Ultimos posts Protegerse.com

Subscribe to canal de noticias Ultimos posts Protegerse.com
Una manera informal de acercarse a la seguridad informática
Actualizado: hace 1 hora 25 mins

Mirai Okiru: los procesadores ARC son objetivo del malware por primera vez en su historia

Mar, 01/16/2018 - 13:04

Durante los meses de septiembre y octubre de 2016, una serie de ciberataques llamaron la atención por su impacto y, sobre todo, por su origen. Los ataques producidos por la botnet Mirai, compuesta principalmente por dispositivos del llamado Internet de las cosas (como cámaras IP o sistemas de grabación de vídeo) causaron importantes problemas a empresas y servicios como OVH, Amazon, Spotify o Netflix, por poner solo unos pocos ejemplos, mediante la realización de ataques de denegación de servicio distribuidos DDoS.

Evolución de la amenaza

Desde el descubrimiento del malware Mirai en agosto de 2016 por el investigador @unixfreaxjp hasta ahora, han pasado muchos meses que han permitido evolucionar a la Botnet Mirai. La publicación del código fuente al poco tiempo de ser descubierta esta amenaza ha permitido a muchos delincuentes contar con una poderosa herramienta que han podido adaptar a sus necesidades, pero también a muchos investigadores estar alerta ante cualquier nueva variante.

Precisamente, el descubridor de la botnet Mirai original ha anunciado hace pocos días que ha observado una variante que tiene como objetivos a los procesadores con arquitectura ARC, usando para infectarlos un malware para Linux presentado en formato ELF y al que ha bautizado como Mirai Okiru.

La peculiaridad de este malware es que se trata del primero que se conoce en la historia que tiene como objetivos a dispositivos basados en arquitectura ARC. Este tipo de procesadores de 32 bits son utilizados ampliamente en dispositivos con un SoC (System on a Chip) utilizados con múltiples finalidades y, especialmente, en el Internet de las cosas (IoT). Se calcula que, anualmente, se producen más de mil millones de dispositivos que incorporan uno de estos procesadores, por lo que son un objetivo muy atractivo para los delincuentes.

Durante las primeras horas tras el anuncio del descubrimiento de esta nueva amenazas surgió el debate acerca de si se trataba de una evolución considerable, o solamente un paso más en botnets derivadas de Mirai como Satori. Sin embargo, los análisis posteriores desvelaron que, si bien ambas amenazas tienen a dispositivos del IoT como objetivos principales y comparten alguna característica similar, también existen importantes diferencias en la forma en la que están programados o eligen los objetivos.

Parte del código de Mirai Okiru descifrado – Fuente: @_odisseus

Vectores de ataque y consecuencias

Tal y como vimos en los incidentes provocados por la botnet Mirai hace un par de años, la utilización de dispositivos infectados por un malware de estas características para realizar ataques DDoS es algo relativamente sencillo para los delincuentes, y puede causar grandes problemas.

Con la posibilidad de infectar a miles de millones de dispositivos que hasta ahora habían permanecido al margen, se aumentan notablemente las posibilidades para los delincuentes y, aunque puede que no lleguen nunca a utilizarse de forma maliciosa, viene bien estar prevenidos ante posibles ataques de estas características.

Para intentar averiguar el alcance real que una amenaza de este tipo puede tener, habría que ver qué vectores de ataque utilizan los delincuentes. En anteriores ataques similares hemos visto cómo los delincuentes se han aprovechado de configuraciones inseguras en los dispositivos, con acceso a puertos abiertos y contraseñas por defecto o muy débiles, algo que permite hacer escaneos por internet buscando objetivos y explotándolos de forma sencilla.

Si esto consigue reproducirse con los dispositivos basados en la arquitectura ARC, podemos estar ante un serio problema debido a lo rápido que podría montarse una botnet con un elevado número de dispositivos controlados por los delincuentes. Además, cuando apareció Mirai, el objetivo principal fue la realización de ataques DDoS, pero ahora puede que los delincuentes prefieran usar estos dispositivos a su disposición para, por ejemplo, minar criptodivisas.

Conclusión

El tiempo nos dirá si el descubrimiento de este nuevo malware tiene un impacto real en la seguridad de estos dispositivos o si quedará como otra anécdota más. Lo cierto es que, independientemente de la arquitectura usada, todos los fabricantes relacionados con el Internet de las cosas deben ponerse las pilas para aplicar la seguridad desde el diseño si no queremos ver cómo su seguridad es vulnerada una y otra vez.

Josep Albors

Indicadores de compromiso

Hashes MD5

  • 9c677dd17279a43325556ec5662feba0
  • 24fc15a4672680d92af7edb2c3b2e957

Reglas Yara

https://github.com/unixfreaxjp/rules/blob/master/malware/MALW_Mirai_Okiru_ELF.yar

 

CoffeeMiner: minando criptodivisas sin autorización usando la WiFi como vector de ataque

Mié, 01/10/2018 - 13:30

Llevamos varias semanas hablando de amenazas relacionadas con las criptodivisas, señal de que estas son un tema candente y que no dejan de acaparar la atención tanto de medios como de nuevos inversores. A pesar de que estos ataques se han venido produciendo desde hace bastantes años, no ha sido desde el notable incremento del valor de varias de estas criptomonedas que los delincuentes han multiplicado sus esfuerzos para tratar de enriquecerse nuevamente a costa de los usuarios.

Revisando los antecedentes

En varios de los últimos posts donde hemos tratado este tema, hemos analizado ejemplos donde los delincuentes o incluso administradores de páginas web sin escrúpulos han introducido código en webs legítimas, código que permite al atacante utilizar los recursos de los usuarios para minar criptodivisas (normalmente Monero) a través de un simple JavaScript.

Durante el verano empezamos a ver que algunos grupos de delincuentes utilizaba kits de exploits para, a través de simples anuncios mostrados a los usuarios en webs legítimas, conseguir que estos se descargan el software de minado de Monero. La utilización de este tipo de técnicas coincidió con una notable subida del valor de la criptodivisa, pero nada en comparación con lo que estaba a punto de llegar.

Evolución del valor de Monero durante los últimos meses – Fuente: Coinmarketcap.com

A finales de septiembre hubo un caso relacionado con el minado no autorizado que destacó por la web afectada y la técnica utilizada. Varios usuarios informaron de que la conocida web de descargas The Pirate Bay había introducido una línea de JavaScript durante un corto periodo de tiempo, y que permitía a sus propietarios utilizar los recursos de los visitantes de la web para minar Monero.

En ese momento, las declaraciones de los administradores de la web apuntaban a que había sido una prueba para sustituir la molesta publicidad por esta otra forma de monetización. Esto es algo comprensible, e incluso la plataforma utilizada para realizar el minado (CoinHive) puede ser una alternativa viable pare eliminar los anuncios en las webs y que estas puedan seguir financiándose. El problema es cuando no se avisa a los usuarios de esto y se utilizan sus recursos sin autorización.

Durante varias semanas la cosa estuvo aparentemente calmada, con algún incidente aislado en alguna web de renombre, pero desde finales de octubre se empezaron a multiplicar los casos de forma preocupante, tanto que en países como España, la minería no autorizada de criptomonedas ya supone la amenaza más detectada con diferencia por los sistemas de telemetría de ESET.

Evolución de las detecciones de minado no autorizado en España – Fuente: ESET Virus Radar

¿WiFi gratis? Quizás no tanto

Así las cosas, no es de extrañar que nos encontremos con noticias que hablen de este tema prácticamente todos los días. Sin embargo, si bien hasta ahora los ataques se han centrado en infectar máquinas vulnerables o introducir código de minado no autorizado en webs legítimas, la evolución de estos ataques nos abre nuevos escenarios posibles.

Un claro ejemplo de esto lo tenemos en la investigación bautizada como CoffeeMiner por el investigador catalán @arnaucode, quien sintiendo curiosidad por un incidente acontecido en una cafetería de la cadena Stabucks, desarrolló una prueba de concepto que permite aprovechar los recursos de los equipos conectados a una WiFi mediante un ataque MITM (Man-In-The-Middle), haciendo que minen criptodivisas sin su consentimiento. Este investigador publicó un post en su blog el pasado 4 de enero, donde explicaba el funcionamiento de este ataque y lo demostraba con una prueba de concepto en un entorno controlado.

Tras analizar esta investigación, no cabe duda de que se trata de una vuelta de tuerca muy ingeniosa a un tipo de ataque que ha sido utilizado durante mucho tiempo y al que ahora se le ha encontrado una nueva utilidad. Básicamente, consiste en conseguir que todos los dispositivos conectados a una WiFi pasen a través de un proxy establecido por el atacante mediante la realización de un ataque ARP-Spoofing. A partir de ese momento, a cada web visitada se le inyectará una línea de código, que cargará el software de minado en el navegador de las víctimas.

Esquema del funcionamiento del ataque CoffeeMiner – Fuente: Arnaucode blog

La peligrosidad de estos ataques radica en que cualquiera que quiera aplicarlo, puede hacerlo tan solo buscando una WiFi pública que no esté debidamente protegida con routers capaces de detectar ataques ARP-Spoofing y redes segmentadas. Esta, por desgracia, suele la situación en muchas de las redes WiFi públicas que nos podemos encontrar en cafeterías, restaurantes o aeropuertos, por poner solo unos ejemplos.

Este tipo de ataque tiene un inconveniente, y es que el equipo utilizado por el atacante debe estar conectado a la misma red WiFi de las víctimas y, a ser posible, con una antena lo suficientemente potente como para tratar de secuestrar el tráfico del mayor número de dispositivos posible. No obstante, esta limitación podría ser subsanada utilizando algún dispositivo de pequeño tamaño como una WiFi Pineapple o incluso una Raspberry Pi con acceso a una fuente de energía (una batería externa, p.ej.) que le permita seguir funcionando durante largos periodos de tiempo.

Prueba de concepto en una red WiFi real – Fuente: Arnaucode blog

Tal y como apunta Arnau en su post, este tipo de ataques usando CoinHive tienen sentido cuando las víctimas permanecen en una web durante periodos de tiempo superiores a los 40 segundos, algo completamente factible viendo la cantidad de víctimas potenciales. Tampoco es que al atacante le cueste mucho inyectar el código malicioso en cada petición web realizada por las víctimas, así que el beneficio parece asegurado.

Conclusión

Tal y como venimos apuntando en posts anteriores, parece que el minado no autorizado de criptodivisas se ha hecho un hueco importante entre las amenazas más destacadas. Es relevante el hecho de que hay incluso grupos de delincuentes que están cambiando el ransomware por este nuevo tipo de ataques, lo que nos puede servir como indicador de los beneficios que están obteniendo con esta actividad ilícita.

De cara a los próximos meses esperamos que este tipo de ataques se sigan produciendo, aunque conforme los usuarios adopten medidas que permitan bloquear los códigos de minado no autorizado en webs legítimas, es muy probable que los delincuentes desarrollen nuevos vectores de ataque, por lo que conviene estar atentos.

Josep Albors

 

PyCryptoMiner infecta sistemas Linux para minar la criptodivisa Monero

Lun, 01/08/2018 - 17:11

Hace unas semanas, cuando estábamos a punto de terminar 2017, nos aventuramos a pronosticar que los ataques relacionados con el minado no autorizado de criptodivisas iban a seguir aumentando, tal y como lo venían haciendo desde el final del verano. Cuando llevamos aún pocos días de este recién estrenado 2018, no solo este pronóstico se confirma, sino que puede que incluso llegue a desbancar durante este 2018 al temido ransomware como amenaza más prevalente.

PyCryptoMiner tiene a Linux como objetivo

Durante los últimos meses hemos visto cómo han ido apareciendo numerosas muestras de malware especializados tanto en el robo como en el minado no autorizado de criptodivisas. Además, hemos visto que estas amenazas no se limitan a atacar sistemas operativos como los de la familia Windows, sino que también buscan víctimas entre dispositivos Android o, como vamos a ver ahora, entre sistemas Linux.

