• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

Siempre que hablamos de brechas de seguridad, solemos analizar sus consecuencias de manera general, pero sin centrarnos en las repercusiones económicas. Y es que, por norma general, las empresas que las sufren suelen mostrarse bastante reacias a la hora de hacer públicas las consecuencias. Y es lógico que sea así, pero tiene un efecto bastante negativo, y es que impide que se tenga una conciencia global sobre el enorme impacto económico que puede tener un incidente de seguridad en una empresa.

Así pues, informes como el publicado por IBM son una interesantísima fuente de información, pues nos ayudan a cuantificar los costes reales de las brechas de seguridad, y ya adelanto que los números son un tanto escalofriantes: los costes asociados a una violación de datos en 2020 son, de promedio, unos 3,28 millones de euros. Sí, algo más de tres millones por sufrir un problema de seguridad. Para el estudio, los investigadores analizaron 524 infracciones que ocurrieron entre agosto de 2019 y abril de 2020, en organizaciones de todos los tamaños, en 17 geografías y 17 industrias.

Por sectores, según el informe de IBM, las brechas de seguridad más caras son las que afectan a empresas del sector de la salud, en las que el coste medio es de 6,7 millones de dólares. En segundo lugar se encuentra el sector educativo, con un coste medio de 5,52 millones de euros, seguido del farmacéutico, el financiero y el de las comunicaciones, con 4,07 millones, 3,99 millones y 3,31 millones de euros respectivamente. En el extremo contrario, sorprendentemente, se encuentra el sector público, en el que el coste medio de las filtraciones de datos es de 1,27 millones de euros.

Un problema relacionado con las brechas de seguridad y que se sostiene en el tiempo, y que demuestra que las empresas deberían reforzar sus inversiones en seguridad (tanto en lo referido a personal como a recursos) es que el tiempo promedio para identificar y contener una violación de datos fue de 280 días. Un estudio similar, de 2019, marcaba un promedio similar, 279 días. Dicho de otra manera, alrededor de nueve meses en los que un atacante puede estar actuando con impunidad por no haber sido detectado.

Estos son solo algunos de los números que podemos ver en el informe de IBM, cuya lectura recomiendo encarecidamente. Y es que en más de una ocasión he escuchado hablar de las inversiones en seguridad como un gasto, cuando en realidad son una inversión. Gastos, con todas las connotaciones negativas que tiene el término, son los que pueden ocasionar las brechas de seguridad.

La entrada Brechas de seguridad: ¿cuánto cuestan a sus víctimas? es original de MuySeguridad. Seguridad informática.

por David Salces Guillem Sat, 08 Aug 2020 06:30:08 +0000

Cada vez lo recuerdo menos gente pero, en sus principios, el motto de Google era Don’t be evil. Años después, con la constitución de Alphabet, el famoso No seas malo se cambió por Do the right thing (Haz lo correcto), si bien ambas frases, al menos en la opinión popular, han ido desdibujándose y cada vez están menos presentes en las políticas seguidas por la empresa del buscador. Y es que todo cambia cuando pasas de ser una joven, innovadora y prometedora start-up, a convertirte en una de las tecnológicas más poderosas del planeta.

Y así, ocurre que una acción, sea intencionada o accidental, normalmente siempre será interpretada con la peor de las lecturas, sin dar ni el más mínimo margen a la otra posibilidad. Que, ojo, no estoy diciendo que sea el caso, en realidad se lo mismo al respecto que el 99,9999999% de la población, es decir, nada en absoluto. Solo que Google ha estado «fisgando» en la intimidad de algunos hogares y, claro, cuando digo fisgar es porque lo ha hecho sin el consentimiento de sus propietarios.

Esta historia comienza o, mejor dicho, trasciende, cuando un usuario recibe, en su smartphone, una notificación en la que se le informa que hay un problema doméstico: un detector de humo ha dejado de funcionar, activando una alarma que lo indica. Y esto sería estupendo, de no ser porque dicho dispositivo no cuenta con dicha función. Es más, ni siquiera se trata de un dispositivo inteligente, es un detector normal y corriente.

Y entonces, ¿cuál era el origen de aquel aviso misterioso en el móvil? Pues un altavoz inteligente equipado con el asistente de voz de Google. Y es que según informa HackRead, algunos altavoces habrían estado capturando «sin querer» sonidos no vocales. Y sí, digo varios altavoces porque, tras una primera alerta en Reddit, otros usuarios empezaron a publicar mensajes afirmando que les habían ocurrido cosas parecidas.

¿Y qué es lo que estaba ocurriendo? Pues que Google había activado, por error según la compañía, una función que solo está disponible para suscriptores de pago, el servicio Google Nest Aware Home Security. Un servicio cuya misión es precisamente esa, permanecer atento a todos los sonidos del entorno, y alertar al usuario ante aquellos que considera críticos, como una alarma de humo o un cristal roto. Y, en caso de detectar alguno, envía un aviso a la app Home.

