Ultimos posts Protegerse.com

Subscribe to canal de noticias Ultimos posts Protegerse.com
Una manera informal de acercarse a la seguridad informática
Actualizado: hace 2 horas 44 mins

Siguen usando las herramientas filtradas de la NSA para minar criptomonedas

Mié, 06/21/2017 - 12:11

Más de un mes después del incidente con WannaCryptor, y a pesar de todas las recomendaciones emitidas para que los usuarios con sistemas vulnerables actualizasen a la última versión de su sistema operativo, seguimos viendo que las herramientas de la NSA filtradas por el grupo The Shadow Brokers siguen siendo utilizadas por los ciberdelincuentes.

Malware usado para minar criptomonedas

Como ya vimos en un post anterior, el uso de estos exploits fue más allá de la propagación del ransomware WannaCryptor, e incluso dos semanas antes de la aparición de este ransomware ya se había detectado malware que infectaba a sus víctimas con estos exploits de la NSA y con  la finalidad de minar criptomonedas como Monero.

En esa ocasión el principal exploit utilizado fue EternalBlue, pero durante los últimos días hemos visto cómo los delincuentes detrás de este tipo de campaña han estado usando el exploit DoublePulsar. Ambos exploits se aprovechan de vulnerabilidades en el protocolo SMB tanto para acceder a los sistemas vulnerables como para propagarse por redes corporativas.

Sin embargo, estos ataques tienen una particularidad y es que no infectan a todos los sistemas que encuentran en su camino, tal y como hacía WannaCryptor, sino que primero revisa si el sistema dispone de suficientes recursos (concretamente una CPU lo suficientemente potente) para poder sacar rendimiento a la hora de minar monedas criptográficas. Solo en caso afirmativo se descarga el ejecutable que se encarga de minar esas monedas.

Características de este malware

Esta nueva variante del malware utiliza varios componentes que van desde una herramienta de control remote como Gh0st hasta el software de minado. Los delincuentes también han incluido un módulo de comunicación con su centro de mando y control para comprobar el estado de las máquinas infectadas y lanzarles nuevos comandos en caso de que sea necesario.

A pesar de que el minado de criptomonedas supone un elevado consumo de recursos que puede hacer sospechar a las víctimas, los delincuentes han incluido la opción de suspender el software de minado temporalmente si el usuario decide echar un vistazo al administrador de tareas en busca de algún proceso sospechoso en el sistema.

Además, para tratar de conseguir el mayor número posible de víctimas, el malware dispone de versiones de 32 y 64 bits. La elección de Monero como criptodivisa a minar es algo que venimos observando desde hace tiempo. Probablemente esté derivado de la dificultad cada vez mayor de minar Bitcoins, puesto que esta conocida criptodivisa tiene un límite de unidades a minar, haciendo que este proceso se vuelva cada vez más difícil.

En el caso de Monero este límite no existe, por lo que es más atractivo para los usuarios que empiezan en el mundo de las criptodivisas, pero también para los delincuentes. En el siguiente gráfico podemos observar el aumento del valor de Monero en las últimas semanas, justo desde el momento en el que se hicieron públicos los exploits de la NSA.

Descenso en el número de infecciones

A pesar del descubrimiento de este tipo de malware durante las última semanas, lo cierto es que cada vez quedan menos equipos vulnerables a los exploits filtrados de la NSA. Ya sea EternalBlue, DoublePulsar o cualquier otro, el impacto de WannaCryptor ha hecho que se acelerase el proceso de actualización de aquellos sistemas que aún quedaban vulnerables.

En el caso de DoublePulsar, hace unos días, el fundador de Shodan, John Matherly, publicó un interesante post en el que se veía el descenso de los sistemas vulnerables a este exploit desde la aparición de WannaCryptor. De los 100.000 vulnerables que se podían observar a finales de abril, a día de hoy quedan menos de 20.000 y bajando, lo que indica que muchas empresas están tomando cartas en el asunto.

Conclusión

Cuando se publicaron las herramientas utilizadas por la NSA ya avisábamos de que podrían ser utilizadas con todo tipo de fines maliciosos. WannaCryptor solo fue un ejemplo que dio mucha visibilidad a este problema, pero, como acabamos de ver, no fue el único malware en aprovecharse de la situación.

Josep Albors

 

House of leaks: Dejan expuestos los datos de casi todo el electorado de EE.UU.

Mar, 06/20/2017 - 12:16

Recientemente hemos conocido una de las filtraciones de datos personales más importantes de los últimos años por cantidad y el tipo de datos expuestos. Nada menos que los datos personales de 198 millones de votantes registrados para las pasadas elecciones presidenciales de 2016 fueron expuestos y estuvieron al alcance de cualquiera, debido a una mala política de gestión de este tipo de información por parte de la empresa que se encargó de recopilarlos y custodiarlos.

Información confidencial a disposición de cualquiera

Según informan los investigadores de la empresa UpGuard, descubridores de esta inmensa base de datos, esta información ha estado disponible durante un tiempo para cualquiera que conociera dónde se almacenaba (un contenedor de Amazon S3), sin necesidad de proporcionar una contraseña para acceder a ella. La empresa responsable de este contenedor ha admitido la exposición involuntaria y ya ha adoptado las medidas de seguridad pertinentes.

Entre los datos personales que se pueden encontrar se incluyen nombres, fechas de nacimiento, direcciones postales, números de teléfono, raza, religión y otros datos privados que son toda una mina de oro para aquellas empresas que se dedican a analizar y predecir cómo se comportarán los votantes en unas elecciones.

Toda esta información se ha venido recopilando desde hace años por tres empresas asociadas al partido republicano de los Estados Unidos dedicadas a la recolección de este tipo de datos. Al parecer, todo apunta a que estos datos se ha usado en las tres últimas campañas republicanas para las elecciones de 2008, 2012 y 2016.

¿Cómo de grande ha sido esta exposición?

Si bien 198 millones de registros no es una cantidad para tomarse a la ligera, tampoco es la más grande que hemos visto recientemente. De hecho, a finales de 2016 y principios de 2017 hemos visto filtraciones de datos que llegaron a alcanzar casi los 600 millones de usuarios afectados.

Tampoco es la primera vez que se produce este tipo de exposición de datos personales. De hecho, el mismo investigador que ha dado la voz de alarma en esta ocasión, fue también quien descubrió una base de datos anterior con 191 millones de datos de votantes estadounidenses y otra más pertenecientes a más de 93 millones de votantes mexicanos.

No obstante, la verdadera importancia de este incidente radica en que toda la información a la que se pudo acceder pertenece a habitantes de un mismo país y los datos que se pueden sacar de esta base de datos son muy útiles a la hora de lanzar campañas orientadas a un segmento de la población muy específico.

¿Son estos datos tan privados como pensamos?

A pesar de que este tipo de exposiciones de datos personales pueden parecernos muy graves a los habitantes de otros países, lo cierto es que mucha de esta información sobre el electorado de los Estados Unidos se hace pública a empresas privadas que luego la usan para confeccionar bases de datos como la que ha protagonizado este incidente.

Estas empresas utilizan esta información para segmentar a los votantes e influenciarlos sobre a qué candidato deberían votar en unas elecciones mediante todo tipo de anuncios dirigidos. Además, como acabamos de ver, el propio investigador descubrió en 2015 que ya se estaba compartiendo una base de datos similar en foros underground, por lo que la mayoría de los votantes ya hace tiempo que vieron sus datos comprometidos. El problema es que a la mayoría de ellos este hecho les importa más bien poco y esta información es algo demasiado valioso como para que un futuro candidato a presidente prescinda de ella.

Esto es algo que nunca debemos subestimar y, si bien la historia de la ascensión de Francis Underwood al despacho oval no deja de ser una obra de ficción, hay mucho de realidad en ella como para ignorar el peligro que supone esta cantidad de información en manos de alguien sin escrúpulos y dispuesto a cualquier cosa para alcanzar su meta.

Conclusión

Como acabamos de ver, no hace falta que una potencia extranjera tenga como objetivo el proceso electoral de Estados Unidos. Fallos como el que ha provocado la exposición se deben a una mala implementación de las políticas de seguridad más básicas, y por eso debemos utilizar este incidente como ejemplo de lo que se debe evitar a la hora de proteger datos personales.

Josep Albors

¿Paquete de FedEX? Ten cuidado a quien le das tus datos personales

Lun, 06/19/2017 - 16:18

De un tiempo a esta parte, las estrategias utilizadas para conseguir que los usuarios caigan en todo tipo de engaños (e incluso descarguen malware en su sistema) han evolucionado lo suficiente como para que hasta el más precavido se lo piense dos veces intentando averiguar si el email o mensaje que acaba de recibir es legítimo o no.

Un correo que no es lo que parece

Ejemplos de esto que acabamos de decir tenemos bastantes en los últimos años, desde campañas de ransomware que utilizaban el servicio postal de Correos o una supuesta factura de Endesa como gancho, a los falsos cupones descuento de todo tipo de empresas que recibimos por WhatsApp.

La forma en la que están diseñados estos correos o mensajes son bastante convincentes y por eso suelen tener más éxito que las campañas de propagación masiva de spam que suelen llegarnos a diario, sin traducir y con un fichero adjunto o un enlace en el que pulsar.

Hoy vamos a analizar una campaña de spam que se ha estado propagando en los últimos días y que utiliza como gancho a la conocida empresa de mensajería FedEX. Tal y como vemos en el correo que mostramos a continuación, el email simula ser una notificación de entrega de un paquete, algo que puede llamar la atención, especialmente la de aquellos que hacen pedidos a tiendas online.

Lo raro empieza cuando, justo en la parte inferior del mensaje, se menciona que este concurso no está relacionado con FedEx ni tiene relación alguna con esta empresa. Hasta este momento no habíamos visto la palabra concurso en el email y todo apuntaba a que se trataba de un aviso de entrega de un paquete. Este punto es el que nos debería hacer sospechar en primera instancia que este correo no es lo que aparenta ser.

Pero es que, además, si pulsamos sobre el enlace veremos que nos redirige a un dominio que  no tiene nada que ver con FedEx, dominio que podemos ver a continuación (y que hemos modificado para que no se acceda de forma accidental).

hxxp://my[dot]opewia[dot]fr/tk/t/2/4509806056bbf/8791958c1/55634ca6/69324783e1e/

Encuestas y obtención de información

Una vez que hemos accedido al enlace proporcionado en el correo, podemos ver cómo se sigue utilizando la imagen de FedEx y se nos empiezan a solicitar datos. Hay que destacar que, en este punto también, se nos muestra el reglamento del concurso y las condiciones legales, con información de la empresa que lo organiza.

También se vuelve a recalcar que el concurso no está organizado por la empresa de transporte de mercancías FedEx. No obstante, el uso de su marca sin su consentimiento y el gancho del paquete inexistente para conseguir que la gente pique estaría rallando la ilegalidad en el mejor de los casos.

Como no podía ser de otra forma, el primer dato que nos solicitan es el número de teléfono, para así poder bombardearnos con publicidad mediante mensajes e incluso llamadas de teleoperadores a horas intempestivas. Si alguien llega a este punto y sigue sin ver nada extraño, es probable que pase un verano entretenido lidiando con llamadas y mensajes no solicitados.

Por otro lado, los lectores más avispados que hayan llegado a este punto podrán establecer más de una similitud con campañas anteriores muy parecidas pero que utilizaban a otras empresas como gancho. Hace un par de años revisábamos en este mismo blog un caso muy parecido pero con un paquete supuestamente enviado por Samsung como gancho, y ahora vemos que la plantilla es muy similar.

Eso lo podemos comprobar viendo que los pasos a seguir son los mismos e incluso se reciclan iconos de esa campaña anterior. Podemos observar también como entre los “partners” de la empresa encargada de realizar estas acciones publicitarias se encuentran empresas conocidas, que no sabremos si estarán muy de acuerdo con la estrategia utilizada para captar nuevos clientes.

A partir de este punto no dejan de sucederse las encuestas y los registros en todo tipo de servicios, solicitándonos datos personales como nuestro nombre y apellidos, correo electrónico y otros. No hace falta pensar mucho para saber que las bandejas de entrada de aquellos que se suscriban a estos servicios van a ver cómo aumentan drásticamente el número de mensajes recibidos.

El caso es que cuando lleguemos al último punto se nos siguen mostrando todo tipo de promociones, pero del supuesto paquete ni rastro.

En el correo original aparecía un número de paquete, y no es de extrañar que más de un usuario proceda a comprobar si con este número se puede hacer un seguimiento del envío desde la web legítima de FedEx España. Sin embargo, y como era de esperar, ese número no devuelve ningún resultado.

Siguiendo el rastro

Tanto en las condiciones como en el reglamento del concurso aparece como organizadora una empresa que parece especializada en este tipo de promociones. No es que la publicidad de este tipo nos sea ajena o pueda ser considerada como ilegal (aunque jueguen al límite), pero la utilización de marcas de terceros sin su consentimiento sí que puede llegar a ser denunciable.

En lo que respecta al dominio al que se nos redirige al pulsar sobre el enlace proporcionado en el email, lo extraño es cómo está estructurado. Una agencia de publicidad redirigiría a un dominio propio y lo clasificaría por campañas, mostrando en el dominio raíz su marca corporativa o, como mínimo, una web de bienvenida.

En este caso encontramos lo siguiente:

Esta pantalla se corresponde con la que se genera de forma automática al registrar un dominio en el conocido proveedor de hosting francés OVH, por lo que no se han molestado siquiera en cambiarlo (o les importa más bien poco la imagen corporativa).

En lo que respecta al dominio, este fue registrado originalmente en 2016 y este año ya lo han renovado, por lo que es muy probable que lo veamos siendo utilizado en campañas futuras similares.

Conclusión

La aparición de estas campañas de spam es algo que se produce de forma cíclica, con ligeros cambios que las van perfeccionando y consiguen que nuevos usuarios piquen en el engaño. El problema principal es que es difícil denunciar este tipo de acciones, puesto que la mayoría de las veces están dentro de la legalidad. Otra cosa es la utilización de marcas sin permiso, pero eso es algo con lo que tienen que lidiar las empresas afectadas.

