Mundialmente famoso grupo de hackers roba millones de cajeros en todo el mundo

Lazarus (Lázaro), el conocido grupo de hackers, ha sustraído decenas de millones de dólares de cajeros automáticos en Asia y África desde finales del 2016, según informa Symantec

Mano de hombre retirando dinero de cajero automático

  • Desde el 2016, hackers de Lazarus Group han llevado a cabo una operación dirigida a robar dinero de cajeros automáticos
  • Lazarus Group está directamente vinculado a Corea del Norte, y se le atribuye el más reciente ataque WannaCry
  • Operación FASTCash está diseñada para retirar dinero de cajeros automáticos en forma simultánea en decenas de países

La semana pasada, los expertos en seguridad reportaron a un grupo de hackers altamente sofisticado como el cerebro detrás de una serie de ciberataques problemáticos que han dejado a las empresas financieras en todo el mundo sacudidas desde 2016.

Al establecer vínculos entre una serie de ciberataques globales organizados por una pandilla de ciberdelincuentes, los expertos han logrado desenmascarar un ataque de malware denominado Operación FASTCash.

La operación FASTCash, que tiene como objetivo estafar a los bancos de todo su dinero, apunta a los cajeros automáticos (ATM) en varios países, eliminándolos al mismo tiempo y en una fracción de segundo.

El ataque de malware, que ha dirigido a países de Asia y África desde 2016, comenzó a extenderse a otros continentes de manera más rampante este año.

El mes pasado, las autoridades de los EEUU expresaron su preocupación por el aumento dramático en el número de ataques similares en los últimos meses y sonaron una alerta global.

El gobierno de los EEUU utilizó el nombre en clave ‘Hidden Cobra’ (Cobra Oculta) para el Grupo Lazarus, al que anteriormente se le atribuyó la “actividad cibernética maliciosa del gobierno de Corea del Norte”.

El señuelo de ‘FAST CASH’

El 2 de octubre, oficinas gubernamentales de los EEUU, incluyendo el US-CERT, el Departamento de Seguridad Nacional (DHS), el Departamento del Tesoro y el FBI, emitieron una alerta atribuyendo la serie de ataques de cajeros automáticos globales a “Cobra Oculta”.

En alerta, las agencias gubernamentales de los Estados Unidos estimaron que hasta la fecha, el grupo Lazarus ha robado decenas de millones de dólares en 30 países diferentes a través de su ‘Operación FASTCash’.

La alerta señaló que “el DHS, el Tesoro y el FBI identificaron el malware y otros indicadores de compromiso (IOC) utilizados por el gobierno de Corea del Norte en un plan de retiro de cajeros automáticos”.

La declaración también identificó casos específicos, señalando que un incidente en 2017 hizo que se retirara efectivo de forma simultánea de cajeros automáticos en más de 30 países diferentes.

También detalló otro incidente importante que tuvo lugar este año, en el que se eliminó el efectivo de los cajeros automáticos en 23 países diferentes.

Los funcionarios de los EEUU señalaron que el grupo había “explotado los sistemas específicos utilizando su conocimiento de la Organización de Normas Internacionales (ISO) 8583, el estándar para la mensajería de transacciones financieras … Lo más probable es que los actores hayan implementado bibliotecas ISO 8583 en los servidores de aplicaciones de conmutadores específicos”.

Semanas después de la emisión de la alerta estadounidense, esta semana, la firma de ciberseguridad Symantec publicó los resultados de su propia investigación sobre los ataques cibernéticos coordinados en los cajeros automáticos.

Si bien Symantec también acusa al Grupo Lazarus de llevar a cabo los ataques FASTCash, su investigación condujo a una revelación clave: que los hackers notorios infectan las redes bancarias con el troyano FASTcash.

Symantec explicó en su informe que, en un intento por realizar retiros fraudulentos, Lazarus viola las redes de los bancos seleccionados.

Luego, el grupo compromete a los servidores de aplicaciones del switch que manejan las transacciones en cajeros automáticos.

La firma de ciberseguridad señaló que una vez que se produce la violación, se implementa el malware ‘Trojan.Fastcash’, que luego intercepta las solicitudes de retiro de efectivo de Lazarus ‘fraudulentas’ y envía respuestas de aprobación falsas.

Esto, afirma Symantec, permite a los hackers deshacerse del efectivo de los cajeros automáticos.

En su informe, Symantec escribió: “Está claro que Lazarus posee un profundo conocimiento de los sistemas bancarios y los protocolos de procesamiento de transacciones y tiene la experiencia para aprovechar ese conocimiento con el fin de robar grandes sumas de dinero de bancos vulnerables”.

La firma también advirtió: “La reciente ola de ataques FASTCash demuestra que los ataques motivados financieramente no son simplemente un interés pasajero para el Grupo Lazarus y ahora pueden considerarse una de sus actividades principales”.

Desenmascarando a los delincuentes globales

Después de permanecer envueltos en el misterio durante la mayor parte de su existencia de una década, el notorio grupo de hackers que operaban como el ‘Grupo Lázaro‘ logró operar de manera discreta, hasta que un atentado ataque cibernético en 2014 los delató.

En noviembre de 2014, un grupo de hackers violaron los sistemas de la destacada empresa estadounidense Sony Pictures Entertainment con un ataque del tipo ‘file wiper’ (borra archivos), lo que dejó paralizados los sistemas de la compañía y filtró al internet terabytes de datos relacionados con la compañía para que el mundo los vea.

Los datos filtrados en línea incluyeron memos confidenciales y correos electrónicos intercambiados entre la alta gerencia de la compañía y algunos personajes y personalidades públicas de alto perfil.

Un grupo de hackers que se identificó como ‘The Guardians of Peace‘ se atribuyó la responsabilidad del ataque y dijo que el ataque se llevó a cabo para protestar por el lanzamiento de una película de Sony Pictures protagonizada por Seth Rogan y James Franco llamada “La entrevista”.

