahal

El año pasado destapamos un ataque a una organización diplomática de Asia Central. Evidentemente, que una organización como esta interese a los ciberdelincuentes no debería sorprender a nadie. Los sistemas de información de embajadas, consulados y misiones diplomáticas siempre han atraído el interés de otros estados y sus agencias de espionaje o de cualquiera con los conocimientos y recursos financieros necesarios. Sí, todos leemos novelas de espías, pero seguro que esto no lo has leído en ningún libro. Los atacantes construyeron un auténtico “TajMahal”, una plataforma APT con un gran número de complementos utilizados (nunca habíamos visto el uso de tantos complementos en una sola plataforma APT hasta la fecha) para todos los escenarios de ataque utilizando varias herramientas.

La plataforma consiste en dos partes: Tokyo, la puerta trasera principal, que también completa la función de envío del último programa malicioso, y Yokohama, que tiene distintas funcionalidades, como robar cookies, interceptar documentos de la cola de impresión, registrar llamadas VoIP (incluidas las de WhatsApp y FaceTime), realizar capturas de pantalla y mucho más. La operación TajMahal ha estado activa al menos 5 años y su complejidad podría sugerir que se ha desarrollado con más de un objetivo en mente; para descubrir el resto, tuvimos que indagar un poco más.

Puedes encontrar toda la información sobre esta APT aquí.

Seguir leyendo:SAS-2019: Noticias de ciberseguridad desde el lado oscuro

Album de fotos de Flickr

  • KLHQ
  • KLHQ
  • KLHQ
  • KLHQ

Instagram Photostream

StoneDrill: Hemos encontrado un nuevo y potente malware wiper similar a Shamoon (y la cosa es seria)

Si eres un lector asiduo del blog, conocerás nuestro equipo GReAT (equipo de investigación y análisis global), compuesto por más de 40 expertos en seguridad de todo el mundo especializados en la protección de nuestros clientes contra las ciberamenazas más sofisticadas. A los integrantes les gusta comparar su trabajo con la paleontología: explorar la Deep web en busca de “huesos” y “cibermonstruos”. Algunos considerarán que este enfoque está pasado de moda: ¿qué tiene de especial analizar los “huesos” de las “criaturas” del pasado cuando lo importante es proteger tus redes de los monstruos que viven hoy? Bueno, os contaré una historia que demuestra que, a veces, no encontraréis los monstruos de hoy si no es mirando a los de ayer…

Algunos de vosotros conoceréis los llamados wipers, un tipo de malware que, una vez instalado en el PC atacado, elimina por completo la información que contiene y deja a su propietario con un hardware con apenas utilidad. El wiper más famoso (e infame) es Shamoon, un malware que en 2012 hizo mucho ruido en Oriente Medio al destruir la información de más de 30.000 equipos de la mayor compañía petrolera, Saudi Aramco, además de atacar a un gigante energético, Rasgas. Imaginad: 30.000 sistemas inoperativos de la mayor compañía petrolera del mundo…

Shamoon. Shamoon 2.0, StoneDrill, Newsbeef. Los wiper se propagan mundialmente

Curiosamente, desde su devastadora campaña de 2012 contra la compañía saudí, poco se ha sabido de Shamoon, hasta que en 2016 volvió como Shamoon 2.0 con varias oleadas de ataques (de nuevo en Oriente Medio).

Desde que empezaron las nuevas oleadas de ataques de Shamoon, hemos ajustado nuestros sensores para que busquen el mayor número de versiones posibles de este malware (porque, seamos sinceros, no queremos que NINGUNO de nuestros clientes tenga que enfrentarse NUNCA a un malware como Shamoon). Y logramos encontrar varias versiones (¡hurra!). Pero junto con nuestra captura, nuestros investigadores, de forma inesperada, captaron un tipo completamente nuevo de malware wiper al que apodamos StoneDrill.