Como usuarios, lo primero que debemos hacer es desconfiar de este tipo de correos y mensajes. Todas las promociones oficiales están muy bien concretadas y suelen acompañarse de campañas de publicidad en varios medios. Por otra parte, si no estamos esperando un paquete enviado por un servicio de mensajería como FedEx, ¿qué motivos tenemos para abrir un email así?

Josep Albors

 

Intentan estafar a usuarios desprevenidos amenazando con un falso ciberataque

Jue, 06/15/2017 - 17:21

Durante los últimos días hemos estado viendo cómo se propagaban unos correos amenazadores entre varios usuarios, sin hacer distinción entre usuarios corporativos y domésticos. Estos correos contenían un mensaje en inglés donde se instaba al usuario a pagar 1 bitcoin (alrededor de 2000€ en el momento de escribir estas líneas) si no quería ser víctima de un supuesto ciberataque el día 16 de junio.

Ciberdelincuentes de saldo

Varios han sido los usuarios que han contactado con nuestro servicio de soporte preguntando acerca de estos correos, preocupados por si hubiese una campaña similar a WannaCryptor/WannaCry en activo durante esta semana. Además, el Grupo de Delitos Telemáticos de la Guardia Civil también ha alertado durante estos días de esta campaña de spam que no deja de ser una estafa, tal y como veremos a continuación.

El causante de todo este revuelo son una serie de spams con alguna diferencia entre sí pero que buscan lo mismo: aprovechar la paranoia postWannaCry para tratar de hacer su agosto con el mínimo esfuerzo. Para eso envían miles de correos electrónicos de forma indiscriminada a todo tipo de destinatarios, como el que vemos a continuación:

En ese correo vemos como alguien que se identifica como “Meridian Collective” avisa de que han revisado la seguridad de nuestra empresa y comprobado que es muy mala. A continuación amenazan con lanzar una serie de ataques que incluyen una denegación de servicio distribuido, el robo y/o daño de las bases de datos almacenadas en los servidores de la empresa y el cifrado mediante un ransomware de toda la información.

Para evitar este supuesto ataque, los estafadores piden el pago de 1 bitcoin, una cantidad nada despreciable viendo la escalada de valor que ha tenido esta criptodivisa durante las últimas semanas.

Otros correos que se han ido recibiendo modifican levemente su contenido añadiendo la filtración de datos confidenciales supuestamente robados. Otros datos como la fecha y hora en la que se realizaría el ataque no varían y nos siguen emplazando al viernes 16 de junio:

El poco éxito de esta campaña

A pesar de que son varios los usuarios que se han puesto en contacto con nosotros o con la Guardia Civil, dudamos que esta campaña tenga algún éxito, ya que la cantidad de dinero transferido a las direcciones de bitcoins proporcionadas por los estafadores hasta el momento de escribir estas líneas es exactamente 0.

Todo apunta a que alguien ha querido aprovecharse de la situación de pánico generalizado que existe desde hace unas semanas con respecto a los ciberataques en general y al ransomware en particular, y ha probado suerte invirtiendo los mínimos recursos necesarios. Estos son: unas pocas cuentas de correo creadas para la ocasión, algún que otro monedero para recibir el pago en bitcoins y la redacción de un correo que hace aguas por todas partes y que además no se ha molestado siquiera en traducir a otros idiomas.

Todo apunta a que mañana, 16 de junio, a las 8:00 P.M. GMT no pasará nada de nada y la mayoría de los que han recibido este correo lo habrán enviado a la papelera y estarán disfrutando del inicio del fin de semana.

Conclusión

Como muy bien dice el refrán, “En río revuelto, ganancia de pescadores” y parece que algún listo ha querido aprovechar la situación actual para probar suerte. Sin embargo, todo apunta a que se irá con las manos vacías, salvo que algún incauto atemorizado acepte pagar este “rescate preventivo” y luego vea que el ataque nunca llega  a producirse.

No obstante, siempre podemos sacar algo positivo de estos incidentes, y en esta ocasión es posible que más de uno haya decidido revisar la seguridad de su empresa por si las moscas, algo que nunca está de más.

Josep Albors

Policías europeas detienen a varios ciberdelincuentes alrededor de Europa

Jue, 06/15/2017 - 13:10

Responsables de Europol anunciaron ayer que varias fuerzas policiales de toda Europa realizaron una operación conjunta que ha conseguido detener a los responsables de un servicio de ofuscación de códigos maliciosos y a algunos de sus clientes. Estas detenciones son el resultado de la “Operación Neuland” que empezó en abril de 2016.

Cronología de las detenciones

Según el comunicado lanzado ayer por Europol, entre el 5 y el 9 de junio se procedió a arrestar a 6 sospechosos y a entrevistar a otros 36 en una operación coordinada internacionalmente. Entre los detenidos se encuentran los desarrolladores y algunos usuarios de servicios de una plataforma destinada a ofuscar malware para evadir las detecciones de los antivirus, así como también de un servicio online similar a VirusTotal donde los delincuentes podían evaluar el nivel de detección de sus creaciones por parte de los fabricantes de soluciones de seguridad, pero sin compartir sus muestras para evitar la pronta detección.

Esta operación bautizada como Neuland fue liderada por la organización alemana Kriminalinspektion Mayen con el soporte del Centro Europeo del Cibercrimen de Europol (EC3) y el grupo especializado en ciberinvestigaciones del propio EC3, conocido como J-CAT.

La operación se dividió en dos fases, llevando a cabo la primera el pasado 5 de abril de 2016 y que tuvo como objetivo detener a los dos sospechosos responsables del servicio de ofuscación de malware, así como también a dos usuarios alemanes que utilizaban este servicio y sus herramientas.

La segunda parte de la operación se llevó a cabo del 5 al 9 de junio de este año y sus objetivos en esta ocasión fueron los usuarios internacionales de estos servicios delictivos. En la operación se involucraron varios países, entre los que se encuentran Chipre, Italia, Holanda, Noruega y el Reino Unido, obteniendo la detención de 6 sospechosos y entrevistas a otras 36 personas en 20 registros realizados que también consiguieron obtener un elevado número de dispositivos.

Una tendencia en aumento

Esta operación confirma un aumento del modelo criminal que se encarga de ofrecer servicios para que otros delincuentes puedan realizar sus delitos. Además, la edad media de los delincuentes detenidos en esta operación ronda los 23 años, algo preocupante, puesto que demuestra que estos delincuentes se ven atraídos por el dinero fácil a una edad temprana sin pensar en las consecuencias de sus acciones.

En lo que respecta a los servicios delictivos que han sido desmantelados, los ofuscadores de código usados por los delincuentes se encargaban de dificultar el análisis del malware por parte de las soluciones de seguridad. Debemos recalcar que un ofuscador de código no es una herramienta maliciosa por sí misma, puesto que muchos desarrolladores de aplicaciones las utilizan, por ejemplo, para evitar que alguien copie código sin su permiso. No obstante, en este caso la finalidad de su uso era puramente delictiva.

En lo que respecta a la plataforma de análisis antivirus desarrollada por los delincuentes, esta era utilizada por otros criminales para probar sus amenazas contra las soluciones de seguridad más usadas del mercado y tratar de evadir su detección. Este tipo de plataformas llevan años siendo utilizadas por los ciberdelincuentes y, si bien la ofuscación empleada puede llegar a evadir un análisis estático clásico, su efectividad baja notablemente cuando se enfrentan a las múltiples capas de análisis dinámico con las que cuentan los antivirus actuales.

Conclusión

Este tipo de operaciones policiales demuestran que existe una industria del cibercrimen bien estructurada desde hace tiempo, donde cada delincuente juega su parte. La profesionalización de los criminales ha hecho que los creadores de código malicioso solo sean una parte de este complejo engranaje, y por eso cualquier golpe a esta infraestructura debe ser bien recibido por todos los que queremos usar la tecnología de forma segura.

Josep Albors

Dos vulnerabilidades explotadas activamente obligan a actualizar de nuevo Windows XP

Mié, 06/14/2017 - 11:53

En su ronda habitual de publicación de boletines de seguridad, Microsoft ha vuelto a sorprender a propios y extraños incluyendo a Windows XP y Windows Server 2003 en los parches que solucionan vulnerabilidades que estaban siendo aprovechadas activamente por  atacantes y que, nuevamente, están relacionadas con el set de exploits de la NSA liberados el pasado mes de abril por el grupo The Shadow Brokers.

Elevado número de vulnerabilidades solucionadas

Este mes, el número de vulnerabilidades que han sido solucionadas en sus productos por parte de Microsoft asciende a la nada despreciable cantidad de 94. Entre estas vulnerabilidades encontramos muchas que afectan a diferentes versiones del paquete ofimático Office y a alguno de sus componentes como Excel, Outlook o Word, algo que no nos extraña viendo que las macros maliciosas están volviendo a ser muy utilizadas.

Sin embargo, lo más destacable es la publicación de boletines de seguridad para sistemas operativos Windows que ya fueron dejados de lado por Microsoft hace algún tiempo. Estamos hablando de Windows XP y Windows Server 2003, sistemas que Microsoft ha decidido actualizar debido al peligro que suponen dos de las vulnerabilidades relacionadas, publicando un par de posts para explicar esta decisión.

La adopción de esta medida excepcional está provocada porque algunas de las vulnerabilidades solucionadas están siendo aprovechadas por atacantes para propagar amenazas. Estas vulnerabilidades están relacionadas con algunas de las herramientas filtradas de la NSA como ENGLISHMANDENTIST (que tiene a Outlook como objetivo), EXPLODINGCAN (que apunta a IIS 6.0) Y ESTEEMAUDIT (con el protocolo RDP en el punto de mira).

De esta forma, los exploits dejan de funcionar en los equipos actualizados aunque sean sistemas que terminaron su ciclo de vida útil hace tiempo. Esto no significa que aquellos usuarios o empresas que los siguen usando deban considerar urgentemente en actualizar a otros más modernos puesto que existen muchas otras vulnerabilidades para las que no hay ni habrá solución.

Adobe soluciona 20 vulnerabilidades

Tal y como viene siendo habitual, el mismo día que Microsoft ha publicado sus boletines de seguridad, Adobe también ha solucionado vulnerabilidades en sus productos. Los fallos más críticos los encontramos en Adobe Flash Player para Windows, macOS, GNU/Linux y Chrome OS y en Adobe Digital Editions para Windows, macOS, iOS y Android.

Las vulnerabilidades críticas presentes en Flash Player podrían permitir a un atacante tomar el control del sistema, posiblemente uno de los peores escenarios posibles. En lo que respecta a los fallos encontrados en Adobe Digital Editions, las actualizaciones publicadas evitan que se pueda ejecutar código y que se realice una escalada de privilegios en los sistemas vulnerables.

Conclusión

Tras el incidente con WannaCry, muchos usuarios sufrieron de primera mano las consecuencias de no tener actualizado el sistema operativo con los parches de seguridad correspondientes. Este tipo de situaciones deben servirnos de recordatorio para evitar situaciones similares en el futuro, tanto actualizando nuestros sistemas como las aplicaciones que usamos como contando con soluciones de seguridad capaces de detectar los exploits que intenten aprovecharse de las vulnerabilidades existentes.

Josep Albors

Estado de la ciberseguridad en sistemas de control industrial

Mar, 06/13/2017 - 14:01

Los sistemas de control industrial, especialmente aquellos que afectan a infraestructuras críticas como las estaciones eléctricas, llevan años en el ojo del huracán. Investigadores especializados en seguridad informática han ido descubriendo desde hace tiempo amenazas dirigidas a estos sistemas, amenazas que han llegado incluso a las portadas de los medios generalistas, planteando un panorama nada esperanzador a la sociedad.

Un poco de historia

Los sistemas de control industrial llevan mucho tiempo entre nosotros y están siendo utilizados por todo tipo de empresas, ya estén relacionadas con infraestructuras críticas o no. Es un mundo desconocido por el gran público que solo se preocupa cuando ve que alguno de estos sistemas provoca un incidente que afecta a su vida cotidiana.

La realidad es que estos sistemas de control industrial fueron diseñados para funcionar durante largos periodos de tiempo en todo tipo de condiciones, normalmente aislados de cualquier red que no fuera la interna de la propia empresa o infraestructura que se encargaba de controlar.

Todo eso cambió cuando se empezaron a conectar estos sistemas a redes relativamente más públicas, por conveniencia o simple reducción de costes. Además, la información acerca del funcionamiento de estos sistemas empezó a hacerse pública (o, al menos, no tan difícil de encontrar como lo era hace décadas) y muchos empezaron a revisar los posibles agujeros de seguridad de sistemas que no fueron especialmente diseñados para prevenir ataques externos.

Se ha escrito mucha literatura sobre sabotajes a instalaciones industriales, y no son pocos los que apuntan al incidente del gasoducto transiberiano de 1982 como uno de los primeros ejemplos de sabotaje industrial realizado mediante una bomba lógica alojada en uno de los sistemas de control supuestamente utilizado en esas instalaciones. No obstante, conjuntamente a esta creencia popular existen versiones que contradicen la versión “oficial” de la CIA y apuntan a una explosión provocada por una mala construcción en lugar de un sabotaje.

Nadie duda que durante la Guerra Fría se pudieron producir operaciones de este tipo, pero ni los sistemas industriales eran los mismos que se utilizan ahora ni la forma de atacarlos tenía nada que ver con lo que se realiza actualmente.

Ataques modernos

La sociedad vivió prácticamente ajena a este tipo de ataques hasta verano de 2010, fecha en la cual se desveló la existencia de Stuxnet, una amenaza muy avanzada que fue diseñada específicamente para retrasar todo lo posible el programa nuclear Iraní. El éxito que obtuvo este código malicioso, así como las técnicas usadas para conseguir su objetivo y la implicación de dos naciones como Estados Unidos e Israel en su desarrollo, sirvió para desvelar que habíamos entrado en una nueva era en las que ya no podíamos considerar 100% seguras frente a un ciberataque según qué infraestructuras controladas por sistemas de control industrial.

Fue a partir de ese momento cuando la gran mayoría de nosotros nos dimos cuenta de que los sistemas industriales que controlan todo tipo de instalaciones podían ser víctimas de este tipo de ataques, aunque con la euforia inicial no se distinguió entre las que aplicaban medidas de seguridad robustas frente a las que no lo hacían y se metió a todo el sector en el mismo saco.