El malware PyCryptoMiner fue descubierto recientemente por investigadores de la empresa F5 Networks. Esta amenaza tiene como características destacables el que todos los sistemas infectados forman parte de una botnet gestionada por los delincuentes, y que su finalidad principal es la minería de la criptodivisa Monero.

El método de infección es similar al que ya hemos visto en ocasiones anteriores para infectar servidores Windows que utilizan contraseñas débiles, a través de RDP. En este caso, se realizan ataques de fuerza bruta contra sistemas Linux que tengan expuesto el puerto utilizado para el protocolo SSH (normalmente el 22). Si los delincuentes consiguen averiguar la contraseña, acceden al sistema y utilizan scripts en Python para instalar el software de minado de Monero.

En algunos casos, también se ha observado que los delincuentes utilizaron un exploit para aprovechar una vulnerabilidad conocida en el servidor JBoss (CVE-2017-12149), pero la gran mayoría de ataques se realizan mediante fuerza bruta.

Uso de scripts de Python para pasar inadvertidos

Una de las peculiaridades de esta amenaza es la utilización de scripts en Python para instalar el software de minado. Puesto que este es un lenguaje de programación que permite ser ejecutado de forma sencilla por varios de los intérpretes de código incluidos de serie en sistemas Linux o Windows, es relativamente fácil para los delincuentes conseguir que pasen inadvertidos, al menos bastante más que intentar ejecutar un binario malicioso.

Añadiendo persistencia en el sistema mediante scripts en Python – Fuente: F5 Networks

Esto no significa que sean completamente indetectables, ya que, dependiendo de las medidas de seguridad implementadas en el sistema, es posible reconocer una actividad no autorizada basándose, por ejemplo, en el consumo de recursos del sistema. Además, los análisis realizados por los investigadores han revelado que las muestras detectadas no eran especialmente complejas, lo que hace más fácil su detección.

Los pasos que sigue esta amenaza empiezan con la descarga de un script en Python muy simple que actúa como avanzadilla, recopilando información del sistema de la víctima e informando al centro de mando y control de la botnet. Esto puede servir para detectar objetivos más interesantes a la hora de instalar el software de minado, porque cuentan con una cantidad de recursos más elevada.

Seguidamente, desde el centro de mando y control se envía otro script de Python a la máquina objetivo, que se encarga de instalar el cliente de minado de Monero de forma que pase lo más inadvertido posible. A partir de este momento, los recursos del sistema estarán a disposición de los delincuentes y será decisión suya aprovecharlos al máximo o limitar su consumo para pasar inadvertidos el máximo tiempo posible.

Pastebin usado como repositorio de emergencia para recibir órdenes

Entre las curiosidades encontradas por estos investigadores se encuentra el método utilizado por los delincuentes para enviar órdenes a los sistemas infectados. Todas las muestras analizadas contenían una dirección embebida que apuntaba a Pastebin y que proporcionaba la dirección del centro de mando y control de reserva, al que debían conectarse en caso de que el principal fallase.

Enlace principal y de respaldo utilizado por el malware para recibir órdenes – Fuente F5 Networks

Los investigadores indican en su informe que este enlace fue visitado más de 175000 veces, y aunque un solo dispositivo puede haber realizado esta conexión varias veces, todo apunta a que el tamaño de la botnet podría estar en, aproximadamente, varios miles de dispositivos infectados.

Esto estaría generando unos beneficios bastante interesantes a los delincuentes, sobre todo tras analizar las carteras utilizadas en esta operación para almacenar las criptodivisas Monero. En una de ellas se encontraron 94 de estas criptomonedas, mientras que en la otra la cantidad ascendía a 64, lo que, en el momento de escribir este artículo, se traduce en alrededor de 57000 €.

Estas cantidades pueden parecer pequeñas, pero son bastante elevadas si tenemos en cuenta que el coste de generar y mantener un infraestructura así para los delincuentes es bastante bajo, y que, además, esta criptodivisa es más difícil de rastrear que otras como Bitcoin.

Conclusión

Parece que la previsión del aumento de las amenazas relacionadas con las criptodivisas que apuntábamos en nuestro resumen de tendencias para 2018 se está cumpliendo, y esto puede ser un problema de cara a cómo se van a afrontar los próximos meses. Otras amenazas como el ransomware siguen siendo un problema, pero el minado no autorizado va ganando terreno, y al contrario que el ransomware, no deja inoperativo el sistema, algo que puede hacer que muchos no se den cuenta de que están infectados hasta que haya pasado bastante tiempo.

Es por eso que debemos estar atentos y monitorizar aquello que nos resulte extraño, como los picos de consumo de recursos, tanto en endpoints como en servidores, móviles y dispositivos de todo tipo. Un elevado consumo de recursos puede ser un indicativo de que algo no funciona adecuadamente, especialmente en servidores, y deberíamos contemplar la posibilidad de que alguien esté utilizando nuestros sistemas en beneficio propio, tal y como se lleva haciendo desde hace años.

Josep Albors

Se armó el belén: Meltdown, Spectre y la madre del cordero

Jue, 01/04/2018 - 17:30

No llevamos ni una semana del recién estrenado 2018 y ya tenemos entre nosotros un conjunto de vulnerabilidades de esas que ponen los pelos de punta, con nombres llamativos, web propia y logos a juego. De nuevo, estamos ante un caso que puede hacer temblar los cimientos de la seguridad tal y como la conocíamos hasta ahora, o al menos eso se desprende de algunos titulares vistos en las últimas horas, pero ¿a qué se debe tanto alboroto?

Dos invitados que nadie quiere tener en su sistema

Durante el miércoles 3 de marzo de 2017 saltaba la liebre con la noticia de que se había detectado una vulnerabilidad en procesadores Intel fabricados durante los últimos años. Además, debido al embargo impuesto por Intel y que no permitía conocer muchos detalles acerca de esta vulnerabilidad, muchos medios optaron por utilizar titulares llamativos en plan “Tu procesador va a perder un 30 % de rendimiento y no vas a poder hacer nada”.

En esas primeras horas de desconcierto empezaron a aparecer detalles de investigaciones realizadas en las últimas semanas/meses y que parecían tener relación con esta misteriosa vulnerabilidad. Una de estas investigaciones era la que hablaba de una vulnerabilidad conocida como KAISER, KPTI o F*CKWIT, y cuya mitigación estaba siendo analizada desde hace semanas por algunos investigadores.

Recreando la situación en las oficinas de Intel – Fuente: @supersat

En esos momentos todas las miradas estaban centradas en Intel, y aunque se intuía que se estaba cociendo algo a varios niveles y que podría haber más afectados, se nos emplazaba a la semana que viene para conocer más detalles y aplicar los parches desarrollados. De hecho, la propia Intel tenía una presentación preparada donde hablaba de estos fallos de seguridad y de la colaboración entre varios fabricantes para solucionarlos.

Sin embargo, todo eso se fue al garete por la filtración antes de tiempo de algunos detalles al respecto de las vulnerabilidades, la aparición de pruebas de concepto que demostraban que la amenaza era grave y que había más fabricantes de chips afectados. Otras versiones apuntan a que Intel no iba a permitir que este incidente le salpicara solo a ellos y activó el ventilador para mitigar daños, y que empresas como AMD también tuvieran que dar la cara aunque, como veremos más adelante, igual no les ha salido como pensaba.

Vale, ¿y todo eso cómo me afecta?

Partiendo de la base de que todos los dispositivos de uso diario como ordenadores, portátiles, smartphones, servidores de almacenamiento en la nube, etc., tienen algún tipo de CPU, el número de posibles afectados es muy alto, aunque nos gustaría resaltar lo de “posible”. Pero antes que nada, vamos a ver de forma sencilla en qué consisten estos ataques sin entrar en demasiados detalles técnicos.

Según la información conocida hasta ahora, estas vulnerabilidades aprovechan fallos en el diseño de los procesadores actuales que permitirían a una aplicación maliciosa robar información confidencial que esté siendo procesada en ese momento en el ordenador. Normalmente, las medidas de seguridad implementadas en los procesadores impiden que una aplicación tenga acceso a la información que maneja otro programa, pero un atacante puede aprovechar tanto Meltdown como Spectre para conseguir la información que, en ese momento, esté almacenando en memoria otra aplicación.

Prueba de concepto exitosa realizada por @brainsmoke

Este tipo de ataques permitiría robar datos tan confidenciales como nuestras contraseñas, si estas están almacenadas, por ejemplo, en el navegador web, nuestras fotografías si accedemos a ellas mediante un servicio de almacenamiento en la nube, correos electrónicos y otros documentos confidenciales e incluso los mensajes que enviamos y leemos a través de aplicaciones de mensajería instantánea.

A nivel particular esto puede parecer grave, pero el verdadero problema se encuentra en aquellos entornos donde se comparten recursos para abaratar costes, como en los servicios de almacenamiento y procesamiento en la nube. Aprovechando estas vulnerabilidades sería posible atacar a un proveedor de servicios corporativos en la nube y, dependiendo de su infraestructura y medidas de seguridad, acceder a datos de varios usuarios tan solo comprometiendo una máquina que utilicen varios clientes a la vez.

Los detalles técnicos de estas dos vulnerabilidades son muy interesantes, y es muy recomendable la lectura de alguno de los análisis técnicos que han sido publicados en las últimas horas. Recomendamos encarecidamente el excelente análisis que han realizado los chicos del Project Zero de Google, así como los papers correspondientes tanto a Meltdown como Spectre.

¿Es grave, doctor?

Antes que nada…

Como ya hemos vivido en anteriores ocasiones donde parecía que todo iba a explotar y que poco menos que íbamos a volver a la edad de piedra tecnológicamente hablando, hay que pararnos a analizar fríamente el problema y valorar las posibles soluciones y sus consecuencias.

Obviamente, tirar todos nuestros dispositivos y comprar otros con procesadores nuevos que no tengan este fallo cuando estén disponibles no es una opción, por más que a algún jefe de ventas de alguna de las empresas implicadas tenga algún sueño húmedo con solo vislumbrar esa opción. Así pues, lo inteligente es tomar decisiones partiendo de lo que conocemos hasta la fecha.

Ahora que se conoce la existencia de las vulnerabilidades y su gravedad, han sido varias las empresas que han reaccionado para mitigar los posibles daños. Tanto Windows (las versiones soportadas por Microsoft al menos) como Linux disponen o dispondrán en breve de parches que solucionan por software estos fallos. Apple aún no se ha pronunciado, pero no dudamos de que también reaccionará cuando crea conveniente.

Las actualizaciones por software van a ser muy útiles para solucionar la vulnerabilidad Meltdown, aunque Spectre es otro cantar, y a pesar de que es más difícil de explotar por un atacante, también es más complicada de resolver.

En lo que respecta a los fabricantes de CPUs, todo apunta a que el más afectado es Intel, y que hasta que modifique el diseño de los procesadores en futuros productos no podremos estar seguros de que se han solucionado estas vulnerabilidades al cien por cien. Por su parte, AMD afirma que el riesgo de que alguien pueda atacar sus procesadores es prácticamente nulo, apelando a las diferencias de su arquitectura con respecto a Intel. Habrá que ver si con el tiempo se demuestra que están en lo cierto.

En lo que respecta a ARM, cuyos procesadores son ampliamente utilizados en dispositivos móviles y del Internet de las cosas, dependiendo del modelo del procesador este se verá afectado por alguna de las vulnerabilidades y sus variantes. No obstante, ya existen parches en los sistemas Linux que gobiernan varios de estos modelos.

Un caso más complicado es el de los proveedores de servicios cloud, tanto de almacenamiento como de procesamiento. Tanto Amazon como Microsoft han lanzado sendos comunicados avisando tanto de labores de mantenimiento como de la necesidad de aplicar los parches de seguridad a sus clientes. Falta ver si finalmente estos parches terminan afectando al rendimiento en estos sistemas, algo que seguramente producirá más de una queja.

Conclusión

Si bien no hay que restar gravedad al asunto, ya hemos pasado por situaciones similares anteriormente y el mundo no se ha terminado. Debemos asumir que si estas vulnerabilidades han sido descubiertas por varios equipos de investigadores casi al mismo tiempo, es bastante posible que grupos de delincuentes con recursos o agencias gubernamentales también las conozcan desde hace tiempo.

