Malware

All posts tagged Malware

Actualidad_337228104_96704695_1024x576.jpg

Astaroth Trojan explota a Avast para robar información

Una nueva cepa de Astaroth Trojan dirigida a Brasil y países europeos está explotando actualmente el software de seguridad y antivirus Avast desarrollado por GAS Technology para robar información y cargar módulos maliciosos.

De acuerdo con el equipo Nocturnus de Cybereason que descubrió la nueva cepa de Astaroth, al igual que las cepas anteriores, el malware utiliza procesos legítimos e integrados del sistema operativo Windows para realizar actividades maliciosas y entregar una carga útil sin ser detectado, pero también hace uso de herramientas conocidas e incluso software antivirus para ampliar sus capacidades.

El troyano de Astaroth y el ladrón de información fueron detectados previamente por Cofense como parte de una campaña de malware que afecta a Europa y especialmente a Brasil, y es conocido por abusar de binarios como la interfaz de línea de comandos de Windows Management, la consola de instrumentación (WMIC) para descargar e instalar subrepticiamente cargas útiles maliciosas en segundo plano.

La nueva variedad descubierta por los investigadores de Cybereason ahora también usa la  utilidad legítima Windows BITSAdmin (diseñada para ayudar a crear trabajos de descarga o carga y monitorear su progreso) para descargar cargas útiles de malware. Esta variante de Astaroth se distribuye a través de campañas de spam al igual que las versiones anteriores, y la infección comienza con un archivo .7zip entregado al destino en forma de un archivo adjunto de correo electrónico o hipervínculo. El archivo malicioso contiene un archivo .lnk que generará un proceso wmic.exe que inicializará un ataque de procesamiento de scripts XSL.

Posteriormente, el malware se conecta a un servidor de comando y control (C2) y filtra información sobre la computadora infectada. Después de descargar la secuencia de comandos XSL cifrada en la máquina infectada, el troyano usará BITSAdmin para capturar una carga útil de otro servidor C2, cuidadosamente oculto como imágenes o archivos sin extensiones que contengan varios módulos Astaroth.

Astaroth también inyecta un módulo malintencionado en la biblioteca de vínculos dinámicos Avast y lo utiliza para recopilar información sobre la máquina comprometida y para cargar módulos adicionales cuando sea necesario. Además, la nueva variante del troyano Astaroth también está diseñada para explotar el proceso unins000.exe de una solución de seguridad desarrollada por GAS Technology que también utilizará para rastrear y recopilar información personal del usuario sin ser detectado si Avast no está presente en la computadora infectada.

Finalmente, Cybereason encontró que, una vez que la campaña se haya infiltrado con éxito, registrará las pulsaciones de los usuarios, interceptará las llamadas de su sistema operativo y recopilará toda la información guardada en el portapapeles de forma continua. Con estos métodos, Astaroth descubre cantidades significativas de información personal de las cuentas bancarias de los usuarios y las cuentas comerciales. Además, junto con NetPass, recopila las contraseñas de inicio de sesión de los usuarios en toda la placa sin ser detectadas, incluidas las computadoras remotas en la LAN, las contraseñas de cuentas de correo, las cuentas de Messenger, las contraseñas de Internet Explorer y otras.

leer más
Diarleth G.Astaroth Trojan explota a Avast para robar información
00-1.jpg

Anubis está descontrolando las plataformas bancarias

No cabe duda que el hackeo y robo a bancos sigue siendo una industria muy lucrativa y atractiva. Se han descubierto más de 17,000 nuevas muestras de malware bancario Android de Anubis que están dirigidas a un total de 188 aplicaciones financieras y bancarias. El atacante detrás del desarrollo de Anubis ha estado activo durante al menos 12 años, y para mantenerse al día, ha actualizado el malware para su uso en nuevas oleadas de ataques. Así lo confirmaron diversos investigadores de Trend Micro.

