Etiquetar Archivos: malware

Una aseguradora se ve obligada a pagar 1400 millones de dólares para cubrir los daños de un ciberataque

¡Hola, chicos y chicas!

Ha pasado un tiempo desde mi última entrega de iNews, también conocido como noticias de ciberseguridad o cibercuentos del lado oscuro, así que me animo a revivir esta serie para retomar el rumbo y brindarte los aspectos más destacados de algunos cibermomentos asombros de los que quizás no hayas oído hablar en tus fuentes habituales de noticias…

En esta entrega, solo traigo una noticia, pero es más que suficiente: cualquier elemento adicional podría haberle restado importancia (difícilmente apropiado cuando hay un “punto de inflexión” en el título :)…

Pero antes, aquí tienes un pequeño resumen: después de largos procedimientos legales en los EE. UU., un tribunal ha fallado a favor de la gran empresa farmacéutica Merck contra su aseguradora por un pago de 1400 millones de dólares estadounidenses (!!) que cubren los daños que Merck habría sufrido a causa de NotPetya (también conocido como ExPetr o simplemente Petya) en el 2017.

Volvamos al 2017…

En junio de ese mismo año, apareció NotPetya, un gusano cifrador tecnológicamente avanzado y terriblemente desagradable, que se propagó como la pólvora. En un principio se centró en Ucrania, donde atacaba a las víctimas a través de un popular software de contabilidad, afectando a bancos, sitios gubernamentales, el aeropuerto de Kharkov, los sistemas de supervisión de la central nuclear de Chernobyl (!!!) y así sucesivamente. A continuación, la epidemia se propagó a Rusia y, después, a todo el mundo. Muchas fuentes autorizadas consideran a NotPetya como el ciberataque más destructivo de la historia. Lo que parece acertado cuando se hace un recuento del número de empresas atacadas (docenas de las cuales perdieron cientos de millones de dólares), mientras que el daño general a la economía mundial se estimó en un mínimo de 10 mil millones de dólares.

Una de las víctimas más notables de este ciberataque internacional fue el gigante farmacéutico estadounidense Merck. De acuerdo con las informaciones, 15.000 de sus ordenadores recibieron el ataque 90 segundos (!) después del inicio de la infección, mientras que la copia de seguridad de su centro de datos, que estaba conectada a la red principal, también se perdió casi al instante. Al final del ataque, Merck había perdido unas 30.000 estaciones de trabajo y 7500 servidores. Pasaron meses hasta que pudieron recuperarse, lo que supuso un coste de aproximadamente 1400 millones de dólares, según se informó. Merck incluso tuvo que pedir prestadas vacunas a fuentes externas por valor de 250 millones de dólares debido a las interrupciones provocadas en sus operaciones de fabricación.

Bueno, y ahora que ya tenemos el contexto, vamos a la parte jugosa…

Seguir leyendo:Una aseguradora se ve obligada a pagar 1400 millones de dólares para cubrir los daños de un ciberataque

Rescate: ¿Pagar o no pagar? Esa es la cuestión.

En ocasiones, al leer un artículo sobre qué hacer en caso de un ataque de ransomware, me topo con frases como: “Considera la opción del pago”. En ese momento suspiro, pongo los ojos en blanco y, automáticamente, cierro la pestaña del navegador. ¿Por qué? ¡Porque nunca debes pagar a los extorsionistas! Y no solo porque estarías fomentado una actividad delictiva, también existen otras muchas razones. Te las explico a continuación:

En primer lugar, estás patrocinando al malware

Seguir leyendo:Rescate: ¿Pagar o no pagar? Esa es la cuestión.

Album de fotos de Flickr

  • KLHQ
  • KLHQ
  • KLHQ
  • KLHQ

Instagram Photostream

Ransomware: ¡ya basta de bromas!

Primero, una breve introducción…

El 10 de septiembre, el ransomware DoppelPaymer cifró 30 servidores de un hospital en la ciudad alemana de Dusseldorf, por lo que el número de pacientes se redujo drásticamente. Hace una semana, debido a esta reducción, el hospital no pudo acoger a una paciente que necesitaba una operación urgente y tuvo que enviarla a un hospital de una ciudad vecina, pero, desafortunadamente, la paciente falleció en el trayecto. Se trata del primer caso conocido de una pérdida humana como resultado de un ataque de ransomware.