Mientras que la Oficina Federal de Investigaciones (FBI) acababa de iniciar una investigación sobre el ataque cibernético, el grupo se vinculó de inmediato con Corea del Norte.

La película que enfureció a los hackers narró una historia ficticia de dos periodistas estadounidenses que fueron reclutados por una agencia de espionaje de los Estados Unidos para asesinar a Kim Jong Un, el líder de la solitaria nación con potencia nuclear, Corea del Norte, a quien van a entrevistar.

Un año después del ataque cibernético, el FBI culpó oficialmente a Corea del Norte por la violación que fue declarada “un asunto serio de seguridad nacional” por el entonces presidente de los Estados Unidos, Barack Obama.

Sin embargo, dos años más tarde, se culpó al Grupo Lazarus por un ataque cibernético aún más grande y mucho más sorprendente, lo que le valió la infamia mundial y el título de ser uno de los grupos de ciberdelincuentes más peligrosos del mundo.

En febrero de 2016, las empresas de seguridad cibernética, al igual que el resto del mundo, expresaron indignación y conmoción cuando una pandilla de hackers reveló sus ambiciosos planes para robar la extraordinaria cantidad de 851 millones de dólares del Banco Central de Bangladesh.

Los piratas informáticos lograron transferir US$81 millones de la red desprotegida del banco.

Investigaciones de varias capas que duraron varios meses finalmente llevaron al desenmascaramiento de los ciberdelincuentes detrás del atroz asalto: el ‘Grupo Lázaro’, que los Estados Unidos denominan ‘Cobra Oculta’

Desde entonces, los notables investigadores cibernéticos de todo el mundo han culpado a esta notoria pandilla por una serie de perturbaciones, sabotajes, robos financieros o ataques de espionaje.

Si bien algunos expertos en seguridad han rastreado la actividad del grupo desde el año 2009, el Grupo Lazarus fue el culpable más reciente del ataque de ransomware WannaCry 2017, que causó un caos global.

El ataque de WannaCry ransomware infectó más de 300,000 computadoras, paralizando los sistemas en 100 países, incluyendo América, Europa, Rusia y China.

En 2013, el grupo fue acusado de atacar a los medios de comunicación y compañías financieras surcoreanas en dos operaciones separadas de ciberespionaje llamadas “Operación Troya” y “Operación DarkSeoul”.

Según los expertos, incluidas las agencias gubernamentales de Symantec y EEUU, El ataque FASTCash, el ransomware WannaCry y la violación de Sony, todos llevan el mismo conjunto de huellas dactilares que pertenecen al Grupo Lazarus.

La ‘Operación FASTCash‘ se está calificando como el robo de cajeros automáticos más grande y más dañino del mundo hasta el momento.

 

Referencias:

Escrito originalmente por Sheetal Sukhija para bignewsnetwork.com

symantec.com

hipertextual.com

leer más
Isaul CarballarMundialmente famoso grupo de hackers roba millones de cajeros en todo el mundo

Más de 50 naciones, pero no EEUU, firman pacto de ciberseguridad

EEUU, Rusia y China, naciones que no firmaron el Llamado de Paris convocado por Francia para establecer normas internacionales sobre ciberseguridad

Logo del Llamado de París

  • Nuevo pacto de paz cibernética firmado por otros 51 países, 224 empresas y 92 grupos sin fines de lucro y de defensa
  • Iniciativa diseñada para establecer normas internacionales para Internet, incluida la buena higiene digital y la divulgación coordinada de vulnerabilidades técnicas
  • El acuerdo no exige ninguna legislación específica
  • Estados Unidos, China, Rusia, Corea del Norte, Irán, Israel, Australia y Arabia Saudí entre los países que no firmaron

Estados Unidos, Rusia y China, tres de los principales ciber poderes de hoy, se encuentran entre las naciones que no han firmado un acuerdo sobre normas y principios publicado en el Foro de Paz de París por el presidente Emmanuel Macron.

El 12 de noviembre, en el Foro de Gobernanza de Internet de la UNESCO (IGF), el presidente Emmanuel Macron lanzó el Llamado de París para la confianza y la seguridad en el ciberespacio. Esta declaración de alto nivel sobre el desarrollo de principios comunes para asegurar el ciberespacio ya ha recibido el respaldo de muchos Estados, así como de empresas privadas y organizaciones de la sociedad civil.

El Llamado de París para la Confianza y la Seguridad en el Ciberespacio, como se ha denominado el acuerdo, es el esfuerzo más coordinado hasta la fecha para lograr que los países acuerden un conjunto de reglas internacionales para el ciberespacio, una llamada Convención Digital de Ginebra.

El documento describe una serie de objetivos, entre los que se incluyen cómo ayudar a garantizar que los actores extranjeros no interfieran con las elecciones y trabajen para evitar que las empresas privadas “hackeen” o tomen represalias por un delito cibernético. Cuenta con el respaldo de más de 50 países, 90 organizaciones sin fines de lucro y universidades, y 130 corporaciones y grupos privados.

Los Estados Unidos, mientras tanto, no fueron los únicos que no firmaron pase. Rusia, China, Irán e Israel tampoco firmaron. Decisión obvia, ya que algunos de los que se abstuvieron, como China e Irán, tienen iniciativas de guerra cibernética activa.

Los países hispanohablantes que firmaron incluyen: Argentina, Chile, Colombia, España, México y Panamá.

¿Qué implica el Llamado de Paris?

Los partidarios de la Convocatoria de París están comprometidos a trabajar juntos para:

  1. aumentar la prevención y la resistencia a la actividad maliciosa en línea;
  2. proteger la accesibilidad e integridad de internet;
  3. cooperar para prevenir la interferencia en los procesos electorales;
  4. trabajar juntos para combatir las violaciones de propiedad intelectual a través de Internet;
  5. evitar la proliferación de programas y técnicas maliciosos en línea;
  6. mejorar la seguridad de los productos y servicios digitales, así como la “higiene cibernética” de todos;
  7. reprimir las actividades mercenarias en línea y las acciones ofensivas de actores no estatales;
  8. trabajar juntos para fortalecer las normas internacionales pertinentes.