El problema, según ha afirmado Google, es que en una actualización de software esta función se activó, por error, en usuarios que no tienen contratado este servicio. Y, honestamente, me lo puedo creer, porque al final se trata de un servicio interesante, y que en condiciones controladas hasta me podría plantear usar. El problema es que este tipo de fallos tienen cierta tendencia a comprometer la privacidad de los usuarios, y eso, como mínimo, genera sospechas. Sospechas que, es una pena, pero pueden ensuciar la imagen de un servicio que puede resultar muy interesante.

La entrada Google y los altavoces que escuchaban demasiado es original de MuySeguridad. Seguridad informática.

por David Salces Guillem Fri, 07 Aug 2020 07:15:56 +0000

No corren buenos tiempos para Intel. Sigue siendo, sin duda, el fabricante de referencia en lo referido a microprocesadores, pero en estos últimos meses ha recibido varios golpes que, sin ser mortales de necesidad, sí que comprometen su futuro, y exigen a sus directivos que den un golpe de timón para sacar a la compañía de su incómoda y compleja situación actual. No podría haber un momento peor para enredar la situación todavía más, por culpa de un problema de seguridad.

Cuando hablo de la situación actual de Intel, me refiero a la próxima pérdida de Apple como cliente, que progresivamente irá sustituyendo los procesadores de Intel por micros ARM de diseño propio, en lo que han llamado Apple Silicon, y al reciente anuncio de que el salto a los siete nanómetros se retrasa un mínimo de seis meses (algo similar a lo que ocurrió con el salto a los 10 nm.

Esta semana pintaba bien para Intel, la verdad, puesto que finalmente, y hace solo unas horas, se han confirmado las temáticas de sus próximos eventos: Tiger Lake en un primer encuentro, y las tarjetas gráficas DG1 en un segundo encuentro. Te hablamos de ello en MuyComputer y, claro, cabe imaginar que con este anuncio la compañía esperaba dejar un poco de lado las malas noticias y centrarse en hablar de futuro, que es algo en lo que siempre han tenido puesto el ojo.

No eran, hasta hasta hace unas horas, buenos tiempos para Intel, pero sí una buena semana y, parecía, un cambio en la tendencia. Pero la situación podía complicarse, y lo ha hecho. ¿Cómo? Pues con Intel exconfidential Lake Platform Release, una filtración de 20 gigabytes de documentación confidencial de la compañía, y que según la persona que la ha hecho pública, es solo la primera de una serie de publicaciones que mostrarán muchos aspectos, hasta ahora ocultos, de la tecnológica y que, según afirma, no dejan a la empresa en muy buen lugar.

Intel Exconfidential

Parte del contenido de la primera filtración de Intel Exconfidential Lake Platform Release

A falta de poder revisar toda la documentación filtrada en esta primera acción, y que no se encuentra ordenada, lo que dificulta un tanto su revisión, esto es lo que incluye, según el filtrador:

  • Guías Intel ME Bringup, herramientas (flash) y muestras para varias plataformas.
  • Código de referencia de BIOS y código de muestra, y código de inicialización de Kabylake (plataforma Purley).
  • Intel CEFDK (kit de desarrollo de firmware de electrónica de consumo) – Fuentes.
  • Paquetes de código fuente de Silicon / FSP para varias plataformas.
  • Herramientas de depuración y desarrollo de Intel.
  • Simics Simulation para Rocket Lake S y, eventualmente, otras plataformas.
  • Varias hojas de ruta y otros documentos.
  • Ejecutables para controladores de cámara creados para SpaceX.
  • Esquemas, documentos, herramientas y firmware para la plataforma Tiger Lake.
  • Videos de formación de Kabylake FDK.
  • Archivos de decodificador Intel Trace Hub  y para varias versiones de Intel ME.
  • Código de muestra de plataforma y referencia de silicio de Elkhart Lake.
  • Varios archivos de Verilog para varias plataformas Xeon.
  • Compilaciones depuradas de BIOS / TXE para varias plataformas.
  • Bootguard SDK (zip cifrado).
  • Intel Snowridge / Snowfish Process Simulator ADK.
  • Varios esquemas.
  • Plantillas de material de marketing de Intel (Adobe InDesign).
  • Material adicional.

Sobre el origen de toda la documentación filtrada en Intel Exconfidential, la persona que la ha publicado afirma, en otro tweet, que la recibió de otra fuente que la habría obtenido a principios de este año. No indica si ese filtrador tenía acceso permitido a la misma, quizá como empleado de Intel, o por el contrario la obtuvo infiltrándose en la infraestructura IT de la compañía, o de algún socio de la misma que contara con ella. No obstante, el filtrador también promete más información al respecto en el futuro.

