Ciberataques

All posts tagged Ciberataques

apagon-electrico.jpg

Ciberataque a la red eléctrica de EEUU por un firewall sin parches

Una vulnerabilidad de firewall permitió a los atacantes reiniciar repetidamente los firewalls de la entidad víctima, causando interrupciones inesperadas.

La Corporación de Fiabilidad Eléctrica de América del Norte (NERC, por sus siglas en inglés) informa que un ataque cibernético a la red eléctrica de EEUU a principios de este año fue causado por una falla del firewall del perímetro de la red de la entidad objetivo.

El 5 de marzo de 2019, un incidente tuvo como objetivo un centro de control de red de “bajo impacto” y pequeños sitios de generación de energía en el oeste de los EEUU. Según una actualización de E&E News. Ninguna interrupción de la señal duró más de cinco minutos, y la interrupción no causó ningún apagón. Aún así, el ataque de 10 horas fue lo suficientemente grande como para hacer que la empresa de servicios públicos de la víctima se comunicara con el Departamento de Energía de EEUU.

La publicación “Lesson Learned” de NERC dice que los atacantes explotaron una vulnerabilidad en la interfaz web del firewall de un proveedor, permitiendo a los atacantes reiniciaran repetidamente los dispositivos y causar una condición de denegación de servicio (DDoS). Los reinicios inesperados permitieron interrupciones en la comunicación en los firewalls que controlaban la comunicación entre el centro de control y múltiples sitios de generación remota, y entre equipos en estos sitios. Todos los firewalls eran dispositivos de perímetro de red.

El análisis reveló que la utilidad objetivo no había instalado una actualización de firmware que hubiera parcheado la vulnerabilidad, y las interrupciones se detuvieron cuando se aplicó el parche. La víctima revisó su proceso para evaluar e implementar actualizaciones de firmware y ha optado por implementar una revisión más formal y frecuente de las actualizaciones de los proveedores monitoreadas por el software de seguimiento de cumplimiento interno.

leer más
Isaul CarballarCiberataque a la red eléctrica de EEUU por un firewall sin parches
Luisiana-ransomware.jpeg

Gobernador de EEUU declara emergencia de ciberseguridad en todo el estado

El gobernador de Luisiana John Bel Edwards ha declarado una emergencia de seguridad cibernética en todo el estado.

Hay un ataque de malware en curso que afecta a tres distritos escolares públicos en el norte de Louisiana: Sabine, Morehouse y Ouachita, informa la oficina del gobernador.

En respuesta, la Oficina de Seguridad Nacional y Preparación para Emergencias del Gobernador ha activado su equipo de acción en caso de crisis y la Función de Servicios de Emergencia-17.

Funcionarios estatales fueron notificados el miércoles y han estado brindando asistencia técnica desde entonces, dijo Christina Stephens, una portavoz de la oficina del gobernador.

Ha habido algunas discusiones con los sistemas escolares sobre qué buscar y cómo protegerse. Además, el Centro de Fusión de la Policía del Estado de Louisiana ha brindado alguna orientación a las fuerzas del orden y a otros sobre la amenaza“.

La Policía del Estado de Louisiana, la Guardia Nacional de Louisiana, la Oficina de Servicios Tecnológicos del estado y otras agencias están coordinando la respuesta y determinando acciones futuras.

El distrito escolar de Sabine dice que los teléfonos en su oficina central también están siendo afectados. Los empleados pueden llamar pero no pueden recibir llamadas. Se aconseja a los padres que se comuniquen con las escuelas de sus hijos si necesitan ayuda.

Eddie Jones, director de Florien High School en Sabine Parish, dijo que su supervisor de tecnología recibió una alerta en su teléfono alrededor de las 4 am del domingo sobre el uso inusualmente alto de ancho de banda, particularmente considerando la hora del día y las vacaciones de verano.

Se les dijo que se descubrió un virus ransomware instalado en su sistema, dijo.

Jones no cree que se haya perdido ninguna información confidencial. Lo que se pierde, dijo, es cualquier cosa y todo está alojado únicamente en los servidores del Distrito Escolar.

Para Jones, dijo que eso significa 17 años de documentos que creó: discursos, horarios de exámenes, horarios maestros, etc.

