Etiquetar Archivos: malware

Ciberpronóstico: 2017

Así somos los Homo Sapiens: estamos constantemente, incluso imprudentemente, mirando hacia el futuro e intentamos averiguar qué nos depara. Muchos dicen que deberíamos vivir el presente (después de todo, el futuro nunca llega) pero bueno, eso no funciona para todos y muchos de nosotros necesitamos hacer planes a futuro.

Pero existen diferentes enfoques para mirar hacia el futuro.

Hay quienes creen en el destino, adivinar, lanzar una moneda al aire y observar lo que sucede. Por otro lado están los que no piensan en el futuro en lo absoluto. Al mismo tiempo, hay una teoría basada en la ciencia. Se trata de hacer un poco de espiritualidad occidental (no estar en el presente, sino analizarlo cuidadosamente) para ser capaces de predecir el futuro con la mayor precisión posible. Esto es exactamente lo que se hace para predecir el ciberfuturo; la seguridad del ciberfuturo en particular. Y esto es lo que nosotros hacemos (poco a poco todos los días, amplia, profunda, especial y alegremente) todos los años, cuando reunimos a la élite mundial de ciberseguridad durante una semana para unas largas conferencias en un balneario tropical, cumbre a la que llamamos Security Analyst Summit (SAS):

Ups, vídeo equivocado. Aquí lo tienes …

¡Oh! No. Este:

No sé muy bien cómo se hace, pero cada año el SAS mejora. Quiero decir, siempre ha sido GENIAL, pero lo GENIAL cada vez aumenta más: más expertos, contenido de mayor calidad, más y mejores ideas, más y más cucharadas del mundo y material exclusivo.

Y es acerca de ese material exclusivo de lo que voy a hablar hoy. Específicamente, mis 5 presentaciones favoritas del SAS 2017. No estoy diciendo que las demás no hayan sido buenas o hayan sido regulares, es solo que físicamente no fui capaz de asistir a todas ya que se estaban llevando a cabo simultáneamente en diferentes salas. Además, cada uno tiene sus propios gustos: bueno ¡aquí esta una guía de los míos!…

¡Vamos!

Seguir leyendo:Ciberpronóstico: 2017

StoneDrill: Hemos encontrado un nuevo y potente malware wiper similar a Shamoon (y la cosa es seria)

Si eres un lector asiduo del blog, conocerás nuestro equipo GReAT (equipo de investigación y análisis global), compuesto por más de 40 expertos en seguridad de todo el mundo especializados en la protección de nuestros clientes contra las ciberamenazas más sofisticadas. A los integrantes les gusta comparar su trabajo con la paleontología: explorar la Deep web en busca de “huesos” y “cibermonstruos”. Algunos considerarán que este enfoque está pasado de moda: ¿qué tiene de especial analizar los “huesos” de las “criaturas” del pasado cuando lo importante es proteger tus redes de los monstruos que viven hoy? Bueno, os contaré una historia que demuestra que, a veces, no encontraréis los monstruos de hoy si no es mirando a los de ayer…

Algunos de vosotros conoceréis los llamados wipers, un tipo de malware que, una vez instalado en el PC atacado, elimina por completo la información que contiene y deja a su propietario con un hardware con apenas utilidad. El wiper más famoso (e infame) es Shamoon, un malware que en 2012 hizo mucho ruido en Oriente Medio al destruir la información de más de 30.000 equipos de la mayor compañía petrolera, Saudi Aramco, además de atacar a un gigante energético, Rasgas. Imaginad: 30.000 sistemas inoperativos de la mayor compañía petrolera del mundo…

Shamoon. Shamoon 2.0, StoneDrill, Newsbeef. Los wiper se propagan mundialmente

Curiosamente, desde su devastadora campaña de 2012 contra la compañía saudí, poco se ha sabido de Shamoon, hasta que en 2016 volvió como Shamoon 2.0 con varias oleadas de ataques (de nuevo en Oriente Medio).

Desde que empezaron las nuevas oleadas de ataques de Shamoon, hemos ajustado nuestros sensores para que busquen el mayor número de versiones posibles de este malware (porque, seamos sinceros, no queremos que NINGUNO de nuestros clientes tenga que enfrentarse NUNCA a un malware como Shamoon). Y logramos encontrar varias versiones (¡hurra!). Pero junto con nuestra captura, nuestros investigadores, de forma inesperada, captaron un tipo completamente nuevo de malware wiper al que apodamos StoneDrill.