Los archivos filtrados han sido subidos a una cuenta de Mega, que aunque todavía está disponible es presumible que será eliminada en las próximas horas, dado que mucho del material albergado en la misma está protegido. No obstante, y contando con esa eventualidad, los archivos del volumen 1 de Intel exconfidential Lake Platform Release también han sido compartidos en Bittorrent, dificultando así que Intel pueda maniobrar para que desaparezcan de Internet.

Como aspectos destacables de su contenido, un punto que llama particularmente la atención, y que puede afectar muy seriamente a la imagen de Intel, es que el filtrador invita a las personas que descarguen los ficheros a buscar el término backdoor (puerta trasera) en el código fuente del firmware. El peligro potencial de este punto es incalculable, puesto que podría no solo revelarse la existencia de puertas traseras, sino los medios de acceso a las mismas. La seguridad de las plataformas afectadas por esta filtración podría estar en serio peligro desde este mismo momento.

Otro aspecto, también destacable, es que algunos de los archivos filtrados están protegidos por contraseña. Esto, en un principio, resulta más que adecuado, el problema surge cuando el filtrador indica que las contraseñas empleadas, y que son las originales (es decir, que él no las ha sustituido) son Intel123 e intel123. De confirmarse que realmente son las contraseñas originales de los archivos, esto no deja las políticas de seguridad de la compañía en muy buen lugar…

Intel Exconfidential

Contenido completo de la filtración

La primera respuesta oficial de Intel a la filtración la podemos encontrar en Tom’s Hardware, y afirma lo siguiente:

«Estamos investigando esta situación. La información parece provenir del Centro de Diseño y Recursos de Intel, que aloja información para uso de nuestros clientes, socios y otras partes externas que se han registrado para acceder. Creemos que una persona con acceso descargó y compartió esto datos.»

De momento, es comprensible, ninguna aclaración sobre el calado que puede tener esta filtración, ni sobre las medidas que piensan adoptar. Algo que, además, se refuerza si tenemos en cuenta la amenaza del filtrador de revelar más información próximamente, algo que cabe entender que ocurrirá, ya que no hablamos de una acción de ransomware ni nada por el estilo. Permanecemos muy atentos a los próximos pasos, tanto de Intel como del filtrador pero, de momento, Intel Exconfidential parece una piedra bastante grande en el zapato de la tecnológica.

La entrada Intel Exconfidential: filtración de información confidencial es original de MuySeguridad. Seguridad informática.

por David Salces Guillem Fri, 07 Aug 2020 06:05:21 +0000

Windows 7 es uno de los sistemas operativos más exitosos de la historia. Llegó en 2009 para superar el fiasco de Windows Vista y lo ha conseguido con creces. El problema es que sigue usándose en millones de equipos y redes empresariales aún después de finalizar su soporte técnico.

La Oficina Federal de Investigación de Estados Unidos (FBI) ha enviado una nota al sector empresarial privado del país, alertando de los peligros de seguir usando Windows 7 después de que el sistema operativo alcanzara el fin de su vida oficial (EOL) a principios de este año.

El soporte técnico oficial para Windows 7 (y también para el de Windows Server 2008) finalizó oficialmente el 14 de enero de 2020 como estaba programado. Salvo los programas empresariales de soporte extendido de pago que Microsoft puso en marcha, ello significa que el sistema operativo no recibirá actualizaciones de seguridad y potencialmente quedará expuesto a ataques informáticos aprovechando las vulnerabilidades no parcheadas.

A pesar de los todos los esfuerzos de Microsoft (algunos cuestionables limitando su soporte hardware y características de manera artificial por motivos comerciales), incluyendo la actualización gratuita a Windows 10 que hoy por hoy todavía se mantiene oficiosamente, la cuota de mercado de Windows 7 es elevadísima. Y es un grave problema en ciberseguridad porque una parte de esa cuota de uso llega desde las empresas:

«El FBI ha observado que los ciberdelincuentes atacan las infraestructuras de la redes informática después de que un sistema operativo alcanza el estado de fin de vida«, explica la agencia: «Continuar usando Windows 7 dentro de una empresa puede proporcionar a los ciberdelincuentes acceso a los sistemas informáticos. A medida que pasa el tiempo, Windows 7 se vuelve más vulnerable a las explotaciones debido a la falta de actualizaciones de seguridad y nuevas vulnerabilidades descubiertas».

Es por ello que la agencia pide a las compañías que consideren actualizar sus equipos de trabajo a versiones más nuevas del sistema operativo Windows. (O que busquen otras alternativas).