Anubis está descontrolando las plataformas bancarias

El troyano bancario Anubis se encuentra a menudo en las campañas de ingeniería social y phishing, en las que las víctimas involuntarias son atraídas a descargar aplicaciones maliciosas que contienen el malware. En total, Trend Micro ha encontrado 17.490 muestras nuevas de malware en dos servidores relacionados. Anubis ahora se enfoca en 188 aplicaciones bancarias y financieras móviles legítimas, ubicadas principalmente en los Estados Unidos, India, Francia, Italia, Alemania, Australia y Polonia.

Mapa con distribución geográfica y porcentual de las aplicaciones atacada por malware Anubis
Distribución geográfica de las aplicaciones atacada por malware Anubis

Si una víctima descarga y ejecuta una aplicación Anubis que se hace pasar por un servicio legítimo, se está exponiendo a una amplia variedad de capacidades de secuestro del malware. Anubis puede tomar capturas de pantalla, grabar audio, enviar, recibir y borrar mensajes SMS, robar listas de contactos y credenciales de cuenta, abrir URL (posiblemente para descargar cargas útiles adicionales) y también puede deshabilitar Google Play Protect.

Además, el troyano bancario puede saquear las configuraciones más profundas de un dispositivo comprometido al habilitar o manipular las configuraciones de administración del dispositivo, ver las tareas en ejecución y crear una puerta trasera para el control remoto a través de la computación de red virtual (VNC).

A medida que el malware fue evolucionando, el desarrollador también fue agregando una característica similar al Ransomware; la capacidad de cifrar archivos almacenados en un dispositivo móvil y su tarjeta SD conocida como AnubisCrypt. Asimismo, Anubis puede recibir comandos de plataformas de redes sociales, como Twitter y aplicaciones de mensajería como Telegram. Los operadores del malware han estado utilizando los enlaces cortos de Twitter y Google para enviar comandos remotos al malware. La mayoría de los cuales parecen ser de Turquía, de acuerdo con la configuración de idioma utilizada por las cuentas de redes sociales que envían comandos.

Una vez que se han aceptado los comandos, Anubis puede secuestrar dispositivos, robar datos y enviar información a los servidores de comando y control (C2) que se han extendido por todo el mundo. Las nuevas variantes también pueden detectar si se están ejecutando en máquinas virtuales (VM), una forma común para que los investigadores desempaqueten y analicen con seguridad el malware. En el caso de Anubis, esto también incluye emuladores de Android como Genymotion.

Anubis no es la única variante de malware para Android que se está mejorando y perfeccionando constantemente por sus desarrolladores. Hace un par de semanas atrás, los investigadores de Fortinet dijeron que BianLian, que comenzó su vida como un ayudante para Anubis ahora es un troyano bancario establecido por su propia cuenta, y está logrando evitar las protecciones de Android de Google para propagar su código malicioso.

Las variantes recientes de BianLian tienen un nuevo módulo de captura de pantalla que le da a los atacantes la oportunidad de monitorear la pantalla de un dispositivo comprometido y robar información, incluidos los nombres de usuario y las contraseñas.

leer más
Diarleth G.Anubis está descontrolando las plataformas bancarias
1.jpg

Si usas Zoom en tu computadora Mac, podrían estarte espiando

El software de videoconferencia Zoom para Mac se ha visto afectado por una falla que podría permitir a los atacantes tomar el control de las cámaras web cuando los usuarios visitan un sitio web.

El experto en ciberseguridad Jonathan Leitschuh reveló el nivel de vulnerabilidad que existe dentro del software Zoom para computadoras Mac, un software para realizar video conferencias. Según Jonathan, esta falla de seguridad crítica podría desencadenar problemas muchos mayores en el futuro si no se corrige cuanto antes. De hecho, la falla podría usarse para controlar la cámara web de un usuario cuando visita cualquier página web.

Jonathan Leitschuh reveló el 26 de marzo de este año 2019 la falla al proveedor de manera responsable, pero la compañía no pudo resolver el problema, exponiendo a sus usuarios al riesgo de piratería.

