Existe una nueva modalidad que puede hacernos temblar
si se usa para actos delictivos. Se trata de la ingeniería inversa. En el siguiente post te diremos cómo a
través de esta ingeniería inversa se puede crear un alto grado de
vulnerabilidad en las aplicaciones móviles financieras.
Vulnerabilidad en
las aplicaciones móviles financieras
Un pirata informático invirtió 30 aplicaciones financieras móviles y encontró datos confidenciales ocultos en el código subyacente de casi todas las aplicaciones examinadas. Con esta información, un pirata informático podría, por ejemplo, recuperar las claves de la interfaz de programación de aplicaciones (API), usarlas para atacar a los servidores backend del proveedor y comprender los datos del usuario.
Las aplicaciones en cuestión fueron todas de Android y
se seleccionaron en ocho sectores, incluyendo banca minorista, atención médica
y seguros de automóviles. Arxan Technologies, la compañía detrás del
experimento, realizó esta investigación a la que denominó In Plain Sight: La epidemia de vulnerabilidad en las aplicaciones
móviles financieras. Y esto dijeron sobre el caso.
«Muchos de los hallazgos fueron impactantes por
lo menos, Incluso descubrí que algunas instituciones financieras codificaban de
forma segura las claves privadas, las claves API y los certificados privados,
todo en el código real o almacenándolos en los subdirectorios de la
aplicación». Dijo Alissa Knight, analista sénior de ciberseguridad de Aite
Group, quien realizó la investigación. En otros casos, Knight también comentó que
encontró las URL que usan las aplicaciones para comunicarse, con lo que
permitiría a un adversario dirigirse también a las API de los servidores
backend.
La falta de protecciones binarias, le permitió
encontrar once debilidades únicas, entre ellas; almacenamiento de datos
inseguros, fuga de datos involuntaria, cifrado débil, confianza implícita de
todos los certificados, archivos y directorios legibles, exposición de claves
privadas, exposición de parámetros de bases de datos entre otros.
Como solución Knight recomienda acciones como la
adopción del blindaje de la aplicación, la detección de manipulación indebida,
el cifrado de datos en reposo y la protección de claves a través del cifrado de
caja blanca.
«Los desarrolladores de aplicaciones necesitan
algún tipo de capacidad de detección y respuesta, para que puedan comprender
qué está sucediendo exactamente con esa aplicación y controlarla antes de que
se convierta en una brecha», dijo Knight.
Los hackers abusaron de un portal de atención al cliente de Microsoft que les permitiría leer los correos electrónicos de cualquier cuenta no corporativa.
Microsoft confirmó a TechCrunch que un cierto número «limitado» de personas que usan servicios de correo electrónico web administrados por Microsoft, que cubren servicios como @msn.com y @hotmail.com, tenían sus cuentas comprometidas.
El sábado, Microsoft confirmó a TechCrunch que algunos usuarios del servicio de correo electrónico de la compañía habían sido atacados por hackers. Un hacker o hackers entraron por primera vez en una cuenta de atención al cliente de Microsoft y luego la usaron para obtener acceso a la información relacionada con las cuentas de correo electrónico de los clientes, como las líneas de asunto de sus correos electrónicos y con quién se han comunicado.
Pero el problema es mucho peor de lo que se informó anteriormente, ya que los hackers pudieron acceder al contenido del correo electrónico desde una gran cantidad de cuentas de correo electrónico de Outlook, MSN y Hotmail, según una fuente que presenció el ataque en acción y lo describió antes de la declaración de Microsoft, como así como capturas de pantalla proporcionadas en su comunicado. Microsoft confirmó a MotherBoard que los hackers obtuvieron acceso al contenido de los correos electrónicos de algunos clientes.
En marzo, antes de que Microsoft confirmara públicamente el hackeo, la fuente dijo que este abuso de un portal de atención al cliente permitía a los hackers acceder a cualquier cuenta de correo electrónico siempre y cuando no fuera una cuenta de nivel corporativo. Esto significa que, mientras que las cuentas empresariales pagadas por las que las empresas pagan no se vieron afectadas, las cuentas normales de los consumidores fueron afectadas. La fuente describió el ataque, incluso cómo se basó en el abuso de la herramienta de soporte al cliente de Microsoft. El domingo, la fuente reiteró esos detalles y brindó más información y capturas de pantalla de qué tipo de acceso tenían los hackers.