Se estima que Windows 7 todavía está instalado en un 26% del total de máquinas de escritorio, calculándose en más de 400 millones de equipos. El FBI cita específicamente la debacle anterior de la migración de Windows XP como el ejemplo perfecto del  porqué las compañías deberían migrar los sistemas lo antes posible, en lugar de retrasarlas.

«Se han observado mayores compromisos en la industria cuando un sistema operativo ha alcanzado el estado final de la vida útil. Después del final de Windows XP el 28 de abril de 2014, la industria de la salud vio un gran aumento de registros expuestos al año siguiente», explica la agencia de lo que ya sabemos: no es conveniente mantener sistemas operativos sin soporte técnico que no cuenten ya con actualizaciones de seguridad.

La entrada FBI alerta del uso de Windows 7 en empresas es original de MuySeguridad. Seguridad informática.

por Juan Ranchal Thu, 06 Aug 2020 22:03:54 +0000

Que Canon tiene un problema con la seguridad no es algo nuevo, desgraciadamente. Y ojo, empiezo aclarando que no es una crítica a la marca, solo el reflejo de una realidad en la que, en alrededor de un año, el ransomware ha golpeado dos veces a la marca, si bien de diferentes maneras. Una conexión bastante desagradable y que, a buen seguro, preocupa sobremanera a la tecnológica japonesa.

Y es que podemos empezar haciendo un poco de memoria, recordando que hace un año, por estas fechas, se supo que las cámaras réflex digitales de Canon tenían un problema de seguridad que provocaba que se pudiera llevar a cabo un ataque de ransomware contra las mismas. Afortunadamente, el problema se solucionaba con una actualización del firmware de la cámara, e incluso hubo una campaña de hackers de sombrero blanco, que lanzaron ataques inofensivos a estas cámaras, para prevenir a sus usuarios y recordarles que debían actualizar el firmware.

Y ahora, a punto de cumplirse un año de aquella noticia, sabemos por Bleeping Computer que Canon ha sido víctima de un ataque de Ransomware llevado a cabo por el grupo Maze, si no el más activo, sí desde luego uno de los más mediáticos, en parte por lo contundente de sus golpes, y en parte por su singular política de comunicación, bastante lejos de la llevada a cabo por otros grupos que también se especializan en el ransomware, como es el caso de REvil, por poner un ejemplo.

A diferencia de otras ocasiones, eso sí, Maze ha optado por no hacer pública, al menos de momento, ninguna prueba que demuestre que se ha producido una exfiltración de datos de Canon. Por ahora solo se sabe que, a consecuencia del ataque, se habrían perdido alrededor de 10 gigabytes de imágenes subidas por sus usuarios al servicio de almacenamiento gratuito online ofrecido por Canon a sus clientes.

Además, el ataque habría dado lugar a una interrupción de parte de los servicios ofrecidos por Canon en varias de sus páginas web, algo que hace preguntarse si la única consecuencia del ataque ha sido la pérdida de esos 10 gigabytes o, por el contrario, es solo una parte de los efectos que ha tenido el ataque sobre la tecnológica. Y es que, según afirma Maze, se han hecho con algo más de 10 terabytes de información. Y es raro que este grupo ciberdelincuente mienta, según hemos podido comprobar en el pasado.

Algo que, además, se confirmaría por una fuente confidencial mencionada por el medio, y que indica que el centro de servicios IT de Canon habría remitido un mensaje a todos sus empleados, en el que informa de «problemas de sistemas IT generalizados que afectan a múltiples aplicaciones, equipos, correo electrónico y otros sistemas pueden no estar disponibles en este momento». Suena mal, bastante mal.

La entrada Canon: última víctima de un ataque de ransomware es original de MuySeguridad. Seguridad informática.

por David Salces Guillem Thu, 06 Aug 2020 12:14:43 +0000

Hay noticias como esta sobre la pérdida de seguridad de redes VPN que, me sabe mal decirlo, pero me ponen de bastante mal humor, principalmente porque creo que son una muestra clara de dos defectos del ser humano: que no aprendemos en cabeza ajena y que somos el único animal que tropieza dos veces con la misma piedra. Y sí, sé que que lo normal ante un problema de seguridad es empatizar con la víctima del mismo, pero es que hay ocasiones en las que lo ponen realmente difícil…

ZDNet informa hoy de que un ciberdelincuente ha hecho público un listado con contraseñas para más de 900 redes privadas virtuales (VPN)  que emplean Pulse VPN. Hasta aquí, sin duda, hablamos de una acción delictiva, en la que los reproches deben caer sobre quién ha efectuado esa acción, ¿verdad? El problema es que, en este caso, está particularmente claro que la responsabilidad es, como mínimo, repartida.