El código base de StoneDrill es diferente del de Shamoon y, por ello, creemos que se trata de una familia de malware completamente nueva; además, utiliza algunas técnicas avanzadas que evitan la detección, cosa que Shamoon no hace. Por ello, seguro que es un nuevo jugador. Y una de las cosas más inusuales (y preocupantes) que hemos aprendido de este malware es que, a diferencia de Shamoon, StoneDrill no se limita a buscar víctimas en Arabia Saudí o países vecinos. Hasta ahora, hemos descubierto solo dos objetivos de este malware y uno de ellos está en Europa.

¿Por qué es preocupante? Porque este descubrimiento indica que ciertos actores maliciosos con ciberherramientas devastadoras están comprobando el terreno de las regiones que anteriormente eran de poco interés para este tipo de actores.

Seguir leyendo:StoneDrill: Hemos encontrado un nuevo y potente malware wiper similar a Shamoon (y la cosa es seria)

Malas noticias cibernéticas: infectar a un amigo, reiniciando Boeings, agujeros sin autenticación y más

¡Hola, amigos!

Os presento la nueva entrega de mi columna Malas noticias cibernéticas, con la que os mantengo al tanto sobre las cosas frágiles y espantosas del mundo digital.

Desde la última entrega, ha habido mucho de lo que tenemos que hablar. Sí, el flujo de las malas cibernoticias ha sobrepasado, sin duda, el flujo de agua de una montaña del nivel del Niagara. Y cada vez aparecen más noticias.

Como veterano de la ciberdefensa, puedo deciros que en tiempos pasados se ha hablado de cataclismos de escala planetaria durante medio año. Ahora la corriente de mensajes es como la temporada de desove del salmón: ¡está sobrecargada! Hay temas que no vale la pena mencionar porque ya son cosa del pasado. “Me han dicho que el otro día hackearon la megacorporación X y lo robaron todo; ¡hasta se llevaron con un dron el hámster del jefe!”

De todos modos, dado que la corriente de conciencia de los escándalos cibernéticos crece rápidamente, por consiguiente, el número de escándalos sobre los que escribiré también ha aumentado. En el pasado había tres o cuatro por publicación. Hoy son ¡siete!

Palomitas/café/cerveza… ¿listos? ¡Allá vamos!

1) Infecta a un amigo y desbloquea tus archivos gratis.

Seguir leyendo:Malas noticias cibernéticas: infectar a un amigo, reiniciando Boeings, agujeros sin autenticación y más

Una breve historia de los ataques DDoS

Tarde o temprano sucedería: la definición de “DDoS” ha calado tanto en el léxico que a menudo no se escribe al completo en los periódicos de interés público. Bueno, puede que algunos aún no sepan qué significa la abreviación, pero todos saben que un DDoS es peligroso para un gran número de objetivos porque provoca que algo muy importante deje de funcionar y que los empleados se crucen de brazos durante el tiempo que la red no funcione y que los teléfonos de soporte técnico necesiten un baño frío por el sobrecalentamiento que experimentan al no dejar de sonar. Además, todos saben que un ataque DDoS es llevado a cabo por ciberenemigos desconocidos y misteriosos.

Los ataques DDoS han evolucionado muy rápido, como descubrirás leyendo esta entrada. Se han hecho más peligrosos y mucho más avanzados técnicamente hablando; de vez en cuando, adoptan métodos de ataque del todo insólitos; van a por objetivos nuevos; y rompen récords mundiales por ser el mayor y peor ataque DDoS jamás experimentado. Pero, en cambio, el mundo en que los DDoS se encuentran también ha evolucionado muy rápido. Todos los utensilios de cocina están sincronizados en la red: la cifra de dispositivos “inteligentes” conectados a Internet ahora supera la cifra de los antiguos ordenadores y portátiles.

El resultado de ambas evoluciones paralelas (de los DDoS y del panorama digital en el que residen) nos ha traído titulares igualmente evolucionados: botnets de cámaras IP y routers wifi han roto el récord de la magnitud de un DDoS (Mirai) y ataques masivos DDoS en bancos rusos.

Si antes las botnets eran de PCs zombis, pronto serán de neveras, aspiradoras, secadoras y cafeteras zombis.

brevity-comic

Seguir leyendo:Una breve historia de los ataques DDoS

El Internet de las cosas dañinas

A principios de los años 2000 subí al escenario y profeticé sobre el ciberpanorama del futuro, al igual que hoy en día. En aquel entonces advertí que, algún día, tu refrigerador enviaría spam a tu microondas y, juntos, llevarían a cabo un ataque DDoS contra la cafetera. No, en serio.

La audiencia levantaba las cejas, se reían, aplaudían y, a veces, continuaban con un artículo acerca de un “profesor demente” y otros tipos de expresiones. Pero, en general, se tomaron mi “Cassandraismo” un poco a broma, ya que las ciberamenazas del momento estaban consideradas como más preocupantes. Tanto para el “profesor demente”…

…Acabo de abrir el periódico del día.