“Una vulnerabilidad en Mac Zoom Client permite que cualquier sitio web malicioso habilite tu cámara sin tu permiso. La falla expone potencialmente hasta 750,000 compañías en todo el mundo que usan Zoom para realizar día a día toda clase de negocios”, afirma Leitschuh.

Zoom  es el líder en comunicaciones de video para empresas, de hecho, es una de las plataformas en la nube más populares y confiables para conferencias de video, audio, chat y seminarios web. Esta falla los pone en riesgo a todos por igual.

La falla aprovecha la función de hacer clic para unirse del software Zoom que permite activar automáticamente la aplicación instalada en el sistema para unirse a una reunión de video a través de tu navegador web con un simple clic en un enlace de invitación.

“En Mac, si alguna vez has instalado Zoom, verás que hay un servidor web en tu máquina local ejecutándose en el puerto 19421. Puedes confirmar que este servidor está presente ejecutando lsof -i: 19421 en tu terminal”, explicó el experto.

“En primer lugar, permítanme comenzar diciendo que tener una aplicación instalada que ejecuta un servidor web en mi máquina local con una API totalmente no documentada se siente increíblemente incompleto para mí. En segundo lugar, el hecho de que cualquier sitio web que visite pueda interactuar con este servidor web que se ejecuta en mi máquina es una gran señal de alerta para mí como investigador de seguridad”.

El experto creó una reunión personal con una cuenta diferente, analizó los parámetros utilizados en la solicitud GET utilizada para iniciar automáticamente una reunión de Zoom al hacer clic en el enlace de invitación.

“Al  configurar una reunión, descubrí que cualquier persona que se uniera a mi reunión tenía automáticamente su video conectado. Cuando regresé a mi máquina personal, probé esta misma funcionalidad y descubrí que funcionaba exactamente igual”, explicó Leitschuh.

El experto explicó que también se puede abusar de la falla para desencadenar una condición DoS enviando un gran número de solicitudes GET repetidas al servidor local.

“Zoom terminó parcheando esta vulnerabilidad, pero todo lo que hicieron fue evitar que el atacante encienda la cámara de video del usuario”, dijo Jonathan. “No deshabilitaron la capacidad de un atacante para unirse a una llamada a cualquier persona que visite un sitio malicioso”. La falla afecta a la versión 4.4.4 de la aplicación Zoom para Mac.

Leitschuh también habló sobre la vulnerabilidad con los equipos de desarrollo de Chromium y Mozilla, pero estos explicaron que no pueden hacer nada porque el problema no reside en sus navegadores web. Para mitigar la falla, los usuarios pueden desactivar manualmente la configuración que permite que Zoom encienda automáticamente la cámara web al unirse a una reunión.

Actualización: Apple actualiza silenciosamente las Mac para eliminar la vulnerabilidad de la cámara web Zoom

Apple ha emitido una actualización silenciosa y automática de macOS que elimina el servidor web utilizado para agilizar el acceso a la aplicación de videoconferencia. La actualización no es completamente necesaria cuando Zoom ya ha emitido su propio parche, pero esto garantiza que las personas que ejecutan versiones anteriores de Zoom no serán vulnerables.

Se sabe que Apple ofrece actualizaciones silenciosas para bloquear malware. Sin embargo, esta es otra historia: la compañía está impulsando una actualización para solucionar un problema con un desarrollador superior que tiene más de cuatro millones de usuarios. Ni Apple ni Zoom querían arriesgarse, incluso si la amenaza práctica de alguien que utiliza el exploit es escasa.

leer más
Diarleth G.Si usas Zoom en tu computadora Mac, podrían estarte espiando
5.jpg

Se incrementan los ataques de Ransomware en los Estados Unidos

Por más de doce meses, Baltimore (Estados Unidos) ha estado sufriendo un muy costoso ataque de Ransomware. De hecho, a la fecha, el ataque ha dejado a los funcionarios incapaces de procesar los pagos e incluso responder a los correos electrónicos. Trágico, ¿no es cierto? Sin embargo, lastimosamente Baltimore no es solo un caso aislado. Se incrementan los ataques de Ransomware en los Estados Unidos.