El código base de StoneDrill es diferente del de Shamoon y, por ello, creemos que se trata de una familia de malware completamente nueva; además, utiliza algunas técnicas avanzadas que evitan la detección, cosa que Shamoon no hace. Por ello, seguro que es un nuevo jugador. Y una de las cosas más inusuales (y preocupantes) que hemos aprendido de este malware es que, a diferencia de Shamoon, StoneDrill no se limita a buscar víctimas en Arabia Saudí o países vecinos. Hasta ahora, hemos descubierto solo dos objetivos de este malware y uno de ellos está en Europa.

¿Por qué es preocupante? Porque este descubrimiento indica que ciertos actores maliciosos con ciberherramientas devastadoras están comprobando el terreno de las regiones que anteriormente eran de poco interés para este tipo de actores.

Seguir leyendo:StoneDrill: Hemos encontrado un nuevo y potente malware wiper similar a Shamoon (y la cosa es seria)

Introduce tu dirección de e-mail para suscribirte a este blog

Malas noticias cibernéticas: infectar a un amigo, reiniciando Boeings, agujeros sin autenticación y más

¡Hola, amigos!

Os presento la nueva entrega de mi columna Malas noticias cibernéticas, con la que os mantengo al tanto sobre las cosas frágiles y espantosas del mundo digital.

Desde la última entrega, ha habido mucho de lo que tenemos que hablar. Sí, el flujo de las malas cibernoticias ha sobrepasado, sin duda, el flujo de agua de una montaña del nivel del Niagara. Y cada vez aparecen más noticias.

Como veterano de la ciberdefensa, puedo deciros que en tiempos pasados se ha hablado de cataclismos de escala planetaria durante medio año. Ahora la corriente de mensajes es como la temporada de desove del salmón: ¡está sobrecargada! Hay temas que no vale la pena mencionar porque ya son cosa del pasado. “Me han dicho que el otro día hackearon la megacorporación X y lo robaron todo; ¡hasta se llevaron con un dron el hámster del jefe!”

De todos modos, dado que la corriente de conciencia de los escándalos cibernéticos crece rápidamente, por consiguiente, el número de escándalos sobre los que escribiré también ha aumentado. En el pasado había tres o cuatro por publicación. Hoy son ¡siete!

Palomitas/café/cerveza… ¿listos? ¡Allá vamos!

1) Infecta a un amigo y desbloquea tus archivos gratis.

Seguir leyendo:Malas noticias cibernéticas: infectar a un amigo, reiniciando Boeings, agujeros sin autenticación y más

Protegiendo a la Madre SCADA

¡Hola a todos!

En Kaspersky Lab siempre estamos evaluando el estado del mundo informático, proporcionando diferentes instrumentos de alta tecnología, midiendo los sensores de Internet y estudiando el “ruido”. A partir de toda la información que recopilamos, sumado a datos de otras fuentes, comprobamos, constantemente, la temperatura y la presión sanguínea del cuerpo informático y monitorizamos, cuidadosamente, las áreas en peligro. Esto es lo que estamos haciendo en este momento y el tema sobre el que os hablo en el post de hoy.

Para muchos, parece que los elementos enfermos del mundo digital son los equipos domésticos, las tablets, los teléfonos móviles y las redes corporativas; es decir, el mundo informáticos que todos conocemos a nivel personal o profesional. Pero están equivocados. A pesar de que la mayoría de los ciberataques ocurran en el ciberespacio “tradicional” (me refiero al espionaje cibernético, el cibercrimen…); estos no suponen la mayor amenaza. De hecho, lo más peligroso de todo son los ataques informáticos a las telecomunicaciones (Internet, redes móviles) e ICS (sistemas automáticos de control industrial).

Una investigación realizada por Kaspersky Lab, parte de un proyecto de seguridad para sistemas operativos, ha detectado un nivel bajo de “inmunidad informática” de los sistemas de control y las infraestructuras computarizadas ICS, incluyendo SCADA, software responsable de controlar que los procesos técnicos funcionen ininterrumpidamente en cualquier sector industrial: energía eléctrica, transporte, medios, etc. Los sistemas informáticos controlan las funciones más importantes de los coches, aviones y trenes; o de las plantas energéticas, fábricas y cualquier edificio moderno (ascensores, suministro de agua, sistemas de emergencia, aire acondicionado…). El SCADA y otros ICS, aunque sean imperceptibles al ojo humano, trabajan a escondidas para que el mundo que conocemos funcione a la perfección.