Fruto de las investigaciones que se realizaron a partir de Stuxnet, vimos que esta no era la única amenaza desarrollada con la finalidad de atacar estos sistemas y que incluso se podían relacionar diversas amenazas entre ellas, tal y como fue el caso de Duqu y Flame con respecto a Stuxnet.

Una de las consecuencias provocadas por estas amenazas es que desde entonces cualquier incidente en un sistema industrial, especialmente si se trata de una infraestructura crítica, es mirado con lupa por los medios para ver si hay alguna posibilidad de que exista una ciberamenaza involucrada. Esto ha dado lugar a aumentar una paranoia muchas veces infundada, especialmente cuando en el incidente está involucrado una central nuclear.

Podría parecer que este tipo de instalaciones son especialmente vulnerables a los ciberataques, al menos si hacemos caso a lo que se ha escrito en la prensa durante los últimos años, pero esto no suele ser así. La detección de un malware común como Conficker o Ramnit en algunos sistemas de una central nuclear alemana no tiene una consecuencia en su seguridad, por mucho que algunos se empeñen en magnificar el ataque.

Otra cosa son ataques que, bien intencionadamente o como consecuencia del mismo, provocan un daño físico a la empresa atacada. Un ejemplo de esto lo tenemos en el caso de la metalúrgica alemana que, tras ver cómo algunos de sus sistemas fueron infectados, comprobó que uno de los hornos dejó de funcionar correctamente.

Tal vez, los casos más sonados que hemos vivido recientemente son los que afectaron a empresas del sector eléctrico en Ucrania durante diciembre de 2015 y 2016. Los análisis de estos ataques han demostrado que en 2015 se utilizó el malware BlackEnergy, usando para distribuirlo correos electrónicos que adjuntaban ficheros Excel con macros maliciosas.

Sin embargo, en los ataques de diciembre de 2016 se usó un ataque completamente distinto y eso nos lleva al siguiente punto.

Industroyer, el siguiente paso

En el informe que ESET acaba de publicar sobre la amenaza Industroyer vemos como todo apunta a que fue este malware y no BlackEnergy el responsable de los apagones en Ucrania en diciembre de 2016. También vemos con detalle lo avanzado de este malware modular y que, en lugar de infectar los sistemas de control industrial usados en centrales eléctricas, utiliza los protocolos de comunicación industrial para realizar acciones maliciosas.

Estos protocolos se crearon hace décadas y en ese momento no se pensó en la seguridad lógica, puesto que la idea era que los sistemas industriales estuvieran aislados del mundo exterior. Por ese motivo, los atacantes que utilizaron Industroyer no necesitan buscar vulnerabilidades en los protocolos. Tan solo deben enseñar al malware a hablar el mismo lenguaje.

Una de las peculiaridades de Industroyer, la cual lo distingue de otras familias de malware que también tienen como objetivo infraestructuras críticas, es que utiliza cuatro componentes maliciosos para obtener el control directo de los interruptores y disyuntores de una subestación eléctrica. Cada uno de estos componentes está pensado para afectar a un protocolo de comunicación industrial, protocolos que vienen especificados en los siguientes estándares: IEC 60870-5-101IEC 60870-5-104IEC 61850 y OLE para Process Control Data Access (OPC DA).

Lo que hace realmente peligroso a Industroyer es que (a diferencia de Stuxnet, que estaba pensado para atacar un objetivo en concreto) puede ser utilizado para atacar prácticamente cualquier sistema de control industrial que utilice los protocolos de comunicación implementados a nivel mundial en infraestructuras de todo tipo, entre las que se incluyen las de suministro de energía eléctrica, sistemas de control de transporte y otros sistemas encargados de gestionar el abastecimiento de agua o gas, por poner solo unos ejemplos.

Conclusión

Como acabamos de repasar, la ciberseguridad en sistemas de control industrial es bastante mejorable, aunque esto depende de cada sector donde estén implementados estos sistemas. Es obligación de los responsables protegerlos, y de los fabricantes adoptar las medidas necesarias para que no sean víctimas de un ataque, y abogar por un cambio de paradigma que contemple la seria posibilidad de que una amenaza como las que hemos descrito pueda causar daños graves.

Josep Albors

 

Roban información relacionada con de Cyberpunk 2077. Sus creadores no pagarán el rescate

Vie, 06/09/2017 - 13:04

En los últimos meses hemos visto que los ciberdelincuentes han empezado a amenazar con publicar información robada a empresas del sector del entretenimiento, información de  lo más valiosa, puesto que tiene que ver con su línea de negocio principal: el material que producen y con el que esperan obtener ventas.

¿Un nuevo modelo de extorsión?

Los robos de información a grandes empresas no son ninguna novedad. Sin embargo, la tendencia actual de amenazar con publicar material confidencial si no se paga un rescate está cobrando fuerza si nos atenemos a casos recientes como el la publicación de la cuarta temporada de “Orange is the new black” antes de que se estrenase en Netflix (la plataforma que produce esta serie), o el protagonizado por la entrega más reciente de la saga de Disney “Piratas del Caribe”.

Ahora vemos cómo la historia se repite, pero en lugar de afectar a un estudio de producción de películas o series, la empresa afectada es CD Projekt RED, el estudio de desarrollo de videojuegos polaco conocido (y querido) mundialmente por haber desarrollado los juegos de la saga The Witcher, basados a su vez en la saga de libros escritos por el puchoso Andrzej Sapkowski (ains).

Según un tuit publicado ayer por responsables del estudio, uno o varios delincuentes habrían conseguido hacerse con documentación relacionada con su nuevo proyecto, el videojuego Cyberpunk 2077, solicitando un rescate a cambio de no publicar dicha documentación.

No obstante, las mismas fuentes dicen que no van a ceder a este tipo de chantaje, indicando además que los documentos filtrados son antiguos y no representan la visión actual que presenta el juego en desarrollo. Además, avisan a los fans que están esperando este videojuego como agua de mayo para que intenten evitar cualquier tipo de información que no venga por el canal oficial.

No deja de ser paradójico que un videojuego que tiene como base el popular juego de rol de finales de los 80 y principios de los 90 Cyberpunk 2020 (al cual tuve el placer de jugar unas cuantas partidas hace ya mucho tiempo) haya sufrido este incidente. Por poner solo un ejemplo, en el universo del juego uno de los perfiles más típicos era el del hacker que luchaba contra megacorporaciones, infiltrándose en sus redes para robar información confidencial. Algunos lo han visto como una manera de promocionar el juego, pero todo apunta a que ha sido mera casualidad.

En cualquier caso, los delincuentes se han ganado la enemistad de muchos de los seguidores de este estudio de desarrollo (entre los que me incluyo), y más les vale que se escondan, porque la ira de los fans de Geralt de Rivia puede ser un problema con el que no contaban.

Conclusión

Como vemos, este tipo de técnicas utilizadas por los delincuentes pueden afectar a empresas de cualquier sector. Los criminales saben que mucha de la información que roban puede tener valor para muchas personas y por eso optan en ocasiones por la vía rápida para obtener beneficios, y esa no es otra que la extorsión y el chantaje, como en este caso.

Para evitar incidentes de este tipo, las empresas deben proteger sus activos más valiosos limitando el acceso a estos e incluso cifrándolos si van a salir de un entorno controlado y protegido. De la misma forma, la implementación como el doble factor de autenticación puede servir para impedir que el robo de credenciales a un empleado termine en un problema grave para la empresa como los que hemos visto.

Josep Albors

Guía de viaje para unas vacaciones seguras

Jue, 06/08/2017 - 16:38

Ahora que el calor ya empieza a apretar y que empieza la temporada veraniega es importante recordar esos consejos que nos ayudan a tener unas vacaciones seguras también en nuestro mundo digital. Los hábitos de los veraneantes a la hora de planificar y disfrutar de sus vacaciones han cambiado en los últimos años y por eso, los consejos para hacerlo de forma segura también se han adaptado. Veamos a continuación cuales son los principales.

Planificando nuestro descanso veraniego

Aunque buena parte de los usuarios ya tendrá contratados los medios de transporte y lugares de alojamiento desde hace semanas o incluso meses, siempre quedan los típicos rezagados o, porque no, aquellos que buscan aprovecharse de ofertas de última hora. La aparición hace años de los portales online en los que buscar vuelos y hoteles baratos junto con otros servicios como el alquiler de vehículos supuso un cambio importante en la manera en la que los usuarios planificábamos todas nuestras vacaciones.

Sin embargo, hemos de tener cuidado a la hora de elegir que portal vamos a utilizar para contratar todos estos servicios y usar solo aquellos que tengan una buena reputación. De lo contrario podemos encontrarnos con la desagradable sorpresa de querer empezar nuestras vacaciones y encontrarnos que ni los billetes de avión adquiridos ni la reserva de hotel son válidos, habiendo perdido además el dinero que pagamos por ellos.

Algunas de las compañías de renombre que más se suelen utilizar para contratar estos servicios son Kayak, Trivago, SkyScanner, Tripadvisor o Booking. Independientemente de la confianza que nos inspiren estas webs, siempre hemos de revisar bien la letra pequeña para evitar que tener que pagar un sobrecoste por cualquier servicio adicional que creíamos incluido.

De la misma forma, los delincuentes saben que durante esta época las consultas en este tipo de webs se disparan y más de un usuario puede terminar en una web maliciosa que busca robarle los datos de su tarjeta de crédito.

En los últimos años han cobrado mucha importancia servicios como Airbnb como alternativa barata a los hoteles tradicionales. Son muchos los usuarios satisfechos pero también hemos de tener cuidado a la hora de contratar alojamiento en esta plataforma, haciéndolo siempre con aquellos usuarios que dispongan de buena reputación y asumiendo el riesgo de que puede haber cancelaciones de última hora.

Protegiendo nuestros dispositivos

Además de la ropa y los accesorios de aseo, pocos son los veraneantes que, hoy en día, salen de viaje sin, al menos un dispositivo con conexión a Internet. Si además eres un geek como el que escribe ese artículo, es probable que termines con una mochila en la que llevas un portátil (o dos), un smartphone (o dos, o tres), una tablet, una videoconsola portátil, todo tipo de cables (de alimentación, ethernet, USB, etc) un modem/router WiFi portati, una cámara de fotos digital y baterías para cualquier imprevisto.

Casi todos estos dispositivos se conectan a Internet y en ellos almacenamos datos personales o utilizamos aplicaciones que requieren de credenciales de acceso. Para nosotros, supondría un serio problema la pérdida o robo de uno de esos dispositivos, no solo por su coste o la información almacenada, sino también por la posibilidad de que alguien nos suplantara la identidad.

Por esos motivos es importante aplicar medidas de seguridad como la protección de acceso al dispositivo mediante un código pin o sistemas biométricos y alternativos, cifrar el contenido del dispositivo para evitar que cualquiera pueda acceder a él en caso de pérdida o robo y contar con alguna solución de seguridad que permita localizar, bloquear e incluso borrar el contenido del dispositivo.

A la hora de utilizar uno de estos dispositivos es importante contar con una conexión segura a Internet y eso es algo que no siempre es fácil conseguir cuando se está de vacaciones. Solo debemos echar un vistazo a cualquier zona turística de cualquier ciudad medianamente importante para ver como los turistas se aglutinan alrededor de aquellas áreas en las que se ofrece conexión gratuita a Internet.

El problema es que esos puntos de acceso son algo muy atractivo para los delincuentes puesto que pueden intentar robar las credenciales de los servicios online que estén utilizando los turistas o incluso montar su propio punto de acceso malicioso tan solo con una Raspberry Pi y una antena Alfa o simplemente comprándose una piña WiFi.

Por eso siempre es recomendable utilizar alguna solución VPN para que, si nos vemos obligados a conectarnos a uno de estos puntos de accesos inseguros, al menos no puedan interceptar nuestras comunicaciones. Existen muchos servicios VPN, incluso gratuitos, pero siempre está bien revisar cuales ofrecen la mejor privacidad para elegir el que mejor se adapte a nuestras necesidades.

Una buena noticia para los veraneantes de la Unión Europea es que a partir del 15 de junio de 2017 se eliminan las abusivas tarifas de roaming para llamadas y datos. Esto significa que podremos usar nuestro móvil dentro de aquellos países miembros de la UE tal y como lo haríamos en nuestro país de origen sin temor a recibir una factura excesiva.

Sin embargo, si salimos de viaje fuera de la Unión Europea la cosa se complica, aunque durante los últimos años han ido apareciendo opciones muy asequibles. Una opción es contratar un modem/router WiFi que nos de acceso a Internet a todos los dispositivos que queramos conectarle. Por experiencia personal, es la mejor opción cuando se viaja a países como Japón ya que es relativamente barato e, incluso si no queremos utilizar este tipo de dispositivos, siempre podemos optar por contratar una tarjeta SIM y usarla de forma conjunta a nuestra tarjeta habitual si nuestro dispositivo dispone de capacidad multisim.

En otros países como Estados Unidos también se pueden contratar servicios similares ofertados por compañías como AT&T, Verizon o Sprint, aunque también podemos contratar una tarifa con FreedomPop y utilizar su tarifa de datos en toda la Unión Europea y Estados Unidos. Para otros países, lo mejor es consultar las ofertas de los proveedores locales y tratar de contratar el servicio antes de empezar el viaje.

Contratar nuestra propia tarifa de datos para utilizarla en el extranjero nos da mucha libertad y evita que nos conectemos a redes WiFi inseguras donde pueden robarnos nuestras credenciales o peor aun, los datos de nuestra tarjeta de crédito.

Seguridad de nuestros datos

Una vez tenemos protegidos nuestros dispositivos, es importante proteger también nuestros datos personales, tanto los que llevemos encima en alguno de los dispositivos ya mencionados como los almacenados en algún servicio online. Van ya varias veces en las que coincido con compañeros de viaje que protegen sus dispositivos pero luego apuntan todas sus contraseñas en una libreta para no olvidarlas.

Medidas de seguridad como el doble factor de autenticación son muy útiles y se aplican mediante aplicaciones como Google Authenticator u otras similares que evitan que, en el caso del robo de nuestras credenciales (por ejemplo, al habernos conectado a una WiFi insegura) puedan acceder a nuestros servicios online sin introducir antes un código de un solo uso que cambia periódicamente.