En los últimos dos meses, ha habido ataques de ransomware en Greenville, Carolina del Norte, California, Stuart, Florida, Cleveland, Ohio, Augusta, Maine,Lynn, Massachusetts, Cartersville, Georgia entre otros, lo que ha puesto a todo el país en alerta .

Aumentan ataques de ransomware

Para los que desconocen lo que es un ransomware, este es un programa malicioso que restringe al usuario evitándole tener acceso a diferentes archivos de su sistema operativo. Dicho de otra forma un ransomware es un programa que secuestra tus datos literalmente y luego te piden el pago de un rescate para volverlos a tener. Los ransomware pueden quitarte el control por completo de tu ordenador y hacerte pasar momentos de absoluta oscuridad y en Estados Unidos esta oscuridad va creciendo rápidamente.

Los ataques con ransomware aumentaron de 38 en 2017 a 53 en 2018, según los datos recopilados por la firma Recorded Future. Sin embargo, se espera que estos números vayan en aumento y de forma acelerada en los próximos años.

A medida que las corporaciones refuerzan sus defensas contra los ataques de ransomware, los piratas informáticos han encontrado objetivos convenientes en ciudades, especialmente en los municipios locales cuyas defensas son mucho más débiles. Y a medida que las ciudades y pueblos se apresuran a digitalizar cada vez más su infraestructura, el potencial de ataques se hace más grande y desde luego mucho más devastadores.

Gary Hayslip, un experto en seguridad cibernética que anteriormente actuó como director de seguridad de la información en San Diego. Noticias VICE dijo:

“El gobierno sabe que necesita cambiar, pero se mueven lentamente en comparación con la rapidez con que las empresas privadas se preparan ante la posibilidad de quedar expuestos ante una nueva amenaza. Hasta que se ordene que las ciudades, los condados y los estados cumplan con un nivel específico de seguridad y tengan demostraciones periódicamente como se hace en el cumplimiento de las normas comerciales, las entidades gubernamentales continuarán siendo un blanco fácil para los ciberdelincuentes”.

Hay que entender que un ransomware no es un fenómeno nuevo. El malware ha sido popular entre los piratas informáticos durante años, ya que les da una forma fácil de extraer millones de dólares, generalmente en bitcoins, de usuarios confiados en todo el mundo al infectar sus computadoras y mantener sus datos como rehenes hasta que pagan.

Y según los expertos el riesgo va a empeorar, y para combatir adecuadamente la creciente amenaza del ransomware contra los gobiernos locales y estatales, es necesario tener una idea clara de cuán grande es el problema y cómo los hackers están explotando estos sistemas. De hecho se cre que el número de ataques revelados es inferior al real.

leer más
Diarleth G.Se incrementan los ataques de Ransomware en los Estados Unidos
2.png

La versatilidad del malware Echobot asusta a millones

Si existe algo que parece no tener fin son la aparición de nuevos y mejorados malware. Como por ejemplo Echobot. Esta última amenaza llega para dejar con la boca abierta al hasta ahora poderoso malware Mirai. ¿Pero por qué decimos esto? Pues bien, parece que esta amenaza ha encontrado maneras de volverse mucho más versátil con el pasar de los días, incluso se cree que pudiera estar evolucionando por sí mismo. En el siguiente post te decimos cómo la versatilidad del malware Echobot asusta a millones en todo el mundo.

Echobot: un malware muy versátil y de temer

No pasa un mes sin que aparezca una nueva red de bots importante de la nada y lance ataques masivos contra los dispositivos inteligentes de las personas, ya sea utilizando las credenciales predeterminadas para controlar el dispositivo o utilizando vulnerabilidades para las antiguas fallas de seguridad que los propietarios de dispositivos no solucionaron.