La situación es muy triste, sobre todo si lo analizas más de cerca: un “accidente” mortal (asumiendo que los atacantes no previeron que sus horribles acciones causaran una muerte); también hubo un claro descuido del seguimiento de las reglas básicas de higiene de la ciberseguridad y una incapacidad por parte de las autoridades encargadas de cumplir la ley para contrarrestar con éxito a los delincuentes organizados involucrados en el ataque.

Los ciberdelincuentes atacaron la red del hospital a través de una vulnerabilidad (también conocida como Shitrix) en los servidores Citrix Netscaler, que fue parcheada en enero. Parece que los administradores del sistema esperaron demasiado para instalar el parche y, mientras tanto, los malos pudieron penetrar en la red e instalar una puerta trasera.

Eso es todo lo que sabemos. A continuación, continuaremos con una conjetura que no se puede confirmar, pero que parece algo probable…

No se puede descartar que, después de algún tiempo, el acceso a la puerta trasera se vendiera a otros ciberdelincuentes de foros clandestinos como “acceso a una puerta trasera en una universidad”. De hecho, el ataque estaba inicialmente dirigido a la Universidad Heinrich Heine, cercana al hospital. Y a ellos ser dirigían los chantajistas en su correo, en el que exigían un rescate a cambio de restaurar los datos que habían cifrado. Cuando los ciberdelincuentes descubrieron que se trataba de un hospital, no una universidad, rápidamente entregaron todas las claves de cifrado (y desaparecieron). Parece que enviar troyanos a los hospitales no resulta tan atractivo para los ciberdelincuentes: se consideran activos demasiado “tóxicos” (como se ha demostrado de la peor manera: con la muerte).

Es probable que el grupo de habla rusa, Evil Corp, esté detrás de DoppelPaymer, un grupo con docenas de ciberdelincuentes de alto perfil (incluso en la red de Garmin). En el 2019, el gobierno de EE. UU. emitió una acusación contra las personas involucradas en Evil Corp y ofreció una recompensa de cinco millones de dólares por ayudar a atraparlos. Lo curioso es que se conocen las identidades de los delincuentes y hasta hace poco habían estado fanfarroneando y mostrando su vida de gánster ostentoso, incluso en las redes sociales.

Fuente

Seguir leyendo:Ransomware: ¡ya basta de bromas!

Introduce tu dirección de e-mail para suscribirte a este blog

El juego del escondite con el malware sin archivo.

El código malicioso llega a todas partes…

Es un poco como el gas, que siempre llena el espacio en el que se encuentra, solo que diferente: siempre atravesará los “agujeros” (vulnerabilidades) de un sistema informático. Por tanto, nuestro trabajo (más bien, uno de ellos) es encontrar esos agujeros y taponarlos. Nuestro objetivo es hacerlo de forma proactiva; es decir, antes de que el malware los haya descubierto. Y, si encuentra los agujeros, estaremos esperando, listos para eliminarlo.

De hecho, es la protección proactiva y la capacidad de prever las acciones de los atacantes y crear de antemano una barrera lo que distingue una ciberseguridad excelente y de alta tecnología del marketing de pacotilla.

Hoy quiero hablarte sobre otra de las formas que utiliza nuestra protección proactiva para protegerte contra otro tipo de malware particularmente astuto. Sí, quiero hablarte de algo que se llama código malicioso sin archivo (también conocido como sin cuerpo): una clase de malware fantasma muy peligrosa que ha aprendido a usar los inconvenientes en la arquitectura de Windows para infectar ordenadores. Y también sobre nuestra tecnología patentada que combate esta ciberenfermedad cibernética. Y lo voy a hacer como te gusta a ti: explicando cosas complejas de una forma simple, a la luz, como un apasionante ciberthriller con elementos de suspenso).

En primer lugar, ¿qué significa sin archivo?

Bueno, el código sin archivo, una vez que se introduce dentro de un sistema informático, no crea copias de sí mismo en forma de archivos en el disco, evitando así la detección por métodos tradicionales, por ejemplo, con un monitor antivirus.