Críticas al Llamado de París

La lucha contra los ataques cibernéticos y el seguimiento de las elecciones fueron tareas reservadas para funcionarios del gobierno. Pero ahora gran parte de la actividad cívica del mundo se produce no solo en el ciberespacio, sino en plataformas privadas propiedad de compañías como Facebook y Microsoft. Eso significa que es de su interés comercial apoyar medidas como la llamada de París, cuyo objetivo es hacer de Internet un lugar más seguro y predecible.

El Llamado de París finalmente carece de detalles; no requiere que los gobiernos o corporaciones se adhieran legalmente a ningún principio específico. Es sobre todo un símbolo de la necesidad de diplomacia y cooperación en el ciberespacio, donde es difícil hacer cumplir las leyes de un solo país. Más notable que el propio acuerdo es quienes lo firmaron. Las principales corporaciones tecnológicas estadounidenses, como Microsoft, Facebook, Google, IBM y HP, respaldaron el acuerdo.

“El documento es imperfecto, pero llega cuando otros gobiernos, que no respaldaron el Llamado de París, mostraron una visión competitiva basada en la ciberseguridad basada en la soberanía y el control del estado”, dijo Drew Mitnick, asesor de políticas de Access Now. Mitnick dice que su organización está a la espera de la próxima iteración del Llamado de Paris, que está programada para reunirse el próximo año en Alemania.

 

Referencias:

diplomatie.gouv.fr (PDF)

wired.com

axios.com

zdnet.com

elfinanciero.com.mx

peruinforma.com

leer más
Isaul CarballarMás de 50 naciones, pero no EEUU, firman pacto de ciberseguridad

¿Google Hackeado por Rusia y China?

El tráfico de Google dirigido a China y Rusia, resultó en tiempo de inactividad para algunos servicios. El incidente podría ser el resultado de errores técnicos o actividad maliciosa

Mujer con portafolio camina frente a muro de oficinas de Google

  • Una desviación del tráfico de Internet interrumpió los servicios de Google y redirigió sus datos
  • Los principales proveedores de Internet en China y Rusia interceptaron datos de usuarios de Google
  • El ataque puede provocar más ataques a gran escala de las naciones involucradas en el futuro
  • Las interrupciones duraron casi 1.5 horas hasta las 10:30 pm GMT (5:30 pm EST)
  • Google dijo que no tenía motivos para creer que el secuestro de tráfico fuera malicioso

Un desvío de tráfico de Internet redirigió los datos a través de Rusia y China e interrumpió los servicios de Google el lunes, incluidos los servicios de búsqueda, alojamiento en la nube y su conjunto de herramientas de colaboración para empresas.

Algunos usuarios de Google el lunes por la tarde informaron que los servicios, como YouTube, eran lentos o que no se podía acceder. La causa de este problema fue que el tráfico de la compañía se dirigía mal a través de ISP en China, Nigeria y Rusia. Google está investigando el problema, pero comentó que no hay razón para creer que esto fue un ciberataque.

La mayor parte del tráfico de la red a los servicios de Google (el 94% a partir del 27 de octubre) está cifrado, lo que lo protege de miradas indiscretas, incluso si se desvía.

En un aviso publicado el lunes en su sitio web, Google dijo que había resuelto el problema a las 2:35 p.m. Hora del Pacífico, y que sus servicios estaban funcionando como se esperaba.

El problema con las plataformas en línea

Los ingenieros en redes han advertido durante años que las plataformas en línea son vulnerables a los ataques basados ​​en redes que hacen que los datos se desvíen ampliamente de su curso. Tales ataques son posibles porque los grandes proveedores de servicios de red intercambian tráfico a través de un sistema que se basa en gran medida en la confianza mutua a través de protocolos casi tan antiguos como la propia Internet.

Los fallos, como el que experimentó Google el lunes, pueden ocurrir debido a un error técnico, por ejemplo, cuando un ingeniero de red configura incorrectamente los sistemas, o también podrían representar un intento malicioso de interceptar datos, dicen los expertos en redes.

Si tienen acceso a un operador de red lo suficientemente grande, los hackers pueden alterar los mapas de red almacenados en los enrutadores centrales de Internet a través de un sistema conocido como protocolo de puerta de enlace fronteriza o BGP (por sus siglas en inglés Border Gateway Protocol).

El uso de fallas de BGP para redirigir los datos podría permitir a un hacker robar información, escuchar el tráfico o enviar información al olvido cibernético, según los investigadores de seguridad.

¿Un posible experimento de juego de guerra?

Según el profesor Alan Woodward, científico informático de la Universidad de Surrey, el secuestro podría haber sido parte de un elaborado esquema de vigilancia.

Dijo a MailOnline: “El acceso a los datos de las personas es un” activo estratégico “para la vigilancia, y Rusia y China han llevado a cabo ataques de secuestro para recopilar esos datos anteriormente.

Los expertos ahora están preocupados por la posibilidad de que las naciones involucradas obtengan acceso a los datos privados de los usuarios al monitorear el tráfico redirigido.

El presunto ataque también puede ser un signo de lo que vendrá a medida que la guerra cibernética se intensifique entre Occidente y sus competidores globales.

 

 

Referencias:

apnews.com

wsj.com

dailymail.co.uk

 

leer más
Isaul Carballar¿Google Hackeado por Rusia y China?