¿Y qué es lo que contiene la base de datos publicada por el ciberdelincuente? Pues estos son los campos de la misma:

  • Direcciones IP de los servidores Pulse Secure VPN
  • Versión de firmware del servidor Pulse Secure VPN
  • Claves SSH para cada servidor
  • Lista de todos los usuarios locales y sus hashes de contraseñas
  • Detalles de la cuenta de administrador
  • Últimos inicios de sesión de VPN (incluidos nombres de usuario y contraseñas de texto sin cifrar)
  • Cookies de sesión de VPN

Todo esto, como ya comentábamos antes, para algo más de 900 implementaciones de esta VPN.

¿Y por qué hablo de responsabilidad compartida? Pues porque, en todos los casos, esa información se ha obtenido sacando partido de la vulnerabilidad CVE-2019-11510, un problema de seguridad de Pulse VPN descrito en mayo del año pasado. Un problema de seguridad más que conocido y que se solventa actualizando el software. Una solución disponible desde hace alrededor de un año.

¿Se trata de un problema poco conocido, quizá? No, ¿recuerdas que hace ya unos meses te hablamos del ataque de ransomware con Sodinokibi que había sufrido Travelex? Si lo leíste lo recordarás, y en caso contrario es bastante probable que ya te estés imaginando lo que voy a decir… sí, el origen de aquel ataque fue una instalación no actualizada de Pulse VPN.

Porque, y esto hay que decirlo y remarcarlo, se puede decir que parte de la responsabilidad de es de la desarrolladora del software de VPN, pero ésta actuó de manera diligente solucionando el problema y publicando actualizaciones para proteger a todos sus usuarios. Pero ocurre que parte de los mismos no priorizaron lo suficiente el llevar a cabo dichas actualizaciones. Y otros no lo sé, pero los responsables de Travelex seguro que lo están lamentando mucho desde hace unos meses.

Claro, a veces ocurre que cuando los datos son hechos públicos, la fecha de captura de los mismos queda ya lejos en el tiempo, ¿verdad? El problema es que, según las averiguaciones hechas por ZDNet, la obtención de dichos datos es bastante reciente, según las marcas de tiempo en la lista (una colección de carpetas), las fechas de los escaneos, o la fecha en que se compiló la lista, aparecen entre el 24 de junio y el 8 de julio de 2020. Sí, instalaciones de Pulse VPN que no han sido actualizadas, meses después del incidente de Travelex.

Es bastante probable que el atacante se dedicara a hacer un barrido de direcciones IP buscando instalaciones de Pulse VPN no actualizadas y, por lo tanto, atacables explotando la vulnerabilidad CVE-2019-11510. ¿Y a qué riesgos se exponen ahora todas esas redes (supuestamente) privadas virtuales? Pues a que cualquier atacante pueda colarse en su red como si fuera un usuario legítimo y, por lo tanto, con todos los permisos que tendría de serlo realmente.

Son muchos los ataques que se pueden llevar a cabo a partir de este punto, y el primero que me viene a la cabeza (a mí y entiendo que a otras muchas personas) es el ransomware. Los responsables de esas 900 infraestructuras en las que no se ha actualizado Pulse VPN podrían enfrentarse, próximamente (si es que no lo están siendo ya), a ataques de ransomware. Espero que aún estén a tiempo de actualizar… y espero que lo hagan ya. Y, claro, cambiar todas las credenciales que también se han visto comprometidas, puesto que esos accesos siguen siendo válidos, aún con la actualización.

La entrada Filtradas las contraseñas de más de 900 VPN empresariales es original de MuySeguridad. Seguridad informática.

por David Salces Guillem Thu, 06 Aug 2020 06:10:14 +0000

Siempre que hablamos de spearphishing, es clave recordar que no hablamos de una técnica de ataque de la que podamos ser víctima cualquiera de nosotros. A diferencia de las campañas de phishing, que buscan llegar a la máxima cantidad posible de usuarios, el spearphishing tiene, siempre, objetivos muy concretos. Y, claro, todos los elementos del ataque se confeccionan pensando en un grupo muy reducido de personas o, incluso, en un único objetivo. Claro, el objetivo debe ser lo suficientemente tentados como para que todo el trabajo merezca la pena.

Esto, como comentaba, aleja a muchas personas del punto de mira de este tipo de ataques, ya que en la mayoría de los casos, los costes asociados al ataque no se verían compensados, ni siquiera aunque éste fuera exitoso. La recompensa debe ser particularmente suculenta, ya sea económica o de cualquier otro tipo. Los objetivos del spearphishing siempre van por lo alto.