Así las cosas, para los usuarios de a pie este incidente nos sirve para recordar la importancia de aplicar actualizaciones de seguridad e incluso tomar medidas más estrictas. Se habla de que uno de los principales vectores de ataque para aprovechar estas vulnerabilidades sea el código JavaScript malicioso introducido en webs comprometidas, así que nunca está de más instalar un complemento (como ScriptSafe o NoScript) que bloquee por defecto este tipo de código (y de paso evitamos que utilicen los recursos de nuestro sistema para minar criptodivisas).

Veremos en qué queda todo este asunto, pero parece que este 2018 que acabamos de estrenar va a seguir la línea de años anteriores, al menos en lo que respecta a temas relacionados con la ciberseguridad.

Josep Albors

Los delincuentes cambian el ransomware por el minado no autorizado de criptodivisas

Vie, 12/22/2017 - 16:28

Las noticias sobre las importantes fluctuaciones en el valor de las criptodivisas de los últimos días ha llamado la atención no solo de los usuarios y medios de comunicación. Los delincuentes hace meses que están lanzando campañas para aprovechar la fiebre de las criptomonedas y obtener beneficios a costa de usuarios desprevenidos.

Auge de la minería no autorizada

Si bien es cierto que los ataques relacionados con este tipo de divisas llevan entre nosotros casi desde el origen de las mismas, hasta no hace mucho, estos se centraban en atacar a aquellos usuarios que, o bien ya poseían una cartera donde almacenar estas monedas o disponían de un hardware específico y potente que permitía el minado efectivo.

Sin embargo, en los últimos meses hemos observado un importante crecimiento en ataques relacionados con aprovechar los recursos de los usuarios, ya sea infectándolos con algún software de minado o introduciendo código en páginas webs que aprovechan los recursos del sistema de los usuarios que las visitan para minar criptomonedas.

Este auge viene provocado por la utilización de criptodivisas como Monero, diferente a Bitcoin en lo que respecta a necesidades para su obtención y el anonimato que proporciona en las transacciones. Cualquier CPU mínimamente potente es válida para realizar labores de minería y por eso (y porque su valor ha crecido considerablemente desde finales del verano) es la elegida en muchas campañas preparadas por delincuentes.

Migrando desde el ransomware

Hasta ahora, cuando los delincuentes conseguían que una nueva campaña de propagación de amenazas fuera rentable la añadían a su arsenal particular y está convivía con otras. Así hemos podido ver como se utilizaban, por ejemplo, kits de exploits para distribuir malware en forma de troyanos bancarios, ransomware y otras amenazas dependiendo de lo que les conviniera en ese momento a los delincuentes.

Sin embargo, con el auge de las criptomonedas en los últimos meses se han empezado a observar casos donde los delincuentes dejan de lado negocios tan lucrativos como el ransomware para pasarse a la minería no autorizada a costa de los recursos de los usuarios.

Un ejemplo reciente de esta migración lo tenemos con el grupo responsable del ransomware VenusLocker. Investigadores de Fortiguard han publicado recientemente un informe en el que se observa como este grupo ha pasado de secuestrar los datos de sus víctimas y pedir un rescate utilizando ransomware a instalar malware en los sistemas de sus víctimas que se encarga de minar Monero.

Contenido del fichero comprimido con ficheros maliciosos camuflados como documentos e imágenes – Fuente: Fortinet

Estos ataques se han estado observando principalmente en Corea del Sur y el vector de ataque es todo un clásico como el fichero adjunto a un correo electrónico. Estos emails intentan convencer al usuario para que abra el fichero adjunto utilizando asuntos y temas diversos. Los investigadores también detectaron otra variante que amenazaba al usuario de denunciarlo por utilizar imágenes con derechos de autor en su web y recomiendan abrir el fichero adjunto para ver las imágenes en cuestión.

El fichero adjunto está comprimido en formato EGG, un formato que nos puede resultar extraño pero que en Corea del Sur es bastante conocido. Dentro de ese archivo comprimido encontramos el software de minado, junto a otros ficheros, camuflado como si fuera un documento de Word o una imagen. La realidad, no obstante, es que si el usuario ejecuta alguno de estos, aparentemente inofensivos archivos se ejecutará el software de minado, cediendo los recursos de su sistema para el beneficio de los delincuentes.

Usando Facebook Messenger como vector de ataque

Otro ejemplo del incremento del interés de los delincuentes en este tipo de ataques lo tenemos en la distribución de un archivo malicioso a través de Facebook Messenger. Investigadores de Trend Micro y el investigador surcoreano c0nstant  han descubierto como se está propagando entre usuarios de esta conocida aplicación de mensajería instantánea un archivo que simula ser un vídeo.

Los usuarios reciben un mensaje de algún contacto que ha sido previamente infectado y que adjunta un archivo que simula ser un fichero de video con el formato video_xxxx.zip (donde xxxx es un número de cuatro dígitos). El archivo comprimido esconde un fichero .EXE que, en caso de ser ejecutado, se infectarán con el malware Digminer.

Mensaje de Facebook Messenger con el falso vídeo que contiene el malware – Fuente: Trend Micro

Este malware se conecta con un servidor de mando y control gestionado por los delincuentes en espera de instrucciones y que, actualmente, este servidor está haciendo que las víctimas se descarguen un minero de la criptodivisa Monero y una extensión maliciosa de Chrome que se instalan nada más terminan de descargarse.

La función de esta extensión de Chrome es la de acceder al perfil de Facebook Messenger de forma automática sin pedir autorización al usuario. De esta forma puede lanzar mensajes con el mismo fichero malicioso a todos sus contactos y aumentar así el número de víctimas. Sin embargo, este acceso automático solo funciona si la víctima tiene las credenciales de Facebook registradas en el navegador. En caso contrario, la extensión maliciosa no podrá acceder a la cuenta de Facebook Messenger de la víctima de forma automática.

Hasta el momento de escribir estas líneas, esta campaña ha sido detectada en varios países como Corea del Sur, Vietnam, Filipinas, Tailandia, Azerbaiyán, Ucrania y Venezuela. No obstante, es perfectamente posible que veamos esta u otras campañas similares en otras regiones del mundo.

Conclusión

Con cada vez más delincuentes dándose cuenta de que las criptomonedas son un negocio muy provechoso, especialmente si los recursos utilizados para minarlas son de otras personas, no es de extrañar que veamos cada vez más incidentes relacionados con este tema. Al menos durante las próximas semanas es muy probable que sigamos observando campañas similares a las que acabamos de analizar y esto tiene visos de seguir así mientras la fiebre de las criptodivisas esté en auge.

Hay quien afirma que esto tiene su lado positivo puesto que, con cada vez más delincuentes centrándose en estas campañas, el número de incidentes relacionados con ransomware debería decrecer. Muy a nuestro pesar, no parece que este sea el caso a corto plazo y, las medidas de seguridad que se han venido recomendando durante los últimos meses siguen siendo igual de válidas.

Josep Albors

Puertas traseras y minado de criptodivisas en WordPress

Jue, 12/21/2017 - 12:02

El considerado actualmente como el gestor de contenidos por excelencia (con permiso de Blogger) a la hora de gestionar una web, WordPress, es también uno de los objetivos principales de los delincuentes debido a su gran base de usuarios. Por ese motivo, es frecuente ver noticias sobre vulnerabilidades y problemas de seguridad en este CMS o en alguno de sus miles de complementos, problemas como los que comentamos en el artículo de hoy.

Una puerta trasera a través de un complemento

La capacidad de personalización de la que dispone WordPress ha provocado que se lancen complementos de todo tipo para cubrir hasta las necesidades más minoritarias. Algunos de estos complementos se hacen especialmente famosos y sus instalaciones se cuentan por cientos de miles, cuando no millones.

Un ejemplo de esto lo tenemos en el complemento Captcha, el cual, tal y como su nombre indica, permite añadir un útil paso de verificación para comprobar que nuestros visitantes son humanos y no bots, evitando de paso buena parte del molesto spam en los comentarios.

Este complemento disponía hasta hace poco de una versión gratuita desarrollada por la empresa BestWebSoft, pero esta versión gratuita fue vendida al desarrollador Simply WordPress a principios de septiembre. Actualmente, se calcula que el complemento Captcha está instalado en alrededor de 300.000 equipos.

El problema  viene cuando, unos meses después, se lanzó la versión 4.3.7, versión que venía con sorpresa en forma de código malicioso. Al parecer, esta versión infectada del complemento se conectaba a la web simplywordpress.net y desde ahí se descargaba lo que parecía ser una actualización del complemento Captcha. Sin embargo, esta actualización también contenía una puerta trasera que permitía acceder a los sitios web que tuvieran el complemento instalado.

La detección de esta actualización maliciosa fue posible gracias a la empresa Wordfence, que revisa todos aquellos complementos que tengan un número de instalaciones elevado y hayan sido eliminados del repositorio oficial de WordPress. Las alarmas saltaron cuando WordPress decidió eliminar el complemento Captcha de este repositorio por una infracción al haber utilizado la marca comercial WordPress como propia.

Fue al revisar esta versión del complemento cuando los investigadores de Wordfence encontraron la puerta trasera, alertando de paso al equipo de seguridad de WordPress para que se lanzase una versión limpia del complemento Captcha (4.4.5) y se forzase su instalación en todos los sitios afectados. Se calcula que alrededor de 100.000 webs gestionadas con WordPress recibieron la versión actualizada del complemento durante el pasado fin de semana y, de paso, eliminaron la versión maliciosa.

Ataques de fuerza bruta para minar criptodivisas

Otro de los incidentes destacados de los últimos días, relacionado con la seguridad en sitios web gestionados con WordPress, está relacionado con los ataques de fuerza bruta que se han estado produciendo por todo el mundo desde el pasado lunes para intentar adivinar las credenciales de acceso de los administradores de miles de webs.

La finalidad de estos ataques es instalar un minero de la criptodivisa Monero en los sitios web comprometidos. Para hacernos una idea de la magnitud del ataque, los investigadores de Wordfence afirman que es el mayor ataque por fuerza bruta contra sitios WordPress desde que fundaron la empresa en 2012, calculando que se están atacando 190.000 sitios por hora, con picos de 14 millones, y está siendo lanzado desde 10.000 IPs únicas.

Ataques por hora con fuerza bruta a sitios WordPress – Fuente: Wordfence

Como ya hemos indicado, una vez la web ha sido comprometida, los atacantes pueden decidir si instalar un software de minado de Monero o utilizar esa web para lanzar ataques a otros sitios webs. Esto permite a los atacantes aumentar de forma rápida sus recursos, tanto económicos como para lanzar ataques a cada vez más sitios web.

Los investigadores han podido comprobar que las combinaciones usadas para intentar adivinar las credenciales de acceso se basan en listados frecuentes de contraseñas y aplicando heurística, basándose en el nombre del dominio y su contenido.

Hasta la fecha, y partiendo de las carteras de Monero conocidas asociadas a esta campaña delictiva, se calcula que los delincuentes ya han conseguido más de 100.000 dólares en esta criptodivisa, pero es muy probable que esta cantidad sea superior. Como ya indicamos hace poco, la utilización de sitios web para minar criptodivisas de forma no autorizada aprovechando los recursos de los usuarios que las visitan es algo que se está extendiendo de forma alarmante.

Conclusión

Como acabamos de ver, los sitios gestionados por WordPress siguen siendo uno de los objetivos preferidos de los delincuentes. Es importante recordar la importancia de mantener siempre nuestra web y sus complementos actualizados para evitar incidentes como los que hemos visto. Actualmente, realizar estas operaciones de mantenimiento e incluso incrementar de forma considerable la seguridad de nuestro blog o página web es algo relativamente sencillo, por lo que la falta de conocimientos no puede ser utilizada como excusa.