«Hemos identificado que las credenciales de un agente de soporte de Microsoft se vieron comprometidas, lo que permite a las personas fuera de Microsoft acceder a la información dentro de su cuenta de correo electrónico de Microsoft«, dice un correo electrónico de Microsoft a una víctima, y publicado en Reddit el sábado.
El correo electrónico agrega que los hackers podrían haber accedido a los nombres de las carpetas de correo electrónico, las líneas de asunto de los correos electrónicos y los nombres de otras direcciones de correo electrónico con las que el usuario se comunicó. Algunas de las capturas de pantalla proporcionadas relacionadas con el ataque muestran un panel con una lista de información de una cuenta a la que el hacker podría acceder, incluido el calendario y la fecha de nacimiento del cliente. La parte superior del panel tiene diferentes secciones como «Perfil», «Estadísticas de la carpeta del buzón», «Centro de administración» y «Historial de inicio de sesión».
«Abordamos este esquema, que afectó a un subconjunto limitado de cuentas de consumidores, al desactivar las credenciales comprometidas y al bloquear el acceso de los perpetradores«, dijo un portavoz de Microsoft en un comunicado.
NEW YORK, NY – MAY 2: The Microsoft logo is illuminated on a wall during a Microsoft launch event to introduce the new Microsoft Surface laptop and Windows 10 S operating system, May 2, 2017 in New York City. The Windows 10 S operating system is geared toward the education market and is Microsoft’s answer to Google’s Chrome OS. (Photo by Drew Angerer/Getty Images)
Microsoft, como muchos otros gigantes tecnológicos, tiene la capacidad de escanear o leer los mensajes de los usuarios. En 2014, Microsoft examinó la cuenta de correo electrónico de un bloguero francés para identificar al leaker de Windows 8.
En su correo electrónico de notificación de incumplimiento, Microsoft dijo que deshabilitó inmediatamente la cuenta de soporte al cliente comprometida una vez que la compañía descubrió el problema. La fuente dijo que Microsoft notó el ataque a fines de marzo y que los hackers tuvieron acceso durante al menos seis meses. Microsoft negó esto e identificó un plazo entre el 1 de enero y el 28 de marzo.
La fuente dijo que este acceso se había utilizado como parte de los llamados desbloqueos de iCloud, donde los hackers pondrán en peligro el correo electrónico o la cuenta de iCloud de un objetivo para eliminar el bloqueo de activación de su iPhone. Esta es una característica de seguridad de Apple que evita que los ladrones reinicien los dispositivos robados y los vendan.
A medida que la tecnología crece los grupos de ciberdelincuentes también lo hacen y a un ritmo muy acelerado. Cada vez resulta más difícil enfrentarse a ellos ya que con el tiempo logran penetrar los sistemas de defensas más poderosos ofrecidos por las distintas empresas de ciberseguridad. Es un hecho de que se trata de una amenaza real y ahora se sienten listos para ir por más. Los grupos de hackers más avanzados están en la búsqueda de ataques más ambiciosos lo que hace que muchas grandes empresas muevan sus piezas para saber cómo protegerse.
Hackers más
preparados y desafiantes
Aunque no lo crean los grupos de piratería más
avanzados se están volviendo más audaces no solo con el paso del tiempo sino
con la realización de campañas. Y hoy día la cantidad de organizaciones a las
que apuntan las campañas más grandes aumenta en casi un tercio.
Una combinación de nuevos grupos emergentes dedicados
a la piratería que desarrollan estrategias exitosas para dividirse en redes, ha
hecho que la cantidad promedio de organizaciones a las que apuntan los grupos
de piratería más activos aumente de 42 entre el año 2015 y el año 2017 a un
promedio de 55 en el año 2018.
Las cifras detalladas en el Informe anual sobre amenazas a la seguridad en Internet de Symantec sugieren que los 20 grupos de piratería más prolíficos se dirigen a más organizaciones a medida que los atacantes adquieren más confianza en sus actividades. Grupos como Chafer, DragonFly, Gallmake entre otros están llevando a cabo campañas de piratería altamente específicas mientras buscan reunir información de inteligencia contra empresas de las cuales se cree que contienen información valiosa.