También hemos de ser cuidadosos a la hora de publicar según que contenido en redes sociales. Sí, a todos nos gusta alardear de lo bien que lo estamos pasando pero, si vamos a compartirlo, que sea solo con aquellas personas de confianza o amistades más cercanas. De no hacerlo así estaremos dando información muy valiosa a delincuentes que, por ejemplo, busquen casas vacías durante el periodo estival. Una buena configuración de la privacidad de nuestras redes sociales nunca está de más.

Respecto al almacenamiento de las contraseñas, tenerlas apuntadas en un papel no es la mejor opción. Existen opciones mucho más seguras como utilizar un gestor de contraseñas (Lastpass, Keepass o 1password son solo algunas de las múltiplies opciones disponibles), gestores que ya vienen integrados en algunos antivirus como ESET Smart Security Premium.

También tenemos opciones más drásticas como almacenar las contraseñas y cualquier otro tipo de información sensible en un contenedor físico cifrado que podamos llevar siempre encima. Opciones como los pendrive iStorage son una buena elección aunque su seguridad también viene acompañada de un elevado precio.

Por último, no debemos olvidar que para visitar algunos países, aunque sea como turistas, necesitaremos de un visado o permiso. Quizás el más famoso por la cantidad de turistas que viajan a Estados Unidos sea el ESTA. No son pocos los usuarios que, a la hora de obtener esta autorización, han terminado pagando bastante más de la cuenta por acceder a una web que no era la oficial o directamente le han robado los datos de su tarjeta de crédito.

Conclusión

Como acabamos de ver, en la planificación de las vacaciones se incluyen ahora variantes que ni siquiera llegábamos a imaginar cuando muchos de nuestros padres nos metían de pequeños en el coche camino de la costa o el pueblo de los abuelos. Ahora es bastante barato viajar a muchas partes del mundo e incluso planificar con detalle estos viajes desde casa gracias a viajeros que aportan consejos y su experiencia a través de su blog, redes sociales y/ canal de Youtube.

A cambio, debemos tener en cuenta otros factores como la seguridad de nuestros datos y de los dispositivos que llevamos encima, pero con los consejos que acabamos de aportar deberías de disfrutar de unas vacaciones seguras. Y tu, ¿añadirías algún consejo más a los mencionamos en este post?.

Josep Albors

Operación Shadowfall: desmantelando la infraestructura de RIG Exploit Kit

Mar, 06/06/2017 - 12:56

Hoy hace justo 73 años se iniciaba la operación Overlord (nombre en clave de la batalla de Normandía) con la que los aliados iniciaron la liberación de los territorios de Europa occidental ocupados por la Alemania Nazi. De la misma forma, recientemente hemos sabido de una operación realizada de forma conjunta por varias organizaciones e investigadores que ha permitido dejar inutilizados decenas de miles de subdominios relacionados con el infame RIG Exploit Kit.

Webs comprometidas y subdominios maliciosos

Este grupo de organizaciones e investigadores encabezados por la RSA descubrió que los responsables del kit de exploits RIG habían estado comprometiendo la seguridad de numerosas webs, ya fuera aprovechándose de vulnerabilidades en ellas o consiguiendo las credenciales de los administradores. Utilizaron el control que tenían sobre estas webs comprometidas para alojar código malicioso en subdominios ocultos.

Además de tomar el control de estas webs y crear los subdominios ocultos, los atacantes modificaban el registro DNS para que apuntara a una dirección IP bajo su control en un hosting de alta disponibilidad. Una de las peculiaridades llevadas a cabo por los delincuentes está relacionada directamente con la elevada rotación de subdominios, llegando a generar una media de 450 subdominios por día.

De esta forma se evitaba que estos subdominios fueran incorporados en listas negras, puesto que los antiguos se eliminaban periódicamente y eran sustituidos por los que se generaban de forma continua. Se calcula que, durante el tiempo que duró la operación, los delincuentes consiguieron tomar el control de alrededor de 800 dominios y generar unos 30.000 subdominios ocultos.

Funcionamiento de los ataques

La razón por la que los delincuentes se tomaron tantas molestias en conseguir una cantidad tan elevada de subdominios ocultos tiene sus motivos si analizamos cómo funciona un kit de exploits actualmente, no solamente RIG.

Esquema de funcionamiento de RIG EK – Fuente: RSA

Cuando un usuario accede a un sitio web que ha sido comprometido por los delincuentes, se carga código malicioso directamente desde el código fuente de la página o mediante un iframe alojado en este código fuente, que hace una llamada al servidor donde se aloja el malware.

El código malicioso no infecta directamente a su víctima, sino que la redirige por toda una serie de dominios, estrategia pensada para dificultar el análisis de esta amenaza a los investigadores, hasta que llega a unos servidores que actúan como los distribuidores del malware. Sin embargo, no todas las víctimas recibían el mismo malware, sino que este dependía de factores como el navegador utilizado, el sistema operativo, su ubicación geográfica y otros.

Iframe malicioso inyectado en web comprometida – Fuente: RSA

En lo que respecta a la descarga y ejecución del malware en sí, las víctimas son redirigidas en base a los factores revisados en el paso anterior a unas páginas de descarga donde se ejecutan los exploits pertinentes y se carga código malicioso en el navegador, usando para ello código Flash o JavaScript.

Cuando este código malicioso se ejecuta con éxito, el atacante consigue finalmente acceder al sistema de la víctima y permite descargar y ejecutar código malicioso del tipo que elija. Este puede ser ransomware, troyanos bancarios o cualquier otro tipo de malware que el delincuente quiera ejecutar en ese momento.

La importancia del desmantelamiento

Los subdominios ocultos son una parte crucial en las primeras etapas de un ataque como el que acabamos de describir, puesto que son los encargados de alojar el código malicioso o las webs que redirigen a las víctimas dependiendo de varios factores, entre otros. Gracias al trabajo en conjunto liderado por RSA y a la colaboración  de GoDaddy (donde se alojaban la mayoría de las webs comprometidas) se consiguieron eliminar decenas de miles de estos subdominios ocultos.

Listado de webs comprometidas y distribución de los registradores. Fuente: RSA

Esto ha supuesto un duro golpe a los delincuentes detrás del RIG Exploit Kit, y si bien no significa que hayan desaparecido, tardarán un tiempo en volver a conseguir una infraestructura de ese calibre. Hay que tener en cuenta que para tomar el control de los sitios web usados después en sus actividades maliciosas, los delincuentes usaron tanto ataques por fuerza bruta como campañas de phishing para conseguir el acceso a las webs posteriormente comprometidas.

Conclusión

Siempre es una alegría dar una noticia de este tipo, aunque solo supone una victoria en una guerra contra el cibercrimen que dura ya muchos años. De la misma forma que los aliados consiguieron la victoria en la Segunda Guerra Mundial tras años de esfuerzo conjunto, descubriendo los puntos débiles de su enemigo y golpeándole donde más le doliera, no debemos rendirnos, sino saber que todos formamos parte de esta lucha contra los ciberdelincuentes y todos podemos aportar nuestro granito de arena, aunque sea concienciando a nuestros conocidos de la importancia de adoptar las medias básicas de seguridad.

Josep Albors

Jaff ransomware y su relación con un importante mercado del cibercrimen

Lun, 06/05/2017 - 12:09

A pesar de que durante las últimas semanas el ransomware WannaCryptor ha monopolizado prácticamente todas las noticias relacionadas con el ransomware, esta variante solo es una de las muchas que aparecen periódicamente. De hecho, existen otras familias con una estructura mucho mejor que WannaCryptor, y un ejemplo que viene pisando fuerte desde hace algún tiempo es el ransomware Jaff.

Análisis de Jaff ransomware

El ransomware Jaff utiliza Necurs, la que muy probablemente sea una de las redes de ordenadores zombis más activas del momento para propagarse, tras unos meses en los que su actividad principal se centró en el envío de correos que pretendían que los usuarios compraran acciones de empresas prácticamente desconocidas, para así aumentar su valor y obtener importantes beneficios en poco tiempo.

La botnet Necurs es especialmente conocida por ser una de las más activas y es capaz de enviar cientos de millones de correos no deseados cada día. Justo antes del inicio de la propagación mundial de WannaCryptor, observábamos cómo estos emails estaban inundando las bandejas de correo de millones de usuarios en todo el mundo, emails similares al que vemos a continuación y que han seguido propagándose durante las últimas semanas.

Los remitentes y los asuntos son variados y van desde una supuesta imagen o documento escaneado a simplemente el nombre de un archivo PDF. Sin embargo, este documento oculta alguna sorpresa que puede coger desprevenido a más de un usuario incauto que ejecute el archivo.

Como observamos en la imagen anterior, el fichero PDF tan solo es un cebo para intentar convencer a la víctima de que ejecute el documento de Word que contiene dentro de su código y que podemos ver a continuación, incluido dentro de la sección de adjuntos del archivo PDF.

Este documento de Word contiene, como en varios casos analizados anteriormente, macros especialmente preparadas por los delincuentes para ejecutar código malicioso. Sin embargo, como la mayoría de usuarios de MS Office sabrán, la ejecución de macros viene desactivada por defecto e incluso Microsoft mejoró su bloqueo en la versión más reciente de su suite ofimática.

No obstante, esto no impide que los delincuentes traten de convencer al usuario para que permita la edición y la ejecución de contenido en los ficheros Word maliciosos. En estas variantes de Jaff ransomware hemos visto que muestran mensajes como el que vemos a continuación, que pueden llegar a ser muy convincentes para muchos usuarios.

Si revisamos el documento con herramientas específicas para analizar documentos ofimáticos, o directamente a través de alguno de los sistemas gratuitos de análisis online como VirusTotal o Hybrid-Analysis, observaremos que el aparentemente inofensivo documento de Word contiene más de una sorpresa.

Concretamente, el fichero vbaProject.bin se ejecuta en el instante en el que la víctima permite la ejecución de macros, y descarga la variante de Jaff ransomware que los delincuentes tengan preparada en ese momento. Para evitar infectarse por esta y otras amenazas similares es importante desconfiar de este tipo de correos con archivos sospechosos adjuntos y contar con una solución antivirus que sea capaz de detectarlas.

Ampliando el negocio

Los delincuentes detrás de esta campaña de propagación de ransomware no se han conformado con extorsionar a sus víctimas pidiéndoles un rescate para recuperar sus ficheros cifrados. Investigaciones recientes realizadas por la empresa Heimdal Security apuntan a la posibilidad de que también estén relacionados con una tienda online donde los cibercriminales compran y venden datos de cuentas bancarias, tarjetas de crédito y cuentas de servicios como PayPal y eBay.

Según estos investigadores, son decenas de miles el número de cuentas comprometidas, y los datos recopilados incluyen el saldo de la cuenta, la ubicación y el correo electrónico asociado.

Imagen propiedad de Heimdal Security

A diferencia de otros sitios similares gestionados por delincuentes, este mercado criminal no hace apenas esfuerzos por esconderse, y a pesar de poder acceder a ella a través de una dirección en la red TOR, tiene registrados otros cinco dominios perfectamente accesibles para cualquier usuario.

Tampoco pone excesivas condiciones ni vetos a los usuarios que quieran adentrarse en este mercado delictivo, por lo que es muy accesible a cualquier aprendiz de cibercriminal que quiera adquirir alguna de las cuentas comprometidas, previo pago en bitcoins por ellas, claro está.

En el listado de cuentas bancarias podemos ver cómo los delincuentes disponen de cuentas bancarias de entidades de todo el mundo, entre las que encontramos alguma española como el Banco Popular o Banc Sabadell, pero también de muchos otros países como Estados Unidos, Alemania, Francia, Canadá, Australia, Italia y Nueva Zelanda.

Conclusión

De demostrarse la más que probable conexión entre los creadores del ransomware Jaff y los administradores de esta tienda, se probaría una vez más que los delincuentes tratan de diversificar su negocio y obtener el máximo beneficio posible. No se trata únicamente de conseguir que la víctima pague un rescate por recuperar sus archivos, sino también de robar toda la información que puede ser considerada valiosa y comerciar con ella.

Por eso es importante adoptar las medidas de seguridad necesarias para evitar el mayor número de amenazas posibles, empezando por la concienciación del propio usuario y siguiendo con la actualización de los sistemas y aplicaciones, la creación periódica de copias de seguridad y contar con una solución antivirus eficaz.

Josep Albors

Samba corrige una grave vulnerabilidad que permite la ejecución de código remota

Jue, 05/25/2017 - 12:29

Tras varios días en los que las noticias sobre ciberseguridad han estado prácticamente monopolizadas por el ataque de WannaCryptor y otros malware que aprovechan los exploits de la NSA filtrados por el grupo The Shadow Brokers el mes pasado, es hora de volver a analizar otras amenazas y vulnerabilidades que también requieren de nuestra atención.

Problemas en Samba

No obstante lo dicho en el párrafo anterior, el tema de hoy también tiene cierta relación con el incidente WannaCryptor, puesto que se trata de un agujero de seguridad en el software de código abierto Samba, utilizado por una gran cantidad de sistemas en todo el mundo para acceder a archivos y recursos compartidos tanto en una red local como a través de Internet.

Samba está implementado en muchos sistemas operativos actuales como Windows, Linux, UNIX u OpenVMS, entre otros y se trata de una reimplementación del protocolo de red SMB, permitiendo a aquellos sistemas que no sean Windows compartir recursos a través de una red con el sistema operativo de Microsoft.

Con un nivel de implementación bastante elevado entre empresas y algunos usuarios, no es de extrañar que el anuncio publicado ayer informando de la existencia de una vulnerabilidad en Samba durante más de 7 años haya causado bastante revuelo. Las versiones de Samba que se ven afectadas son todas las publicadas desde la 3.5.0 (que se lanzó el 1 de marzo de 2010) por lo que los sistemas afectados no son pocos.

Gravedad de esta vulnerabilidad

Algunos analistas han apuntado a la posibilidad de que esta vulnerabilidad sea aprovechada para lanzar ataques indiscriminados a todos los sistemas vulnerables, similar a lo sucedido con WannaCryptor. De momento no se han observado indicios que nos hagan temer un ataque similar afectando también a otros sistemas como Linux, pero esta vulnerabilidad tiene el potencial suficiente para hacerlo debido a la facilidad que tiene un atacante para explotarla.