Esta es la primera vez que Louisiana activa su función de soporte de emergencia relacionada con la ciberseguridad.

Hasta el momento, el estado está coordinando con el FBI, las agencias estatales y los socios de educación superior.

Los últimos meses han visto una serie de ataques de ransomware contra varias ciudades de los Estados Unidos, algunas de las cuales han resultado en pandillas criminales que extorsionan millones de dólares.

Parece que un número sorprendente de ciudades están preparadas para recurrir al pago de la demanda de ransomware de un hacker si no pueden restaurar los datos con la suficiente facilidad o rapidez, o sin incurrir en más gastos de los que exigen los propios extorsionistas. Esto inevitablemente anima a más pandillas de ransomware a probar suerte al apuntar a lo que ven como presas fáciles.

leer más
Isaul CarballarGobernador de EEUU declara emergencia de ciberseguridad en todo el estado
5.jpg

Se incrementan los ataques de Ransomware en los Estados Unidos

Por más de doce meses, Baltimore (Estados Unidos) ha estado sufriendo un muy costoso ataque de Ransomware. De hecho, a la fecha, el ataque ha dejado a los funcionarios incapaces de procesar los pagos e incluso responder a los correos electrónicos. Trágico, ¿no es cierto? Sin embargo, lastimosamente Baltimore no es solo un caso aislado. Se incrementan los ataques de Ransomware en los Estados Unidos.

En los últimos dos meses, ha habido ataques de ransomware en Greenville, Carolina del Norte, California, Stuart, Florida, Cleveland, Ohio, Augusta, Maine,Lynn, Massachusetts, Cartersville, Georgia entre otros, lo que ha puesto a todo el país en alerta .

Aumentan ataques de ransomware

Para los que desconocen lo que es un ransomware, este es un programa malicioso que restringe al usuario evitándole tener acceso a diferentes archivos de su sistema operativo. Dicho de otra forma un ransomware es un programa que secuestra tus datos literalmente y luego te piden el pago de un rescate para volverlos a tener. Los ransomware pueden quitarte el control por completo de tu ordenador y hacerte pasar momentos de absoluta oscuridad y en Estados Unidos esta oscuridad va creciendo rápidamente.

Los ataques con ransomware aumentaron de 38 en 2017 a 53 en 2018, según los datos recopilados por la firma Recorded Future. Sin embargo, se espera que estos números vayan en aumento y de forma acelerada en los próximos años.

A medida que las corporaciones refuerzan sus defensas contra los ataques de ransomware, los piratas informáticos han encontrado objetivos convenientes en ciudades, especialmente en los municipios locales cuyas defensas son mucho más débiles. Y a medida que las ciudades y pueblos se apresuran a digitalizar cada vez más su infraestructura, el potencial de ataques se hace más grande y desde luego mucho más devastadores.

Gary Hayslip, un experto en seguridad cibernética que anteriormente actuó como director de seguridad de la información en San Diego. Noticias VICE dijo:

“El gobierno sabe que necesita cambiar, pero se mueven lentamente en comparación con la rapidez con que las empresas privadas se preparan ante la posibilidad de quedar expuestos ante una nueva amenaza. Hasta que se ordene que las ciudades, los condados y los estados cumplan con un nivel específico de seguridad y tengan demostraciones periódicamente como se hace en el cumplimiento de las normas comerciales, las entidades gubernamentales continuarán siendo un blanco fácil para los ciberdelincuentes”.

Hay que entender que un ransomware no es un fenómeno nuevo. El malware ha sido popular entre los piratas informáticos durante años, ya que les da una forma fácil de extraer millones de dólares, generalmente en bitcoins, de usuarios confiados en todo el mundo al infectar sus computadoras y mantener sus datos como rehenes hasta que pagan.