En el pasado, los hackers solo se enfocaban en el
acceso a las redes corporativas, un delito en el que siguen incurriendo sin
embargo ahora son los correos electrónicos de phishing con contenido malicioso
que tienen más probabilidades de proporcionar a los atacantes la entrada
inicial que necesitan. Y debido a que estos grupos de espionaje son tan
competentes en lo que hacen, tienen medios probados para realizar actividades
una vez que están dentro de una red.
Esto fue lo que dijo Orla Cox, quien ejerce como
directora de la unidad de respuesta de seguridad de Symantec:
«Estos Hackers han evolucionado de tal manera que imitan los mismos pasos que realizan los sistemas de seguridad dentro de las empresas al momento de conectarse a una red. Estos movimientos tan audaces les permiten conseguir lo que quieren. Simplemente se han hecho más eficientes y esto los hace más difíciles de detectar porque gran parte de la actividad se parece a la actividad empresarial tradicional».
Orla Cox, Symantec
En muchos de los casos que se detallan en el informe se explica que los atacantes están implementando lo que Symantec denomina tácticas especiales donde usan herramientas empresariales diarias para ayudarlos a viajar a través de redes corporativas y robar datos, lo que hace que las campañas sean más difícil de descubrir.
Los hackers causan miles de dolores de cabeza al año
al igual que cientos de millones de dólares en pérdidas gracias a sus acciones
delictivas. Aunque las empresas de seguridad informática se esfuerzan para
crear softwares fuertes para evitar intromisiones ilegales a los sistemas, los
hackers terminan encontrando siempre el modo de penetrar y hacer mucho daño.
Recientemente 6TB de datos fueron plagiados de la red
interna de Citrix. Pero lo que más sorprende a los investigadores a cargo del
caso es que se ha descubierto que quienes que realizaron este trabajo son
hackers extranjeros.
6TB de datos
fueron plagiados de la red interna de Citrix
La empresa Citrix System es una gran cooperación
encargada de suministrar tecnología de punta en virtualización de servidores,
así como proveer conexiones de red y servicios informáticos en la nube. Entre
estos servicios se encuentran productos de código abierto que fomenta el
aprendizaje y el desarrollo de software avanzado por parte de diferentes
desarrolladores.
Su cede central se encuentra en la ciudad de la
Florida, Estados Unidos, así como sucursales en otros lugares del país como
Massachusetts y Californias. Al mismo tiempo, a nivel internacional cuenta con
sedes en la India, Reino Unido y Australia. Sin duda, es una empresa
multimillonaria muy importante y esto la hace estar en la mira de los
delincuentes informáticos.
Hace unos días, con exactitud el 6 de marzo de 2019,
el FBI se contactó con Citrix para informarles que tenían motivos suficientes
para sospechar que un grupo de hackers internacionales tenían acceso a la red
interna de Citrix. Citrix, al recibir esta noticia, se movilizó rápidamente
para tomar medidas para contener este incidente. Asimismo abrió una
investigación forense; contratando una empresa líder de seguridad cibernética
para que los respaldara y tomó medidas para asegurar su red interna al mismo
tiempo que siguió cooperando con el FBI.
Las palabras de Citrix Systems fueron:
“Estamos cooperando con la Oficina Federal de Investigaciones para investigar una violación importante de datos por parte de ciberdelincuentes internacionales en la red interna de nuestra compañía”.
Hasta el momento lo que se conoce es que los piratas
informáticos pudieron no solo haber accedido sino también descargado documentos
comerciales, aunque aún no se conoce la magnitud del robo.
En el mismo comunicado de Citrix se puede leer:
«En las investigaciones de incidentes cibernéticos, los detalles son importantes y estamos comprometidos a comunicar de manera apropiada cuando tenemos lo que creemos que es información creíble y procesable».
Pero este problema viene de más tiempo atrás. Resecurity,
un proveedor de soluciones de ciberseguridad e inteligencia, alertó al FBI en
diciembre de la violación de datos en Citrix. Según Resecurity, un grupo
vinculado a Irán conocido como IRIDIUM es el responsable. Se cree que el grupo
afectó a más de 200 agencias gubernamentales, compañías de petróleo y gas y empresas
de tecnología, siendo Citrix una de ellas.