Entonces, ¿cómo existe ese “malware fantasma” dentro de un sistema? En realidad, ¡reside en la memoria de procesos confiables! ¡Oh sí, oh no!

En Windows (bueno, en realidad, no solo en Windows), siempre ha existido la capacidad de ejecutar código dinámico, que, en particular, se utiliza para la compilación en tiempo de ejecución; es decir, convertir el código del programa en código máquina no de forma inmediata, sino cuando sea necesario. Este enfoque aumenta la velocidad de ejecución en algunas aplicaciones. Y, para disponer de esta funcionalidad, Windows permite que las aplicaciones ubiquen código en la memoria de proceso (o incluso en otra memoria de proceso confiable) y lo ejecuten.

Desde el punto de vista de la seguridad no es la panacea, pero ¿qué puedes hacer? Es la forma en la que millones de aplicaciones escritas en Java, .NET, PHP, Python y otros lenguajes y para otras plataformas han funcionado durante décadas.

Como era de esperar, los ciberdelincuentes aprovecharon la capacidad de usar código dinámico, inventando varios métodos para abusar de él. Y uno de los métodos más prácticos y, por lo tanto, más extendidos que usan es algo llamado inyección de PE con reflexión. ¡¿Un qué?! Déjame que te lo explique (en realidad es bastante interesante, así que ten paciencia conmigo) …

Para lanzar una aplicación simplemente hay que hacer clic en su icono: bastante simple y directo, ¿verdad? Parece sencillo, pero detrás de ese movimiento hay mucho más: se activa un cargador del sistema, que toma el archivo respectivo del disco, lo carga en la memoria y lo ejecuta. Y este proceso estándar es controlado por monitores antivirus, que comprueban la seguridad de la aplicación sobre la marcha.

Ahora, cuando se produce una “reflexión”, el código se carga sin pasar por el cargador del sistema (y, por lo tanto, sin pasar por el monitor antivirus). El código se coloca directamente en la memoria de un proceso confiable, creando una “reflexión” del módulo ejecutable original. Dicha reflexión puede ejecutarse como un módulo real cargado por un método estándar, pero no está registrado en la lista de módulos y, como ya he dicho antes, no tiene un archivo en el disco.

Además, a diferencia de otras técnicas para la inyección de código (por ejemplo, mediante una shellcode), una inyección de reflexión permite crear código funcionalmente avanzado en lenguajes de programación de alto nivel y marcos de desarrollo estándar sin apenas limitaciones. Entonces, lo que obtienes es: (i) cero archivos, (ii) ocultación detrás de un proceso confiable, (iii) invisibilidad frente a las tecnologías de protección tradicionales y (iv) vía libre para causar estragos.

Así que, evidentemente, las inyecciones de reflexión tuvieron un gran éxito entre los desarrolladores de códigos maliciosos: al principio aparecían en paquetes de exploits y, más tarde, los ciberespías entraron en el juego (por ejemplo, Lazarus y Turla), después los ciberdelincuentes avanzados (ya que es una forma útil y legítima de ejecutar código complejo) y, por último, los pequeños ciberdelincuentes.

Ahora, al otro lado de las barricadas, encontrar una infección sin archivo no es nada fácil en el mundo cibernético. Por lo tanto, no es de extrañar que la mayoría de las marcas de ciberseguridad no pongan solución a este problema. Algunas apenas pueden hacerlo.

Seguir leyendo:El juego del escondite con el malware sin archivo.

Cibernoticias de una cuarentena: 92 de marzo del 2020

¡La mayoría de las personas de todo el mundo llevan encerradas alrededor de tres meses! Tú entre ellas, por lo que estoy seguro de que habrás escuchado hablar de cierta película estos últimos meses y mucho; pero ahora desde otro punto de vista: ¡El día de la marmota ya no es una película de humor! Luego está lo del clima, si sigue húmedo e invernal, es una decepción para todos (además de lo que supone el encierro); si mejora y aparece el calor veraniego: ¡otra decepción para todos, ya que nadie puede salir para disfrutarlo tranquilamente!