Y según los expertos el riesgo va a empeorar, y para combatir adecuadamente la creciente amenaza del ransomware contra los gobiernos locales y estatales, es necesario tener una idea clara de cuán grande es el problema y cómo los hackers están explotando estos sistemas. De hecho se cre que el número de ataques revelados es inferior al real.

leer más
Diarleth G.Se incrementan los ataques de Ransomware en los Estados Unidos
2.png

La versatilidad del malware Echobot asusta a millones

Si existe algo que parece no tener fin son la aparición de nuevos y mejorados malware. Como por ejemplo Echobot. Esta última amenaza llega para dejar con la boca abierta al hasta ahora poderoso malware Mirai. ¿Pero por qué decimos esto? Pues bien, parece que esta amenaza ha encontrado maneras de volverse mucho más versátil con el pasar de los días, incluso se cree que pudiera estar evolucionando por sí mismo. En el siguiente post te decimos cómo la versatilidad del malware Echobot asusta a millones en todo el mundo.

Echobot: un malware muy versátil y de temer

No pasa un mes sin que aparezca una nueva red de bots importante de la nada y lance ataques masivos contra los dispositivos inteligentes de las personas, ya sea utilizando las credenciales predeterminadas para controlar el dispositivo o utilizando vulnerabilidades para las antiguas fallas de seguridad que los propietarios de dispositivos no solucionaron.

Lo último en esta larga lista de malware es una nueva variante del malware Mirai llamada Echobot. Este nuevo malware apareció por primera vez a mediados de mayo, y fue descrito por Palo Alto Networks en un informe publicado a principios de junio. Luego nuevamente en un informe realizado por investigadores de seguridad de Akamai, días atrás.

El malware en sí mismo no aporta nada nuevo al código fuente real de Mirai, lo cual no es una sorpresa, ya que el código Mirai se ha mantenido sin cambios durante años. Sin embargo, los creadores de Echobot agregaron módulos sobre el código fuente original de Mirai. Cuando fue descubierto por la gente de Palo Alto Networks, Echobot estaba utilizando exploits para 18 vulnerabilidades. Pero para cuando se publicó el informe Akamai, una semana después, Echobot tenía 26.

Esta extraña forma de evolucionar una red de bots utilizando exploits no relacionadas no es exclusiva de Echobot, sino es un proceso a través del cual pasan todas las redes de bots de IoT. Desde el exterior, los autores de malware parecen elegir sus ataques al azar, pero hay un proceso que siguen en toda esta locura.

Tal cual como algunos autores de bots de IoT le han dicho a ZDNet en el pasado. Comienzan seleccionando exploits al azar, pero solo mantienen los que traen una gran cantidad de dispositivos infectados (bots) y descartan los que no funcionan. Los exploits se reciclan a través de una botnet en cuestión de días, si no están funcionando. En retrospectiva, el arsenal actual de vulnerabilidades de Echobot se puede ver como una lista de las vulnerabilidades de mayor rendimiento de los robots actuales, y una lista que los propietarios de dispositivos y los proveedores de seguridad querrían echar un vistazo, ya que proporciona una mejor perspectiva.

Por ejemplo, en lugar de apegarse a dispositivos con sistemas operativos integrados como enrutadores, cámaras y DVR, las redes de bots IoT ahora están utilizando vulnerabilidades en la web empresarial (Oracle WebLogic) y en el software de red (VMware SD-WAN) para infectar objetivos y propagar malware.

leer más
Diarleth G.La versatilidad del malware Echobot asusta a millones
4.jpg

China golpea a Telegram con un ataque DDoS

Si vivimos en un mundo donde los gobiernos extranjeros son habitualmente acusados ​​de ciberataques para manipular las elecciones presidenciales que deberían ser “democráticas”, ¿Podemos sorprendernos de que se culpe a un gobierno autoritario por lanzar un fuerte ataque cibernético causando el cierre de Telegram (una aplicación de mensajería relativamente más segura que WhatsApp), un canal de redes sociales clave que además es muy utilizado para organizar la disidencia y la protesta? Evidentemente no, esto no sorprende a nadie, sin embargo, es noticia y muchos son los que se sienten ofendidos. Entonces, para no quedar por fuera hablemos de cómo China golpea a Telegram con un ataque DDoS.

China golpea a Telegram con un ataque DDoS

En lo que respecta a la informática, un ataque DDoS no es más que un ataque que se realiza de forma directa contra un servicio o recurso para que este quede inoperante o por lo mínimo que deniegue el acceso a los usuarios que estás registrados en ellos. Por lo general esto lo hace por medio del corte de la conectividad por consumo de banda ancha de la red de usuario o sobrecargando su sistema. Una forma de hacerse seria generando miles archivos  basura que llegan a los correos electrónicos haciéndolo colapsar.