En la declaración de Resecurity podemos encontrar lo
siguiente:
«Basados en nuestro análisis reciente, los hackers aprovecharon una combinación de herramientas, técnicas y procedimientos (TTP por sus siglas en inglés) que les permitió llevar a cabo intrusiones en la red para acceder al menos a 6 terabytes de datos confidenciales almacenados en la red empresarial de Citrix, donde se incluyen las cuentas de los correo electrónico, recursos compartidos de red y otros servicios utilizados para la gestión de proyectos y adquisiciones»
Citrix de alguna manera refuta la extensión total del daño según lo informado por Resecurity, diciendo que hasta el momento no han encontrado indicios de que la seguridad de ningún producto o servicio de Citrix haya sido comprometido.
¿Porqué es importante este incidente?
En su blog, Resecurity reportó el incidente se ha identificado como parte de una campaña sofisticada de ciberespionaje apoyada por un estado-nación debido a los fuertes ataques contra el gobierno, el complejo militar-industrial, las compañías de energía, las instituciones financieras y las grandes empresas involucradas en áreas críticas de la economía.
Actualmente, la información detallada no está disponible, pero, por supuesto, el incidente podría ser bastante grave: Citrix proporciona credenciales y acceso a redes privadas virtuales a 400,000 compañías y otras organizaciones en todo el mundo y al 98% de Fortune 500. Entre sus principales productos se encuentra GoToMyPC, un software similar a Bomgar, LogMeIn, y VMware Workstation que permite acceso remoto para poderse comunicar con los trabajadores remotos para proporcionar soporte informático, actualizaciones, etc.
Tras el intento de robo de $ 110 millones del banco comercial mexicano Bancomext que fracasó, una serie de ataques más pequeños pero aún más elaborados permitió a los hackers robar entre 300 y 400 millones de pesos, o aproximadamente entre $ 15 y $ 20 millones de dólares de bancos mexicanos. A menos de 24 horas de la caída del Sistema de Pagos Electrónicos Interbancarios de México, te explicamos el famoso robo de 2018.
Cómo los hackers robaron $300-$400 millones de pesos a bancos mexicanos
En la conferencia de seguridad RSA celebrada en San Francisco, el evaluador de penetración y asesor de seguridad Josu Loza, quien estuvo a cargo de la investigación del robo del pasado abril, dio detalles sobre cómo operaron los hackers para robar la suma de dinero que asciende a US$20 millones, tomados de los bancos mexicanos.
Presentación de Josu Loza:
A estas alturas aún no se ha podido esclarecer la afiliación de los hackers. Loza señala que si bien es un ataque que requirió meses o años de planificación, fueron habilitados una arquitectura de red poco segura dentro del sistema financiero mexicano y la supervisión de seguridad en SPEI, la plataforma nacional de transferencia de dinero de México dirigida por el banco central Banco de México (Banxico).
Agujeros en los sistemas de seguridad
Los hackers no necesitaron sistemas demasiado sofisticados para robar a los bancos mexicanos. Pudieron acceder desde la internet pública o lanzar ataques de phishing para comprometer a los ejecutivos, o incluso a los empleados regulares, para obtener un punto de apoyo para sus ataques.
Muchas de estas redes no tienen un control de acceso sólido. Por eso, muchos atacantes pudieron sacar provecho de las credenciales de los empleados comprometidos. Y dado que las redes tampoco estaban bien segmentadas, es probable que los atacantes se valieran del acceso inicial para profundizar en las conexiones de los bancos a SPEI y, eventualmente, a los servidores de transacciones del sistema SPEI (equivalente al SWIFT), o incluso a su base de código subyacente.
Tampoco había una protección de datos de transacciones dentro de las redes bancarias internas sólida. Así que los atacantes podían rastrear y manipular esos datos. Loza también sugiere que la aplicación SPEI en sí tenía errores y carecía de controles de validación adecuados, así que el sistema no detectó las transacciones falsas.
Todos estos factores en conjunto, le dieron la delantera a los atacantes y una vez que estuvieron dentro de la red, se movieron rápidamente.
¿Cómo lo hicieron?
Los hackers explotarían fallas en los procesos de SPEI para validar las cuentas del remitente para iniciar una transferencia de dinero de una fuente inexistente como «Juan Pérez, Número de cuenta: 12345678». Luego, dirigirían los fondos fantasmas a una cuenta real, pero con un seudónimo de control y envío. Es decir, allí entraría en juego una llamada «mula de efectivo», para retirar el dinero antes de que el banco se diera cuenta de lo que había sucedido.