Hoy en día, cualquier casa, sin importar lo vieja que sea, puede tener en su interior muchos dispositivos “inteligentes”. Algunas tienen pocos (teléfonos, televisores…) y otras tienen muchos (cámaras IP, neveras, microondas, hornos, cafeteras, termostatos, planchas, lavadoras, secadoras, brazaletes inteligentes, entre otros). Algunas casas incluso se diseñan ya con dispositivos inteligentes incluidos en las especificaciones. Y todos estos dispositivos inteligentes se conectan al wifi, lo que ayuda a construir el gigante, autónomo, y muy vulnerable, Internet de las Cosas, cuyo tamaño ya supera al Internet Tradicional que conocemos profundamente desde el inicio de los 90.

Conectarlo todo y el fregadero de la cocina a Internet tiene una razón, claro. Ser capaz de controlar el kit electrónico de tu hogar de forma remota mediante tu smartphone puede ser muy conveniente (para algunas personas:). También es tendencia. Sin embargo, como este Internet de Cosas se ha estado desarrollando, mi Cassandraismo se ha hecho realidad.

FuenteFuente

Algunos sucesos recientes:

Seguir leyendo:El Internet de las cosas dañinas

Características sobre las que no se suele oír hablar: reinicio del 2017

Llevamos “salvando el mundo” unos… mmmm, ¡19 años! En realidad han sido más años, pero hace 19 años que registramos KL como compañía (en el Reino Unido).

Por desgracia, “salvar el mundo” de una vez por todas es imposible: las ciberamenazas evolucionan a cada momento, los cibermalhechores siempre están buscando nuevas formas de ataque en el panorama digital, lo que significa que dicho panorama nunca será 100 % seguro. Sin embargo, cientos de millones de personas alrededor del mundo, con diferentes dispositivos y con situaciones diferentes, tienen la posibilidad cada día de proteger su privacidad e información, utilizar de manera segura las tiendas y la banca online, y proteger a sus hijos de la basura digital y de los pervertidos cibernéticos.

ginger-girl

Y, en nuestro lado (los que nos dedicamos a la protección), hay mucha razón de ser para nuestros expertos: cada foto rescatada del ransomware, cada sitio de phishing bloqueado, cada botnet cerrado y cada ciberdelincuente sentenciado a prisión es una causa de satisfacción profesional y orgullo. Lo que significa que todo el esfuerzo no fue en vano; lo estamos haciendo realmente bien.

En la lucha contra la ciberbasura, los ciberpervertidos y demás, tenemos una amplia gama de herramientas que son mejoradas continuamente para ti.

Seguir leyendo:Características sobre las que no se suele oír hablar: reinicio del 2017

Pereza, ciberseguridad y aprendizaje automático

Es lo que es: el ser humano es una criatura perezosa. Si es posible evitar hacer algo, no lo hace. Sin embargo, paradójicamente, es algo bueno, porque la pereza es… ¡el motor del progreso! ¿Qué? ¿Cómo es eso? Bien, si un trabajo es considerado muy difícil o complejo para el ser humano, algunos humanos perezosos (¿Homo Perezosos?) ¡le dan el trabajo a una máquina! En ciberseguridad lo llamamos optimización.

Análisis de millones de archivos maliciosos y páginas web al día, desarrollando “vacunas” contra amenazas futuras, mejorando continuamente la protección proactiva, y resolviendo docenas de tareas críticas, todo esto es posible sin el uso de la automatización. Y el aprendizaje automático es uno de los conceptos principales utilizados en la automatización.

El aprendizaje automático ha sido aplicado en la ciberseguridad durante más de una década, pero sin darle publicidad.

Seguir leyendo:Pereza, ciberseguridad y aprendizaje automático

Malas noticias cibernéticas: el futuro ha llegado y el malware ha vuelto de entre los muertos

Como siempre, en esta columna os haré un resumen de algunos de los artículos recientes más alarmantes sobre noticias de ciberseguridad, que quizá no hayan llegado a las primeras planas, pero no dejan de ser importantes. Y, como es tradición, son en su mayoría malas noticias. Aunque existen algunas razones para ser optimistas, pero solo algunas.

Noticia cibernética alarmante nº 1: el futuro ha llegado

Foto de Blade Runner

 

A muchos autores les gusta fantasear sobre cómo serán las cosas en el futuro. A menudo, los escritores de ciencia ficción reflexionan profunda y filosóficamente sobre el hombre y su lugar en el universo. Por ejemplo, están los hermanos Strugatsky, de Rusia, Philip K. Dick, y Arthur C. Clarke (además de su “traductor” en la gran pantalla Stanley Kubrick). Y, muy a menudo, dicha reflexión filosófica es un tanto desalentadora y siniestra.