Teniendo en cuenta que, a día de hoy, existen varias decenas de miles de sistemas expuestos a Internet y corriendo una versión vulnerable de Samba, según informan desde Rapid 7, es importante que estos sistemas apliquen el parche lo antes posible. De lo contrario, un atacante podría conectarse a un sistema vulnerable, subir una librería compartida maliciosa a un recurso compartido con permisos de escritura y, posteriormente, hacer que el sistema la cargue y ejecute.

Al tratarse de una implementación del protocolo SMB, uno de los indicadores que pueden indicar que se están realizando posibles ataques es monitorizar el tráficio malicioso en el puerto 445. No obstante, debido al revuelo causado por WannaCryptor y otras variantes, es difícil discernir quien es el causante de esta actividad.

También debemos tener en cuenta que ya ha aparecido al menos un módulo para Metasploit que simplifica la ejecución de los ataques a los sistemas vulnerables a través de este framework.

Soluciones

Ante esta situación y para prevenir posibles ataques, lo mejor es actualizar cuando antes las versiones vulnerables aplicando el parche publicado. También se puede instalar directamente alguna de las nuevas versiones publicadas en el repositorio oficial de Samba y que no son vulnerables.

Si, por algún motivo, no se puede proceder a parchear o actualizar la versión de Samba, se recomienda encarecidamente añadir la siguiente línea en la sección [global] del fichero smb.conf y reiniciar el servicio smb:

“nt pipe support = no”

Con este cambio impediremos que los sistemas cliente puedan acceder a algunas de las máquinas conectadas a la red y deshabilitaremos algunas de las funcionalidades en los sistemas Windows conectados.

Distribuciones de Linux como Ubuntu o Red Hat ya han actualizado a versiones parcheadas de Samba pero hay otros sistemas como los sistemas de almacenamiento en red (NAS) que utilizan muchos usuarios y empresas que pueden tardar más en actualizarse, si es que alguna vez llegan a hacerlo.

Conclusión

Si durante los últimos días el foco de atención estaba en los equipos con Windows vulnerables, ahora también otros sistemas deben proceder a actualizar lo antes posible para evitar un ataque similar al vivido con WannaCryptor. El parche ya está publicado y las actualizaciones han comenzado, ahora solo queda por ver si los usuarios hacemos bien nuestro trabajo y somos capaces de evitar que se vuelva a producir un incidente de gran magnitud.

Josep Albors

Subtítulos maliciosos podrían ser utilizados para tomar el control de un sistema

Mié, 05/24/2017 - 12:54

Imagínate que llegas a casa tras un día agotador y antes de acostarte procedes a ver tu ración diaria de series y, como te gusta verlas en versión original pero el tu nivel de inglés, japonés o cualquier otro idioma no te permite prescindir de los subtítulos, procedes a cargarlos desde alguno de los repositorios online que los ofrecen. Este momento de relax podría convertirse en una pesadilla y en este post vamos a ver porqué.

El ataque de los subtítulos maliciosos

Hay que reconocer que las opciones para visualizar contenido online de forma cómoda han aumentado sustancialmente con respecto a hace unos años. A día de hoy contamos con numerosas aplicaciones que permiten visualizar todo tipo de contenidos desde prácticamente cualquier dispositivo y ya no hace falta descargar el archivo de vídeo o audio primero a nuestro ordenador para luego enviarlo a la televisión del salón, por ejemplo.

Esto ha permitido que muchos usuarios disfruten de sus películas y series favoritas prácticamente al mismo tiempo a nivel mundial y, para los que no se les dan muy bien los idiomas y no quieren esperar a la traducción correspondiente, la comunidad de subtituladores ha hecho un gran trabajo. Resulta especialmente práctico que, en servicios como VLC, KODI (antiguo XBMC), Popcorn-Time o strem-io se puedan elegir los subtítulos publicados en alguno de los repositorios existentes pero esto también puede suponer un peligro.

Investigadores de CheckPoint publicaron recientemente los resultados de una investigación en la que se habían utilizado archivos de subtítulos maliciosos como vector de ataque para tomar el control de un dispositivo que estuviese ejecutando alguna de las aplicaciones de streaming mencionadas en el párrafo anterior. Estos investigadores calculan que existen aproximadamente 200 millones de reproductores de contenido multimedia en todo el mundo que estarían ejecutando software vulnerable.

La investigación llevada a cabo ha demostrado como un atacante podría preparar un fichero de subtítulos malicioso y colocarlo en los primeros puestos de los repositorios donde los usuarios buscan estos subtítulos. Debido a la confianza que se tiene en estos repositorios y que los ficheros de subtítulos siguen viéndose como un simple e inofensivo fichero de texto, el alcance que un ataque de este tipo podría tener es realmente grande.

Causa y efecto

El principal problema reside en los escasos controles de seguridad que varios reproductores multimedia realizan a los ficheros de subtítulos y en la existencia de una gran cantidad de formatos. A día de hoy existen alrededor de 25 formatos de subtítulos con sus características diferenciadoras lo que hace que los reproductores tengan que tratar de dar soporte a todos ellos, pero cada uno de ellos lo hace a su manera y esto lleva a numerosas vulnerabilidades.

Estamos hablando de decenas de millones de posibles usuarios afectados por un ataque que sería bastante simple de hacer y que permitiría a los atacantes tomar el control total del dispositivo que estuviese utilizando un reproductor multimedia vulnerable, independientemente de si se trata de un ordenador de sobremesa, dispositivo móvil o smartTV, entre otros.

Entre los ataques que se podrían realizar utilizando esta técnica encontramos el robo de información, la instalación de todo tipo de malware como ransomware, la utilización de estos dispositivos para lanzar ataques de denegación de servicio masivos, etc.

Hay que tener en cuenta que el ataque se iniciaría colocando el fichero de subtítulos malicioso en alguno de los repositorios de confianza usados por estas aplicaciones y los propios usuarios. Estos repositorios clasifican e indexan los subtítulos y los mejor valoradas suelen ser los más descargados. Los investigadores demostraron como, manipulando el algoritmo de clasificación en sitios como OpenSubtitles.org, pudieron colocar subtítulos maliciosos que serían descargados automáticamente por el reproductor multimedia.

Este ataque no requiere de intervención alguna del usuario puesto que se ataca a la fuente de los subtítulos e incluso los que descargan subtítulos de forma manual pueden verse afectados, puesto que se tiende a descargar los subtítulos mejor clasificados. Para ver cómo funcionaría este ataque lo mejor es visualizar el siguiente vídeo preparado para tal efecto.

La solución a este problema, al menos en lo que respecta a las aplicaciones analizadas, es sencilla y pasa por actualizarlas a su versión más reciente, disponibles desde los repositorios oficiales de cada una de ellas.

Conclusión

Solo con pensar la cantidad de usuarios que podrían resultar infectados si alguien utilizara este vector de ataque cuando aparezca, por ejemplo, el primer episodio de la séptima temporada de “Game of Thrones” es suficiente para recomendar la actualización inmediata de las aplicaciones vulnerables.

Como acabamos de comprobar una vez más, prácticamente cualquier tipo de fichero puede ser utilizado para tratar de comprometer la seguridad de nuestro sistema por lo que conviene estar alerta ante investigaciones como la que acabamos de analizar.

Josep Albors

Tras WannaCryptor, ¿cómo queda el panorama de la seguridad informática?

Mar, 05/23/2017 - 12:00

Han sido días duros, de muchas horas de trabajo intenso para detectar y bloquear las diversas variantes de WannaCryptor y otras familias de ransomware que, desde el 12 de mayo, están en boca de todos. A pesar de que esta amenaza lleva ya bastante años entre nosotros, no ha sido hasta hace unos días que los medios de comunicación le dedicaron una extensa cobertura y el público generalista descubrió las peculiaridades de este tipo de malware.

Ahora que el “efecto WannaCryptor” parece haber pasado, ¿cómo está la situación en lo que respecta al ransomware y otras amenazas?, ¿somos ahora más vulnerables o, por el contrario, hemos aprendido a aplicar las medidas de seguridad necesarias?.

Variantes e imitadores

Como ya hemos indicado, WannaCryptor no fue en absoluto el primer ransomware que tuvo gran impacto. Ni siquiera podemos considerarlo un buen ejemplo de ransomware puesto que contiene numerosos fallos en su código que incluso ha permitido que algunos de los sistemas infectados puedan ser recuperados (siempre que se cumplan ciertas condiciones) sin ceder al chantaje de los delincuentes, utilizando para ello herramientas como Wanakiwi y siguiendo unas sencillas instrucciones.

Debido al impacto mediático, muchos delincuentes se han lanzado a generar su propia variante de ransomware para intentar conseguir nuevas víctimas, aunque pocas de estas amenazas merecen ser analizadas debido a su pobre calidad, limitándose a imitar a WannaCryptor con mayor o menor acierto.

Sin embargo, han aparecido unas cuantas muestras de ransomware que sí van un paso más allá de WannaCryptor. Una de ellas es Uiwix, que también hace uso del exploit EternalBlue. Gracias a este exploit, este ransomware también adquiere capacidades de gusano para propagarse más rápidamente por redes corporativas y además añade características anti-debugging para dificultar su análisis, algo de lo que WannaCryptor carecía.

Otra de las amenazas aparecidas durante los últimos días es EternalRocks, descubierta por el investigador Miroslav Stampar, cuyas variantes más recientes se camuflan como una variante de WannaCryptor pero que, en realidad, se encarga de tomar el control del sistema para realizar otros ataques. Lo más destacable de esta amenaza es que hace uso de siete de los exploits de la NSA liberados el pasado mes de abril por el grupo The Shadow Brokers.

Antes de WannaCryptor

Si bien la característica más destacada de WannaCryptor fue la utilización de los exploits EternalBlue y DoublePulsar para conseguir infectar a sus víctimas y propagarse por redes corporativas, no fue el primero, tal y como se ha descubierto posteriormente. UN buen ejemplo de esto ha sido el malware Adylkuzz, detectado como Win32/CoinMiner.AFR y Win32/CoinMiner.AFU por las soluciones de seguridad de ESET.

En lugar de secuestrar la información almacenada por los usuarios en sus equipos, este malware utilizaba los recursos de los ordenadores que infectaba para minar monedas criptográficas como Monero. El inicio de la propagación de este malware se remonta a pocos días después de la publicación de los exploits de la NSA, lo que representa que dos semanas antes de la aparición de WannaCryptor, los delincuentes ya los estaban aprovechando.

De hecho, la tasa de infecciones se mantuvo bastante baja hasta un par de días antes del ataque que propagaba WannaCryptor, momento en el que empezó a despuntar y comenzar a afectar a miles de máquinas, especialmente en Rusia, Ucrania y Taiwan. Si bien este malware no se detectaba tan fácilmente como un ransomware, ya que no muestra ningún mensaje en pantalla, el elevado consumo de recursos delataba al usuario que algo no estaba funcionando correctamente.

¿Se ha aprendido algo de este incidente?

Se ha comentado por activa y por pasiva que este ataque no habría tenido éxito de haber aplicado los correspondientes parches de seguridad publicados por Microsoft dos meses antes del ataque. Si bien a día de hoy es muy sencillo para la mayoría de usuarios actualizar su Windows, en las grandes empresas este proceso aun resulta largo y tedioso. Se tiene que revisar que estas actualizaciones no afectan de manera negativa a los sistemas y aplicaciones instaladas (algunas de ellas incluso con décadas de antigüedad) y esto retrasa sobremanera la aplicación de estos parches.

A pesar de esto, el mecanismo de propagación utilizado por WannaCryptor y sus imitadores no es nada nuevo ya que, a lo largo de la historia, hemos visto numerosas infecciones provocadas por gusanos informáticos. Desde el gusano de Morris en una primitiva Internet, pasando por Melissa, I love You, Code RED, Sasser, Mydoom o Conficker (que aun sigue activo a día de hoy pese haber aparecido a finales de 2008) son varios los ejemplos similares que hemos sufrido en sistemas sin actualizar.

Cada vez que se producía un incidente similar se recordaba la importancia de adoptar las medidas de seguridad necesarias, solo para volver a tropezar en la misma piedra tiempo después. ¿Significa que estamos condenados a repetir los mismos errores una y otra vez? Eso depende bastante de en que nos fijemos.

En el incidente provocado por WannaCryptor no ha habido apenas usuarios domésticos afectados y muchas pymes tampoco han notado su impacto. Esto es debido a que los cambios en las políticas de actualizaciones de Windows que Microsoft ha ido implementando con el tiempo parecen haber funcionado parcialmente.

También la evolución de las soluciones de seguridad como han permitido a algunos antivirus detectar incluso la utilización de los exploits filtrados de la NSA y bloquear su ejecución, con lo que se evita la ejecución del malware, sea el que sea, en el sistema vulnerable.

Pero también debemos tener en cuenta que los delincuentes no se han quedado atrás precisamente y algunas amenazas actuales tienen una gran sofisticación que dificultan su detección y análisis. No obstante, el factor humano sigue siendo importante a la hora de conseguir que un ataque tenga éxito y eso es algo que hemos de mejorar mediante la concienciación en seguridad.

Conclusión

Después de más de una semana tras el incidente con WannaCryptor, es momento de reflexionar si se está haciendo lo necesario para que algo así no se vuelva a ocurrir. Disponemos de las herramientas e información necesarias para mitigar la mayoría de ataques actuales pero debemos tomarnos en serio algo tan crucial como la seguridad informática o estaremos condenados a repetir los errores del pasado.

Josep Albors

Reflexiones tras WannaCryptor y el nuevo anuncio de The Shadow Brokers

Mar, 05/16/2017 - 12:56

Tras unos días intensos tratando el tema del ransomware WannaCryptor y, especialmente, su vector de ataque y propagación, toca hacer balance de lo sucedido y, sobre todo, mirar hacia el futuro para prevenir ataques similares. Cuesta creer el alcance que ha tenido esta amenaza, especialmente a nivel informativo aunque, como no hay mal que por bien no venga, también ha servido para que el público generalista tome conciencia de un problema real.