Las transacciones eran relativamente pequeñas, y dado que «SPEI envía y recibe millones y millones de pesos diariamente, esto habría sido un porcentaje muy pequeño de esa operación», dice Loza. Es probable, que el grupo de atacantes contara con cientos de mulas de efectivo.
Mexican Pesos, bank notes, currency bills, money background
La Amenaza Fantasma
Banxico dijo en un comunicado publicado a fines de agosto que los ataques no eran un ataque directo a los sistemas centrales de Banxico, sino que estaban dirigidos a interconexiones que ya sea estaban pasadas por alto, o que en general eran débiles.
«El enfoque de los atacantes requería un profundo conocimiento de la infraestructura tecnológica y los procesos de las instituciones victimizadas, así como el acceso a ellas«. escribió Banxico. «El ataque no tenía la intención de hacer que el SPEI fuera inoperable o penetrar las defensas del Banco Central«.
El experto en seguridad mencionó además la serie de ataques cibernéticos que han impactado al sistema financiero Mexicano los últimos años.
Ciberataques recientes al sistema financiero Mexicano.
«Los mexicanos necesitan comenzar a trabajar juntos. Todas las instituciones necesitan cooperar más. El principal problema de la ciberseguridad es que no compartimos el conocimiento y la información ni hablamos sobre los ataques lo suficiente. La gente no quiere hacer públicos los detalles de los incidentes»
Sistemas de armas autónomas, virus mortales, guerra cibernética: muchos países están desarrollando dichos sistemas. Pero, ¿es posible un control tecnológico sobre ellos?
Inmediatamente después de que el Boeing 737 MAX 8 de Lion Air despegó de Yakarta a primera hora de la mañana del 29 de octubre de 2018 a las 5:45 a.m. hora local, los problemas en la cabina se hicieron evidentes.
Los datos muestran que el piloto intentó levantar la nariz del avión 26 veces, pero una y otra vez fue empujado hacia abajo. También hubo patrones conspicuos de las velocidades cambiantes del avión.
Los datos de la caja negra recuperada de dicho vuelo ofrecen una imagen angustiosa de la tragedia de 11 minutos, que terminó abruptamente cuando el avión se estrelló contra el mar a unos 450 kilómetros por hora y mató a las 189 personas a bordo.
A medida que la historia sobre el trágico accidente del Boeing 737 Max 8 del domingo en Etiopía continúa desarrollándose. Las similitudes entre los dos choques siguen creciendo. Según un análisis inicial, existen claras similitudes entre los datos del registrador de vuelo del vuelo de Lion Air y el avión de Ethiopian Airlines que se estrelló el 10 de marzo de 2019.
Nunca sabremos, y no podemos empezar a imaginar, el conflicto entre humanos y máquinas que tuvo lugar a bordo de ambos vuelos.
Esto ha provocado cierta discusión sobre si el sabotaje pudo haber estado detrás del accidente del avión, o si se debió a dificultades técnicas con el sistema antibloqueo del avión.
El informe sugiere que un sensor defectuoso ha transmitido información defectuosa al sistema de control automatizado. Pero, lo que es más importante, este sistema puede ser apagado por el piloto. Entonces, ¿por qué no lo fue?
Los pilotos de Lion-Air, posiblemente abrumados por la gravedad de la situación, no parecen haberlo sabido ni comprendido, según el informe.
La información de la caja negra se ha restaurado con éxito y se espera que se revele más información en los próximos días, confirmó un portavoz del Ministerio de Transporte de Etiopía.
Los dos choques han planteado preguntas sobre la seguridad de los aviones Boeing, que son utilizados por las aerolíneas de todo el mundo.
En total, unos 300 aviones en operación han quedado varados globalmente. Además, hay más de 4,000 aviones 737 Max en pedido que aún no se han entregado, y según Bloomberg, los choques han puesto en riesgo los pedidos por un valor de US$600 mil millones que no se han completado.
Detalles del hackeo de Boeing de 2010
Parece extraño que Boeing tenga estos problemas con los 737 Max 8 aviones unos años después de que los chinos los piratearon y al mismo tiempo que los chinos han comenzado a vender un avión competidor. ¿Podría haber una conexión aquí?
Tres ciudadanos chinos que intentaban ganar «mucho dinero» irrumpieron en las computadoras de Boeing y otros contratistas militares, que robaron secretos comerciales en aviones de transporte, declararon una denuncia penal publicada el 27 de julio de 2014.