Lo último en esta larga lista de malware es una nueva variante del malware Mirai llamada Echobot. Este nuevo malware apareció por primera vez a mediados de mayo, y fue descrito por Palo Alto Networks en un informe publicado a principios de junio. Luego nuevamente en un informe realizado por investigadores de seguridad de Akamai, días atrás.

El malware en sí mismo no aporta nada nuevo al código fuente real de Mirai, lo cual no es una sorpresa, ya que el código Mirai se ha mantenido sin cambios durante años. Sin embargo, los creadores de Echobot agregaron módulos sobre el código fuente original de Mirai. Cuando fue descubierto por la gente de Palo Alto Networks, Echobot estaba utilizando exploits para 18 vulnerabilidades. Pero para cuando se publicó el informe Akamai, una semana después, Echobot tenía 26.

Esta extraña forma de evolucionar una red de bots utilizando exploits no relacionadas no es exclusiva de Echobot, sino es un proceso a través del cual pasan todas las redes de bots de IoT. Desde el exterior, los autores de malware parecen elegir sus ataques al azar, pero hay un proceso que siguen en toda esta locura.

Tal cual como algunos autores de bots de IoT le han dicho a ZDNet en el pasado. Comienzan seleccionando exploits al azar, pero solo mantienen los que traen una gran cantidad de dispositivos infectados (bots) y descartan los que no funcionan. Los exploits se reciclan a través de una botnet en cuestión de días, si no están funcionando. En retrospectiva, el arsenal actual de vulnerabilidades de Echobot se puede ver como una lista de las vulnerabilidades de mayor rendimiento de los robots actuales, y una lista que los propietarios de dispositivos y los proveedores de seguridad querrían echar un vistazo, ya que proporciona una mejor perspectiva.

Por ejemplo, en lugar de apegarse a dispositivos con sistemas operativos integrados como enrutadores, cámaras y DVR, las redes de bots IoT ahora están utilizando vulnerabilidades en la web empresarial (Oracle WebLogic) y en el software de red (VMware SD-WAN) para infectar objetivos y propagar malware.

leer más
Diarleth G.La versatilidad del malware Echobot asusta a millones
3.jpg

El malware Triton amenaza con destruir las redes eléctricas de los Estados Unidos

El desarrollo tecnológico no solo mejora nuestra calidad de vida, también nos coloca ante nuevos desafíos como es el estar alerta ante la posibilidad de un fuerte ataque cibernético a la infraestructura de un país. Estos ataques les cuestan a los países millones de dólares al año y nos mantiene vulnerables ante nuevas y más versátiles amenazas. Ahora, archivos maliciosos como los malware han adoptado características tan poderosas que pueden destruir sistemas e infraestructura de cualquier tipo. En siguiente post por ejemplo, te diremos cómo el malware Triton amenaza con destruir las redes eléctricas de los Estados Unidos.

El malware Triton amenaza con destruir las redes eléctricas de los Estados Unidos

Los responsables detrás del épico ataque Tritón, el cual en 2017 violentó y cerró un sistema de instrumentación de seguridad física en una planta petroquímica en Arabia Saudita, ahora se han descubierto sondeando las redes de decenas de empresas eléctricas tanto en Estados Unidos como en Asia y el Pacifico.

La firma de seguridad del sistema de control industrial (ICS) Dragos, que llama al grupo de ataque XENOTIME, afirma que los atacantes en realidad comenzaron a escanear redes de servicios eléctricos en las regiones de EE. UU a fines de 2018 utilizando herramientas y métodos similares a como lo hicieron con la planta petroquímica.

Estos hallazgos traen sobre la mesa la preocupación entre los expertos en seguridad de que el grupo Triton expandiría su alcance en la red eléctrica. Hasta la fecha, el único ataque exitoso conocido públicamente fue el de la planta de Arabia Saudita en 2017. En ese ataque, el malware Triton se descubrió incrustado en el controlador del sistema de seguridad de un cliente de Schneider Electric. El ataque  pudo haber sido catastrófico, pero un aparente paso en falso por parte de los atacantes cerró inadvertidamente el sistema Schneider Triconex Emergency Shut Down (ESD).