Josep Albors

Suben las amenazas relacionadas con criptodivisas conforme estas aumentan su valor

Lun, 12/18/2017 - 12:30

Durante las últimas semanas hemos visto una subida espectacular en el valor de varias criptodivisas, con el bitcoin a la cabeza marcando máximos históricos alrededor de los 20.000 dólares por unidad durante el pasado fin de semana. Este espectacular aumento en su valor ha hecho que los delincuentes pongan aún más su punto de mira en todo lo relacionado con las criptodivisas, atacando tanto a particulares como a empresas para robar las carteras donde almacenan estas monedas, y aprovechándose de sus recursos para minarlas.

Usuarios como primer objetivo

Como es habitual, las principales víctimas suelen ser los usuarios, y eso se puede comprobar analizando dos de las campañas de phishing que se han estado propagando durante las últimas semanas.

La primera de ellas fue detectada por expertos de Fortinet y venía presentada en forma de correo electrónico anunciando un nuevo bot para negociar con bitcoin llamado Gunbot, un producto que existe realmente y que ha sido desarrollado por la empresa Gunthy. En este correo se adjuntaba un archivo comprimido que contenía un script en Visual Basic que, a su vez, descargaba un fichero que simulaba ser una imagen, pero que en realidad era un ejecutable malicioso.

Ejemplo de correo de phishing utilizado por los delincuentes – Fuente: Fortinet

Este fichero ejecutable tenía como objetivo controlar remotamente el sistema de la víctima mediante una herramienta RAT (Remote Access Tool), concretamente la conocida como ORCUS. Con esta herramienta, el atacante tiene el control absoluto del sistema de la víctima, pudiendo acceder a sus ficheros, emails o incluso controlar el micrófono o la webcam en caso de estar disponibles.

Otros ejemplos de phishing vistos durante las últimas semanas incluyen la creación de varios sitios web que intentan hacerse pasar por webs legítimas relacionadas con el mundo de las criptodivisas, como blockchain.info o localbitcoins.com. Este tipo de campañas no son nuevas, puesto que ya hemos visto ejemplos similares en meses anteriores, pero con el aumento del valor de estas criptodivisas están aumentando de forma considerable.

Ataques a empresas para minar criptodivisas

Pero no solo se está usando la fiebre por las criptodivisas para intentar engañar a los usuarios en campañas de phishing. Los delincuentes saben cómo explotar los recursos de sus víctimas para minar sus propias monedas, tal y como se ha visto a lo largo de los últimos años. Es por eso que no nos extrañamos de ver campañas de propagación de malware diseñado para infectar sistemas con aplicaciones de minado, como la descubierta recientemente por investigadores de F5 Labs.

Esta campaña, denominada Zealot por sus descubridores, tiene como objetivo a servidores Linux y Windows vulnerables. Los delincuentes están escaneando Internet en busca de servidores que no hayan parcheado varios agujeros de seguridad. Los exploits utilizados por los atacantes para infectar servidores Linux y Windows afectan a Apache Struts (CVE-2017-5638) y al CMS DotNetNuke ASP.NET (CVE-2017-9822).

A la hora de infectar servidores Windows, los atacantes utilizan también unos exploits muy conocidos por ser los que pertenecían a la NSA y que se filtraron a mediados de abril por el grupo Shadow Brokers. Posteriormente, estos exploits fueron utilizados en algunos de los ataques más relevantes del año, como WannaCry o BadRabbit, y también se ha observado cómo se han utilizado anteriormente para minar criptodivisas aprovechando sistemas infectados.

Una vez han conseguido acceder al sistema, los delincuentes utilizan scripts en PowerShell (en servidores Windows) y en Python (en servidores Linux) para descargar e instalar el software de minado de la criptodivisa Monero, aprovechando así los recursos de las empresas afectadas para su propio beneficio.

Un ejemplo de un ataque de estas características ha sido descubierto recientemente en una importante empresa rusa, Transneft, empresa propietaria del mayor oleoducto del mundo. Portavoces de esta empresa declararon haber descubierto software de minado de criptodivisas en alguno de sus sistemas, software que ya ha sido eliminado.

Conclusión

Llevamos tiempo analizando la actualidad en seguridad informática como para saber que los delincuentes irán ahí donde haya posibilidad de obtener beneficio rápido, y ese beneficio se encuentra ahora en las criptodivisas. Es por eso que esperamos ver más incidentes de este tipo durante las próximas semanas o meses, dependiendo de cómo evolucione el valor de estas monedas.

Ya tengas en tu posesión alguna de estas criptodivisas o no, los delincuentes van a intentar aprovechar esta moda para infectar al mayor número de usuarios posible, utilizando todos los medios a su alcance. Es nuestra obligación permanecer atentos a campañas como las que hemos analizado en este artículo para evitar caer en trampas similares.

Josep Albors

Aplicaciones maliciosas en Google Play intentan engañar a clientes de banca online

Mar, 12/12/2017 - 11:05

A pesar de que Google se esfuerza en mantener su tienda oficial de aplicaciones libre de malware y no ha dejado de implementar mecanismos para que así sea, la realidad es que a diario se siguen colando aplicaciones fraudulentas que buscan a sus víctimas entre los millones de usuarios con dispositivos Android.

Entre las amenazas más longevas que existen tanto en dispositivos móviles como ordenadores de escritorio encontramos aquellas que intentan robar  nuestras credenciales de acceso a la banca online. Ya sea mediante el uso de troyanos que capturan la información como de páginas de phishing, los delincuentes usan varios métodos para intentar vaciar nuestras cuentas corrientes.

Una nueva remesa de troyanos bancarios

Como ejemplo reciente de estos intentos continuos por parte de los delincuentes de obtener nuestras credenciales de acceso a la banca online tenemos el caso que analizamos en el post de hoy: una serie de troyanos bancarios que ha conseguido permanecer en Google Play durante varios días sin ser detectados y que, en esta ocasión, afecta a bancos polacos pero que puede cambiar su objetivo de forma sencilla.

Para conseguir instalarse en los dispositivos de sus víctimas, los delincuentes utilizan una técnica clásica pero efectiva como hacerse pasar por otro tipo de aplicaciones legítimas. El investigador senior de ESET Lukas Stefanko ha detectado como estos troyanos se camuflaban dentro de apps con sugerentes nombres como “Crypto Monitor” o “StorySaver”.

Apps maliciosas descubiertas en Google Play – Fuente: WeLiveSecurity

Estas aplicaciones funcionan de forma aparentemente correcta, mostrando la cotización de varias criptodivisas en un caso y descargando stories de Instagram en el otro. No obstante, además de realizar estas funciones, las aplicaciones maliciosas también pueden mostrar notificaciones falsas que parecen llegar desde aplicaciones bancarias legítimas.

De esta forma, los delincuentes consiguen que sus víctimas accedan a formularios de acceso a banca onlline fraudulentos y robar tanto sus credenciales como interceptar los mensajes de autenticación que suelen enviar estas entidades para confirmar las operaciones.

Izquierda: formulario de acceso falso / Derecha: formulario de acceso legítimo – Fuente: WeLiveSecurity

Detectando las aplicaciones maliciosas

Tal y como hemos comentado, estas aplicaciones estuvieron activas durante varios días en Google Play sin ser detectadas. La primera de ellas, “Crypto Monitor”, fue subida el 25 de noviembre mientras que “StorySaver” apareció en Google Play el día 29 del mismo mes.

Desde ese momento y hasta que Google fue avisado de su funcionalidad maliciosa el pasado 4 de diciembre, estas aplicaciones tuvieron entre 1000 y 5000 descargas. Desde el momento del aviso, ambas aplicaciones han sido ya eliminadas de la tienda oficial de apps de Google.

Su modus operando es similar al ya visto en ejemplos anteriores de troyanos bancarios para Android. Una vez el usuario ha instalado las apps, estas revisan las aplicaciones instaladas en el dispositivo en busca de alguna coincidencia con los bancos que tienen como objetivo. En esta ocasión los delincuentes se centraron en bancos polacos, pero trasladar esta campaña a entidades de otro país es algo sencillo para los delincuentes.

Notificación falsa mostrada por la app “StorySaver” – Fuente: WeLiveSecurity

En el caso de que el troyano detecta alguna de las 14 aplicaciones de banca online polacas que tiene como objetivo, empezará a mostrar avisos en el dispositivo haciéndose pasar por la entidad bancaria. De esta forma se intenta que el usuario pulse sobre estas notificaciones y acceda a una web de acceso prácticamente idéntica a la utilizada por cada una de los bancos suplantados para, de esta forma, robar sus credenciales de acceso.

Protegiéndonos de estas apps maliciosas

Al tratarse de entidades polacas, es lógico que la mayoría de detecciones de este malware provengan de este país (alrededor del 96%) pero, como ya hemos dicho, este tipo de campañas pueden adaptarse rápidamente a entidades de cualquier otro país. Estas amenazas son detectadas por las soluciones de seguridad de ESET como Android/Spy.Banker.QL y el uso de un antivirus en nuestro smartphone puede impedir que seamos víctimas de estas y otras amenazas.

Además, como ninguna de estas aplicaciones utiliza mecanismos avanzados para conseguir persistencia en el dispositivo que infectan, es fácil para el usuario localizarlas y desinstalarlas accediendo a Ajustes > Aplicaciones y buscando cualquiera de las aplicaciones mencionadas “Crypto Monitor” o “StorySaver”.

Si alguna vez detectamos en nuestro sistema alguna aplicación similar es importante (además de desinstalarla) revisar las operaciones bancarias que se hayan hecho recientemente en las cuentas vinculadas con las aplicaciones utilizadas en nuestro dispositivo móvil y, en caso de duda, consultar con nuestra entidad para proceder a cambiar nuestros datos de acceso o reclamar posibles transferencias hechas sin nuestro permiso.

Conclusión

Este tipo de aplicaciones maliciosas se aprovechan de la confianza que siguen teniendo los usuarios al instalar aplicaciones de repositorios legítimos. Si bien se están realizando mejoras para garantizar que todas las aplicaciones que se descarguen de tiendas oficiales estén libres de malware aun queda mucho camino por recorrer.

Como usuarios también podemos evitar caer en este tipo de trampas asegurándonos de comprobar las puntuaciones y comentarios de los usuarios que han instalado previamente estas aplicaciones, siempre revisando que se ha descargado un elevado número de veces. Además, a la hora de instalar cualquier tipo de aplicación hemos de revisar que tipo de permisos otorgamos a las aplicaciones, para evitar que realicen acciones no deseadas.

Josep Albors

Indicadores de compromiso Nombre del paquete Hash Servidor de Phishing in.crypto.monitor.coins 57A96D024E61F683020BE46173D74FAD4CF05806 nelis.at com.app.storysavernew 757EA52DB39E9CDBF5E2E95485801E3E4B19020D sdljfkh1313.win

CyberCamp 2017: ESET colabora con INCIBE formando en ciberseguridad

Vie, 12/01/2017 - 11:00

Como viene sucediendo por estas fechas, desde la primera edición celebrada en 2014, CyberCamp abre sus puertas, en esta ocasión en la bella localidad de Santander. Se trata de una oportunidad inmejorable de asistir a charlas y talleres impartidas por algunos de los expertos nacionales e internacionales más importantes, además de un espacio único donde aprender en familia a utilizar Internet y las tecnologías de forma segura.

En este evento se puede disfrutar, por ejemplo, de ponencias como la que impartió nuestro compañero Josep Albors, responsable de investigación y concienciación de ESET España, y que sirvió para repasar el estado de la ciberseguridad de los sistemas industriales, especialmente de aquellos utilizados en infraestructuras críticas.

Desde el jueves 30 de noviembre y hasta el próximo domingo 3 de diciembre tendrán lugar una serie de actividades para profesionales, empresas interesadas en ciberseguridad o la sociedad en general. El  programa comprende charlas y talleres impartidos por algunos de los mejores expertos en ciberseguridad de nuestra sociedad, el foro de empleo y talento online, competiciones entre los aspirantes a talentos en la materia o actividades educativas para el público en general. En definitiva, CyberCamp es un punto de encuentro de la ciberseguridad donde todos los miembros de la sociedad tienen su lugar para aprender y desarrollarse en un valor primordial para la sociedad actual: el uso responsable y seguro de la tecnología.