Atrapan a hacker Ruso buscado por EEUU en Bulgaria

Hacker Ruso acusado de fraude en línea y buscado por los Estados Unidos es arrestado en Bulgaria

Manos de hombre con chaleco rojo sobre teclado de computadora con códigoUn ciudadano ruso acusado de fraude en línea que involucra millones de dólares ha sido arrestado en Varna, Bulgaria, por una orden emitida por los Estados Unidos y está a la espera de un procedimiento de extradición, según un comunicado emitido el jueves por el Tribunal de Distrito de Varna.

Una portavoz del Departamento de Justicia de Estados Unidos se negó a comentar sobre el arresto. “Como una política de larga data, el Departamento de Justicia de los Estados Unidos generalmente no hace comentarios sobre asuntos relacionados con la extradición hasta que el acusado se encuentre en los Estados Unidos. No hay nada público en este momento”, dijo a CNN la portavoz del Departamento de Justicia de los Estados Unidos, Nicole Navas Oxman.

El ciudadano ruso, nombrado por el tribunal como Alexander Zh., De 38 años, con el apellido abreviado, ha sido acusado de fraude electrónico y conspiración para cometer fraude informático que resultó en daños de al menos $ 7 millones.

El acusado y sus cómplices están acusados ​​de engañar a los anunciantes para que realicen pagos por tráfico falso en línea a sus sitios web y anuncios, que fue generado por un software que crearon para parecerse a usuarios reales que navegan por Internet.

Las autoridades estadounidenses los acusan de haber mantenido una red informática con servidores en Dallas, Texas.

Según la orden de arresto emitida por el Tribunal de Distrito de EE. UU. Para el distrito este de Nueva York, los delitos se cometieron entre septiembre de 2014 y diciembre de 2016.

El Tribunal de Distrito de Varna encontró “la medida más apropiada de detención contra el ciudadano ruso como ‘detención provisional’ hasta el inicio del proceso de extradición real”, según una declaración del tribunal.

Las autoridades búlgaras realizaron búsquedas en la casa de Alexander Zh. para recopilar pruebas para el procesamiento en los Estados Unidos, dijo el tribunal.

Si lo encuentran culpable, enfrenta hasta 20 años de prisión en los Estados Unidos, una multa o ambos. Sus acciones también son punibles bajo la ley búlgara, dijo el tribunal.

Alexander Zh. dijo a la corte que él ha estado en Bulgaria durante 8 años y que ha estado viviendo allí permanentemente durante los últimos cuatro. Él tiene una tarjeta de identificación búlgara y su propia casa en Varna.

El consulado general de Rusia en Varna, Vladimir Klimanov, dijo el viernes a la agencia estatal rusa de noticias TASS que las autoridades rusas se enteraron de que su esposa había arrestado a Alexander Zh. “No hemos recibido ninguna información oficial. En estas circunstancias, el Consulado General tomará todas las medidas necesarias”, dijo.

 

Referencia:

Escrito originalmente por Radina Gigova para cnn.com

leer más
Isaul CarballarAtrapan a hacker Ruso buscado por EEUU en Bulgaria

¿La tercera guerra mundial entre Rusia y Occidente?

6 Evidencias indican que Rusia y Occidente pueden estar precipitándose hacia una tercera guerra mundial

Ciberguerra Oriente vs Occidente

Con el reciente anuncio de que el gobierno de los EEUU publicó muestras de herramientas de hackeo aparentemente pertenecientes al gobierno Ruso, parece que estamos aproximándonos cada vez más a una tercera guerra mundial, esta vez entre oriente y occidente.

Robo de datos, hackeos institucionales, espionaje en el ciberespacio y mas, evidencian que Rusia y Occidente están cada vez más cerca de una guerra cibernética. Te contamos todos los detalles a continuación.

A casi 20 años del final de la Guerra Fría, Rusia y Occidente nuevamente se precipitan hacia una nueva guerra que, en el mejor de los casos, podría terminar siendo cibernética. Reunimos algunas evidencias de importantes noticias que han salido a la luz en los últimos días.

Espionaje en Reino Unido y EEUU

Hace unos meses, Reino Unido y EEUU sacaron a la luz un informe en el que acusaban a Rusia de un hackeo a las principales redes de tráfico de internet, que según tenía como objetivo el robo de datos y el espionaje masivo.

Lo más alarmante es que con ese poder de acceso, Rusia podría ocasionar un apagón eléctrico masivo según señaló un funcionario de la Casa Blanca.

El tema del espionaje en cuestión parece un déjà vu de la Guerra Fría, así como la amenaza constante de apagones masivos. Solo que ahora es mucho más posible a través de las redes y Rusia ha demostrado tener la capacidad para lograrlo.

El NCSC está en alerta máxima

El Centro Nacional de Ciberseguridad de Reino Unido, o NCSC, por sus siglas en inglés, notificó que está en alerta máxima ante otra posible movida rusa. “Rusia es nuestro adversario hostil y más capaz en el espacio cibernético, por lo que lidiar con sus ataques es una gran prioridad para el NCSC y nuestros aliados de EEUU”, reza un comunicado emitido por la administración de Ciaran Martin, jefe del NCSC.

La ofensiva es de ambas partes

No se sabe si la injerencia rusa es con intenciones destructivas, ni siquiera Reino Unido y EEUU han podido hacer claramente esa acusación. Pero lo que sí es cierto es que ambos países están haciendo actividades similares dentro de Rusia, posicionándose en redes de ese país para responder o en el peor de los casos atacar.

El GCHQ

Otra evidencia de que las cosas no van bien y de que podríamos estar muy cerca de una guerra cibernética, son las palabras de Jeremy Fleming, el jefe del Cuartel General de Comunicaciones del Gobierno, GCHQ, por sus siglas en inglés, uno de los servicios de inteligencia de Reino Unido, quien se refirió públicamente al uso de la capacidad ofensiva cibernética de su país.