Dragos afirmo en su informe  que no existe evidencia en este momento de que XENOTIME pueda realizar un ataque cibernético tan potente que pudiera destruir los sistemas eléctricos pero aseguran que la actividad recién descubierta del grupo de hackers en torno a los proveedores de redes eléctricas es preocupante Sergio Caltagirone, vicepresidente de inteligencia sobre amenazas. en dragos dijo:

“XENOTIME, la amenaza cibernética más peligrosa del mundo, es un excelente ejemplo de la proliferación de amenazas en ICS. Lo que una vez se consideró una amenaza de petróleo y gas ahora también es una amenaza eléctrica”.

Por otro lado, FireEye Mandiant reveló a principios de este año que descubrió el código de ataque de Tritón instalado en una organización industrial de la cual no se revelo su identidad, lo que marca el primer ataque revelado públicamente por el grupo de Tritón desde el incidente original en la planta árabe. Los analistas de FireEye encontraron un conjunto de herramientas personalizadas de Triton vinculadas a la organización de esta segunda víctima y los atacantes dentro de la red corporativa de TI de la víctima.

Asimismo el grupo XENOTIME en 2018 también comprometió a varios proveedores de ICS, lo que generó la preocupación de que libraran ataques a la cadena de suministro. Es difícil saber cuál será su siguiente blanco pero las empresas de seguridad informática sin duda están muy preocupadas.

leer más
Diarleth G.El malware Triton amenaza con destruir las redes eléctricas de los Estados Unidos
Planta-industrial.jpg

Hackers detrás de ‘Trisis’ atacan otra instalación de infraestructura crítica

Los hackers detrás del notorio malware conocido como Trisis, código que se dirige a sistemas de seguridad cruciales en instalaciones industriales peligrosas, están de vuelta.

Investigadores de la firma de ciberseguridad FireEye que rastrearon a los piratas informáticos detrás de Trisis (también conocida como Tritón), que se enfocaron en una planta petroquímica saudí en 2017, encontraron que el mismo grupo ha infectado una segunda instalación no especificada de “infraestructura crítica“. El grupo estaba vinculado previamente al gobierno ruso.

FireEye no dijo quién era el nuevo objetivo. Esta es una práctica a veces común en los hackeos que son revelados por las empresas contratadas para responder a ellos; a las empresas de seguridad a menudo no se les permite revelar información sobre sus clientes. Infraestructura crítica es un término que se usa ampliamente en el mundo de la seguridad, pero a menudo se refiere a centrales eléctricas, instalaciones de tratamiento de agua, redes eléctricas y otras instalaciones de alto perfil que brindan importantes servicios sociales.

Poco más de un mes después de que Venezuela experimentara el peor y más costoso apagón eléctrico en su historia reciente, y que el presidente Madura atribuyera como un ataque electromagnético imperialista a los EEUU para desestabilizar a la región, sólo podemos especular que si efectivamente se trató de un ciberataque, Venezuela podría haber sido víctima del mismo (o una variante de) Trisis.

Apagón en Venezuela en Marzo, 2019 deja paralizado a gran parte del país por casi siete días.

La próxima generación en ciberataques

Desde su aparición en 2017, se describió a Trisis como “la próxima generación en ciberataques” que, por su propia existencia, intensificaría la carrera armamentista de hackeo global.

No hay muchos detalles disponibles sobre el segundo ataque, aparte de que se descubrió que el grupo estaba implementando malware creado especialmente para redes de TI tradicionales para robar credenciales y ejecutar comandos en máquinas remotas. Eso es a diferencia del ataque original de Trisis, que se dirigió directamente a los sistemas de control industrial. El nuevo descubrimiento apunta a la actividad continua de uno de los grupos de piratería más infames del mundo.

Los atacantes detrás de Trisis también tienen más trabajo en su currículum, incluyendo ciberataques a firmas industriales en EEUU.