Ahora hablemos de China. Este gigante asiático ha estado teniendo muchos problemas con el tema del supuesto espionaje donde se han visto involucradas grandes empresas como Huawei (vs Google). China, como sabemos, es un país comunista por lo que todos se deben ir con cuidado a la hora de comentar en sus redes. Por eso ya todos estamos acostumbrados a las diversas acciones de control que tiene ese gobierno con los medios de comunicación, entonces, ¿por qué nos sorprendemos?

Lo que tal vez sorprende en este caso, es que el canal de medios sociales censurado fue Telegram, el cual es famoso por ser la aplicación de mensajería más segura. La seguridad de Telegram se basa en cifrado, servidores distribuidos y una función opcional de autodestrucción de mensajes. Por lo tanto, el contenido de tus mensajes en Telegram debería ser bastante inquebrantable.

Sin embargo, si el servicio no está disponible, toda esa seguridad es inútil. Esa es la belleza siniestra de DDoS (Distributed Denial of Service). Cuando un ataque DDoS inunda tu red, violentando su infraestructura, con hasta Terabits por segundo de datos de basura, no importa qué tan seguro sea tu servicio. Nadie puede acceder a ella.

Pero, DDoS no se trata solo de la denegación de servicio. A veces se usa como habilitador para otros delitos cibernéticos. Si bien los servicios (incluidos algunos aspectos de la ciberseguridad) están inactivos, es posible que se infiltren otros programas maliciosos en los dispositivos de la red, lo que genera infracciones masivas de datos, ransomware, robo de IP y más.

Y esto no es lo peor, tal parece que cada son más los ataques DDoS que se van presentando, de hecho es posible que los hayas escuchado con el nombre de “inundaciones”, incluso hay uno llamado “Tsunami”, porque su impacto es abrumador. Ellos reúnen a un ejército de robots de dispositivos de red infectados para inundar los recursos de la red, incluidos elementos como los firewalls que tienen como objetivo facilitar la ciberseguridad.

Habrá que esperar un poco para ver qué posición adoptarán las empresas encargadas de prevenir estas vulnerabilidades ya que al parecer lo único seguro en nuestros datos es que no hay nada seguro.

leer más
Diarleth G.China golpea a Telegram con un ataque DDoS
3.jpg

Aprende sobre el caso de violación de datos nativos en la nube

No existe rincón en el mundo digital en donde un pirata informático no pueda atacar. Estos delincuentes pueden ingresar a cualquier computadora personal, servidor, sitio web o lo que sea que esté conectado desde cualquier parte del mundo. Hay quienes creen que poner los datos en una nube es 100 % seguro, pero la verdad es que nada en este mundo lo es. Las violaciones de datos nativas de la nube con frecuencia tienen características distintas y siguen una progresión diferente a las violaciones de datos físicos. Lo que te traemos a continuación es un ejemplo que sucedió en la vida real, se trata de una violación de datos nativos en la nube, te diremos cómo ocurrió y cómo podría haberse evitado.

Violación de datos nativos en la nube

Esto le ocurrió a una aplicación de medios sociales para compartir fotos, con más de 20 millones de usuarios. Almacena más de 1PB de datos de usuario en Amazon Web Services (AWS), y en 2018, fue víctima de una violación masiva de datos que expuso a casi la totalidad de los registros de usuarios que tenían. Esta violación de datos nativos en la nube ocurrió de la siguiente manera.

violación de datos nativos en la nube

Paso 1) Comprometer a un usuario legítimo

En este incidente, el pirata informático utilizó un ataque de phishing para obtener las credenciales de un usuario administrativo en el entorno de la empresa.

Paso 2) Fortalecer el acceso

Seguidamente, el atacante se conectó al entorno de la nube de la empresa a través de una dirección IP registrada en un país extranjero y creó claves de acceso API con acceso administrativo completo.

Paso 3) Reconocimiento

Una vez dentro, el atacante solo deberá determinar qué permisos se otorgarán y qué acciones permitirá este rol.