 

El compromiso de ESET con CyberCamp

Desde ESET España venimos apoyando esta iniciativa desde su primera edición, no solo con charlas, si no también con talleres para familias donde poder enseñarles a usar la tecnología de forma responsable y segura y saber cómo reaccionar ante los incidentes que pueden estar provocados por un uso inadecuado de la misma.

En esta edición, además, participamos como ciberasesores enseñando a los asistentes a utilizar un smartphone o tableta de forma segura, para que así puedan disfrutar de la tecnología sabiendo reconocer las posibles amenazas y por tanto, evitándolas. Así mismo también les explicaremos cómo funciona un control parental y les mostraremos varias de las soluciones existentes para todo tipo de dispositivos como ordenadores, móviles, tabletas o vídeo consolas.

 

CyberCamp es un evento totalmente gratuito por lo que, si estás en estas fechas por Santander te recomendamos que vengas y participes en esta fiesta de la ciberseguridad. Tan sólo será necesario que rellenes un formulario que te permitirá entrar y participar en las actividades que más llamen tu interés: https://cybercamp.es/registro2017 Podrás registrarte de forma online o presencial, una vez haya comenzado el evento.

Ya lo sabes. Si estás por Santander durante estos días, ¡ven a visitarnos a CyberCamp y a aprender sobre ciberseguridad disfrutando de Internet!.

Josep Albors

La concienciación del usuario, la gran asignatura pendiente

Jue, 11/30/2017 - 09:06

Internet es, hoy en día, un lugar esencial para mantener la comunicación con amigos o compañeros, para investigar y para aprender. Pero Internet también oculta una serie de riesgos y amenazas, por lo que es imprescindible conocer sus peligros para saber identificarlos y tomar las precauciones necesarias.

No se trata de infundir miedo a los usuarios sino concienciación, la gran asignatura pendiente.

Y hoy es un buen día para intentarlo. Como cada 30 de noviembre, desde ESET España  queremos unirnos a las celebraciones del Día Internacional de la Seguridad de la Información, y queremos hacerlo reivindicando precisamente la necesidad de que los usuarios, es decir, comiences a ser proactivo y tomes una actitud responsable respecto a tu seguridad. Porque se puede comprar tecnología de seguridad, pero no conciencia de seguridad. Por ello a la vez que exploras, compartes, juegas, navegas. te sorprendes, observas, te atreves, compras, avanzas, mejoras y, en definitiva, disfrutas de tu experiencia online (en el Día de la Seguridad de la Información, y siempre) es necesario que aprendas a blindar tu seguridad más allá de la instalación del pertinente software de seguridad.

Queremos poner el dedo sobre la llaga porque tener protección, contar con un antivirus en tu hogar y una buena solución de seguridad en tu empresa es radicalmente importante pero gestionar tu navegación y el uso de todos tus dispositivos con conciencia es igual de trascendental. Podría hacer un símil un poco tosco pero que todos los lectores comprenderéis a la primera. El condón tiene una protección cercana al 100%, ¿verdad?. No llega a ser total porque puede aparecer en escena algún problema en la fabricación del preservativo o… la intervención irresponsable del usuario que no lo utiliza desde el principio o no lo coloca correctamente. Pues bien, con las soluciones de seguridad ocurre exactamente igual. La colaboración del usuario es importantísima. No solo a la hora de instalarlo correctamente desplegando todo el potencial de la solución sino también adoptando unos hábitos de navegación segura.

Los softwares de seguridad pueden tener un altísimo índice de detección, de cero falsos positivos… protegerte de muchos de los peligros pero, al final,  si el usuario actúa sin concienciación, clica en todo tipo de enlaces, descarga todo tipos de archivos (aunque se los mande el mismísimo Príncipe de Zamunda), conecta a su PC USBs de extraña procedencia etc., mal vamos.

La ingeniería social y el usuario desprevenido, la pareja ideal

Cada día más de un millón de amenazas vagan por el ciberespacio en busca de su víctima ideal, muchas buscarán agujeros en los sistemas pero muchas otras se camuflarán como ingeniería social e intentarán captar tu atención bajo informaciones sorprendentes, polémicas, de gran impacto, chollos increíbles (que incluso contribuiremos a expandir porque querremos darlos a conocer a nuestros allegados). En realidad si los usuarios pensáramos antes de hacer click probablemente nos daríamos cuenta de la poca verosimilitud de estas informaciones u ofertas y no caeríamos en la trampa tendida por los ciberdelincuentes.

Cupones, regalos, grandes ofertas que te llevan a formularios donde te exigen tus datos incluso bancarios, posibilidad de conseguir emoticonos navideños o el mítico whatsapp oro… En todos estos casos, los ciberdelicuentes no solo quieren nuestro dinero (que les puede llegar, por ejemplo, en forma de suscripciones a servicios premium que desconocemos que estamos aceptando) además, quieren hacerse con los datos personales que tenemos almacenados en nuestros dispositivos móviles, e incluso no descartamos la posibilidad de que en algún momento se utilice un gancho de este tipo para infectar a los usuarios con alguna variante de ransomware para móviles. Otros podrían inducirnos a descargar un códec para ver un vídeo, seguir un link que lleve a una web maliciosa etc. La casuística puede ser muy variada.

Desde las empresas de seguridad podemos detectar páginas maliciosas o detener determinados ataques, pero al final quien está entre la pantalla y la silla es la parte fundamental. Los usuarios también han de tomar un papel activo y responsable en su protección. Si la fuente no parece confiable, no cliques, si te ofrecen un vale de 200 euros en un supermercado, tampoco. Y por supuesto, no contribuyas difundiendo los bulos. Si algo te parece demasiado bueno para ser verdad, con toda probabilidad no lo sea.

Y luego, las empresas

Y luego están las empresas. Sí, esos sitios donde acudimos a trabajar cada día. Los CISO y demás responsables de seguridad, en muchas ocasiones, se rompen la cabeza por intentar securizar su compañía al máximo con los mejores productos de seguridad del mercado pero descuidan esa parte tan importante de la que estamos hablando hoy: la concienciación del usuario. Porque al final las empresas están compuestas por personas y si ese conserje, esa secretaria, ese administrativo o ese CEO (sí ellos/as también son vulnerables) no están concienciados, acabarán pinchando en el archivo enviado por el Príncipe de Zamunda, y eso podría acarrear grandes problemas para la empresa. Más cuanto más pequeña porque, por normal general, descuidan más las copias de seguridad y resto de recomendaciones de seguridad para empresas que aconsejamos desde compañías como ESET.

Y es que las personas son una línea de defensa muy importante frente a las ciberamenazas, y los responsables de seguridad deberían de tenerlo muy presente a la hora de trazar su estrategia y metodologías de seguridad. Nunca están de más los cursos de formación interna o una buena charla con los empleados, no con el objetivo de reprenderlos, sino con el afán de darles los conocimientos que les ayudarán a detectar correos fraudulentos o casos de phishing.

Las ofertas del Black Friday también llegan al mundo de la ciberseguridad

Vie, 11/24/2017 - 09:30

En un día tan consumista como hoy va a ser difícil encontrar una web que venda algún tipo de producto que no realice descuentos. Hace tiempo que varios países entre los que se encuentra España adoptaron la costumbre estadounidense del Black Friday, en origen un día donde se producían grandes ofertas pero que ha ido ampliándose con el tiempo hasta ser un periodo que, en ocasiones, dura más de una semana y que suele enlazar con el Cyber Monday, centrado en las compras online.

Descuentos en ESET Internet Security

El mundo de la ciberseguridad no se pierde una fecha tan señalada como esta y, además de aportar consejos para evitar las compras compulsivas o las estafas y amenazas de todo tipo que se suelen producir, también se unen a las ofertas ofreciendo descuentos en todo tipo de productos que tengan que ver con la seguridad de nuestros dispositivos, herramientas de análisis e incluso cursos para aprender varios de los temas más interesantes.

Así pues, si estamos buscando proteger nuestro ordenador Windows con una solución de lo más eficaz, desde la tienda de ESET España podemos adquirir la versión más reciente de ESET Internet Security con un 30% de descuento. Está solución de seguridad incorpora una protección contra malware sobradamente probada e incluye también un módulo de protección adicional contra el temido ransomware.

Además, también incluye protección adicional para que realicemos nuestras operaciones de banca online con mayor seguridad, algo que sin duda nos vendrá muy bien si queremos consultar el saldo tras las numerosas compras que realicemos durante estos días.

Herramientas y cursos para los que quieran aprender

Pero no solo las empresas que venden soluciones de seguridad se han subido al carro de las ofertas por la celebración del Black Friday. También hay ofertas muy interesantes por parte de desarrolladores de herramientas tan interesantes como Shodan. Para el que no la conozca, Shodan vendría a ser el Google de los dispositivos conectados, y por dispositivos entendemos desde ordenadores, pasando por cámaras IP hasta sistemas de control industrial.

Este peculiar buscador se puede utilizar de forma gratuita pero las búsquedas suelen estar bastante limitadas. Sin embargo, desde hoy y hasta el próximo lunes, puedes hacerte con una cuenta de usuario por tan solo 5 dólares (una rebaja importante respecto a los 49 dólares que suele costar habitualmente).

Pero si lo que prefieres es aprender ciberseguridad de la mano de uno de los mejores profesionales en España, no podemos dejar de recomendarte la plataforma Securizame de nuestro buen amigo Lorenzo Martinez. Esta plataforma nos ofrece cursos en varias categorías relacionadas con distintos ámbitos de la seguridad informática que seguro serán de interés para la mayoría de los que quieran iniciarse en este mundo o perfeccionar sus habilidades.

Los cursos de Securizame, ya de por sí con un precio bastante ajustados para la calidad de los mismos cuentan durante el día de hoy y hasta las 23:59 en horario peninsular español con un descuento especial no acumulable del 25% con motivo del Black Friday en todos los cursos online.

Para poder hacerlo válido, tan solo se debe introducir el código promocional “BLACKFRIDAY2017” en el campo correspondiente al momento de hacer el registro en el curso para que se aplique dicha rebaja. Los packs de también cuentan con el mismo descuento, por lo que es una muy buena oportunidad de hacer ese curso que tanto has querido a un precio muy competitivo.

Conclusión

Si lo tuyo no es terminar estos días con un montón de artículos de todo tipo que solo has comprado porque estaban baratos y prefieres invertir en herramientas de seguridad y cursos, estas ofertas que acabamos de comentar pueden ser muy interesantes, sin olvidar que en Internet podemos encontrar infinidad de recursos gratuitos que nos pueden ser de gran ayuda en nuestro día a día o para adentrarnos en este apasionante mundo de la seguridad informática cualquier día del año.

Josep Albors

 

Ataques a través de terceros de confianza, una tendencia en auge

Jue, 11/09/2017 - 13:24

Cuando estamos ya cerca de cerrar el año y echamos la vista atrás pensando en los clásicos resúmenes de amenazas, hay que reconocer que 2017 ha sido un año movido en lo que respecta al malware. Probablemente, la mayoría de usuarios se queden con ataques tan mediáticos como lo fueron WannaCry, NotPetya o el reciente BadRabbit, a pesar de que ha habido muchos más y que han causado incluso más daños.

Ataques desde sitios de confianza

No obstante, desde el punto de vista de un laboratorio antivirus nos gusta observar las técnicas de ataque utilizadas, más que las amenazas concretas en sí mismas. Precisamente, durante 2017 hemos observado preocupados que tanto en los ataques ya mencionados como en otros se han estado utilizando lo que se conoce como “terceros de confianza” a modo de vector de ataque. Es decir, se han usado webs y servicios legítimos para propagar amenazas tanto en ataques masivos como en otros dirigidos.

Pongamos como ejemplo a alguno de los ataques más mediáticos ya mencionados. En el caso de NotPetya, el extenso análisis realizado por ESET demostró una relación entre el grupo Telebots (relacionado con otros ataques en Ucrania como el que dejó sin luz a decenas de miles de personas a finales de diciembre de 2015) tanto con este como con otros ataques anteriores.