El nuevo ataque reportado fue capturado en las primeras etapas de un intento de desarrollar la capacidad de causar daño físico en las instalaciones seleccionadas. Los defensores encontraron nuevos conjuntos de herramientas personalizadas, diseñadas para obtener acceso a los sistemas de sus objetivos.

Los investigadores también investigaron a profundidad al ataque de agosto de 2017 contra las instalaciones sauditas, revelando que los piratas informáticos pasaron más de un año trabajando metódicamente para obtener acceso sin alertar a los defensores. La cantidad de tiempo invertido y enfoque deliberado, según los investigadores, sugiere un enfoque en el trabajo silencioso que probablemente significa que están presentes en otras instalaciones específicas y aún no se han detectado.

El ataque de Trisis de 2017 podría haber destruido la instalación petroquímica saudita si el software no hubiera contenido un error. En lugar de causar un daño importante, el ataque solo provocó un cierre y puso en alerta al mundo de la ciberseguridad.

Historia de Malware ICS

La crisis pertenece a una clase de malware extremadamente rara y poderosa que se dirige a los sistemas industriales de control (ICS por sus siglas en Inglés).

  • En 2010, Stuxnet fue una de las ciberamenazas ICS más sofisticadas descubiertas. Esta arma cibernética fue creada para apuntar a centrífugas iraníes. Fue capaz de reprogramar un controlador lógico programable (PLC) particular para cambiar la velocidad de las rotaciones de la centrífuga. El objetivo de Stuxnet no era destruir, sino tomar el control del proceso industrial.
  • En 2013, el malware Havex se dirigió a las redes de energía, empresas de electricidad y muchos otros. Los atacantes recolectaron una gran cantidad de datos y monitorearon sistemas industriales de forma remota. Havex fue creado para espionaje y sabotaje.
  • BlackEnergy se descubrió en 2015. Se enfocó en infraestructura crítica y destruyó archivos almacenados en estaciones de trabajo y servidores. En Ucrania, 230.000 personas quedaron en la oscuridad durante seis horas después de que los piratas informáticos comprometieron varios centros de distribución de energía.
  • En 2015, IronGate fue descubierto en fuentes públicas. Se enfocó en los sistemas de control de Siemens y tenía funcionalidades similares a las de Stuxnet. No está claro si esto fue una prueba de concepto o una herramienta de prueba de penetración simple.
  • Industroyer (también llamado Crashoverride) volvió a golpear a Ucrania en 2016. El malware incorporó un componente de limpieza de datos y un módulo de denegación de servicios distribuidos. Fue diseñado para la destrucción. El ataque provocó un segundo cierre de la red eléctrica de Ucrania.
  • En 2017, Tritón/Trisis fue descubierto. El ataque no tuvo éxito; las consecuencias podrían haber sido desastrosas.

Estos ataques a menudo también son llevados a cabo por actores estado que pueden estar interesados ​​en prepararse para operaciones de contingencia en lugar de realizar un ataque inmediato“, señala el informe de FireEye. “Durante este tiempo, el atacante debe garantizar el acceso continuo al entorno objetivo o correr el riesgo de perder años de esfuerzo y la propiedad de malware tipo ICS potencialmente costoso. Este ataque no fue la excepción“.

El informe de FireEye contiene una lista de archivos, hashes, tácticas, técnicas y procedimientos (TTP) para ayudar a defenderse ante el grupo de hackers aún activo.

No solo se pueden usar estos TTP para encontrar evidencia de intrusiones, sino que la identificación de la actividad que tiene fuertes superposiciones con las técnicas favoritas del actor puede llevar a evaluaciones más sólidas de la asociación de actores, lo que refuerza aún más los esfuerzos de respuesta a incidentes“, señala el informe.

leer más
Isaul CarballarHackers detrás de ‘Trisis’ atacan otra instalación de infraestructura crítica
taj-mahal-apt.jpg

El nuevo kit de ciberespionaje ‘TajMahal’ incluye 80 módulos maliciosos

TajMahal, una plataforma de ciberespionaje previamente desconocida que cuenta con aproximadamente 80 módulos maliciosos diferentes y activa desde al menos 2013, fue descubierta por el equipo de investigación de Kaspersky Lab a fines de 2018.