“Durante más de una década, comenzando en el conflicto en Afganistán, el GCHQ ha sido pionero en el desarrollo y uso de técnicas cibernéticas ofensivas. Con esto me refiero a tomar medidas en internet que tengan un impacto directo en el mundo real”, dijo Fleming. “Podemos tratar de cancelar el servicio, interrumpir una actividad en línea específica o incluso destruir equipos y redes”, agregó.

El robo de datos podría tener intenciones de castigo

Las hipótesis afirman que el interés de Rusia por robar datos sería husmear en la información comprometedora de sus opositores para publicarla. De esta manera castigaría y debilitaría los sistemas políticos de occidente, no reparando en la posible guerra cibernética que podría desencadenarse.

La doctrina rusa de la guerra híbrida

Por último, otro punto alarmante que nos hace pensar en una guerra cibernética es que, por su doctrina de guerra híbrida, Rusia considera tan importante los flujos de información como la actividad militar tradicional. Para ellos, todo forma parte del mismo conjunto y estudian tácticas de guerra en ambos espacios.

Estas son algunas de las evidencias alarmantes que nos indican que si alguno de los dos bandos decide intensificar las cosas, podríamos caer de inmediato en una guerra cibernética.

 

Referencia:

agenciafe.com

leer más
Diarleth¿La tercera guerra mundial entre Rusia y Occidente?

EEUU hace públicas herramientas de hacking atribuidas al gobierno Ruso

El Cyber comando de los EEUU está lanzando muestras de malware atribuidas a grupos de hackers Rusos como un esfuerzo para compartir información

Hacker frente a computadora con banderas de EEUU y Rusia atrás

  • Cibercomando de los EEUU hizo públicas muestras de códigos de hackeo (malware)
  • Razón principal es para compartir información de ciberseguridad y posiblemente fines geopolíticos y/o de estrategia militar
  • Herramientas han sido atribuidas a Rusia por diversas empresas de ciberseguridad

Por lo general, son los rusos los que vuelcan los archivos de sus enemigos. Esta semana, el Comando Cibernético de los Estados Unidos (CYBERCOM, por sus siglas en inglés), una parte del ejército encargado de las misiones centradas en hacking y la ciberseguridad, comenzó a lanzar públicamente muestras no clasificadas de malware de los adversarios que ha descubierto.

CYBERCOM dice que la drástica medida es para mejorar el intercambio de información entre la comunidad de seguridad cibernética, pero de alguna manera podría verse como una señal para aquellos que hackean los sistemas de EEUU. Una señal indicando algo así como ‘nosotros también podemos hacer públicas sus herramientas y tácticas de hacking‘.

“Esto pretende ser un esfuerzo perdurable y continuo de intercambio de información, y no está enfocado en ningún adversario en particular”, dijo Joseph R. Holstead, director interino de asuntos públicos de CYBERCOM.

El viernes, CYBERCOM subió varios archivos a VirusTotal, un motor de búsqueda y repositorio de Google para código malware. Una vez arriba, los usuarios de VirusTotal pueden descargar el malware, ver qué productos antivirus o de ciberseguridad probablemente lo detectan, y ver enlaces a otras piezas de código malicioso.

Desde Rusia con amor

Una de las dos muestras que CYBERCOM distribuyó el viernes está marcada como proveniente de APT28, un grupo de hackers vinculado al gobierno ruso, según varias firmas de ciberseguridad, según lo confirmado por VirusTotal. Entre ellos se incluyen Kaspersky Lab, Symantec y Crowdstrike, entre otros. El grupo de cibercriminales APT28 también se le conoce como Sofacy y Fancy Bear.

Adam Meyers, vicepresidente de inteligencia de CrowdStrike, dijo que la muestra parecía nueva, pero las herramientas de la compañía la detectaron como maliciosa en el primer contacto. Kurt Baumgartner, investigador principal de seguridad en Kaspersky Lab, dijo que la muestra “fue conocida por Kaspersky Lab a finales de 2017” y fue la misma que se usó en ataques en Asia Central y el sudeste de Europa en ese momento.

“Al informar sobre ello, los investigadores de Kaspersky Lab señalaron que parecía interesante que estas organizaciones compartieran la superposición como objetivos anteriores de Turla [otro grupo de hacking ruso]. En general, no es “nuevo” sino que está disponible para el público de VirusTotal “.

El malware en sí no parece estar todavía activo. Un portavoz de Symantec dijo que los servidores de comando y control, las computadoras que le dicen al malware qué comandos ejecutar o almacenar datos robados, ya no funcionan. El vocero agregó que Symantec detectó la muestra cuando la compañía actualizó sus herramientas de detección hace un par de meses.

CYBERCOM anunció su nueva iniciativa el lunes y cargó sus dos primeras muestras el mismo día.

 

Referencia:

motherboard.vice.com

leer más
Isaul CarballarEEUU hace públicas herramientas de hacking atribuidas al gobierno Ruso

¿Qué es la ciberseguridad?

Conoce las preguntas y respuestas más frecuentes de ciberseguridad

Candado sobre circuito digitalLa ciberseguridad es un conjunto de mecanismos, métodos, estrategias diseñadas con el único fin de proteger todas las redes y medios de telecomunicación que estén expuestos a manipulación de ataques de cualquier tipo.

Todas las herramientas que se puedan utilizar para proteger programas de software, hardware, sistemas operativos y todo tipo de información que sea vulnerable y susceptible de plagio, copias, robos por ciber delincuentes son utilizadas y aplicadas por grandes y pequeñas empresas, negocios, redes de telecomunicaciones que ven esta protección no como una opción sino como un deber una obligación un compromiso con la misma sociedad.

¿Qué hace un analista en seguridad cibernética?

Los analistas de ciberseguridad ayudan a prevenir ataques a través de su experiencia y conocimiento de bases de datos, redes, hardware, firewalls y cifrado. Mantienen los sistemas informáticos funcionando sin problemas, evitan el robo de información financiera y personal y bloquean el acceso y la divulgación de información confidencial por parte de intrusos.