Atribuciones y conexiones

Una de las preguntas que más se han repetido durante estos días es ¿de dónde viene el ataque?. Por experiencia sabemos que no debemos fiarnos de las apariencias y que, al menos en el mundo de la seguridad informática, es perfectamente posible engañar a los investigadores para que atribuyan el ataque a alguien que no tenga nada que ver.

En las últimas horas hemos visto como varios investigadores apuntaban a una posible relación del ransomware WannaCryptor en una sus primeras versiones que data de febrero con otras creaciones anteriores del grupo Lazarus. Recordemos que a este grupo se le ha relacionado con ataques tan importantes como el hackeo a Sony Pictures o el ataque a bancos de todo el mundo.

Todo empezó por la publicación de un enigmático tweet por parte de Neel Mehta, investigador de seguridad en Google, tweet que aparentemente contenía una pequeña porción de código. El investigador Matt Suiche, muy activo durante los últimos días y uno de los que más información ha aportado relacionada con WannaCryptor, fue probablemente el primero en aportar algo de luz sobre este asunto desvelando que se trataba de código compartido tanto por este ransomware como por una creación anterior del grupo Lazarus.

Fuente de la imagen: blog.comae.io

A partir de ese momento no tardaron en aparecer las conjeturas y las posibles atribuciones ya que el grupo Lazarus está aparentemente relacionado con Corea del Norte y esta reutilización del código podría indicar que alguien de este país estaría detrás de los recientes ataques a empresas de todo el mundo.

No obstante, y por muchos periódicos que una información así pudiera vender, esta similitud en el código de ambas amenazas no es determinante y puede significar cualquier cosa. Desde que los creadores de WannaCryptor reaprovecharon código de anteriores amenazas (algo muy común entre los creadores de malware) hasta que alguien quiera atribuir a este grupo la creación de este ransomware con algún oscuro interés.

Reaparecen The Shadow Brokers

Por si fuera poco tras todo el revuelo causado durante estos días, esta misma mañana se ha publicado un nuevo comunicado por parte del grupo The Shadow Brokers. Recordemos que fue este grupo el que publicó las herramientas de la NSA, herramientas entra las que se encontraba EternalBlue y cuya efectividad hemos podido comprobar durante estos días ya que ha sido utilizada para dotar al ransomware WannaCryptor de funcionalidades de gusano y aumentar así su velocidad de propagación.

En este comunicado, escrito de una manera un tanto especial y con cierto aire a sorna, se hace un repaso a los diferentes intentos de este grupo de vender las herramientas robadas a la NSA al mejor postor, intentos que terminaron en fracaso y en la liberación de parte de estas herramientas el pasado mes de abril.

Sin embargo, tal y como se apunta en este comunicado, las herramientas fueron liberadas cuando ya existían parches para ellas, por lo cual no podían considerarse como 0-day (y aun así, ya hemos visto el éxito obtenido por WannaCryptor). Es por eso que en ese comunicado aprovechan para anunciar que a partir de junio lanzarán un modelo de suscripción mensual en el que los suscriptores recibirán cada mes información confidencial relacionada, entre otras cosas, con:

  • Vulnerabilidades en navegadores web, routers, exploits y herramientas
  • Nuevos exploits para Windows 10
  • Datos confidenciales obtenidos de proveedores de la red de transferencias interbancarias SWIFT y bancos centrales
  • Información confidencial relacionada con el programa de misiles y armamento nuclear de Rusia, China, Irán o Corea del Norte

Como vemos, información más que interesante para pasar un verano de lo más entretenido.

Conclusión

No cabe duda que WannaCryptor y sus conexiones aun dará mucho que hablar y que, de cumplir lo dicho en su comunicado, The Shadow Brokers promete acaparar buena parte de la atención de aquellos que nos dedicamos a la seguridad informática. No obstante hay que tomar este tipo de información con cautela y no alarmar innecesariamente como ya se ha hecho demasiadas veces sin contrastar previamente la información.

Han sido días movidos para todos y el futuro inmediato también promete serlo, pero si algo hemos comprobado durante los últimos días es que el esfuerzo conjunto de múltiples investigadores, pertenecientes a empresas u organismos, o simplemente investigadores anónimos que han aportado muy buena información, ha ayudado muchísimo a esclarecer varios aspectos de WannaCryptor y sus técnicas de propagación.

Es esta unidad la que nos hace más fuerte frente a los delincuentes y aquellos que intentan aprovecharse de las vulnerabilidades en beneficio propio. La gran mayoría de estos investigadores no han salido en las noticias ni se les ha mencionado en alguno de los múltiples artículos publicados pero ellos seguro que sabrán reconocerse.

Desde este humilde blog, nuestro más sincero reconocimiento a todos vosotros.

Josep Albors

Evolución de WannaCryptor y análisis de las consecuencias del ataque

Lun, 05/15/2017 - 16:59

Tras un fin de semana en el que analistas de malware, investigadores, administradores de sistemas, técnicos de soporte y otras profesiones relacionadas con la ciberseguridad hemos descansado poco, toca hacer balance de la situación y ver que es lo que puede suceder a partir de ahora, ya empezada una nueva semana y con la gente volviendo a sus puestos de trabajo.

Nuevas variantes

Los datos recopilados en las últimas horas nos indican cosas muy interesantes, como por ejemplo el intento de desarrollar nuevas variantes sin el interruptor de apagado que se activaba tras contactar con la dirección URL introducida en el código del malware. Sin embargo, hasta el momento, ninguna de estas variantes sin ese “Kill Switch” son plenamente funcionales, aunque puede ser cuestión de tiempo que los delincuentes lo corrijan (si es que quieren seguir desarrollando este ransomware y no cambiar de malware).

Con los datos de los que disponemos en nuestro laboratorio y gracias a las reglas Yara creadas en nuestro servicio ESET Threat Intelligence hemos podido ir cuantificando las nuevas variantes que han ido apareciendo. También algunos investigadores u organismos públicos como el CERT de los Estados Unidos han publicado sus propias reglas para que cualquiera pueda utilizarlas en sus servicios de inteligencia frente amenazas

Gracias a estos datos recopilados y a la ayuda de nuestro compañero Jiri Kropac de los laboratorios de ESET en la República Checa hemos podido observar de forma gráfica la evolución de WannaCryptor desde su aparición el pasado viernes 12 de mayo hasta esta misma mañana.

Como observamos, la mayor parte de detecciones se realizó durante el viernes y el sábado. Algo comprensible debido a la elevada velocidad de propagación debido a las capacidades de gusano de WannaCryptor. El descenso durante el fin de semana se debe principalmente a que la mayoría de empresas afectadas estuvieron cerradas durante esos días y que la activación del Interruptor de apagado gracias al registro de un dominio por parte de dos investigadores británicos consiguió frenar el proceso de propagación.

En lo que respecta a número de variantes detectadas hasta el momento de escribir estas líneas, en ESET detectamos cuatro variantes principales de nombre  Win32/Filecoder.WannaCryptor y sus variantes A,B,C y D, junto con sus múltiples subvariantes.

En relación a los países más afectados de nuestro entorno, si nos centramos en la región de EMEA (Europa, África y Oriente Medio) observamos como Rusia es claramente el país más afectado, al menos por una de las variantes más propagadas. España estaría en la parte media de la tabla con unas 170 empresas afectadas por esa variante de WannaCrypt a día de hoy (a las que habría que sumar el resto).

Aparecen los imitadores

En rio revuelto, ganancia de pescadores, reza el refranero español y esta situación no es una excepción. Viendo el éxito de WannCryptor, no son pocos los delincuentes que se han puesto a propagar otras variantes de ransomware, aunque la gran mayoría de ellas siguen utilizando el método tradicional del correo electrónico con adjunto malicioso.

Así pues, y como muy bien resumen en el blog Bleeping Computer, durante los últimos días se ha observado la propagación o el desarrollo de otras variantes de ransomware que se aprovechan del tirón de WannaCryptor y que responden a nombres como Wanna Crypt v2.5, WannaCrypt 4.0, DarkoderCryptor o una utilidad para personalizar la pantalla de bloqueo y las instrucciones de pago y descifrado conocida como Aron WanaCrypt0r 2.0 Generator v1.0.

Lo cierto es que el impacto de Wannacryptor se ha podido ver en todo el mundo y, durante todo el fin de semana se han ido compartiendo fotografías de sistemas afectados como ordenadores, cajeros automáticos, paneles informativos o incluso paneles luminosos colocados en plena calle como el que vemos a continuación:

Principales consecuencias

Además de habernos tenido ocupados a muchos especialistas en seguridad informática, administradores de sistemas y otras muchas personas, la llegada del lunes ha supuesto una prueba de fuego para muchas empresas. Algunos de los incidentes más madrugadores se han producido en la zona de Asia, donde la empresa japonesa Hitachi también se ha visto afectada por estas variantes de WannaCryptor.

En lo que respecta a España, la situación ha estado bastante controlada, con algún incidente aislado. Esto no significa, ni mucho menos, que la amenaza haya desaparecido puesto que el principal problema no se encuentra en el ransomware propiamente dicho, si no en la funcionalidad de gusano que se le ha incorporado y que puede ser portada a otro tipo de malware fácilmente.

No es difícil pensar en un malware que se propague de la misma forma y que, en lugar de alertar enseguida a sus víctimas mostrando una pantalla con un mensaje alarmante, permanezca oculto y se dedique a robar información de forma sigilosa o a destruirla en una fecha programada por los atacantes. Algunos expertos como Sergio de los Santos apuntan a que esta vulnerabilidad no sería la única que se podría utilizar para aportar funcionalidades de gusano a casi cualquier malware y mencionan a la solucionada recientemente por Microsoft y que afectaba a Windows Defender.

Lo que se ha comprobado casi a ciencia cierta es que estas variantes de WannaCryptor no utilizaron ningún correo con fichero adjunto para propagarse inicialmente tal y como viene siendo habitual y que, una vez dentro de una red corporativa, se propagaban rápidamente de un equipo vulnerable a otro aprovechando el exploit EternalBlue. En el siguiente vídeo realizado por el investigador Hacker Fantastic se puede ver claramente:

Respecto al dinero obtenido por los delincuentes en las tres carteras de bitcoin que pusieron a disposición de los afectados por el ransomware para realizar el pago de los rescates, estas no han reunido una cantidad significativa a pesar de haber conseguido infectar más de 200.000 sistemas y, en el momento de escribir estas líneas apenas habían recopilado poco más de 50.000 dólares.

Conclusión

Todo apunta a que la situación está más o menos controlada (en algunas regiones mejor que en otras) y que, salvo la aparición de alguna nueva variante con cambios significativos las infecciones tenderán a remitir. No obstante, este incidente debe servir como una importante llamada de atención para mejorar muchos aspectos relacionadas con la ciberseguridad en las empresas.

La revisión y aplicación de actualizaciones periódicas de seguridad (como la MS17-010 que evita que los sistemas sean vulnerables) es algo que se debe tener en cuenta, aun sabiendo que existen muchos tipos de empresas y no siempre es factible instalarlas sin que pase antes un largo periodo de tiempo revisando que no van a causar errores o incompatibilidades con otros sistemas o aplicaciones.

El uso de copias de seguridad actualizadas también se ha desvelado clave para hacer frente a este y cualquier otro ataque de ransomware, ahorrando así mucho tiempo a la hora de restaurar aquellos equipos que se hayan visto afectados.

También se ha de revisar que se cuenta con la última versión de las soluciones de seguridad implementadas tanto en estaciones de trabajo como en servidores y en la defensa perimetral, y que están debidamente configuradas, puesto que es muy probable que no solo se pueda detectar el malware si no que también se bloquee el exploit gracias a módulos específicos que analicen el tráfico de red para prevenir esta y otras vulnerabilidades.

Solo adoptando medidas eficaces y mediante la concienciación conseguiremos evitar ataques como el que hemos sufrido, algo que muy probablemente volvamos a ver en el futuro viendo el éxito obtenido por WannaCryptor.

Josep Albors

WannaCryptor, o como un ransomware puso en jaque a empresas de todo el mundo en pocas horas

Sáb, 05/13/2017 - 16:57

Ayer fue una de esas jornadas que se recordarán por mucho tiempo, igual que lo fue el ataque de la botnet Mirai el pasado 14 de octubre de 2016 (casualmente también un viernes). Desde que recibí los primeros avisos poco antes de las 12 del mediodía y que alertaban de que algo extraño estaba pasando en Telefónica supe que este inicio del fin de semana iba a ser de todo menos tranquilo.

La amenaza se confirma

Esta primera alerta no tardó en ser confirmada y pronto comenzaron a aparecer las primeras fotografías hechas a ordenadores que pertenecían a la red interna de esta importante teleoperadora. Incluso llegó a distribuirse un audio en el que se podía escuchar por megafonía de la empresa las órdenes de apagar todos los equipos.

Rápidamente nos pusimos a investigar mientras varios medios de comunicación se hacían eco de esta noticia e incluso apuntaban a que el ataque lo estaban sufriendo también otras grandes empresas españolas entre las que se encontraban bancos y empresas del sector energético. Sin embargo, muchas de estas alertas fueron una falsa alarma provocada, bien por la falta de información existente en esos momentos o bien por oscuros intereses.

Lo que ya sabíamos en esos primeros momentos era que se trataba de un ransomware (y no Ramón Ware como se dijo en algún medio) ya que los sistemas infectados tardaban poco en mostrar tanto el fondo de pantalla donde se alertaba de lo sucedido como la herramienta preparada por los delincuentes para que la víctima pagase el rescate y procediera al descifrado de los archivos afectados.

El ataque distaba mucho de estar centrado en España y, si bien durante las primeras horas se habló principalmente de Telefónica, después se comprobó como grandes empresas como Renault en Francia, el servicio público de salud en Reino Unido, el Ministerio de Interior ruso o la empresa de transporte de paquetería Fedex entre muchas otras por todo el mundo también habían sido víctimas.

Distribución de infeciones por WannaCryptor. Fuente: Malwaretech

Propagación del ransomware

Una vez identificada el tipo de malware había que comprobar la variante. En esta ocasión estábamos ante una nueva versión de WannaCryptor (también conocida como WannaCry o WCry). Este ransomware había hecho su aparición a principios de febrero y se había propagado levemente en una campaña a finales de marzo, sin destacar por nada en especial.