Un ejemplo claro de ello lo tenemos en la noticia publicada por la Agencia Reuters, y en la que se afirma que el exministro británico de comercio Liam Fox, y una figura clave dentro del partido conservador, habría sido víctima de un ataque de spearphishing que podría estar relacionado con la filtración de determinados documentos confidenciales durante las elecciones británicas del pasado 2019.

Según fuentes citadas por la agencia de noticias, el ataque de spearphishing se habría llevado a cabo sobre una cuenta de correo electrónico personal de Fox, a la que los atacantes habrían accedido en múltiples ocasiones entre el 12 de julio y el 21 de octubre de 2019. Es importante señalar, eso sí, que el político presentó su dimisión el 24 de julio, poco después del primer acceso no autorizado a su cuenta de correo, por lo que no está claro hasta que punto pudieron acceder a información relacionada con la actividad ministerial de Fox.

No obstante, y aún con posterioridad a su dimisión como ministro, Fox se ha mantenido activo como miembro de la cámara de los comunes, lo que sumado al peso que ha tenido y tiene en el partido conservador (fue su presidente entre 2003 y 2005), no dejan demasiadas dudas sobre su influencia en el partido y, probablemente, sobre las decisiones que se toman en el mismo. Algo que, claro, se traduce en el acceso a un gran volumen de información confidencial. Un perfil claro de objetivo de spearphishing.

No se sabe con seguridad quién se encuentra detrás del ataque, pero la investigación de Reuters apunta a una operación promovida, más que ejecutada, por algún estado, y el principal sospechoso es… esto no supondrá una sorpresa para nadie, Rusia. Una acción que se encuadraría en sus hipotéticos planes para generar desestabilidad política en países y organizaciones con las que no mantiene buenas relaciones.

La entrada Liam Fox, exministro británico, víctima de spearphishing es original de MuySeguridad. Seguridad informática.

por David Salces Guillem Wed, 05 Aug 2020 11:03:48 +0000

El ataque cibernético a Garmin sigue coleando y varios medios estadounidenses como BleepingComputer, aseguran tener pruebas para segurar que Garmin ha pagado millones de dólares por el «rescate» exigido y así poder recuperar sus servicios.

Garmin ha sido la última multinacional asolada por un ataque de Ransomware en otro fuerte aviso a la industria. Los ciberdelincuentes han encontrado un filón en este tipo de malware, la principal ciberamenaza de los últimos años. Si en sus inicios los atacantes se conformaban con unas decenas de dólares infectando ordenadores de consumo, ahora las empresas, administraciones públicas e infraestructuras críticas han pasado a ser su principal objetivo en ataques cada vez más exitosos.

Hace un par de semanas le tocó a Garmin. Los usuarios comenzaron a informar en redes sociales de fallos en el acceso a Garmin Connect y otros servicios de la compañía. Desde el primer momento el caso apuntaba a un ataque informático, pero la compañía no lo confirmó hasta unos días después.

La causa de la crisis radicó en un ataque dirigido con el ransomware WastedLocker como protagonista. Todo indica (aunque no está probado) que el grupo de ciberdelincuentes Evil Corp, conocido por ser el responsable del malware Dridex y por usar esta técnica como parte de sus ataques, está detrás del caso y habrían pedido 10 millones de dólares de «rescate» por liberar el cifrado con el que «tumbaron» ordenadores y redes de Garmin.

Garmin recupera servicios después de pagar por el rescate

BleepingComputer dice haber tenido acceso a un ejecutable creado por el departamento de TI de Garmin para descifrar una estación de trabajo e instalar el software de seguridad de la máquina.

WastedLocker es un ransomware dirigido a empresas sin debilidades conocidas en su algoritmo de cifradoSin defectos conocidos en el código la conclusión es obvia: para obtener una clave de descifrado que funcione, Garmin debe haber pagado el rescate a los atacantes. No se sabe cuánto, pero como se citó anteriormente, un empleado había revelado a este medio que la demanda de rescate original era de 10 millones de dólares.

Una vez conseguida la clave, los especialistas de TI de Garmin habrían creado un paquete de restauración que incluye varios instaladores de software de seguridad, una clave de descifrado, un descifrador específico para WastedLocker y un script para ejecutarlos.

Garmin

Cuando se ejecuta, el paquete de restauración descifra la computadora y luego prepara la máquina con el software de seguridad. El paquete de software de Garmin tiene por fecha el 25 de julio. Solo un par de días después de conocerse la caída de servicios lo que indica que la compañía pagó el rescate exigido desde el primer momento.

Garmin

Utilizando una muestra del malware WastedLocker usado en el ataque de Garmin, BleepingComputer cifró una máquina virtual y probó que el descifrador funcionó a la perfección.

El conjunto de software incluye referencias tanto a la empresa de ciberseguridad Emsisoft (especialista en crear paquetes de descifrado) como a la empresa Coveware, encargada supuestamente de la negociación para conseguir bajo pago la clave de cifrado.