¿Qué habilidades necesitas para trabajar en seguridad cibernética?

Asegúrate de tener estas habilidades:

  1. Una base sólida en los fundamentos de TI (aplicaciones web, administración de sistemas)
  2. Habilidades de programación (C, C ++. …)
  3. Comprensión de la arquitectura de la información, administración y sistemas operativos.
  4. Certificaciones (CISSP, CEH y Comp TIA Security, por nombrar algunas)
  5. Habilidades blandas (excelente comunicación oral y escrita).

¿Cuánto gana un analista en seguridad cibernética?

Aunque los salarios son muy variables en todo el mundo, en Estados Unidos, los profesionales de seguridad cibernética reportan un salario promedio de US$116,000 anuales o aproximadamente US$55.77 por hora. De acuerdo con la Oficina de Estadísticas Laborales, eso es casi tres veces el ingreso medio nacional para los trabajadores a tiempo completo.

¿Por qué es necesaria la seguridad cibernética?

La ciberseguridad sirve para detectar cambios “inesperados” en servidores y dispositivos de red y garantizar la integridad de tu empresa u organización. La ciberseguridad protege la red, el hardware y el software del acceso no autorizado.

¿Qué es una amenaza en seguridad cibernética?

Una amenaza, en el contexto de la seguridad informática, se refiere a cualquier cosa que pueda causar un daño grave a un sistema informático. Una amenaza es algo que puede o no puede ocurrir, pero tiene el potencial de causar daños graves. Las amenazas pueden provocar ataques a sistemas informáticos, redes y más.

¿Cuáles son los tipos de ataques más comunes en seguridad cibernética?

Los tipos de ataques cibernéticos más comunes son:

  • Ataques de denegación de servicio (DoS).
  • Denegación de servicio distribuida (DDoS).
  • Phishing y ataques de phishing con lanza.
  • Ataque de hombre en el medio (MitM).
  • Ataque de drive-by.
  • Ataque de contraseña.
  • Ataque de inyección SQL.
  • Ataque de secuencias de comandos entre sitios (XSS).
  • Ataque de escuchas.
  • Ataque de cumpleaños.
  • Ataque de malware.

¿Qué puedes hacer para prevenir un virus?

Algunos consejos sobre cómo evitar que el malware infecte tu computadora, manteniendo tu hardware seguro son:

  • Instala software antivirus / malware.
  • Mantén tu software antivirus actualizado.
  • Ejecuta análisis programados regularmente con tu software antivirus.
  • Mantén tu sistema operativo actualizado.
  • Asegura tu red.
  • Piensa antes de hacer clic.

La seguridad comienza contigo

La ciber seguridad es tema de todos y para todos.

Es recomendable ser siempre muy prudentes con el tipo de información que se brinda en las redes sociales, la internet, y contactos desconocidos, nuestros actos influyen al darle espacio y lugar a los hackers malware.

Es lamentable contemplar la triste realidad de muchas empresas a nivel mundial que no consideran la ciber seguridad un tema relevante y exponen sus compañías y organizaciones, al peligroso mundo de los hackers, spyware y malware.

Cerca de un 40 % de la población empresarias y de relaciones de informática, telemática y telecomunicaciones aún no se apropian de este grave riesgo y peligro latente de los ciber ataques y ciber guerras que amenazan con la misma vida e integridad de sus integrantes y funcionarios.

Necesitamos crear una conciencia colectiva empresarial y comunicativa en donde cada integrante cuide y proteja no solo sus redes, sus comunicaciones, sistemas operativos, ordenadores y todo tipo de dispositivo y no se exponga a estos ciber delincuentes.

 

Referencias:

pluralsight.com

cio.com

phys.org

floridatechonline.com

netwrix.com

leer más
Isaul Carballar¿Qué es la ciberseguridad?

Chile: Banco Consorcio nueva víctima de ciberataque al sistema financiero

Banco reconoce haber sido víctima de hackeo que le costó casi 2 millones de dólares

Edificio corporativo del Banco Consorcio en Santiago, Chile

  • Banco Consorcio de Chile fue víctima de un hackeo esta semana
  • El costo del ataque asciende a casi 2 millones de dólares
  • No hay afectaciones en cuentas de clientes del banco

El banco chileno Consorcio dijo ayer que ha perdido casi 2 millones de dólares en un ciberataque a principios de esta semana.

En un comunicado publicado en Twitter, el banco dijo que los delincuentes habían manipulado sus transferencias internacionales el martes, creando cargos falsos en una cuenta mantenida por Consorcio en un banco corresponsal en el extranjero.

El banco dijo que su pérdida estaba asegurada y que los datos del cliente y los sistemas operativos no se vieron afectados por el ataque.

La Superintendencia de Bancos e Instituciones Financieras (SBIF) decidió colocar al sistema bancario completo “en contingencia”, a fin de asegurarse que el incidente se haya mantenido contenido en la institución afectada.

La distribución de troyanos bancarios más importante del mundo

Emotet es un programa bancario de malware de troyanos que obtiene información financiera al inyectar un código de computadora en las redes de una computadora infectada, lo que permite el robo de datos confidenciales a través de la transmisión.

Como muchos otros ataques phishing, el ataque radica en hacer creer a la víctima que el documento o correo es un documento oficial.

Correo apócrifo con virus EmotetEn el caso del Banco Consorcio, los hackers aparentemente fueron capaces de violar los sistemas de seguridad del banco mediante la conocida táctica de phishing. Donde un aparentemente inocente documento de Word contenía un código que fue capaz de desatar un virus troyano de la familia Emotet.

Se tienen identificadas muchas variantes parecidas a Emotet, incluyendo: Adwind, Pony, TrickBot y otros. Aunque su modus operandi varía un poco.

Algunos se especializan en rastreo, otros en minería de criptomonedas, conexiones a redes de bots, etc. Sin embargo, todos esos virus son muy dañinos y representan una amenaza directa a la privacidad y navegación web.