Por supuesto, estos sistemas también están expuestos al malware o a los ataques de hackers; como demostró el gusano Stuxnet en el 2010. Por lo tanto, proteger dichos sistemas se ha convertido en una prioridad para la seguridad informática de la mayoría de los países desarrollados; preparándose para la guerra contra los autores de estos ciberataques (con tanques y armas si supieran el país responsable).Como veis, estos problemas están subiendo de tono…

Sigamos con la seguridad de SCADA… Durante los últimos años, hemos realizado un análisis de los ICS, estableciendo los principios fundamentales de la seguridad de SCADA y desarrollando un prototipo de solución que garantice la protección de SCADA frente a las amenazas de malware. Estos productos todavía no están disponibles para su venta, pero seguimos trabajando fuerte para lanzarlos al mercado cuanto antes.

Mientras seguíamos con nuestro análisis de la seguridad de SCADA, esta mañana nos encontramos con una gran sorpresa: la “Madre SCADA”, el jefe de los ICS de todo el mundo; en la cual se basan todas las operaciones del planeta (la rotación de la Tierra, la velocidad de las estrellas…).

¡Sí, señor” Hemos encontrado el SCADA que gestiona todos los procesos tecnológicos desde la matriz.

Mother SCADA admin panel

Seguir leyendo:Protegiendo a la Madre SCADA

Resurrección de los antiguos programadores de virus

¡Hola a todos!

En los últimos días han tenido lugar múltiples eventos de seguridad informática en todo el mundo, pero la Conferencia RSA es el más importante de todos ellos. Sin embargo, en esta ocasión, no os voy a contar los detalles de esta cita, simplemente os dejo algunas fotografías del día anterior a su inauguración, cuando la conferencia estaba tomando forma. Así, podréis ver el recinto antes de que miles de visitantes llenaran sus pasillos…

RSA Conference 2013

Stands con mucho estilo…

Movimiento en la dirección correcta

El pasado martes, 12 de febrero, el Presidente Obama habló de la esperada orden ejecutiva sobre seguridad cibernética, cuyo objetivo es compartir una mayor información entre el gobierno y el sector privado. La orden ejecutiva requiere el desarrollo de un marco de estándares que mejoren la protección de las infraestructuras estadounidenses. Los recursos son limitados y, por este motivo, es necesario priorizar aquellas áreas que corran mayor peligro. La sofisticación de las amenazas y los ataques dirigidos contra sectores económicos clave, a escala internacional, incrementan la necesidad de actuar y mejorar la protección de las infraestructuras. El esfuerzo del Presidente Obama es un paso positivo para cubrir el vacío que existe a la hora de proteger a los activos de EE.UU.

El riesgo que corren dichas infraestructuras es real y representa un reto internacional al que se deben enfrentar los gobiernos y el sector privado conjuntamente. A medida que aumentan las amenazas contra la seguridad nacional y económica de los países, es necesario aumentar la protección de las infraestructuras nacionales. Ataques como StuxnetFlameGauss y Shamoon se están convirtiendo en algo habitual  y están aumentando su grado de sofisticación.

Creo que esta orden ejecutiva es un movimiento en la dirección correcta ya que busca incrementar las defensas digitales de las infraestructuras e intenta facilitar el intercambio de información entre el gobierno y el sector privado. Es necesaria una mejor cooperación entre los gobiernos mundiales y los sectores privados para que ambos compartan la información relevante sobre amenazas cibernéticas. Del mismo modo, los operadores de las infraestructuras deben trabajar para implementar estándares flexibles basados en resultados que protegen sus activos.

Estamos en un punto crítico para la protección en ciberseguridad; el liderazgo en EE.UU y en todo el mundo es imprescindible. Esperamos que otras naciones sigan este ejemplo y avancen en su camino para mejorar la protección de las infraestructuras de las naciones.

Estamos listos para ayudar en la ciberdefensa a escala nacional e internacional con nuestra investigación, tecnología y equipo humano.

¿Está KL desarrollando su propio Sistema Operativo? ¡Rumores confirmados y fin de las especulaciones!