Aun así, supongo que tal vez es un consuelo que la mayoría de nosotros estemos pasando por lo mismo. Tal vez. Pero se trata de nosotros, gente buena/normal. ¿Qué pasa con los ciberdelincuentes? ¿Cómo lo están llevando en casa? Bueno, el otro día publiqué algunas estadísticas y tendencias sobre eso. Hoy quiero seguir con una actualización, porque sí, los ciberdelincuentes actúan rápido. // Ah, y, por cierto, si estás interesado en más cibernoticias del lado oscuro, no te pierdas esta etiqueta que recopila todas las publicaciones.

Primero, centrémonos en algunas estadísticas más: actualizadas; tranquilizadoras…

Marzo y, sobre todo, abril, vieron grandes saltos en la actividad de los ciberdelincuentes en general; sin embargo, desde entonces, mayo ha experimentado una fuerte caída, en comparación con los niveles previos al coronavirus de enero a febrero:

A su vez, hemos visto una disminución constante en todos los números de malware conectados con el coronavirus:

Seguir leyendo:Cibernoticias de una cuarentena: 92 de marzo del 2020

El ciberpulso del mundo durante la pandemia.

Una de las preguntas más frecuentes que me hacen en estos tiempos difíciles es cómo ha cambiado la situación ciberepidemiológica. ¿Cómo se ha visto afectada la ciberseguridad en general por el cambio masivo hacia el teletrabajo (o para aquellos que, desgraciadamente, no pueden teletrabajar pero que también han tenido que estar en casa todo el tiempo)? Y, más en concreto, ¿qué nuevos y astutos trucos han inventado los ciberdelincuentes y qué cómo mantenerse protegidos contra ellos?

Por tanto, me he decidido a resumirlo todo en este artículo.

Como es habitual, los delincuentes, incluidos los ciberdelincuentes, analizan de cerca a su víctima y luego se adaptan a las condiciones cambiantes para maximizar sus ingresos criminales. Entonces, cuando la mayoría del mundo cambia de repente y se ve obligado a permanecer en casa (teletrabajo, ocio doméstico, compras desde casa, interacción social en casa, etc.), el ciberdelincuente también cambia sus tácticas a modo de respuesta.

Los ciberdelincuentes se han dado cuento de algo muy importante: la mayoría de las personas que permanecen encerradas ha aumentado considerablemente el tiempo que dedican a Internet. Esto supone una “superficie de ataque” general más amplia para sus actos delictivos.

Lamentablemente, muchas empresas no brindan una ciberprotección de confianza y calidad a esos empleados que ahora se ven obligados a trabajar desde casa. Esto supone muchas más oportunidades alentadoras para los ciberdelincuentes de atacar las redes corporativas a las que los empleados están conectados.

Y, por supuesto, los malos atacan. Esto lo evidencia el fuerte aumento de los ataques de fuerza bruta en servidores de bases de datos y RDP (tecnología que permite, por ejemplo, que un empleado obtenga acceso completo a su ordenador de trabajo: sus archivos, el escritorio y básicamente todo desde casa o cualquier otro lugar).

Ordenadores únicos afectados por ataques de fuerza bruta, de enero a abril del 2020

Seguir leyendo:El ciberpulso del mundo durante la pandemia.

Noticias de ciberseguridad: ¿Y si Aramco tuviera nuestro Antidrone? ¿Podrían los honeypots frenar el malware en el IdC?

¡Hola a todos!

Hace poco salió a la luz una información digna de la sección Noticias de ciberseguridad desde el lado oscuro. Seguro que has escuchado algo sobre el asunto, ya que ha invadido los titulares de los últimos días. Se trata de un ataque de drones en Saudi Aramco que ha destruido millones de barriles de petróleo crudo al día y que ha causado pérdidas de cientos de millones de dólares.

Por desgracia, me temo que esto no es más que el principio. ¿Recuerdas aquellos drones que paralizaron Heathrow hace unos meses? ¿O era Gatwick? Bueno, es una progresión natural. Habrá mucho más, eso seguro. En Arabia Saudí, los hutíes reivindican la autoría, pero tanto Arabia Saudí como Estados Unidos culpan a Irán, que niega toda responsabilidad. En resumen, los enfrentamientos típicos de Oriente Medio. Pero no quiero hablar de eso aquí (no hablamos de geopolítica aquí, ¿recuerdas?). Lo que me gustaría decir es que, mientras las acusaciones continúan, nosotros hemos dado con una solución que evita los ataques de drones como este que ha sufrido Aramco. Por tanto, señoras y señores, ¡hoy presento al mundo el nuevo Antidrone!