Linea temporal de ataques ejecutados por el grupo Telebots durante la primera mitad de 2017

El principal logro de NotPetya fue haber conseguido infectar los sistemas de miles de empresas gracias a utilizar el sistema de actualizaciones de una aplicación de contabilidad legítima, enviando una actualización maliciosa que se aplicó automáticamente y que permitió descargar el malware sin interacción alguna de las víctimas.

Si repasamos el análisis de BadRabbit vemos que, además de compartir una porción de código con NotPetya, también hace uso de webs legítimas para propagar su carga maliciosa. En este caso se camufló el malware como una falsa actualización de Flash Player que se mostraba en varias webs de noticias, lo que hizo que muchos la descargaran y ejecutaran en su sistema sin sospechar nada.

Entidades financieras como objetivo

Dentro de los afectados, hay un sector empresarial que ha estado en el punto de mira de los delincuentes desde hace unos años. Este sector no es otro que el bancario, y hemos visto cómo se han multiplicado los esfuerzos por atacar de forma efectiva tanto a los clientes que utilizan sus servicios online como a las propias entidades bancarias, y a los sistemas que se usan para realizar transferencias de dinero interbancarias.

Uno de los ataques más ingeniosos fue el que conocimos a principios de año, el cual tenía nada menos que a la agencia polaca de regulación del sector financiero como involuntaria protagonista de este ataque. Durante varios meses, esta web oficial, visitada a menudo por empleados de todas las entidades financieras polacas, estuvo comprometida, y contenía enlaces externos controlados por los atacantes con código malicioso.

Enlaces externos a los que se accedía desde la web del knf.gov.pl. Fuente

De esta forma, los delincuentes consiguieron acceder a las redes internas de, al menos, 20 entidades financieras polacas, pudiendo robar información o preparar ataques futuros utilizando, por ejemplo, el sistema SWIFT para transferir millones de euros a cuentas controladas por ellos mismos.

Ataques a usuarios finales

Pero no todos los ataques de este tipo tienen a empresas como objetivo. Los usuarios de a pie llevamos tiempo viendo cómo se utilizan webs legítimas comprometidas por los delincuentes para propagar todo tipo de malware. Es cada vez más común ver que se están usando las redes publicitarias que muestran anuncios en webs con un alto tráfico para descargar malware, y durante 2017 esta tendencia no solo ha aumentado, sino que también se ha diversificado.

En años anteriores habíamos visto que los delincuentes habían utilizado este vector de ataque modificando el código fuente de las páginas web para insertar enlaces a una web de anuncios de terceros (desde donde ejecutar un exploit para aprovechar vulnerabilidades de Flash conocidas), o bien directamente incluir la descarga de un código Javascript malicioso incrustado en la web.

En ambos casos se afectó a conocidas páginas de contenido para adultos como son Redtube y xHamster, algo que hemos visto repetirse de nuevo recientemente en la web Pornhub. En esta ocasión, los atacantes explotaron Traffic Junky, la red publicitaria que gestiona los anuncios en PornHub, para que una vez el usuario accedía a esta web con Google Chrome, Firefox o Internet Explorer / Edge, redireccionarlo a otro dominio desde donde se ejecutaba código JavaScript ofuscado, idéntico al usado en kits de exploit como Neutrino con la finalidad de instalar el troyano Kovter en el sistema.

Ejemplo de las pantallas mostradas en los diferentes navegadores. Fuente: ProofPoint

Los usuarios tampoco pueden relajarse al utilizar servicios de streaming de música y vídeo. El año pasado vimos cómo se podían lanzar anuncios maliciosos mientras estábamos disfrutando de Spotify con una cuenta gratuita, algo que podía llevar a ejecutar teóricamente código malicioso en nuestro sistema.

Esta misma semana hemos sabido que el popular servicio de streaming de anime Crunchy Roll estuvo comprometido durante unas horas el pasado sábado 4 de noviembre, y desde su web oficial se ofrecía la descarga de un supuesto reproductor multimedia para ver las series que había sido modificado para incluir funcionalidades de puerta trasera utilizando el conocido framework Metasploit.

Por si fuera poco, cada vez se detectan más sitios que, de forma involuntaria o siendo plenamente conscientes de ello, ejecutan código para minar criptodivisas aprovechando los recursos de sus visitantes y sin pedirles consentimiento. Esta actividad ya está siendo detectada por numerosos motores antivirus, pero es preocupante el crecimiento exponencial que está teniendo entre muchas webs que lo ven como una forma más efectiva de obtener ingresos que a través de la publicidad online tradicional.

Página principal de The Pirate Bay con el código JavaScript encargado del minado

Conclusión

Como acabamos de comprobar, los sitios “seguros y de confianza” cada vez son más escasos. La regla de aplicar el sentido común y visitar solo aquellas webs que nos transmitan confianza o que sean visitadas por millones de usuarios hace tiempo que dejó de ser válida, y esto hace que debamos aplicar nuevas medidas de seguridad en todos aquellos dispositivos que utilicemos para navegar.

Josep Albors

Black Friday y Ciber Monday: cuidado con dónde compras

Mié, 11/08/2017 - 10:18

El Black Friday se acerca y las grandes marcas se precipitan en ofrecer suculentos descuentos a sus clientes con unas promociones que dan el pistoletazo de salida a las compras navideñas. Es la sexta vez que el viernes negro se celebra en España y ya todos en este país estamos familiarizados con esta ola de promociones. Grandes y pequeños comercios y plataformas de venta online se suman el día 27 de noviembre a la catarata de ofertas que, en muchos casos se alargará hasta el lunes, con la celebración del Cyber Monday.

Son días extremadamente consumistas y con un fuerte arraigo en Estados Unidos, sin embargo, año tras año, se demuestra que es una moda que ha venido para quedarse, y también en España se registran récords de ventas en cada nueva edición.

eset_tarjeta_credito

Es por eso que, desde el laboratorio de ESET creemos necesario recordar una serie de consejos a la hora de realizar las impulsivas compras online de estos días, consejos que no se han de aplicar solamente ahora, sino que hay que procurar seguir siempre:

  • Mantén protegido tu ordenador: es importante contar con un antivirus actualizado, un cortafuegos y tener el sistema con las últimas actualizaciones instaladas.
  • Realiza tus compras en webs de confianza: debemos asegurarnos de que el sitio donde vayamos a realizar la compra tenga una buena reputación, permita pagar usando un protocolo seguro (https://) y tenga una buena atención al cliente en caso de dudas o reclamaciones.
  • Cuidado con las gangas: muchos sitios online fraudulentos intentan engañar a los usuarios usando ofertas muy atractivas. No caigas en la trampa y busca siempre referencias sobre el sitio web en cuestión.
  • Controla tus datos personales: es normal que las tiendas online de confianza te pidan tus datos de facturación (nombre, dirección, teléfono, etc.) junto con los datos de tu tarjeta de crédito para realizar los pagos. No obstante, lee la política de privacidad de la empresa y revisa cómo serán usados estos datos.
  • Métodos de pago: los comercios online ofrecen muchos métodos de pago, como tarjetas de crédito, servicios de pago seguro como Paypal o incluso contra reembolso. Es importante asegurarse de usar un método de pago que permita la reclamación de cargos fraudulentos o en caso de no recibir los artículos pedidos.
  • Cuidado con el phishing: si bien es habitual que las webs de compras online envíen una factura del pedido por e-mail, muchos ciberdelincuentes también envían durante estas fechas millones de correos falsos suplantando a los grandes comercios online, en los que adjuntan enlaces que llevan a webs maliciosas.
  • Comprueba que se cargan las cantidades correctas en tu cuenta: el acceso a la banca electrónica nos permite revisar que solo se nos cobra la cantidad que hemos pactado. En caso de observar cargos incorrectos o que no procedan del comercio donde se ha realizado la compra, contacte con su entidad bancaria lo antes posible para iniciar una investigación.

Si seguimos estos pasos, evitaremos que nos jueguen una mala pasada mientras realizamos las compras navideñas a un precio inmejorable.

Josep Albors y Laura Grau Berlanga

Actualización urgente para WordPress. ¡Parchea ya!

Jue, 11/02/2017 - 12:01

Siendo WordPress uno de los gestores de contenidos más usados a la hora de generar páginas web de forma rápida y relativamente sencilla no es de extrañar que cada vez que aparece una vulnerabilidad grave que afecta a esta plataforma se enciendan todas las alarmas, puesto que podría ser utilizada por los delincuentes para atacar a millones de webs en todo el mundo. Esta es exactamente la situación en la que nos encontramos ahora mismo y por lo que se recomiendoa a todos los administradores de sitios con WordPress actualizar lo antes posible

Una vulnerabilidad que podría haberse evitado

Esta alerta viene dada gracias a la investigación de Anthony Ferrara, que descubrió recientemente un grave fallo de seguridad que permitía la ejecución de inyecciones SQL. Paradójicamente, una actualización previa de WordPress (4.8.2) se lanzó para solucionar esta vulnerabilidad pero, según el investigador no arregló la raíz del problema y además produjo fallos en muchos sitios webs.

Por este motivo se recomienda instalar urgentemente instalar la versión más reciente de WordPress (4.8.3) y así evitar que nuestras webs se vean comprometidas y usadas por los delincuentes para atacar a los visitantes. Llevamos años viendo como se utilizan vulnerabilidades de este tipo para colocar malware en webs legítimas, malware que va desde los troyanos bancarios hasta el minado de criptodivisas, pasando por el ransomware.

El principal problema, según el investigador, es que, a pesar de que el equipo de seguridad de WordPress fue informado de esta vulnerabilidad justo el día después de lanzar la versión anterior, han tenido que pasar varias semanas hasta que el problema se solucionase, dejando a millones de sitios webs vulnerables.

Solucionando el problema

Si somos administradores de un sitio que utiliza WordPress como gestor de contenidos podemos actualizar a la última versión de forma sencilla yendo al apartado de Actualizaciones de nuestro panel de control.

Además, existe la posibilidad de configurar actualizaciones automáticas para que WordPress se actualice tan pronto como aparezca una nueva versión e incluso algunos complementos de seguridad como iThemes Security permiten realizar esta actualización para evitar males mayores.

Sin embargo, si bien estas actualizaciones automáticas pueden estar bien para usuarios que tiene un blog personal o incluso para pequeñas y medianas empresas, hay también mucho temor a que una actualización cause problemas con todo el contenido y complementos ya instalados, algo que produciría una mala experiencia a los usuarios que visitasen la web o que incluso podría hacer que esta estuviese caída durante un tiempo.

Es frecuente ver como algunos administradores prefieren probar primero estas actualizaciones en un entorno controlado en sus servidores y aplicarlas solo cuando han comprobado que no causan ningún problema, de forma similar a como sucede con las actualizaciones de Windows. Sin embargo, cuando estas actualizaciones tardan demasiado tiempo en aplicarse es cuando pueden empezar los problemas de verdad.

Conclusión

La triste realidad es que existe un buen número de sitios web con WordPress que siguen utilizando versiones antiguas de este gestor de contenidos y es bastante frecuente ver como son utilizados para propagar malware de todo tipo, algo que solo puede solucionarse tomándose en serio la seguridad y actualización de este tipo de webs.

Josep Albors

Alertan sobre ataques en curso a infraestructuras críticas

Lun, 10/30/2017 - 12:24

Vivimos tiempos complicados para la seguridad de las que, hasta no hace mucho, eran consideradas infraestructuras seguras. Centrales eléctricas, sistemas de abastecimiento de agua potable, servicios de transporte de personas y mercancías o medios de comunicación han pasado de presuponerse siempre disponibles a estar sujetos a posibles ciberataques y, por ende, provocar que dejen de estar disponibles.

Avisos que no cesan de repetirse

Entre esta situación de preocupación no es de extrañar que se produzcan anuncios como el que hizo hace unos días el Departamento de Seguridad Nacional (DHS) de los Estados Unidos, donde se avisaba de que se estaban observando ataques a departamentos gubernamentales y empresas de sectores como el energético, aviación, aguas potables y otras infraestructuras críticas.