¡Hola a todos!

Hoy quiero hablaros sobre el futuro: un futuro no muy alentador con ciberataques masivos a plantas nucleares, centrales energéticas, centros de transporte, sistemas financieros y de telecomunicaciones, a lo que llamamos, a grandes rasgos, instalaciones críticas. Para haceros una idea, recordad la película La Jungla 4: Ultimátum, donde un ataque a infraestructuras sumergió el mundo entero en un caos total.

Pero, esta vez, no está John McClane para solucionar el problema de vulnerabilidad de los sistemas industriales. Incluso si éste fuera el caso, sus métodos no funcionarían. Sin embargo, estamos trabajando en el desarrollo tecnológico de un sistema operativo seguro con el cual proteger a esos sistemas TI tan críticos, (sistemas de control industrial (ICS)). Ya han circulado en Internet algunos rumores al respecto, así que me imagino que ya es hora de correr (un poquito) la cortina sobre nuestro proyecto secreto y compartir con vosotros qué nos traemos entre manos.

Pero, primero, quiero hablar un poco sobre los vulnerables sistemas industriales y por qué el mundo necesita, realmente,  nuestro nuevo y diferente enfoque.

Los Sistemas Industriales, totalmente indefensos…

Casos e Historias de Miedo que Causan Pesadillas – las Cinco Cuestiones Principales de la Seguridad IT

Hace poco me estaba preguntando cuántas entrevistas con la prensa hago cada mes. Por supuesto, la suma Skelter Helter varía mucho de un mes a otro, pero en los períodos más activos ¡La cifra puede llegar hasta las 70! Y eso son sólo entrevistas “habladas”, es decir, las que se realizan de forma presencial o por teléfono. Si tuviera que incluir también las entrevistas por correo electrónico – el número sería un sinsentido.

Pero no me quejo. De hecho, todo lo contrario – ¡Me encantan las entrevistas!  Me hacen recordar a Richard Branson y su regla con respecto a las entrevistas: “Si CNN me telefonea y quiere hacer una entrevista conmigo, voy a dejar todo para hacerla.” Yo también sigo esta regla al pie de la letra- y no sin una buena razón.

La mayoría de las entrevistas son como te las esperas. Recibo un montón de preguntas, y yo las respondo lo mejor que puedo, y eso es todo.

Pero en alguna ocasión, me entrevistó un periodista muy bien preparado y meticuloso, hasta el punto que no sólo lo sabe todo sobre mí y Kaspersky Lab, y lo que hacemos, sino también todo sobre el tema en concreto de la entrevista. Al final de la entrevista, estoy agotado, siento que mi cabeza va a explotar, como si mi alma hubiera sido “arrancada” con mis largas respuestas a las complejas preguntas.

Estas son las entrevistas más difíciles y complicadas…

Flame Cambió el Mundo

Yo nunca olvidaré los momentos que viví en el Oktoberfest de 2010. Sí me gusta la cerveza, especialmente las cosas alemanas y más concretamente el Oktoberfest. Pero ni siquiera recuerdo la cerveza, y eso no es porque tomara demasiada 🙂 Fue en aquel momento cuando recibimos las primeras noticias de una tendencia desagradable que yo había temido durante años. Así es, ésta era la primera vez que Stuxnet mostraba su lado oscuro –el primer malware creado con el apoyo del Estado y diseñado para cumplir una misión militar específica. Esto es exactamente lo que nosotros habíamos hablado en nuestra conferencia de prensa en el Oktoberfest: ¡Bienvenido a la era de la guerra cibernética! Era entonces evidente que Stuxnet era sólo el comienzo.

Poco ha cambiado desde Septiembre hasta el día de hoy. Todo el mundo tenía una idea bastante buena sobre de dónde viene y quién está detrás de Stuxnet, aunque ni un sólo Estado asumió la responsabilidad; de hecho, ellos se distanciaron de la autoría tanto como les fue posible. El “avance” se produjo a finales de mayo cuando nosotros descubrimos un nuevo malware, el cual dejó pocas dudas sobre sus orígenes militares y sus objetivos.

Sí, hoy estoy hablando sobre Flame…