Pero ¿cómo funciona?

El dispositivo calcula las coordenadas de un objeto en movimiento, una red neuronal determina si se trata de un dron y, en ese caso, bloquea la conexión entre él y su piloto en remoto. Como consecuencia, el dron vuelve al lugar de su lanzamiento o aterriza justo debajo de donde ha sido interceptado. El sistema puede estar parado o en movimiento, por ejemplo, para su instalación en un vehículo de motor.

El objetivo principal de nuestro Antidrone es la protección de infraestructuras importantes, aeropuertos, objetos industriales, etc. El incidente de Saudi Aramco recalca la necesidad de esta tecnología para la prevención de casos similares: en el 2018 el mercado mundial de drones se estimó en 14 mil millones de dólares, para el 2024 la predicción es de 43 mil millones de dólares.

Evidentemente, el mercado de la protección contra los drones maliciosos también crecerá. No obstante, por ahora nuestro Antidrone es el único del mercado ruso que puede detectar objetos mediante vídeo utilizando redes neurales y el primero en el mundo en utilizar el análisis láser para rastrear la ubicación de los drones.

Seguir leyendo:Noticias de ciberseguridad: ¿Y si Aramco tuviera nuestro Antidrone? ¿Podrían los honeypots frenar el malware en el IdC?

Si me hubieran dado dinero cada vez que he escuchado esta pregunta en 30 años…

¡Hola a todos!

¿Os imagináis cuál es la pregunta que más me hacen en las entrevistas y conferencias de prensa?

Todo comenzó en los 90 y pronto se convirtió en la pregunta más temida, era casi imposible resistirse a poner los ojos en blanco, pero lo conseguí. Con el tiempo me resigné y acepté que para ellos resultaba inevitable, por lo que comencé a improvisar y añadir información adicional a mis respuestas. Todavía hoy, a pesar de que mis declaraciones se han publicado y emitido en los medios de todo el mundo (y más de una vez), me siguen preguntando lo mismo. Ahora ya parece que el círculo se ha cerrado y cuando me preguntan me gusta recordar aquellos días.

¿La habéis adivinado ya?

La pregunta es: “¿Cuál fue el primer virus que descubriste?” (además de las preguntas relacionadas: cuándo lo encontraste, cómo pudiste curar el ordenador infectado, etc.).

Evidentemente, se trata de una pregunta importante, ya que, si no hubiera infectado mi ordenador hace años, es probable que mi carrera no hubiera experimentado un cambio drástico: no hubiera creado el mejor antivirus del mundo, ni hubiera fundado una de las empresas privadas más importantes de la ciberseguridad, entre otras muchas cosas. Por tanto, sí, ese virus juega un papel fundamental, pues fue uno de los propulsores de todo lo que vino después: mil millones de sus “descendientes” y, después, las ciberamenazas, la guerra informática, el ciberespionaje y todos los ciberdelincuentes que hay detrás de todo esto, en todo el mundo.

Entonces, ¿cuál es la respuesta?

El nombre del virus era Cascade.

Pero ¿a qué viene toda esta nostalgia repentina con Cascade?

Seguir leyendo:Si me hubieran dado dinero cada vez que he escuchado esta pregunta en 30 años…

Noticias de ciberseguridad desde el lado oscuro: ciberhipocresía, Mirai, el GCHQ que te vigila y BlueKeep a raya

¡Hola a todos!

Hoy arrancamos con muy buenas noticias…

Seguimos siendo el producto “más probado, más premiado”.