En el caso de Emotet, una particular amenaza para el sector financiero.

Un sector en ciber riesgo

A principios de este año, el sector bancario chileno sufrió importantes ataques. Dichos ataques involucraron al Banco de Chile, uno de los cuatro bancos más grandes del país, así como a varias filtraciones significativas de datos de tarjetas de crédito.

Los ataques cibernéticos de este año en sistemas financieros relativamente sofisticados, como los de Chile y México, han demostrado ser una “llamada de atención” para la industria latinoamericana, según los expertos.

Según el informe reciente de la Organización de Estados Americanos, al menos el 37% de todos los bancos en América Latina y el Caribe fueron atacados con éxito el año pasado. El informe muestra que el costo para los bancos en términos de recuperación y respuesta a incidentes de seguridad digital alcanzó los 809 millones de dólares.

Banco Consorcio es un banco más pequeño que forma parte de uno de los grupos de seguros y servicios financieros más grandes de Chile, el Consorcio Financiero.

leer más
Isaul CarballarChile: Banco Consorcio nueva víctima de ciberataque al sistema financiero

Detectan nueva vulnerabilidad en sitios de comercio electrónico

Nueva vulnerabilidad en el plugin WooCommerce permite que vándalos tomen control total de tu tienda web

Ciberseguridad para comercio electrónico en WordPress

  • Nueva vulnerabilidad en plugin WooCommerce permite control total de tienda en línea
  • Requiere acceso de administrador de tienda para borrar archivos
  • Atacantes podrían ser empleados insatisfechos o inconformes

Una vulnerabilidad en la plataforma de tiendas en línea WooCommerce, utilizada por más de cuatro millones de sitios web, puede ser explotada para secuestrar las instalaciones de WordPress que usen el popular plugin.

Los investigadores de RIPSTech descubrieron e informaron la falla directamente a los desarrolladores de WooCommerce, quienes solucionaron el error en la versión 3.4.6, así que asegúrate de estar ejecutando ésta.

Si se explota, el error les permite a los usuarios con una cuenta de administrador de tienda en WooCommerce la capacidad de eliminar archivos en el servidor, y posiblemente hacerse cargo de las cuentas de administrador. Eso significa que los empleados deshonestos, o alguien con acceso a sus cuentas, podrían vandalizar o alterar el sitio web del host, y así sucesivamente.

 

Riesgo basado en roles

“La forma en que WordPress maneja los privilegios es mediante la asignación de ciertas capacidades a diferentes roles”, explicó el investigador de RIPSTech Simon Scannell

“Cuando se define el rol de administrador de la tienda, se le asigna la capacidad de ‘editar usuarios’ para que puedan editar cuentas de clientes de la tienda. Esto sucede durante el proceso de instalación del plugin”.

Luego, el plugin o complemento intentará limitar estos administradores de tiendas para que solo puedan alterar las cuentas de los clientes y no editar las cuentas de administrador.

Sin embargo, los investigadores descubrieron que había una falla en el diseño: el rol de administrador de la tienda con su capacidad de ‘editar usuarios’ se define directamente en WordPress, mientras que los controles de acceso que limitan a los administradores son administrados por WooCommerce.

Esto significa que si una cuenta de administrador de la tienda puede cerrar el complemento WooCommerce, el usuario tendrá capacidad de edición completa en todas las cuentas de WordPress.

leer más
Isaul CarballarDetectan nueva vulnerabilidad en sitios de comercio electrónico

La siguiente fase de la ciberseguridad: la ciberdisuasión

Expertos en el campo de la ciberseguridad se preguntan si la disuasión cibernética podría ayudar a la ciberseguridad

Defensor digital

  • Ciber disuasión se centra en incrementar los factores para provocar que los atacantes piensen dos veces antes de atacar
  • Complejidad de la ciber disuasión radica en la naturaleza anónima y accesible de los medios digitales
  • Solución incluye definir normas internacionales para el ciberespacio

Los ciberataques representan muchas amenazas para una amplia gama de objetivos. Rusia, por ejemplo, fue acusada de hackear computadoras del Partido Demócrata de los EEUU, interfiriendo con las elecciones presidenciales de Estados Unidos en 2016. Luego estaba el atacante desconocido que, en un solo día de octubre del mismo año, usó miles de dispositivos conectados a internet, como grabadoras de video digitales y cámaras comprometidas con el malware Mirai, para tirar varios sitios web de alto perfil, incluido Twitter.

Entre 2005 y 2015, las agencias federales informaron un aumento del 1.300 por ciento en los incidentes de ciberseguridad. Claramente, se necesitan mejores formas de abordar esta amplia categoría de amenazas. Algunos en el campo de la ciberseguridad se preguntan si la disuasión cibernética podría ayudar.

La disuasión se centra en hacer que los adversarios potenciales piensen dos veces antes de atacar, obligándolos a considerar los costos de hacerlo, así como las consecuencias que podría tener un contraataque. Hay dos principios fundamentales de disuasión. La primera, la negación, implica convencer a los posibles atacantes de que no tendrán éxito, al menos sin un enorme esfuerzo y costo más allá de lo que están dispuestos a invertir. El segundo es el castigo: asegurarse de que los adversarios sepan que habrá una respuesta fuerte que podría infligir más daño del que están dispuestos a soportar.

Durante décadas, la disuasión ha contrarrestado efectivamente la amenaza de las armas nucleares. ¿Se podría lograr resultados similares contra las armas cibernéticas?

¿Por qué la disuasión cibernética es difícil?

La disuasión nuclear funciona porque pocos países tienen armas nucleares o los importantes recursos necesarios para invertir en ellas. Aquellos que los tienen reconocen que lanzar un primer ataque arriesga una respuesta nuclear devastadora. Además, la comunidad internacional ha establecido instituciones, como el Organismo Internacional de Energía Atómica, y acuerdos, como el Tratado sobre la No Proliferación de Armas Nucleares, para contrarrestar la amenaza catastrófica que representan las armas nucleares.