Entonces ¿cómo es posible que un ransomware de poca monta estuviese causando estragos a ese nivel y, sobre todo, se propagase tan rápido? La respuesta la encontramos no en el malware en sí, si no en la técnica elegida por los atacantes para propagarse, especialmente por redes corporativas.

Este punto es importante puesto que, por lo que sabemos gracias a los datos recopilados, la mayoría de sistemas afectados pertenecían a empresas de mayor o menor envergadura. De hecho, pese a que nuestro servicio de soporte técnico estuvo al pie del cañón, atendiendo las múltiples llamadas que buscaban información sobre este ransomware al haber escuchado las alarmantes noticias en los principales medios de comunicación y también tras recibir la alerta que enviamos desde nuestro departamento de comunicación, ninguno de los usuarios que nos llamó se había visto afectado.

Era hora de revisar que estaba causando esta rápida propagación del ransomware que las soluciones de seguridad de ESET identifican como Win32/Filecoder.WannaCryptor y la respuesta no tardó en aparecer. Varios investigadores apuntaron al exploit conocido como Eternalblue publicado por el grupo Shadow Brokers a mediados de abril.

Ese exploit aprovecharía una vulnerabilidad en la implementación del protocolo de red SMBv1 realizada por Microsoft, una implementación con casi 20 años de antigüedad pero que aún se sigue utilizando a día de hoy. Las vulnerabilidades aprovechadas por estos exploits fueron parcheadas rápidamente por Microsoft, dejándolos sin efecto.

Además, justo un mes antes, Microsoft había publicado el boletín de seguridad MS17-010 en el que se solucionaba una grave vulnerabilidad en SMB Server y que tendría relación con los exploits publicados posteriormente. Esto explicaría además porque solo hemos visto a empresas siendo afectadas por este ataque puesto que este servicio no suele estar activado en aquellas versiones de Windows orientadas a usuarios domésticos.

Analizando WannaCryptor

Una de las dudas principales en el momento de escribir este breve análisis es cual fue el vector principal de ataque. Sabemos por experiencias anteriores que el ransomware suele propagarse por adjuntos en correos electrónicos, malvertising en webs con bastante tráfico o incluso aprovechando contraseñas débiles y conectándose a las máquinas via RDP.

Sin embargo, hasta este momento no hay nada claro sobre cual fue el vector de ataque inicial e incluso Microsoft indica dos posibilidades en su análisis. Por una parte, apunta al correo con un fichero adjunto o enlace que activaría un payload que ejecutase el ransomware y el exploit en SMB para propagarse rápidamente. No obstante, si bien Chema Alonso publicó en su blog que fue un caso de spam masivo a emails de empresas de todo el mundo, aun no se ha visto una muestra de este correo a pesar de la gran cantidad de empresas afectadas.

El otro vector de ataque señalado por Microsoft y por el que parecen decantarse muchos investigadores sería haciendo uso directamente del exploit en SMB buscando máquinas sin el correspondiente parche de seguridad aplicado y que tuviesen el puerto TCP 445 abierto. Echando un vistazo rápido mediante Shodan vemos que solo en España hay un buen número de dispositivos con ese puerto accesible y bastantes podrían ser potencialmente vulnerables.

Por si fuera poco, apenas unos días antes del ataque ya hubo investigadores que publicaron pruebas de concepto para demostrar que se podía aprovechar esta vulnerabilidad para ejecutar código de forma remota. El caso es que, una vez se ha ejecutado el payload inicial en un sistema vulnerable, se utiliza un dropper para descargar y ejecuta el ransomware WannaCryptor por un lado, mientras que por otro se intenta aprovechar la vulnerabilidad en SMB con el exploit EternalBlue para conseguir propagarse dentro de la intranet de la empresa afectada.

Es entonces cuando los usuarios verían el fatídico mensaje en sus pantallas y se abriría la herramienta que solicita el pago del rescate. Esto no solo ha sucedido en ordenadores utilizados por los empleados de las empresas afectadas, si no que se han visto múltiples ejemplos de ordenadores conectados a paneles de información de todo tipo e incluso cajeros automáticos.

Posibles soluciones

Cuando aparecen estas pantallas es cuando las víctimas se dan cuenta de que algo va mal y se empiezan a tomar medidas. La decisión tomada por Telefónica de apagar todos los equipos conectados a la intranet avisando por todos los medios posibles a sus empleados estuvo bien tomada para evitar que la infección se propagase más aun y contenerla lo máximo posible.

Sin embargo, a diferencia de campañas de ransomware anteriores, la utilización de la vulnerabilidad en SMB fue aprovechada para propagar este ransomware a una velocidad muy rápida, una característica de los gusanos informáticos bien conocida. No es que el ransomware WannaCryptor deba ser considerado un gusano. Mas bien fue un gusano informático el que propagó el ransomware, y esto tiene consecuencias graves a corto plazo porque se puede utilizar para muchas otras finalidades tal y como veremos más adelante.

Una vez controlada esta propagación toca hacer balance de la situación y revisar que sistemas se han visto afectados para tratar de recuperarlos lo antes posible, empezando por los más críticos. Esto se soluciona de forma relativamente sencilla si se dispone de copias de seguridad actualizadas, aunque en grandes empresas esta restauración de los sistemas a un estado previo a la infección puede llevar su tiempo.

Si la empresa no dispone de esa copia de seguridad puede que se vea tentada a pagar el rescate. En la mayoría de casos detectados en España este rescate es de 300$ en bitcoins por equipo infectado, algo que puede llegar a ser considerado hasta “aceptable”. Sin embargo, tal y como la experiencia nos ha demostrado, pagar el rescate no garantiza nada y puede que la empresa afectada se quede sin datos ni el dinero pagado para tratar de recuperarlos.

Por los pagos acumulados en el momento de escribir estas líneas no parece que esta haya sida la opción elegida por la mayoría de los afectados puesto que solo se llevan registradas 70 transacciones en los tres monederos que el ransomware proporciona a sus víctimas, con un total de poco más de 21.500€ recaudados en total, una cifra totalmente irrisoria viendo la magnitud del ataque.

Existe la posibilidad de que, revisando el código del malware se consiga la clave maestra de cifrado para así poder recuperar todos los archivos afectados. Esto ya se ha hecho en anteriores ocasiones e incluso existe una iniciativa internacional conocida como nomoreransom.org donde varias empresas de seguridad y fuerzas policiales nos hemos unido para proporcionar herramientas de descifrado gratuitas para diferentes variantes de ransomware.

Hay que destacar que la propagación de esta amenaza podría haber sido mucho mayor si los investigadores @Malwaretech y Darien Huss no hubiesen adquirido por unos pocos dólares un dominio presente en el código de WannaCryptor. Este dominio actuaba como interruptor de apagado ya que el malware lanzaba peticiones al mismo y, si estas eran devueltas, el código malicioso dejaba de propagarse. Gracias a ellos se evitaron aun más daños en empresas de todo el mundo.

Kill switch de WannaCryptor. Fuente: Microsoft

Hora de reflexionar

Este incidente a escala global debe servir para reflexionar sobre todo lo que se está haciendo mal y que permite que este tipo de amenazas tengan éxito. Se sabía de la existencia de la vulnerabilidad en SMB y los parches para solucionarla fueron publicados meses atrás, pero aun así las empresas afectadas han sido muchas y muy importantes.

Obviamente, la aplicación de parches de seguridad en una empresa dista mucho de la que suelen hacer los usuarios domésticos. En una empresa no se pueden aplicar estos parches sin antes comprobar de que no entran en conflicto con otras aplicaciones cruciales y esto puede llevar su tiempo. Un ejemplo parecido es el del gusano Conficker, que desde finales de 2008 y aun hasta hoy sigue infectando máquinas que no han parcheado la vulnerabilidad que aprovechaba.

También tenemos el problema de aquellos sistemas que no pueden ser actualizados y que dejan de recibir soporte por parte del fabricante. El impacto de este ataque ha sido tan grande que incluso Microsoft ha lanzado actualizaciones para sistemas obsoletos a los que se dejó de proporcionar boletines de seguridad, sistemas como Windows XP, Windows 8 y Windows Server 2003. También hay que indicar que Windows 10 no se veía afectado por este exploit.

Así pues, parece claro que, una vez se despeje la humareda causada por WannaCryptor y el gusano que lo ayudó a propagarse muchas empresas van a tener que pasar un tiempo actualizando sus sistemas, desactivando protocolos obsoletos como SMBv1 y considerando añadir reglas en su cortafuegos para detectar tráfico entrante en el puerto TCP 445.

Problemas futuros

Sin embargo, muchos investigadores nos tememos que, a pesar del impacto y toda la cobertura mediática recibida, este ataque solo haya sido un adelanto de lo que está por venir. Analizando fríamente la situación, tiene poco sentido utilizar un exploit tan potente como EternalBlue para propagar un ransomware, y más con el fin de semana encima.

Las campañas de propagación de ransomware (y otros muchos malware) suelen empezar los lunes bien temprano y suelen tener su pico máximo de infección a mitad de semana. De esta forma los delincuentes maximizan el impacto conforme se van conectando ordenadores en entornos corporativos cuyos empleados regresan del fin de semana.

Además, el ransomware es uno de los malware más “estridentes” porque el usuario se da cuenta enseguida de que ha sido infectado. Es, a día de hoy, casi una excepción entre las numerosas familias de malware existentes que buscan pasar desapercibidas y tener el sistema comprometido el máximo tiempo posible para así tener la oportunidad de robar datos o utilizarlo como parte de una botnet durante más tiempo.

Por esos motivos, mucho nos tememos que este caso ha sido una prueba lanzada antes de tiempo y que, una vez comprobado su eficacia, muchos otros puedan imitar este ataque, cambiando el payload por algo menos llamativo que un ransomware pero que permita infectar sistemas durante más tiempo sin levantar sospechas.

Conclusión

Si para algo debe haber servido este incidente es para despertar conciencias y, de una vez por todas, aplicar medidas de seguridad eficaces que eviten o, por lo menos, dificulten que algo así vuelva a ocurrir. El caso de los hospitales del sistema de salud británico afectados por WannaCryptor nos debe hacer reflexionar como de vulnerables son algunos de nuestros servicios básicos más importantes y no es comprensible que su buen funcionamiento esté a merced de los delincuentes detrás de ataques como el de ayer.

Hace falta que todos tomemos conciencia de la importancia que tiene la ciberseguridad en nuestro día a día y que muchas de las cosas que damos por sentado pueden irse al traste en cuestión de segundos si no hemos tomado las medidas adecuadas. WannaCryptor ha sido solo un aviso, el próximo incidente similar a escala mundial puede ser mucho más grave si no tomamos las medidas oportunas.

Josep Albors

Comprometen el servidor de descarga de HandBrake y propagan malware para macOS

Lun, 05/08/2017 - 12:14

Si hace apenas unos días hablábamos del descubrimiento de dos nuevas amenazas para macOS, hoy tenemos que añadir una nueva a la lista que utiliza un vector de ataque muy efectivo a la par que peligroso: suplantar una aplicación desde uno de sus servidores de descarga oficiales.

Descarga desde un servidor comprometido

Uno de los peores escenarios posibles es que el malware se descargue desde un servidor oficial, puesto que la confianza que proporcionan a los usuarios hace que muchas veces bajen la guardia. Tampoco es algo nuevo, puesto que el año pasado ya analizamos el caso de Keranger, el primer ransomware completamente funcional para macOS, que también se propagó desde la web oficial de descarga de una aplicación para este sistema operativo.

En esta ocasión, la web de descarga comprometida por los atacantes pertenece a la aplicación HandBrake, un conversor de formatos de vídeo que soporta una gran cantidad de codecs y es bastante utilizado. Si accedemos a la web oficial, veremos cómo los desarrolladores han incluido un aviso para los usuarios de macOS.

Los desarrolladores de HandBrake alertan de que durante los días 2 y 6 de mayo de 2017 se estuvo descargando una versión troyanizada de su aplicación que podría haber infectado a los usuarios que la descargaron durante ese periodo. Estos desarrolladores calculan que la probabilidad de haber descargado una versión maliciosa durante este periodo es del 50%.

Análisis del malware

El troyano que se adjuntaba junto a la versión maliciosa de HandBrake subida al servidor de descarga es identificada por las soluciones de seguridad de ESET como OSX/Proton.A. Este malware permite a un atacante acceder remotamente a un sistema macOS infectado y tomar capturas de pantalla del sistema, robar datos de tarjetas de crédito y contraseñas, obtener el control de la cámara web y robar ficheros.

La detección de este malware aún es escasa en el momento de escribir estas líneas. Esto, unido a que muchos usuarios de macOS no disponen de una solución de seguridad en sus sistema al creer erróneamente que su sistema no la necesita, hace que estas amenazas consigan su objetivo de forma relativamente sencilla.

Incluso los usuarios más veteranos pueden ser infectados por este tipo de amenazas, tal y como podemos observar en el relato que se ha compartido en el foro MacRumors y que demuestra lo cerca que estuvo el autor de proporcionar sus credenciales a los atacantes. Según este usuario, se mostraban varios cuadros de diálogo con diferentes excusas y que buscaban que se introdujeran las credenciales del sistema del usuario.

Eliminando la infección

Si sospechamos que hemos sido víctimas de esta amenaza, podemos eliminarlo de forma manual si no lo ha hecho ya nuestra solución antivirus. Podemos revisar  el Monitor de Actividad del sistema en busca del proceso “Activity agent”. Si este proceso se encuentra presente, es que nuestro Mac ha sido infectado.

La eliminación es relativamente sencilla y tan solo deberemos abrir la Terminal del sistema e introducir los siguientes comandos

  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • rm -rf ~/Library/RenderFiles/activity_agent.app

Si en la ruta ~/Library/VideoFrameworks/ encontramos el fichero proton.zip es recomendable eliminar la carpeta.

Como medida de precaución, se recomienda cambiar todas las contraseñas que estén almacenadas en el Llavero del sistema para evitar que sean utilizadas de forma fraudulenta por los atacantes.