Hace poco, el respetado laboratorio de pruebas independientes AV-Comparatives publicó los resultados de su análisis anual. En su estudio encuestó a 3.000 personas de todo el mundo durante la última etapa del 2018 y, de las 19 preguntas que debió responder cada uno de los encuestados, una era “¿Qué solución de seguridad antimalware para ordenador utilizas principalmente?“. ¿Adivinas qué marca queda en primer lugar en Europa, Asia y América Central y del Sur? Pues sí: ¡K! En Norteamérica quedamos segundos (y estoy seguro de que se trata de algo temporal). Además, en Europa hemos sido escogidos como la solución de seguridad más utilizada en smartphones. También nos encontramos entre las empresas que reciben más solicitudes de prueba de productos por parte de los usuarios, tanto en el apartado doméstico como en los productos destinados a empresas. ¡Genial! ¡Nos gustan las pruebas y creo que puedes ver el por qué! Por cierto, aquí encontrarás más información sobre las evaluaciones y pruebas independientes a las que se someten nuestros productos.

“Hipócrita, saca primero la viga de tu ojo y entonces verás claro para sacar la paja del ojo de tu hermano”, Mateo 7, 5.

En mayo se descubrió otra puerta trasera con funciones muy útiles para el espionaje. ¿Y dónde se encontró esta puerta trasera? ¿En Rusia? ¿En china? ¡Pues fue en Cisco (sí, otra vez)! ¿Ha habido revuelo en las redes? ¿Titulares y discusiones sobre amenazas a la seguridad nacional? ¿Se ha hablado de prohibir los productos de Cisco fuera de Estados Unidos? Espera, ¿también te lo has perdido? Pero, al mismo tiempo, Huawei está sufriendo un linchamiento internacional en pleno apogeo, aunque sin puertas traseras ni pruebas convincentes de los hechos.

fuente

Seguir leyendo:Noticias de ciberseguridad desde el lado oscuro: ciberhipocresía, Mirai, el GCHQ que te vigila y BlueKeep a raya

SAS-2019: Noticias de ciberseguridad desde el lado oscuro

¡Hola a todos!

Hoy os traigo una nueva actualización de noticias de ciberseguridad desde el lado oscuro, esta vez dedicada a las presentaciones de nuestra Security Analyst Summit anual del mes pasado en Singapur.

Una de las características principales de todas las SAS son las presentaciones de los expertos. A diferencia de otras conferencias geopolíticamente correctas, los analistas comparten sus descubrimientos sobre cualquier ciberamenaza, sin importar de dónde proceda, ya que siguen sus principios. Después de todo, el malware sigue siendo malware y los usuarios tienen que estar protegidos de las amenazas, independientemente de las intenciones de sus creadores. ¿Recuerdas el efecto bumerán?

Y si algún medio de comunicación decide mentir abiertamente sobre nuestros principios, que así sea. Pero que sepan que no solo van en contra de nuestros principios, nos gusta predicar con el ejemplo y esto demuestra nuestro liderazgo en la resolución de operaciones de ciberespionaje. Además, deben saber que no tenemos pensado cambiar nuestra posición en perjuicio de los usuarios.

Dicho esto, aquí os dejo las charlas más interesantes, increíbles y aterradoras que han tenido lugar en la SAS.

1. TajMahal

El año pasado destapamos un ataque a una organización diplomática de Asia Central. Evidentemente, que una organización como esta interese a los ciberdelincuentes no debería sorprender a nadie. Los sistemas de información de embajadas, consulados y misiones diplomáticas siempre han atraído el interés de otros estados y sus agencias de espionaje o de cualquiera con los conocimientos y recursos financieros necesarios. Sí, todos leemos novelas de espías, pero seguro que esto no lo has leído en ningún libro. Los atacantes construyeron un auténtico “TajMahal”, una plataforma APT con un gran número de complementos utilizados (nunca habíamos visto el uso de tantos complementos en una sola plataforma APT hasta la fecha) para todos los escenarios de ataque utilizando varias herramientas.

La plataforma consiste en dos partes: Tokyo, la puerta trasera principal, que también completa la función de envío del último programa malicioso, y Yokohama, que tiene distintas funcionalidades, como robar cookies, interceptar documentos de la cola de impresión, registrar llamadas VoIP (incluidas las de WhatsApp y FaceTime), realizar capturas de pantalla y mucho más. La operación TajMahal ha estado activa al menos 5 años y su complejidad podría sugerir que se ha desarrollado con más de un objetivo en mente; para descubrir el resto, tuvimos que indagar un poco más.

Puedes encontrar toda la información sobre esta APT aquí.

Seguir leyendo:SAS-2019: Noticias de ciberseguridad desde el lado oscuro