Ni Garmin ni el resto de empresas aludidas han confirmado toda esta información. El pago, de haberse producido, es muy mala noticia para la industria, aunque es entendible la extremadamente difícil situación de Garmin para con sus millones de clientes y también con los inversores, ya que el ataque se produjo una semana antes de la presentación de resultados financieros trimestrales.

El problema es que ante el éxito de este caso, los atacantes buscarán nuevos objetivos.  «El hack de Garmin es una advertencia», explican desde Wired en un artículo muy completo que te recomendamos, donde realizan un análisis de situación del caso y de la problemática para la industria antes estos asoladores Ransomware.

La entrada Garmin pagó millones de dólares por obtener la clave de descifrado del ransomware WastedLocker es original de MuySeguridad. Seguridad informática.

por Juan Ranchal Tue, 04 Aug 2020 22:04:55 +0000

Si eres un profesional o te interesa la seguridad informática, dar los primeros pasos con Wireshark es, sin duda, un paso clave para poder realizar análisis en profundidad de lo que está ocurriendo en tu red. Y es que, aunque pueda no parecerlo, decenas, cientos, puede que incluso miles (dependiendo de su tamaño) de paquetes de datos cruzan cada segundo los cables (o las ondas) que componen tu infraestructura de red.

Pero, claro, antes de dar los primeros pasos con Wireshark es imprescindible que entiendas bien qué es lo que hace esta herramienta, cómo funciona y, por lo tanto, qué puedes esperar de ella y qué no. Estamos hablando de un sniffer de red, es decir una herramienta que analiza todo el tráfico de red, solo el del sistema en el que esté instalado, o el de toda la red si se habilita el modo promiscuo (que es la opción adecuada para auditar todo el tráfico de la red).

Para tal fin, una vez abierto el programa, éste comenzará a capturar todo el tráfico de red, permitiéndonos guardar un registro completo del mismo que podemos consultar en tiempo real o a posteriori. La captura se mantiene activa hasta que detenemos la captura o cerramos el programa. Y es muy importante tener este punto tremendamente claro: Wireshark solo puede capturar el tráfico de red mientras está activo, no cuenta con funciones para identificar lo ocurrido en la red antes de haber sido abierto o después de haber sido cerrado, para eso serán necesarios otros logs.

Aclaro esto porque en alguna ocasión me han preguntado, tras haber sufrido un incidente de seguridad, si era posible realizar un análisis forense de lo ocurrido con esta aplicación. Y la respuesta, claro, es que no, un sniffer solo captura el tráfico cuando se encuentra a la escucha, no tiene modo alguno de analizar lo que haya ocurrido previamente.

Si ya has tenido alguna toma de contacto con este software, ya sabrás que los primeros pasos con Wireshark pueden resultar un tanto complejos. Es por eso que en este artículo te daremos una primera aproximación, y próximamente profundizaremos en el uso de esta herramienta, y de todas las posibilidades que pone al alcance de tu mano.

El primer paso, claro, es descargar e instalar Wireshark. Es una aplicación gratuita que puedes bajarte desde su página web oficial. Una vez instalado y abierto por primera vez, verás la ventana

Wireshark

Aquí debes escoger qué interfaz de red, de las disponibles en el ordenador en el que te encuentras, es la que debe escuchar Wireshark. Es fundamental, claro, que escojas la interfaz correcta. Como ayuda para identificarlas, por si tienes alguna duda al respecto, verás que a la derecha de cada nombre se va generando un gráfico que indica el volumen de tráfico de la misma.

Tal y como selecciones la interfaz de la red que quieres analizar con Wireshark, se mostrará ya la ventana principal del programa. No dejes que te avasalle, en realidad, una vez identificadas sus secciones, lo verás todo con mucha más lógica:

Wireshark

Para facilitar la identificación de los diferentes componentes de la interfaz de Wireshark, la hemos dividido en cinco grandes bloques:

  1. Barra de menú y de herramientas: Este apartado es el común al 90% de las aplicaciones, por lo que no requiere de mayor explicación.
  2. Barra de filtrado: Este apartado es fundamental, pues es en el que podemos definir las condiciones que deben cumplir los paquetes analizados para mostrarse en el apartado inferior. Definir los filtros es la parte más interesante, y también una de las más complejas de Wireshark. En este artículo veremos un primer ejemplo de uso, y próximamente profundizaremos en sus posibilidades.
  3. Paquetes capturados: En este apartado se muestran todos los paquetes capturados por Wireshark. Como puedes ver, cada fila representa un paquete, y para cada uno de ellos, y por columnas (personalizables) se muestra un indicador de orden dentro de la sesión de captura, el momento de la captura, direcciones IP de origen y destino, protocolo de red empleado, longitud del paquete e información adicional.
  4. Contenido del paquete: En este apartado puedes analizar, para cada paquete, información sobre cada una de sus capas (basadas en el modelo OSI).
  5. Contenido de la capa: Si seleccionas una de las capas del paquete, en este apartado verás el contenido de la misma en un visor hexadecimal.