En esta se describe en detalle cómo los presuntos conspiradores estuvieron observando pacientemente a Boeing y su red de computadoras por un año, y luego violaron los sistemas del contratista para robar propiedad intelectual en el transporte militar C-17. También arrojaba luz sobre la naturaleza de la libre empresa del ciber-espionaje, ya que los co-conspiradores supuestamente intercambiaron correos electrónicos sobre las ganancias de su empresa.
Su Bin, un ciudadano chino de unos 40 años, fue acusado en el Tribunal de Distrito de los EEUU por el Distrito Central de California por cargos de acceso no autorizado a computadoras, y conspiración para cometer robos de secretos comerciales y ayuda e instigación.
Su supuestamente trabajó con dos co-conspiradores no identificados y no indicados entre 2009 y 2013 para obtener documentos relacionados con aviones como el C-17, un avión de carga y los aviones de combate F-22 y F-35, según la acusación.
Los ataques iniciales contra Boeing ocurrieron entre el 14 de enero y el 20 de marzo de 2010, y durante parte de ese tiempo Su estuvo en los Estados Unidos, dice el agente especial del FBI Noel Neeman en la denuncia.
Los EEUU y China tienen una larga historia sobre las acusaciones de piratería informática, cada una de las cuales acusa al otro de las intrusiones y los ataques cibernéticos aprobados por el gobierno. Los Estados Unidos han sostenido durante mucho tiempo que la piratería china se realiza para obtener una ventaja económica, mientras que se dice que sus intrusiones se realizan para recopilar información de seguridad nacional.
Mientras que la mayor parte de esto puede pertenecer al reino especulativo. no podemos pasar de largo las similitudes en los tres casos, si consideramos el vuelo de Malasia Airlines desaparecido en 2014.
Es útil tener en cuenta todos los aspectos del nuevo dominio cibernético, desde los errores generados por el hombre hasta las tecnologías de inteligencia artificial, e incluso los esfuerzos patrocinados por el estado, así como los grupos de terror cibernético. En el nuevo mundo de las interacciones hombre-máquina, todo es posible.
Una oportunidad comercial para China
Comac C919 de fabricación China
El accidente de Ethiopian Airlines puede haberle proporcionado una oportunidad a los aviones hechos en China. El avión de pasajeros Comac C919 de propiedad estatal compite con el 737 Max 8 y el Airbus 320.
A las pocas horas del accidente de Ethiopian Airlines, China puso a tierra el Max 8, liderando una ola mundial de suspensiones que se dice que le costará a Boeing entre $ 1 billón y $ 5 billones de dólares estadounidenses.
La declaración de Boeing no dijo qué significaría la pausa en sus planes de producción actuales, pero es probable que continúe construyendo aviones según lo programado. Los costos varar todos sus jets 737 MAX y detener la entrega hasta abril también podrían ser mínimos para una empresa del tamaño de Boeing, particularmente si no pierde ventas a largo plazo.
El presidente chino, Xi Jinping, quiere hacer de su país una superpotencia aeroespacial. Las empresas estatales están desarrollando una gama completa de aeronaves, incluyendo widebodies, turboprops, jets de negocios, helicópteros, hidroaviones e incluso zeppelins.
Los hacker evolucionan tan rápido como lo hacen los
sistemas, un ejemplo de esto lo vemos con el uso de los malware que han
descendido notoriamente en los últimos dos años gracias a la aparición de
PowerShell, una herramienta que te permite invadir un sistema sin que puedas
darte cuenta de nada. Así que ahora no se necesita un malware si puedes usar
PowerShell.
Cómo funciona PowerShell
Si tienes aires de hacker pregúntate para qué
necesitas un malware si puedes usar PowerShell. Según parece, gracias a las
nuevas forma de hackeos la red privada
de cualquier empresa puede ser saqueada por scripts automatizados sin la
necesidad de recurrir a algún malware.
De hecho, investigadores de X-Force de IBM encontraron que menos de un 50% de los ataques analizados en 2018 utilizaban algún tipo de archivo instalado localmente. En su lugar, los hackers utilizaron scripts de PowerShell para ejecutar sus acciones en la memoria sin tocar significativamente los sistemas de archivos.