Este aviso fue enviado por correo electrónico a todas las empresas y departamentos que pudieran ser posibles víctimas, ya que se habían estado observando ataques que tenían a estos sectores como objetivos al menos desde mayo de 2017, ataques que en alguna ocasión habían tenido éxito.

También debemos tener en cuenta que no siempre se elige como objetivo a los sistemas que conforman una infraestructura crítica, sino que aquellas empresas que actúan como proveedores también son un objetivo muy apetecible para los atacantes, puesto que pueden ser usados como posibles puertas de entrada a las redes de las infraestructuras críticas.

Según el DHS, este tipo de campañas siguen activas, y si bien se sospecha de ataques con una financiación de algún estado, las atribuciones de este tipo de incidentes siempre resultan peligrosas si no se cuentan con las pruebas necesarias.

Vectores de infección

Según la investigación llevada a cabo, hasta el momento se han identificado varios puntos clave en estos ataques. Para empezar, todo apunta a que los objetivos han sido cuidadosamente elegidos en lugar de ir probando al azar hasta encontrar sistemas vulnerables. Esta selección de objetivos se ha realizado mediante la recopilación de información desde fuentes abiertas como las webs de esas empresas, información que buscaba recopilar datos acerca de la configuración de las redes y los sistemas objetivos.

Se llegó incluso a descargar y ampliar fotografías de empleados publicadas en sitios web corporativos para obtener información de los sistemas de control que se veían al fondo de esas fotografías, algo que demuestra lo críticos que pueden llegar a ser algunos datos que normalmente se pasan por alto.

Además, se usaron técnicas bien conocidas para conseguir la ejecución de código en los sistemas objetivo. Una de ellas consiste en el envío de documentos de Microsoft Office y PDF como ficheros adjuntos a correos electrónicos dirigidos especialmente a ciertos empleados, consiguiendo ejecutar código gracias a vulnerabilidades y funcionalidades como la ejecución de macros.

Los dominios comprometidos por los atacantes también se utilizaron en este tipo de ataques, consiguiendo que las víctimas accedieran a dominios de confianza que habían sido modificados para descargar código malicioso aprovechando alguna vulnerabilidad en el sistema. Se calcula que aproximadamente la mitad de las webs comprometidas estaban relacionadas con publicaciones sobre sistemas de control industrial o infraestructuras críticas.

Conclusión

No descubrimos nada nuevo si decimos que este tipo de ataques van a seguir produciéndose con más frecuencia a corto y medio plazo, y no es precisamente arriesgado afirmarlo categóricamente, puesto que hasta que se cambien conceptos arraigados durante décadas en este sector va a ser difícil protegerlo de ataques cada vez más avanzados.

Es por eso necesario adoptar las medidas necesarias para que la seguridad en los sistemas industriales que gobiernan estas infraestructuras críticas y miles de empresas en todo el mundo sea considerada igual de importante que otros aspectos como la disponibilidad. Para ello hace falta un cambio de paradigma si no queremos ver cómo los atacantes se encargan de provocar incidentes cada vez más graves que pueden tener consecuencias desastrosas.

Josep Albors

 

Conclusiones tras el ataque BadRabbit / DiskCoder.D

Vie, 10/27/2017 - 11:41

Ha sido el tema de la semana en materia de ciberseguridad, aunque, por desgracia, ataques como el protagonizado por Bad Rabbit / Diskcoder.D, que ha afectado principalmente a sistemas en Rusia y Ucrania, se están convirtiendo en demasiado frecuentes. No vamos a entrar en demasiados detalles técnicos sobre el ataque, puesto que de eso se han encargado muy bien nuestros compañeros de ESET, pero sí que vamos a analizar algunos de sus aspectos más relevantes.

¿Ransomware o ataque dirigido?

Puede parecer una obviedad, pero Bad Rabbit sí que parece realizar correctamente su labor de cifrado. A diferencia de WannaCry o (Not)Petya/Diskcoder.C, que tenían errores en la implementación del cifrado usado para cifrar los archivos que impedían que fueran recuperables, en esta ocasión los atacantes han usado un software de código abierto conocido como DiskCryptor.

Durante el ataque de (Not)Petya/Diskcoder.C de finales de junio, no fuimos pocos los que alertamos de que este malware no estaba diseñado para obtener beneficios pidiendo rescates a sus víctimas, sino para hacer el mayor daño posible. Esta característica, unida a un vector de ataque muy similar al usado por otro ransomware unas semanas antes y el análisis del código, dieron suficientes pistas como para vincular este ataque con el grupo conocido como Telebots.

Este grupo es el principal sospechoso detrás de alguno de los ataques más destacados contra infraestructuras críticas de Ucrania, con vinculación al grupo Black Energy, responsable de los ataques a centrales eléctricas de este país en diciembre de 2015. Sabiendo que se ha reutilizado parte del código usado en (Not)Petya/Diskcoder.C, es fácil establecer una posible conexión entre ambos ataques, aunque aún es pronto para sacar conclusiones definitivas.

Vectores de ataque y principales objetivos

A diferencia de ataques anteriores, el país que ha salido peor parado en número de sistemas infectados ha sido, con bastante diferencia, Rusia. Ucrania ha quedado en esta ocasión en segundo lugar, lo que representa un cambio de tendencia con respecto a ataques anteriores y plantea dudas a la hora de atribuir este último.

Como ya hemos dicho, el grupo Telebots siempre había tenido a Ucrania entre sus principales objetivos, llegando incluso a aparecer teorías que proponen que detrás se esconde algún tipo de atacantes con soporte del gobierno ruso. Esto no sería nada descabellado viendo que el conflicto que mantienen estos dos países sigue estando vigente, y este tipo de ataques solo formarían parte de un plan de guerra más amplio.

Entre los objetivos importantes que han sido afectados, los medios han destacado el aeropuerto de Odesa o el metro de Kiev, aunque seguramente haya más objetivos que no han salido a la luz para evitar dar pistas sobre el impacto real.

Con respecto al vector de ataque, en esta ocasión se ha optado por algo clásico como es la descarga de malware desde sitios legítimos y de confianza. A través de una falsa actualización de Adobe Flash, los atacantes consiguieron infectar los sistemas y propagarse a través de redes corporativas.

Movimiento lateral y referencias a la cultura geek

Para este movimiento lateral se han vuelto a usar algunos de los exploits de la NSA filtrados a mediados de abril por el grupo Shadow Brokers. Parece que (a pesar de que algunos informes iniciales lo descartaban) se utilizó, al menos, una variante modificada de EternalRomance para propagarse por las redes corporativas, además de otros sistemas como el protocolo Server Message Block (SMB), WMI o la utilización de fuerza bruta probando diferentes contraseñas.

Es aquí donde encontramos la primera referencia a un mito de la cultura geek, como es la película Hackers de 1995, ya que el listado de contraseñas que se prueban en el ataque de fuerza bruta para intentar acceder a otros sistemas, una vez este ransomware ya ha infectado un equipo en la red, coincide con el usado en dicha película.

Además, de nuevo encontramos referencias a Juego de tronos dentro del código de este malware, algo que se está volviendo bastante habitual desde hace bastantes meses y que ya hemos visto previamente.

Conclusión

Como en ocasiones anteriores, las investigaciones sobre este incidente pueden extenderse durante las próximas semanas o meses, y hay puntos que no quedan del todo claro. Por ejemplo, averiguar por qué Rusia ha sido en esta ocasión el país más afectado o por qué muchas de las empresas afectadas sufrieron el ataque al mismo tiempo, algo que probaría que los atacantes ya tenían acceso a sus redes desde antes.

En cualquier caso, y a menos que se apliquen de una vez por todas los parches que solucionan las vulnerabilidades utilizadas por los exploits de la NSA hechos públicos en abril y se apliquen medidas eficaces para evitar movimientos laterales del malware como los que hemos descrito, es muy probable que este tipo de ataques se sucedan a corto y medio plazo.

Josep Albors

 

 

Dí no a los invitados indeseados: cierra la puerta a las ciberamenazas

Jue, 10/26/2017 - 12:52

El porcentaje de empresas que se sienten amenazadas ante el crecimiento de las ciberamenazas y los ataques maliciosos en sus sistemas va en aumento y es normal que se sientan en la obligación de preocuparse por evitar los posibles daños en beneficios y reputación que el cibercrimen podría causarles. Y los usuarios domésticos no deberían relajarse. Ellos también son un objetivo apetitoso para los cibercriminales y también necesitan sentirse protegidos. Sus preocupaciones son más mundanas y generalmente se ciñen a la pérdida de la privacidad, la fuga de información o el uso inapropiado de su identidad.

Ataques a consumidores

Muchas personas tienen la falsa sensación de que la información que almacenan en sus equipos, portátiles y smartphones no es del interés de los cibercriminales, pero… nada más lejos de la realidad. Cada año, y a medida que nos hacemos más dependientes de la tecnología, crecen los casos de robo de identidad y suplantación. Los casos de ransomware y los ataques de malware en general se vuelven cada vez más sofisticados y dañinos, por lo que es de vital importancia que los usuarios particulares adopten las medidas necesarias para manejar sus dispositivos con el mayor grado de seguridad posible. Teniendo esto en mente, ESET ha diseñado su nueva gama de productos para hogar que cuenta con nuevas características que te permitirán “cerrar la puerta” frente a las amenazas digitales, rechazando los intentos de entrada no deseados. La nueva suite de productos, además, garantiza un bajo consumo de recursos del sistema y un alto rendimiento, con la mejor combinación de detección, velocidad y facilidad de uso.

Una solución más sofisticada

Tres décadas de innovación en seguridad informática avalan la nueva generación de soluciones de seguridad que proporciona protección incluso más allá del sistema operativo. Una de las novedades que incorpora esta nueva gama de soluciones es una capa de seguridad que se activa antes de que se ejecute Windows protegiendo a los usuarios frente a las amenazas que atacan directamente al firmware del equipo, en ordenadores con interfaz UEFI, sucesora de la BIOS. La UEFI contiene una serie de características avanzadas, en comparación con su predecesora. Hay que decir que cuando el malware reside en la UEFI, obtiene el control total del dispositivo infectado y se vuelve muy persistente pudiendo incluso permanecer después de reinstalar el sistema operativo. Estas amenazas son muy utilizadas por los ciberdelincuentes con el objetivo de acceder a la información de la víctima. De hecho, la UEFi puede ser usada para infectar con cualquier tipo de malware a los usuarios asegurándose de que la infección persista aunque se cambie el disco duro del equipo.

Las nuevas soluciones de ESET para particulares son ideales para hogares con dispositivos conectados. De hecho, gracias a otra característica que incorpora novedades, la ‘protección de red doméstica’, los usuarios podrán comprobar si su red es vulnerable, saber qué o quién está conectado a ella y analizar esos dispositivos inteligentes. Analizando el router podrán conocer las vulnerabilidades existentes en estos dispositivos, tales como contraseñas débiles o un firmware desactualizado, ofreciendo soluciones para remediarlo. Se trata de una funcionalidad muy orientada a cubrir las necesidades de protección de los dispositivos del Internet de las Cosas (IoT).

También se han desarrollado mejoras de accesibilidad para personas con discapacidad visual, convirtiendo a los productos de seguridad de ESET en los más adaptados del mercado a las necesidades de estos usuarios.

Además, en todas las soluciones se ha implementado un gestor de licencias para que los usuarios puedan administrar y asociar sus licencias e instalaciones de forma sencilla y gratuita desde su cuenta en el portal my.eset.com. Podrán obtener, además, un resumen instantáneo del estado de todas sus licencias y dispositivos conectados.

 

¿Quieres saber más?

Además, todos los clientes de ESET España cuentan con soporte técnico gratuito en español. Por otra parte, todos aquellos que ya cuenten con una licencia de hogar en vigor podrán actualizar gratuitamente a la nueva versión.

¿Alguien está intentando colarse en tu privacidad? from ESET España

 

Nueva actualización para Adobe Flash Player corrige un 0-day

Mié, 10/18/2017 - 12:00

A estas alturas de la película, hasta Adobe ha tenido que reconocer que Flash Player, el que fuera un complemento indispensable para los navegadores a la hora de visualizar contenido en Internet, tiene los días contados, principalmente por la existencia de alternativas mejores, pero también por los numerosos fallos de seguridad que no dejan de aparecer.