Si es tu primera vez con el programa, lo mejor es que des tus primeros pasos con Wireshark capturando algo de tráfico (recuerda parar la captura tras unos minutos, pulsando el botón cuadrado rojo de la barra de herramientas, para no generar un log demasiado extenso) y analizando el contenido de algunos paquetes, viendo cómo se organiza la información en los mismos, etcétera. Esto no solo te ayudará a soltarte con el programa, sino que también te supondrá un excelente recordatorio sobre el modelo OSI.

Solo con esto ya tendrías «entretenimiento» para unas cuantas horas, pero para anticiparte un poco las posibilidades del filtrado, prueba a escribir, en la barra de filtrado, lo siguiente:

ip.src==dirección_IP_router && ip.dst==dirección_IP_local

Obviamente, tendrás que cambiar dirección_IP_router y direción_IP_local por las direcciones IP del enrutador de tráfico de tu red y la del ordenador en el que te encuentras en ese momento. Confirma el filtrado y, de ese modo, Wireshark ya solo mostrará, en el apartado 3, los paquetes que cumplan las condiciones definidas en el filtro.

La entrada Primeros pasos con Wireshark: ¿qué está pasando en tu red? es original de MuySeguridad. Seguridad informática.

por David Salces Guillem Tue, 04 Aug 2020 06:05:36 +0000

Las noticias falsas apuntan en cualquier dirección, y hoy mismo hemos sabido que la OTAN está siendo objetivo de una campaña de este tipo. Una campaña que todavía podría estar activa y que persigue, como ocurre de manera habitual en estos casos, ensuciar la reputación del objetivo atacado, en este caso la Organización del Tratado del Atlántico Norte, la organización político-militar que cumplió 70 años el pasado 2019.

El descubrimiento de esta campaña corresponde a FireEye, que lo habría detectado mediante Mandiant Threat Intelligence, su servicio de recopilación de información sobre ciberamenazas, según informa Security Affairs. Una campaña que intenta debilitar la imagen de la OTAN principalmente en Letonia, Lituania y Polonia, afirmando, entre otras noticias falsas, que la organización estaría planteándose dar por finalizada su presencia en algunos de los países objetivo de las noticias falsas.

Para la publicación de las mismas, los atacantes estarían optando principalmente por dos vías. La primera de ellas es aprovechar fallos de seguridad en medios legítimos para, al lograr el acceso a los mismos, eliminar otras publicaciones y, en su lugar, publicar las informaciones falsas en relación con la OTAN. De este modo, se apoyan en el prestigio de dichos medios de comunicación para dar más verosimilitud a las falsa noticias. Es, en cierta medida, parecido a lo que hicieron los responsables del hackeo de Twitter: emplear cuentas con prestigio para «colar» el engaño.

La otra vía es emplear sitios de información que se basan en los contenidos generados por sus propios usuarios (UGC). En este caso podrían utilizar tanto cuentas de nueva creación, como credenciales robadas de usuarios legítimos del sistema y que, también en este caso, ya pudieran contar con cierto prestigio en dichas plataformas. En este caso se habrían publicado noticias, pero también opiniones en contra de las supuestas (en realidad falsas) medidas adoptadas por la OTAN en dichos países.

Algo que resulta llamativo de este ataque es que, a diferencia de lo que suele ocurrir de manera habitual en las campañas de desprestigio basadas en noticias falsas, en esta ocasión parece que los atacantes no han empleado redes sociales. Quizá tenga que ver con el gran aumento de la sensibilidad y el escrutinio de las noticias falsas en las mismas. Algo que, sumado al peso específico del objetivo de la campaña, la OTAN, podría haber disuadido a los autores de optar también por esta vía de viralización.

Aunque la detección de la campaña es reciente, según las averiguaciones efectuadas hasta el momento la campaña llevaría activa al menos desde marzo de 2017, y en todo momento habría estado alineada con los intereses de seguridad y geopolítica rusos, país cuya relación con la OTAN no pasa por su mejor momento. Esto, claro, hace que las sospechas recaigan principalmente sobre Rusia, un país que, además, ya lleva muchos años mostrándose bastante activo en el empleo de las redes e Internet en campañas con múltiples fines.

La entrada Fake news: ahora en contra de la OTAN es original de MuySeguridad. Seguridad informática.

por David Salces Guillem Mon, 03 Aug 2020 12:51:43 +0000