Paso 4) Explotación

Una vez que se han determinado los permisos disponibles en la cuenta, el atacante puede proceder a explotarlos. Entre otras actividades, el atacante duplicó la base de datos del usuario maestro y la expuso al mundo exterior con permisos públicos.

Paso 5) Exfiltración

Ya con la información del cliente a la mano, el atacante copió los datos fuera de la red, obteniendo acceso a más de 20 millones de registros que contenían información personal del usuario.

Aunque cada incidente de violación de datos puede desarrollarse de manera diferente, una violación de datos nativos en la nube a menudo sigue una progresión típica de compromiso de cuenta legítima, reconocimiento de cuenta, escalada de privilegios, explotación de recursos y filtración de datos.

¿Qué se pudo haber hecho para evitar este ataque?

Primeramente, limitar los permisos. Con frecuencia, las cuentas de usuario en la nube tienen muchos permisos que no necesitan o nunca usan y esto es algo que aprovechan los piratas informáticos. Así que sería excelente limitar los permisos solo a lo que el usuario necesita para ayudar a garantizar que, incluso si la cuenta está comprometida, el daño que puede hacer un atacante sea limitado.

Seguidamente, estar alerta a las actividades sospechosas. Dado que las violaciones de datos nativos de la nube suelen tener una progresión común, existen ciertas actividades de la cuenta, como el escaneo de puertos, la invocación de API utilizadas anteriormente y la concesión de permisos públicos, que pueden identificarse.

Posteriormente, generar procedimientos de respuesta automática. La automatización de los mecanismos de respuesta puede ayudar a bloquear la actividad maliciosa en el momento en que se detecta y evitar que el pirata tenga éxito en su objetivo.

Finalmente, se deben proteger las credenciales de acceso. Siempre te debes asegurar que las credenciales de tu cuenta en la nube son tan fuertes como sea posible, es fundamental para garantizar que no caigan en las manos equivocadas. Cambiar las contraseñas periódicamente es la acción más segura que todo usuario debe realizar.

leer más
Diarleth G.Aprende sobre el caso de violación de datos nativos en la nube
2.jpg

Riesgo de vulnerabilidad en las aplicaciones móviles financieras

Existe una nueva modalidad que puede hacernos temblar si se usa para actos delictivos. Se trata de la ingeniería inversa. En el siguiente post te diremos cómo a través de esta ingeniería inversa se puede crear un alto grado de vulnerabilidad en las aplicaciones móviles financieras.

Vulnerabilidad en las aplicaciones móviles financieras

Un pirata informático invirtió 30 aplicaciones financieras móviles y encontró datos confidenciales ocultos en el código subyacente de casi todas las aplicaciones examinadas. Con esta información, un pirata informático podría, por ejemplo, recuperar las claves de la interfaz de programación de aplicaciones (API), usarlas para atacar a los servidores backend del proveedor y comprender los datos del usuario.

Las aplicaciones en cuestión fueron todas de Android y se seleccionaron en ocho sectores, incluyendo banca minorista, atención médica y seguros de automóviles. Arxan Technologies, la compañía detrás del experimento, realizó esta investigación a la que denominó In Plain Sight: La epidemia de vulnerabilidad en las aplicaciones móviles financieras. Y esto dijeron sobre el caso.

“Muchos de los hallazgos fueron impactantes por lo menos, Incluso descubrí que algunas instituciones financieras codificaban de forma segura las claves privadas, las claves API y los certificados privados, todo en el código real o almacenándolos en los subdirectorios de la aplicación”. Dijo Alissa Knight, analista sénior de ciberseguridad de Aite Group, quien realizó la investigación.  En otros casos, Knight también comentó que encontró las URL que usan las aplicaciones para comunicarse, con lo que permitiría a un adversario dirigirse también a las API de los servidores backend.

La falta de protecciones binarias, le permitió encontrar once debilidades únicas, entre ellas; almacenamiento de datos inseguros, fuga de datos involuntaria, cifrado débil, confianza implícita de todos los certificados, archivos y directorios legibles, exposición de claves privadas, exposición de parámetros de bases de datos entre otros.

Como solución Knight recomienda acciones como la adopción del blindaje de la aplicación, la detección de manipulación indebida, el cifrado de datos en reposo y la protección de claves a través del cifrado de caja blanca.