Pantalla de PowerShell
Este descubrimiento es importante porque les recuerda
a los administradores que ya no pueden confiar únicamente en la detección de malware
y datos similares en los discos duros y otros dispositivos de almacenamiento,
para identificar las intrusiones cibernéticas.
Pero ¿Cómo
hacen esto? Al igual que con las infecciones de malware local, el atacante
primero debe tener la capacidad de ejecutar comandos maliciosos. Lo que difiere
es el siguiente paso, ya que el hacker no dirige a la máquina infectada a
descargar, guardar y ejecutar una carga de troyanos. Más bien, el ataque se
ejecuta completamente en la memoria usando PowerShell, donde se puede usar el
poderoso lenguaje de scripting de Microsoft para hacer cualquier cosa, desde la
recolección y el robo de contraseñas hasta la minería de criptomoneda.
Sin embargo, es posible crear un sistema de protección
envolvente alrededor de PowerShell para evitar que se abuse de ellas, como
requerir que las secuencias de comandos estén firmadas digitalmente. PowerShell
es útil en la recopilación y análisis de datos, pero también favorece a los hackers que lo utilizan para
renunciar al sistema de archivos e inyectar código malicioso directamente en la
memoria, mejorando así la ofuscación y, a menudo, evitando los controles de
seguridad diseñados para detectar implementaciones de malware.
En informe emitido
por IBM se puede leer lo siguiente:
«Los hackers han expandido sus capacidades utilizando PowerShell en los últimos años. IBM X-Force IRIS ha encontrado casos en los que los paquetes de herramientas maliciosos completos estaban contenidos en los scripts de PowerShell».
En algunos casos, los delincuentes ni siquiera necesitarían ejecutar un exploit super-leet para robar datos corporativos. El informe de X-Force señala que los incidentes de mala configuración, en los casos en que las bases de datos y los compartimientos de almacenamiento se dejaron expuestos a la Internet pública, también aumentaron un 20% respecto al año pasado y representaron el 43% de todos los registros expuestos.
Además de los archivos y registros expuestos, los
errores de configuración también pueden provocar indirectamente otros ataques
cuando se trata de contraseñas y direcciones de correo electrónico que se
utilizan para iniciar sesión en otras cuentas y llevar a cabo otras fechorías.
Finalmente, según el informe, los ataques de ingeniería social siguen siendo tan efectivos como siempre.
Un software malicioso se hace pasar por reCAPTCHA de
Google permitiendo que un gran número de usuarios caigan en la trampa y
vulnerando sus computadoras. En el siguiente post te contamos de qué se trata y
quiénes fueron los afectados.
Un software
malicioso se hace pasar por reCAPTCHA de Google
Se trata de una campaña de phishing por correo electrónico que se describió distribuyendo software malicioso con la ayuda de una nueva técnica que disfraza su contenido con un sistema falso de reCAPTCHA supuestamente de Google. Sucuri, la compañía de seguridad cibernética, explica que la campaña se dirigió a cierto banco polaco junto con sus clientes y utilizó tácticas de creación de pánico para que las víctimas pudieran seguir enlaces web falsos implantados en los correos electrónicos fraudulentos.
Estos phishing pedían a los destinatarios de los
correos electrónicos que confirmaran una transacción reciente, mientras hacían
esto debían también hacer clic en cierto enlace que conduce a un archivo PHP
malévolo. De acuerdo con los investigadores de Sucuri, seguir el enlace web y
aterrizar en el archivo PHP falso los llevaría a una página web falsa «error
404». A partir de entonces, un reCAPTCHA falso de Google se cargaría a
través del archivo PHP, y la carga utilizaría elementos de JavaScript y HTML.
El sistema reCAPTCHA es un sistema de validación que
ayuda a identificar los robots de forma distinta a los visitantes reales del
sitio web. Los investigadores declararon que la reCAPTCHA falsa parecía
auténtica. Según los analistas de seguridad de Sucuri la página web falsa copia
efectivamente la reCAPTCHA de Google; sin embargo, como depende de cosas
estáticas, nunca habrá cambios en las imágenes hasta que, por supuesto, se
altere el código malicioso de PHP.
Este software malicioso tiene la capacidad de
interpretar los contactos, el área de existencia y el estado del dispositivo
móvil de destino. Examina y envía mensajes SMS,
graba audio, marca números de teléfono para hablar y filtra ciertos tipos de
información confidencial. Los programas de software antivirus han detectado
el troyano como Artemis, Evo-gen,
BankBot, Banker y más.