Otras veces, la reflexión es un poco menos profunda y filosófica, pero no por ello es menos probable que se haga realidad. ¡Aquí es donde intervengo yo!

En la primera década de este siglo, durante mis presentaciones, a vuestro humilde servidor le gustaba contar divertidas historias de “miedo” sobre lo que podría pasar en el futuro. Por ejemplo: una cafetera lanzando un ataque DDoS al refrigerador, mientras que el microondas deduce el código PIN por defecto del extractor para mostrar anuncios de texto en su pantalla digital.

Hagamos un avance de menos de una década y esa “ciencia ficción” se hará realidad…

Seguir leyendo:Malas noticias cibernéticas: el futuro ha llegado y el malware ha vuelto de entre los muertos

Darwinismo aplicado a la seguridad informática (tercera parte): es hora de ocuparse de estos parásitos

¡Hola a todos!

Continuemos con el tema de la supervivencia del más fuerte. No planeaba hacer una trilogía, simplemente ocurrió. O algo así….

He dicho “algo así” porque el problema específico del que hablaré hoy, los parásitos en el mundo de la seguridad informática, lleva ya un tiempo en mi mente. Esta charla sobre el darwinismo parece ser la oportunidad perfecta para dejarme llevar. Ya veréis a qué me refiero…

Hoy hablaremos de parásitos. Pero no de esos contra los que luchamos continuamente (los malos”muy malos”), sino de los que dicen que también luchan contra los muy malos (una pregunta filosófica: ¿quién es peor? :).

Hoy en día, la industria informática se desarrolla a pasos agigantados. Hace tan solo 10 o 15 años, sus principales asuntos eran los antivirus de escritorio, los firewalls y las copias de seguridad; hoy, hay un sinfín de nuevas soluciones de seguridad, métodos e ideas. A veces nos las arreglamos para ir por delante y otras veces tenemos que ponernos las pilas. Hay otras veces en las que caemos en un letargo de asombro y no por las nuevas tecnologías, innovaciones o ideas frescas, sino por el descaro y la falta de escrúpulos de nuestros compañeros de la industria de la seguridad.

Pero primero, dejadme explicaros cómo se han desarrollado los acontecimientos.

Existe un servicio muy práctico llamado VirusTotal multiscanner. Suma alrededor de 60 motores antivirus que utiliza para examinar documentos y URLs que la gente envía para comprobar si hay malware y después proporciona sus resultados.

Por ejemplo: Pongamos que un tal José Rodríguez encuentra una aplicación o un documento sospechoso en un disco duro/memoria USB/Internet. El software de José determina que no contiene ningún virus, pero José es un poco paranoico y quiere asegurarse de que el archivo no está infectado. Así que se dirige a la página de VirusTotal, que no solo cuenta con una solución de antivirus como la suya, sino que tiene unas 60. Además, se trata de una herramienta gratuita, por lo que no es una decisión difícil. José sube el archivo a VirusTotal y recibe información instantánea sobre lo que piensan los diferentes antivirus sobre este.

Antes de nada, hay que dejar claro que las personas de VirusTotal y los que trabajan para la compañía a la que pertenece (Google) están del lado de los “buenos”. No tienen conexión alguna con los parásitos. VirusTotal se mantiene gracias a un pequeño equipo profesional que lleva años haciendo su tarea de manera eficaz. [¿Necesitáis más razones para convenceros? ¿Y si os digo que VirusTotal ganó el premio de MVP el año pasado en el Security Analyst Summit (SAS)?] A día de hoy, VirusTotal es una de las fuentes de muestras de malware y URLs maliciosas más importantes y también es una herramienta arqueológica estupenda para investigar los ataques dirigidos.

El problema está en un conjunto de usuarios sombríos del multiescáner que, por desgracia, están volviéndose cada vez más descarados en sus conductas.

Seguir leyendo:Darwinismo aplicado a la seguridad informática (tercera parte): es hora de ocuparse de estos parásitos

Ciber- noticias: centrales nucleares vulnerables y controles cibernéticos

Aquí tienes una rápida revisión y algunos comentarios de algunas “noticias”, más que actualizaciones, sobre lo que he estado insistiendo siempre. Odio decir que lo advertí, pero… ¡LO ADVERTÍ!

Photo (prise au hasard) de la centrale nucléaire de Cattenom en France. J'espère qu'ici, tout va bien du côté de la cybersécurité.Una foto al azar de la Central Nuclear de Cattenom, espero que todo esté bien en términos de ciberseguridad

Seguir leyendo:Ciber- noticias: centrales nucleares vulnerables y controles cibernéticos