“Los desarrolladores de aplicaciones necesitan algún tipo de capacidad de detección y respuesta, para que puedan comprender qué está sucediendo exactamente con esa aplicación y controlarla antes de que se convierta en una brecha”, dijo Knight.

leer más
Diarleth G.Riesgo de vulnerabilidad en las aplicaciones móviles financieras
eeuu-vs-rusia.jpg

Crece la tensión entre Rusia y EEUU por motivos de ciberseguridad

A finales de febrero, dos expertos rusos en ciberseguridad fueron condenados a prisión por cometer actos de traición no revelados. Se especuló, que estos expertos posiblemente filtraron información sobre la interferencia de Rusia en las elecciones de 2016 en Estados Unidos. Pero la verdad es que hasta la fecha, poco se sabe sobre el caso.

Lo que sí sabemos es que Sergei Mikhailov, un ex oficial de inteligencia del Servicio de Seguridad Federal, o FSB, fue condenado a 22 años de prisión por ayudar a coordinar las asociaciones contra el delito informático con países occidentales, incluido Estados Unidos. Y Ruslan Stoyanov fue condenado a 14 años por su trabajo en la controvertida firma de ciberseguridad rusa Kaspersky Lab.

Y los abogados de la defensa revelaron a CNN que los dos hombres estaban siendo juzgados por cometer traición contra Rusia en nombre de los Estados Unidos. Así que es probable que Mikhailov y Stoyanov hayan sido juzgados por ayudar a Estados Unidos a investigar las violaciones de datos dirigidas a los servidores del Comité Nacional Demócrata y la campaña de Hillary Clinton.

Y aunque no fuera ese el caso, esta solo es una señal de que las tensiones entre Rusia y EEUU por motivo de ciberseguridad están en aumento. Rusia particularmente, no quiere que ninguno de sus hombres colabore con EEUU y esto solo tienta a Estados Unidos y al resto de occidente a saber qué ocultan los osos rusos.

Sin embargo, otra teoría que ha sido difundida por los medios acerca del juicio de Mikhailov y Stoyanov es que se trata de una venganza de Pavel Vrublevsky, quien fue condenado en 2013 por sus crímenes de ciberseguridad a nombre de su compañía ChronoPay. Mikhailov fue un testigo experto en ese caso, que terminó con la condena de Vrublevsky.

En febrero, Vrublevsky le dijo a CNN que había testificado en el caso contra Mikhailov y Stoyanov y que los dos hombres “son directamente responsables de la histeria cibernética que eventualmente irá hasta el escándalo de intromisión electoral”.

Es bastante desconcertante en todo caso ver que un ciberdelincuente es tomado en cuenta por el Estado para confirmar las acusaciones contra otros dos ciberatacantes, que no están directamente relacionados con él. Con esto, el gobierno ruso sigue demostrando que los ciberdelincuentes son sus aliados más cercanos en este momento. Mientras tanto, EEUU busca diligentemente informantes que filtren información que pueda perjudicar a Rusia.

leer más
Diarleth G.Crece la tensión entre Rusia y EEUU por motivos de ciberseguridad
hackers-malware_hi.jpg

Los grupos de hackers más avanzados están en la búsqueda de ataques más ambiciosos

A medida que la tecnología crece los grupos de ciberdelincuentes también lo hacen y a un ritmo muy acelerado. Cada vez resulta más difícil enfrentarse a ellos ya que con el tiempo logran penetrar los sistemas de defensas más poderosos ofrecidos por las distintas empresas de ciberseguridad. Es un hecho de que se trata de una amenaza real y ahora se sienten listos para ir por más. Los grupos de hackers más avanzados están en la búsqueda de ataques más ambiciosos lo que hace que muchas grandes empresas muevan sus piezas para saber cómo protegerse.

Hackers más preparados y desafiantes

Aunque no lo crean los grupos de piratería más avanzados se están volviendo más audaces no solo con el paso del tiempo sino con la realización de campañas. Y hoy día la cantidad de organizaciones a las que apuntan las campañas más grandes aumenta en casi un tercio.