Sucuri sugiere que al abordar el tipo de troyano, los administradores deben borrar los archivos dentro de una queja asociada; sin embargo, se recomienda encarecidamente que examinen cualquier base de datos y archivos de sitios web existentes para detectar software malicioso. Además, todas las contraseñas deben actualizarse para evitar el ataque.
Por años se pensó que las cadenas de bloques o blockchains eran imposibles de hackear, pero ahora cada vez aparecen más agujeros en estas plataformas. Recientemente, Arly, el equipo de seguridad en Coinbase, notó un fallo en Etereum clásico, y es que su blockchain, la historia de todas sus transacciones , estaba bajo ataque.
Ciberataque al blockchain de Etereum
Un atacante logró tomar el control de más de la mitad del poder de cómputo de la red y lo estaba usando para reescribir el historial de transacciones. De esa manera logró que la criptomoneda no se pudiera gastar más de una vez, lo que se conoce como «doble gasto». Y el atacante hizo esta operación por 1.1 millones de dólares.
Coinbase afirma que ninguna moneda fue robada de ninguna de sus cuentas. No obstante, Gate.io no fue tan afortunado y perdió alrededor de $ 200,000 frente al atacante (quien, extrañamente, regresó la mitad días después).
Un par de años atrás esto era impensable, o al menos solo se formulaban teorías. Pero ahora no solo es una realidad, sino que además el llamado ataque del 51% contra Ethereum Classic fue solo el más reciente de una serie de ataques recientes contra blockchains. Desde 2017, se han robado casi $2 mil millones en criptomonedas. Se trata de ataques a un negocio creciente muy jugoso.
Y sobre estos delitos, la firma de análisis Chainalysis dijo que solo dos grupos, que aparentemente aún están activos, pueden haber robado un total de $ 1 mil millones de los intercambios. Básicamente tienen el monopolio de estos robos.
Pero ¿Qué hace tan atractivos a los blockchains para los ciberatacantes? a diferencia del sistema financiero tradicional, las transacciones fraudulentas no se pueden revertir. Y así como tienen características de seguridad únicas, también tienen vulnerabilidades únicas. Así que los slogan de marketing que calificaron estas plataformas como «inhackeables» se equivocaron en grande.
El Informe de Amenaza Global 2019 de CrowdStrike indicó que los rusos lideran los ciberataques exitosos en términos de velocidad. En los hackeos, determinar la rapidez con la que suceden es sumamente importante, y al parecer los rusos tienen mérito en eso.
CrowdStrike, una base de datos masivamente escalable y basada en la nube, presentó un gráfico de amenazas que se describe como el cerebro detrás de la métrica del tiempo de ruptura. Se trata de una medida de la velocidad a la que los actores de amenazas pueden moverse lateralmente dentro del entorno objetivo, desde el inicio del hackeo hasta la dinamización de todo el sistema.
Para poder definir las oportunidades defensivas, los sistemas de ciberseguridad necesitan conocer el tiempo del hackeo. Así, se pueden programar respuestas que impidan que el pirata se mueva libremente por el sistema. CrowdStrike, en su análisis, determinar qué tan rápidos se han vuelto los ciberatacantes de acuerdo a su nacionalidad.
En ese orden, los rusos, tienen los tiempos de hackeo más rápidos por un margen increíble. Según el informe, los hackers rusos son ocho veces más rápidos que sus competidores más cercanos. Es decir, mientras que los osos rusos tardaron un promedio de solo 18 minutos y 49 segundos para comenzar a moverse lateralmente hacia otros sistemas de red, las ‘chollimas’ norcoreanos tardaron dos horas y 20 minutos en desplazarse. Y para ampliar más el contexto, los ‘pandas’ chinos fueron los terceros más rápidos en cuatro horas y 26 segundos, seguidos por los ‘gatitos’ iraníes con un tiempo de cinco horas y nueve minutos.
Claro, debemos destacar que la velocidad no es el único indicador de sofisticación y éxito. Sin embargo, permite evaluar comparativamente la capacidad operativa de varios atacantes que podrían estar detrás de tus datos. Y como ya decíamos, determinar el tiempo permite a su vez establecer los sistemas de defensa adecuados para impedir los ciberataques.