Sin embargo, hasta que llegue el momento en el que nos libremos completamente de Flash Player (a finales de 2020 como mínimo), millones de dispositivos van a seguir utilizando este complemento y eso supone un serio problema de seguridad.

Un 0-day usado activamente

A diferencia de otros parches de seguridad que se publican para solucionar fallos descubiertos pero que no han sido utilizados para comprometer la seguridad de los sistemas de los usuarios, cuando estamos ante un 0-day que se sabe que está siendo utilizado en campañas de ataques dirigidos es vital actuar con rapidez.

Este es el caso de la vulnerabilidad más reciente descubierta en Adobe Flash Player, la cual, según investigadores de Kaspersky, ha sido utilizada en una serie de ataques dirigidos. Según esta investigación, se utilizaron documentos de MS Office para ejecutar el exploit que se aprovecha de la citada vulnerabilidad en Flash Player y, seguidamente, se descargaba el spyware FinSpy, un malware utilizado para espiar a objetivos concretos y que en los últimos meses ha aumentado su actividad incluso utilizando nuevos vectores de ataque como los descubiertos por ESET recientemente.

Documento trampa que aprovechaba la vulnerabilidad 0-day en Flash Player – Fuente: Securelist

Una vez el dispositivo del objetivo ha sido infectado por FinSpy, este pasa a ser controlado remotamente por el atacante, permitiendo ver todo lo que hay almacenado en él o lanzando comandos que permiten la grabación de audio, vídeo o la localización del objetivo. Este tipo de malware es especialmente efectivo cuando se utiliza contra dispositivos móviles, ya que suele ser algo que el objetivo del ataque lleva siempre encima.

Publicación del parche

La investigación que permitió descubrir que este 0-day en Flash Player estaba siendo aprovechado activamente se publicó hace apenas una semana tras informar a Adobe. En este tiempo se ha tenido que preparar y publicar un parche que solucione esta grave vulnerabilidad que afecta a la versión 27.0.0.159 y anteriores de Flash Player para Windows, GNU/Linux y macOS, además de la versión que viene incluida en el navegador Chrome.

Una vez que se ha publicado la versión 27.0.0.170 se recomienda a todos los usuarios de Adobe Flash Player que actualicen lo antes posible, teniendo en cuenta que, dependiendo de la configuración del producto, es posible que ya se haya actualizado de forma automática.

Versiones y sistemas afectados por la vulnerabilidad en Flash Player

El punto clave aquí es decidir si realmente nos hace falta seguir usando Flash Player en nuestros dispositivos, sabiendo que hace tiempo que dejó de ser usado de forma masiva, especialmente en lo que a navegación por contenido web se refiere. Existiendo alternativas mejores y más seguras es difícil justificar, a día de hoy, seguir usando Flash Player, y salvo que sea estrictamente necesario seguir usándolo por alguna aplicación vital para nosotros, recomendamos encarecidamente desinstalarlo.

Conclusión

No es la primera vez que nos encontramos en esta situación y es bastante probable que se repita en el futuro. Tal y como ya hemos dicho, desinstalar Flash Player sería la mejor decisión que podríamos tomar para evitar que sus continuos fallos de seguridad nos afecten. No obstante, aún hay algunas webs y aplicaciones que requieren de su uso y tardaremos algunos años en ver cómo desaparece completamente. Hasta entonces, debemos seguir al tanto por si aparecen más actualizaciones.

Josep Albors

KRACK Attack rompe el cifrado WPA2. ¿Y ahora, qué?

Mar, 10/17/2017 - 11:55

En las últimas horas hemos visto que se han escrito cientos de artículos hablando de una nueva investigación que supondría un duro golpe para la seguridad WiFi, nada menos que la seguridad que proporciona el cifrado WPA2. Estamos hablando del que ya se conoce como KRACK Attack, y que, como todas las vulnerabilidades medianamente importantes desde hace un tiempo, ya dispone de una web  donde se explica su funcionamiento y un bonito logo.

 

Descripción del ataque

Todo lo que se sabe hasta el momento está publicado en esa web y en el paper que el investigador Mathy Vanhoef ha publicado. Además, se espera que se desvelen más detalles en el congreso Computer and Communication Security que se celebrará en Dallas del 30 de octubre al 3 de noviembre.

En resumen, y siempre basándonos en la información de la que disponemos hasta el momento, podríamos decir que un atacante podría aprovechar KRACK para reutilizar una clave criptográfica que ya ha sido usada, algo que el propio protocolo WPA2 intenta evitar mediante una serie de pasos conocidos como four-way handshake.

El fallo descubierto por este investigador permitiría repetir o modificar el mensaje numero tres que se envía desde el punto de acceso al dispositivo que desea conectarse a la red WiFi. En ese mensaje va la clave de cifrado usada y el atacante puede provocar que la señal de reconocimiento enviada desde el dispositivo al punto de acceso no se envíe, provocando que se repita de nuevo el tercer mensaje reutilizando la clave de cifrado.

A partir de este punto basta con capturar paquetes y descifrarlos; debido a que la clave de cifrado será siempre la misma, es cuestión de tiempo que el atacante consiga obtenerla.

Alcance masivo

Cuando se trata un tema tan crítico como la seguridad de las redes WiFi utilizadas en empresas y domicilios de todo el mundo, a las que se conectan millones de dispositivos, es normal que se hayan encendido todas las alarmas. Estamos hablando de una brecha de seguridad en algo que, hasta ayer mismo, se consideraba seguro y básico para la seguridad de las comunicaciones.

No obstante, tampoco debemos caer en el alarmismo innecesario, puesto que este tipo de ataques pueden resultar peligrosos en determinados escenarios pero solo si se cumplen ciertas condiciones.

Lo primero que se debe tener en cuenta es que un atacante que quiera aprovechar esta vulnerabilidad debe estar en un radio de alcance cercano. No se puede realizar este ataque de forma remota, y si bien muchos ya están pensando en utilizar esta vulnerabilidad para robar la WiFi al vecino, el principal problema se encuentra en las redes corporativas que manejan información bastante más importante que la que solemos manejar en casa.

También debemos tener en cuenta que aunque un atacante se conecte a nuestra WiFi protegida por WPA2 y se ponga a capturar paquetes, si estos viajan por un canal de comunicación cifrado como HTTPS o a través de VPN, el atacante será incapaz de obtener información confidencial. Con el creciente aumento del uso de HTTPS por parte de la mayoría de servicios online, esto es un alivio que mitiga bastante el alcance de este ataque.

Otro punto importante y que el investigador se ha encargado de matizar es que este ataque se realiza contra los dispositivos clientes, no contra los puntos de acceso que proporcionan conectividad WiFi. Eso significa que es probable que nuestro router no necesite ser actualizado (algo complicado en muchos modelos), siempre que adoptemos las medidas necesarias para desactivar la capacidad de funcionar como cliente en estos dispositivos.

Para la mayoría de usuarios debería bastar con actualizar sus dispositivos como portátiles, móviles y tablets cuando estas actualizaciones estén disponibles. De hecho, algunos fabricantes como Google, Apple y Microsoft ya han empezado a actualizar sus sistemas. También se han publicado parches para Linux y se puede consultar un listado bastante completo de fabricantes con las medidas adoptadas hasta el momento en el siguiente repositorio de Github.

Conclusión

No cabe duda de que el impacto de una vulnerabilidad de este tipo es muy alta, sobre todo porque, al contrario de como sucedió con el cifrado WEP, no hay un protocolo más seguro que lo sustituya. Todos aquellos usuarios que actualicen sus dispositivos con los parches existentes y los que vayan apareciendo en las próximas semanas deberían estar seguros.

El problema, no obstante, viene con los millones de usuarios de dispositivos que no van a ser capaces de actualizar, bien porque sus sistemas son demasiado antiguos y ya no reciben parches, o por puro desconocimiento del usuario. Unos de los principales afectados serán los usuarios de smartphones antiguos que van a ver la seguridad de sus comunicaciones vía WiFi seriamente afectada (aun más si cabe). Una posible solución sería utilizar algún proveedor de VPN, algo, por otro lado, muy recomendable para todo tipo de usuarios.

De cualquier forma, esperamos que investigaciones de este tipo sirvan para establecer protocolos más robustos de cara al futuro y que no tardemos en verlos implementados, sobre todo, para evitar ataques masivos como los que ya se están produciendo a los dispositivos del Internet de las cosas.

Josep Albors

Microsoft soluciona importantes agujeros de seguridad, incluyendo un 0-day

Mié, 10/11/2017 - 13:39

Segundo martes de cada mes, hora de actualizar Windows, o al menos así ha sido durante muchos años, a pesar del cambio de política en ese aspecto que Microsoft anda impulsando desde el lanzamiento de Windows 10 y que implica publicar actualizaciones críticas independientemente del día.

Un 0-day entre lo parcheado

Nada menos que 62 han sido los agujeros de seguridad que Microsoft ha solucionado con este boletín mensual de actualizaciones. Además, estos parches han estado bastante repartidos y se han publicado para aplicaciones como Internet Explorer, Skype para empresas, Microsoft Edge, diversos productos de Office o el propio sistema operativo Windows.

No obstante, hay una vulnerabilidad que destaca sobre el resto y que acaba de ser solucionada por Microsoft. Esta vulnerabilidad, descubierta no hace mucho por investigadores de Qihoo 360, es un 0-day que se ha observado siendo utilizado en ataques dirigidos. Se trata de un problema de corrupción de memoria que afecta todas las versiones soportadas de MS Office y que permitiría a un atacante la ejecución de código arbitrario al abrir un archivo especialmente modificado.

Esto significa que se podrían haber estado usando documentos de Word modificados especialmente para ejecutar código malicioso cuando la víctima los abriera. No hace falta imaginarnos muchos escenarios posibles de ataque, puesto que hemos estado viendo varios ejemplos en ataques dirigidos, por ejemplo, al sector bancario.

Otros agujeros de seguridad importantes solucionados

A pesar de la importancia del parche publicado para solucionar la vulnerabilidad en MS Office que acabamos de comentar, este boletín también ha servido para solucionar otros fallos de seguridad importantes, pero que no se ha observado que hayan sido utilizados hasta el momento.

Entre estos fallos de seguridad encontramos una denegación de servicio en el subsistema de Windows para Linux y una vulnerabilidad Cross-Site Scripting en MS Office Sharepoint. La primera de estas dos vulnerabilidades podría permitir a un atacante la ejecución de una aplicación maliciosa que afectase a un objeto en la memoria, algo que provocaría el cuelgue del sistema.

Por su parte, una ejecución exitosa de la segunda de estas vulnerabilidades permitiría a un atacante realizar ataques Cross-Site Scripting en los sistemas afectados, así como la ejecución de código malicioso en el mismo nivel de seguridad que el usuario que estuviese registrado en el sistema.

Además, también se ha solucionado una vulnerabilidad crítica en el cliente DNS de Windows que afecta a sistemas Windows 8.1, 10 y Windows Server 2012 a 2016. Esta vulnerabilidad puede ser activada por una respuesta DNS maliciosa y permitiría la ejecución arbitraria de código en sistemas Windows de escritorio y servidores con los mismos privilegios que la aplicación que realizó la petición DNS.

De hecho, Nick Freeman,  el investigador que descubrió esta vulnerabilidad, ha demostrado que se puede ejecutar código malicioso, escalar privilegios y tomar el control de la máquina vulnerable si esta se encuentra conectada a una red Wi-Fi en la que también se encuentre el atacante.

Conclusión

Siempre es buena idea tener el sistema operativo y las aplicaciones actualizadas, especialmente si estas actualizaciones corrigen vulnerabilidades que están siendo utilizadas activamente por los atacantes. Estos boletines mensuales ayudan a tener nuestro Windows actualizado, pero siempre se debe revisar si aquellas aplicaciones que no sean de Microsoft que tenemos instaladas en nuestro sistema cuentan con alguna actualización importante.

Josep Albors

Páginas