Una combinación de nuevos grupos emergentes dedicados a la piratería que desarrollan estrategias exitosas para dividirse en redes, ha hecho que la cantidad promedio de organizaciones a las que apuntan los grupos de piratería más activos aumente de 42 entre el año 2015 y el año 2017 a un promedio de 55 en  el año 2018.

Las cifras detalladas en el Informe anual sobre amenazas a la seguridad en Internet de Symantec sugieren que los 20 grupos de piratería más prolíficos se dirigen a más organizaciones a medida que los atacantes adquieren más confianza en sus actividades. Grupos como  Chafer, DragonFly, Gallmake entre otros están llevando a cabo campañas de piratería altamente específicas mientras buscan reunir información de inteligencia contra empresas de las cuales se cree que contienen información valiosa.

En el pasado, los hackers solo se enfocaban en el acceso a las redes corporativas, un delito en el que siguen incurriendo sin embargo ahora son los correos electrónicos de phishing con contenido malicioso que tienen más probabilidades de proporcionar a los atacantes la entrada inicial que necesitan. Y debido a que estos grupos de espionaje son tan competentes en lo que hacen, tienen medios probados para realizar actividades una vez que están dentro de una red.

Esto fue lo que dijo Orla Cox, quien ejerce como directora de la unidad de respuesta de seguridad de Symantec:

“Estos Hackers han evolucionado de tal manera que imitan los mismos pasos que realizan los sistemas de seguridad dentro de las empresas al momento de conectarse a una red. Estos movimientos tan audaces les permiten conseguir lo que quieren. Simplemente se han hecho más eficientes y esto los hace más difíciles de detectar porque gran parte de la actividad se parece a la actividad empresarial tradicional”.

Orla Cox, Symantec

En muchos de los casos que se detallan en el informe se explica que los atacantes están implementando lo que Symantec denomina tácticas especiales donde usan herramientas empresariales diarias para ayudarlos a viajar a través de redes corporativas y robar datos, lo que hace que las campañas sean más difícil de descubrir.

Referencia:

https://www.zdnet.com/article/cyber-espionage-warning-the-most-advanced-hacking-groups-are-getting-more-ambitious/

leer más
Diarleth G.Los grupos de hackers más avanzados están en la búsqueda de ataques más ambiciosos
bigscreen-3.jpg

Man in the Room: ciberataques en mundos de realidad virtual

Las ciber amenazas avanzan al mismo paso de las nuevas tecnologías, y en ese contexto ha surgido un nuevo tipo de amenaza conocido como “man in the room”, es decir, ataques para escenarios de realidad virtual.

Bigscreen, una popular aplicación de VR disponible en Steam (versiones para HTC Vive, Oculus Rift, Windows Mixed Reality), ha sido el foco de estas nuevas amenazas. La app es bastante atractiva para los atacantes porque cuenta con 500.000 usuarios, a quienes ofrece salas de chat virtuales, proyectos para colaborar e incluso proyecciones que anuncian en su cine virtual, a las que los usuarios pueden asistir virtualmente.

Pero la Universidad de New Haven se dio a la tarea de realizar un análisis forense sobre la aplicación, y en ese proceso descubrieron una serie de vulnerabilidades que permiten a cualquier usuario con los conocimientos técnicos necesarios, “colarse” en la habitación que deseen y luego tomar el control del equipo de sus víctimas con la posibilidad de dejar malware instalado.

Las vulnerabilidades del sistema permiten al atacante saber cuando la víctima entra y sale en una sala VR. Puede además activar el micrófono de manera remota para escuchar las conversaciones o hacer mucho daño al instalar un malware que al autoreplicarse infecte otros equipos.

El atacante además puede ver en tiempo real lo que se proyecta en la pantalla del ordenador de la víctima. También puede falsear su identidad en la aplicación VR, tomando su avatar y chateando como si se tratara del usuario.

Luego de esta investigación, Bigscreen asegura haber resuelto (parcheado) las vulnerabilidades y que ahora sus usuarios pueden utilizar la app tranquilamente. Pero lo que nos deja esta artimaña de “man in the room” es la certeza de que los cibertatacantes pueden colarse con facilidad en estos mundos de realidad virtual que están en pleno desarrollo, y que todavía no se han enfocado en crear medidas serias de seguridad.

leer más
Diarleth G.Man in the Room: ciberataques en mundos de realidad virtual