Apple ha sido informada de esta amenaza, por lo que no debería tardar en actualizar su aplicación XProtect para poder detectarla, algo que, aunque tarde, evitará nuevas infecciones en el futuro por esta variante de malware.

Conclusión

Tal y como vimos la semana pasada y hoy mismo, el malware para macOS sigue creciendo de forma lenta pero continua. Aún está muy lejos del elevado número de muestras que se detectan cada día en otros sistema operativos como Windows o Android, pero estas amenazas deben servirnos de aviso para aplicar medidas de seguridad que eviten una infección y no confiar ciegamente en un sistema operativo solo porque su departamento de marketing nos intente vender que es invulnerable al malware.

Josep Albors

Hashes de la muestra analizada

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

 

El Cloud, Industria 4.0 y los becarios gratuitos ¿el fin del profesional medio?

Vie, 05/05/2017 - 10:35

Estimados lectores del blog,

¿Quién no ha escuchado que el futuro de la informática es el cloud?. ¿Quién no ha escuchado estas semanas la polémica sobre el trabajo no remunerado de becarios en ciertos sectores “de moda”?.

¡Aviso a navegantes!: en este artículo voy a reflejar mis opiniones personales como Kinomakino.

Cloud

En primer lugar, voy a hablar del cloud. Lo que parecía una moda pasajera resulta que se está consolidando y nos guste, más o menos, en la actualidad casi todos tenemos servicios en esa famosa nube. Lo queramos o no. No voy a entrar en las ventajas o inconvenientes, pero es un hecho que en nuestras instalaciones con el tiempo tendremos menos equipo “gestionable” y más equipo “tonto” o ligero.

Ya dimos un paso en este sentido con la virtualización de servidores. Donde antes había un armario con 20 servidores, cables, controladoras, tecnología de redes, patch y demás, ahora hay un blade o un servidor central donde antes había 20.

Blade System

Muchas consultoras con el afán de vender postulaban departamentos IT externos para mantener ese sistema blade unificado, y así “esbozar” al comprador una ilusión de ahorro de coste en personal. Al final fue mentira porque donde se gestionaban 20 servidores, ahora se gestionan hypervisores, cabinas, máquinas virtuales y demás lindezas.

Ahora llega el cloud. Mismo concepto pero en un sitio remoto. El poco hardware que nos quedaba en el CPD se reduce a conexiones a Internet y páginas web donde configurar nuestro entorno. Un entorno en formato PAAS, IAAS, AAAS, según contrates. Ya sabes, puedes contratar hardware y administrarlo tú, puedes contratar servidores operaciones (una base de datos) y gestionarlo tú, puedes contratar una aplicación web (un erp) y gestionarlo tú…

Esto es una realidad. En unos años, los equipos de sobremesa también se llevarán a la nube como cuando comenzó la informática… con un equipo sin recursos. Ahora usaremos think client, móviles o tablets.

Pero me pregunto, ¿qué va a pasar con el informático de la empresa? Si ya no tiene que instalar servidores, clientes, administrador programas, configuraciones ¿qué va a pasar? Si supiera qué ocurrirá en el futuro me leeríais desde Bahamas, seguro…

Industria 4.0

Este debate o pensamiento no es cosa únicamente de los informáticos. Con el boom de la industria 4.0, una industria más “moderna” tecnológica, blablabla se introduce la robótica, el machine learning, blablabla

Kaos en la red.

Bajo mi punto de vista, el panorama informático no va a cambiar mucho para los perfiles de bajo y alto perfil. Sin embargo, creo que los perfiles medios corren un riesgo importante, y lo extrapolo a la industria para consolidar mis pensamientos. El currito técnico de la fábrica, el informático de nivel 1 que arregla impresoras, que conoce el software cliente, es más, que conoce al usuario, lo entiende, se lleva bien con él, ese va a ser necesario sí o sí. Estemos en la nube o en Marte ese tipo de soporte habrá que dárselo a Juan cuando entre el lunes y jure y perjure que alguien ha cambiado su clave, o a Cristina que de repente pierde archivos de la hoja de cálculo. El operario de la fábrica que mueve las cajas de un lado para otro, que se pone en una cinta a realizar un proceso concreto. Ese operario quizás perdure, siempre los ha habido, ya que se da el caso en que automatizar un proceso industrial puede ser más caro que sustituir la mano de obra. Por ejemplo, ¿qué máquina va a realizar el control de calidad en una cadena de alimentos en el que también envasa, apila, traspaleta, etc…?

Vamos a pensar en el operario de alto nivel. El experto. En la informática por mucha nube que haya siempre será necesario un arquitecto que controle el despliegue. Siempre será necesario un programador que mejore las soluciones. Un ingeniero agrícola que lidere los proyectos en el campo. Un ingeniero industrial que mejore los procesos junto al proveedor. Nadie discute que este tipo de perfil va a seguir siendo necesario en el cloud y en la industria 4.0.

Pero  ¿qué hay de ese empleado de perfil medio? Esa persona que tiene conocimientos de informática porque lleva toda la vida trabajando pero que lo mismo arregla un PC que configura un servidor. Que lo mismo hace un pequeño script que crea fórmulas con la hoja de cálculo. Que lo mismo instala un antivirus que te instala un virus XD. Ese operario de la fábrica que goza de beneficios adquiridos con el tiempo y no en base a su capacitación. Ese que tiene aparcamiento porque le hace la rosca al jefe y tú no XD.

Cuando llegue un cambio en la empresa, cuando se defina una política concreta de puestos, ¿dónde lo ponemos? No es experto programador, no es experto en una tecnología o proceso concreto. De repente, no sabemos muy bien dónde colocarlo. Estos puestos creo que son los que corren peligro.

Un robot nunca va a llegar a tu casa a entregarte pedidos porque por 1.000€ al mes es más barato pagar a un humano. Pero el operario de la empresa de logística que prepara las rutas… ese sí que corre peligro.

Tengo claro que en este desafío queda la especialización o el bajo nivel. Siempre he defendido lo contrario, siempre he sido un chico para todo, pero creo firmemente que el asunto está cambiando.

Becarios gratuitos

En este mundo siempre ha habido gente que se ha buscado las habichuelas mejor que otros. Recuerdo mi época de estudiante de informática (perdón, mis inicios, aún sigo día a día estudiando). Mientras que mis colegas dormían yo me busqué cursos. Muchos. 2.000 horas recuerdo. Mientras que mis compañeros hacían el mongui, yo lo hacía más, pero me buscaba prácticas no pagadas en empresas. Iba a todas las charlas, eventos, conferencias que caían en mi mano. Recuerdo que me lo curré un montón hasta que encontré mi primer trabajo de informático. Ahora recuerdo con simpatía las discusiones con mis amigos sobre las certificaciones dichosas, que no servían para nada, que no sé qué, qué no sé cuántos. Que cada uno piense lo que quiera, a mi me ha ido de lujo toda la vida y gracias a ellas se me han entreabierto muchas puertas que después he tenido que acabar de abrir yo, pero ya tenía ‘el empujón’.

Forges

Bien, ¿por qué todo esto? Porque como becario tuve que tragar mierda. No mucha, la verdad, pero sí una poca. No me pagaban. Me costaba a mí el dinero el transporte, el café y la movida. ¿Quién me va a decir ahora, que no debería haber hecho eso, ahora que me va bien la cosa? ¿Tendría que no haber recibido la ayuda que recibí gracias a mi esfuerzo como becario en más de 3 sitios? ¿Tendría que haber renunciado a esa formación por un sueldo que no existía?

Aquí están los matices. Yo tuve la suerte de trabajar los fines de semana. Me pagaba los gastos de durante la semana trabajando de camarero 15 horas al día.

Pero la cuestión no es esa. La cuestión es que hay jóvenes a los que les gustaría hacer esas prácticas, recibir esa formación, pero no pueden. Tienen que invertir las 40 semanales de trabajo en eso, en trabajar. No todo el mundo puede permitirse tirarse una temporada sin ingresar pasta. Esto pone a la gente con dinero, con posibilidades económicas en ventaja, ya que seguro que podrán mantener unas prácticas no pagadas o mal pagadas, mucho más que una familia que necesita el salario.

La empresa es la empresa, y su objetivo es conseguir el mayor rendimiento posible por el menor coste. El problema es del gobierno.

A mi juicio, no se debería permitir tener becarios sin sueldo o sueldos ínfimos. Por mucho que yo te haya escrito atrás estas líneas, no debería ser así. Yo tuve la suerte de currar de camarero, pero hay otra gente que no puede. Debería ser competencia del gobierno regular estos contratos.

El sistema educativo en España te pone delante de algo parecido a un trabajo, 3 meses al final de la carrera (salvo algunos casos). Esto es de risa. Todo el mundo quiere salir de la carrera con un trabajo, pero realmente no ha trabajado en su vida, y sería lógico que esos primeros años fueran una extensión de la formación en materia de prácticas, pero claro, somos como somos y entendemos que con el título en la mano… ¡ya no hay más que hablar!.

¿Y si la carrera en vez de 4 años fuera de 6, y estos dos años se alternan durante todo el ciclo en materia de prácticas? Seguramente nadie se quejaría, o menos, y se daría por hecho que la formación en el trabajo es parte de la formación curricular.

Lo que está claro es que el gobierno debe regular las prácticas en todos los sectores, y que las habilidades prácticas en las carreras brillan por su ausencia.

 

 

 

Dok y Bella, nuevos malware para macOS que utilizan el mismo vector de ataque

Jue, 05/04/2017 - 14:56

A día de hoy, nadie debería sorprenderse al descubrir malware para el sistema de Apple macOS, a pesar de que aún queden usuarios que piensan que su sistema es invulnerable. Cada cierto tiempo se detectan nuevas amenazas para este sistema, habiéndose incrementado preocupantemente en los últimos años, aunque siguen muy lejos del número de amenazas existentes para otros sistemas como Windows o Android.

Funcionamiento de OSX/Dok

Durante los últimos días se han descubierto dos nuevas variantes de malware que responden al nombre de OSX/Dok y OSX/Bella. A pesar de que estas amenazas son distintas, no lo es el método que utilizan para propagarse, el cual sigue siendo un clásico: un fichero adjunto a un correo electrónico escrito en alemán que se hace pasar por una supuesta devolución de impuestos.

La primera voz de alarma la dieron investigadores de CheckPoint a finales de la semana pasada, cuando descubrieron que este correo adjuntaba un fichero comprimido que contenía, a su vez, un fichero de nombre Dokument y con el antiguo icono de la Vista Previa para macOS.

Correo fraudulento el que iba el adjunto malicioso. Fuente: CheckPoint

Al intentar ejecutar este fichero se muestra una falsa ventana de alerta y, sin conocimiento del usuario, se instala en segundo plano la aplicación maliciosa AppStore.app. Una vez instalado el malware OSX/Dok en el sistema, este se ejecuta y concede permisos a todos los usuarios para que puedan ejecutar el malware y borrar la aplicación original. Además, se colocará como un ítem de registro para conseguir persistencia en el sistema y asegurarse de que se ejecuta cada vez que este se reinicia.

Seguidamente, se genera una pantalla que se superpone al resto y que muestra una supuesta alerta de seguridad. Esto no es más que una excusa para conseguir las credenciales del usuario, puesto que solicita su introducción para instalar esta falsa actualización. El usuario se ve obligado a introducir esta contraseña, puesto que el malware impide que realice cualquier otra acción en el sistema.

Falsa pantalla de alerta generada por el malware OSX/Dok. Fuente: ChekPoint

Con los permisos necesarios ya obtenidos, este malware procede a instalar varias aplicaciones, entre las que se encuentra un gestor de paquetes para macOS que, seguidamente, será utilizado para descargar TOR y SOCAT. Además, el malware otorgará privilegios de administrador al usuario que lo está utilizando para instalarse, y así evitar que se muestren nuevas pantallas solicitando que se introduzca la contraseña.

El fin último de este malware es instalar un certificado malicioso y proceder a realizar un ataque Man in the Middle, para interceptar todo el tráfico del usuario cuando este navegue por Internet. El atacante dispone de una página web dentro de la red TOR que contiene la configuración de un proxy para realizar este ataque y suplantar algunas de las webs que utiliza, para así poder robar información como credenciales de acceso.

Funcionamiento de OSX/Bella

Pocos días después de descubrir la propagación del malware OSX/Dok, investigadores de Malwarebytes descubrieron otra amenaza que utilizaba exactamente el mismo método de propagación por correo electrónico, el mismo archivo comprimido y la misma pantalla de alerta.  Sin embargo, en esta ocasión se instalaba una puerta trasera de código abierto conocida como Bella, cuyo autor se identifica a sí mismo en GitHub como Noah.

Este programador es el autor de varios scripts desarrollados en Python diseñados para realizar ataques a macOS, como el robo de tokens de autorización de iCloud o datos de tarjetas de crédito desde el navegador Chrome. El pasado mes de febrero publicó Bella, la cual combina funcionalidades ya presentes en estos scripts con algunas nuevas como la localización de dispositivos a través de Find my iPhone y Find my Friends, el robo de mensajes SMS y los enviados a través de iMessage, o la captura de imágenes y audio a través del micrófono y la webcam, entre otros.

Funcionalidades del malware OSX/Bella. Fuente: Malwarebytes

Dependiendo de la versión del sistema operativo, Bella puede incluso intentar explotar vulnerabilidades existentes en versiones de macOS 10.12.1 y anteriores. De esta forma puede llegar a conseguir privilegios de root, aunque también puede utilizar técnicas de phishing para obtener la contraseña del administrador del sistema y así poder realizar sin problemas alguna de las funcionalidades mencionadas.

Conclusión

Como acabamos de ver, estas dos muestras de malware para macOS utilizan el mismo vector de ataque, algo que hemos visto en incontables ocasiones, por ejemplo, a la hora de propagar ransomware para Windows. Si esto va a suponer una nueva tendencia a la hora de propagar malware para macOS o si vamos a ver un incremento de amenazas en este sistema, es algo que aún no podemos confirmar.

En cualquier caso, nunca está de más contar con una solución de seguridad capaz de detectar estas amenazas y desconfiar de correos no solicitados, especialmente si estos contienen adjuntos sospechosos.

Josep Albors

Páginas