Las armas cibernéticas no se parecen en nada a las nucleares. Son fácilmente desarrolladas y desplegadas por individuos y grupos pequeños, así como también por estados. Se replican y distribuyen fácilmente a través de las redes, lo que hace imposible la esperanza de cualquier cosa que pueda llamarse “no proliferación cibernética”. Las armas cibernéticas a menudo se despliegan bajo un manto de anonimato, lo que dificulta descubrir quién es realmente responsable. Y los ataques cibernéticos pueden lograr una amplia gama de efectos, la mayoría de los cuales son disruptivos y costosos, pero no catastróficos.

Esto no significa que la disuasión cibernética esté condenada al fracaso. La magnitud de los ataques cibernéticos exige que se haga una mejor defensa contra ellos.

Hay tres cosas que se pueden hacer para mejorar la disuasión cibernética: 1) mejorar la ciberseguridad, 2) emplear defensas activas y 3) establecer normas internacionales para el ciberespacio. Las dos primeras de estas medidas mejorarán significativamente las defensas cibernéticas, de modo que incluso si un ataque no es disuadido, no tendrá éxito.

1. Mejorar la ciberseguridad

La ciberseguridad ayuda a la disuasión principalmente a través del principio de negación. Detiene los ataques antes de que puedan lograr sus objetivos. Esto incluye reforzar la seguridad de inicio de sesión, cifrado de datos y comunicaciones, combatir virus y otros programas maliciosos, y mantener el software actualizado para corregir las debilidades cuando se encuentren.

Pero aún más importante es el desarrollo de productos que tengan pocas o ninguna vulnerabilidad de seguridad cuando se envíen e instalen. La botnet Mirai, capaz de generar inundaciones de datos masivas que sobrecargan los servidores de Internet, toma el control de los dispositivos que tienen vacíos de seguridad, incluidas las contraseñas predeterminadas codificadas en el firmware que los usuarios no pueden cambiar. Mientras que algunas compañías como Microsoft invierten mucho en seguridad de productos, otras, incluyendo muchos proveedores de Internet de las cosas, no lo hacen.

El gurú de la ciberseguridad Bruce Schneier caracteriza acertadamente la prevalencia de dispositivos inseguros de Internet de las cosas como una falla del mercado similar a la contaminación. En pocas palabras, el mercado favorece los dispositivos inseguros baratos sobre los que son más costosos pero más seguros. ¿La solución? Regulación, ya sea imponiendo estándares básicos de seguridad a los fabricantes, o haciéndolos responsables cuando sus productos son utilizados en ataques.

2. Emplear defensas activas

Cuando se trata de tomar medidas contra los atacantes, hay muchas formas de monitorear, identificar y contrarrestar los ataques cibernéticos del adversario. Estas defensas cibernéticas activas son similares a los sistemas de defensa aérea que monitorean el cielo en busca de aviones hostiles y derriban misiles entrantes. Los monitores de red que vigilan y bloquean (“derriban”) paquetes hostiles son un ejemplo, al igual que los honeypots que atraen o desvían paquetes adversos a áreas seguras. Allí, no dañan la red objetivo, e incluso pueden estudiarse para revelar las técnicas de los atacantes.

Otro conjunto de defensas activas implica recopilar, analizar y compartir información sobre posibles amenazas para que los operadores de redes puedan responder a los últimos desarrollos. Por ejemplo, los operadores pueden escanear regularmente sus sistemas en busca de dispositivos vulnerables o comprometidos por la botnet Mirai u otro malware. Si encontraran algunos, podrían desconectar los dispositivos de la red y alertar a los propietarios de los dispositivos del peligro.

La defensa cibernética activa hace más que negar oportunidades a los atacantes. A menudo puede desenmascarar a las personas detrás de ellos, lo que lleva al castigo. Los atacantes no gubernamentales pueden ser clausurados, arrestados y procesados; Los países que realizan o apoyan la guerra cibernética pueden ser sancionados por la comunidad internacional.

Actualmente, sin embargo, el sector privado es reacio a emplear muchas defensas activas debido a las incertidumbres legales. El Centro para la Seguridad Cibernética y Nacional de la Universidad George Washington recomienda varias acciones (PDF) que el gobierno y el sector privado podrían tomar para permitir un uso más generalizado de las defensas activas, incluida la aclaración de las regulaciones.

3. Establecer normas internacionales para el ciberespacio

Finalmente, las normas internacionales para el ciberespacio pueden ayudar a disuadir si los gobiernos nacionales creen que serían nombrados y avergonzados dentro de la comunidad internacional por llevar a cabo un ataque cibernético. Los Estados Unidos presentaron cargos en 2014 contra cinco hackers militares chinos por atacar a compañías estadounidenses. Un año después, los EEUU y China acordaron no robar y explotar los secretos corporativos de cada uno para obtener una ventaja comercial. A raíz de esos eventos, el espionaje cibernético de China se desplomó.

También en 2015, un grupo de expertos de la U.N. recomendó prohibir los ataques cibernéticos contra infraestructuras críticas, incluidos los equipos de respuesta a emergencias informáticas de un país. Y ese mismo año, el G20 emitió una declaración en la que se oponía al robo de propiedad intelectual en beneficio de las entidades comerciales. Estas normas podrían disuadir a los gobiernos de realizar tales ataques.

El ciberespacio nunca será inmune al ataque, no más que nuestras calles serán inmunes al crimen. Pero con una ciberseguridad más fuerte, un mayor uso de las defensas cibernéticas activas y las normas cibernéticas internacionales, podemos esperar, al menos, controlar el problema.

 

 

Referencias:

theconversation.com

partidopirata.cl

leer más
Isaul CarballarLa siguiente fase de la ciberseguridad: la ciberdisuasión