A pesar de que estuvo activo durante los últimos seis años, “con la primera muestra fechada en abril de 2013 y la más reciente en agosto de 2018“, el marco de la amenaza persistente avanzada (APT por sus siglas en inglés) aún no está conectado a ningún grupo de piratas informáticos o hackers.

Como lo descubrió Kaspersky Lab, TajMahal es un marco de ataque de múltiples etapas que viene con dos paquetes maliciosos, que se denominan Tokio y Yokohama, y ​​se cayeron uno tras otro en la computadora del objetivo.

El paquete más pequeño de Tokio implementado durante la primera etapa de infección viene con funcionalidad de puerta trasera y se usa para eliminar el paquete de espionaje de Yokohama con todas las funciones que incluye alrededor de “80 módulos en total, e incluyen cargadores, orquestadores, comunicadores de comando y control, grabadores de audio, ‘keyloggers’, capturadores de pantalla y webcam, ladrones de claves y criptografía“.

Todos los sistemas en los que los investigadores encontraron el marco TajMahal en la naturaleza fueron infectados tanto por Tokio como por Yokohama, lo que sugiere que ambos permanezcan funcionales en las máquinas comprometidas, lo que infiere “que Tokio se usó como primera infección, implementando el sistema completamente funcional. Paquete de Yokohama sobre víctimas interesantes, y luego se dejó para fines de copia de seguridad “.

Una vez que Yokohama se deja caer en la computadora de la víctima, se utiliza para buscar documentos interesantes y archivos multimedia, robar cookies y copias de seguridad, deslizar archivos de la cola de la impresora, CD grabados y dispositivos de almacenamiento USB.

Todos estos datos recopilados se envían posteriormente a un servidor de comando y control controlado por el grupo de piratería detrás del marco APT en forma de un archivo XML denominado TajMahal.

Debido a que una entidad diplomática de Asia central es la única víctima confirmada por TajMahal por parte de los investigadores, dado que el ataque tuvo lugar en 2014, a pesar de que el marco se usó durante al menos cinco años, Kaspersky Labteorizó que existen otros objetivos que tenían sus sistemas informáticos comprometidos utilizando esta plataforma de ciberespionaje“.

Algunas de las capacidades descubiertas por los investigadores de Kaspersky Lab al examinar el marco de trabajo de TajMahal son:

  • Capaz de robar documentos enviados a la cola de la impresora.
  • Los datos recopilados para el reconocimiento de víctimas incluyen la lista de respaldo para dispositivos móviles de Apple.
  • Toma capturas de pantalla al grabar audio de aplicaciones VoiceIP.
  • Roba imágenes de CD escritas.
  • Capaz de robar archivos vistos previamente en unidades extraíbles una vez que estén disponibles nuevamente.
  • Roba cookies de Internet Explorer, Netscape Navigator, FireFox y RealNetworks.
  • Si se elimina del archivo de frontend o de los valores de registro relacionados, volverá a aparecer después de reiniciar con un nuevo nombre y tipo de inicio.

Más víctimas aún no identificadas

El analista principal de malware de Kaspersky Lab, Alexey Shulmin , dijo : “El marco de trabajo TajMahal es un hallazgo muy interesante e intrigante. La sofisticación técnica está fuera de toda duda y presenta una funcionalidad que no hemos visto antes en los APTs (actores avanzados de amenazas). Quedan algunas preguntas. Por ejemplo, parece muy improbable que se realice una inversión tan grande para una sola víctima“.

Además, “Esto sugiere que hay otras víctimas aún no identificadas, o versiones adicionales de este malware en la naturaleza, o posiblemente ambos. Los vectores de distribución e infección para la amenaza también siguen siendo desconocidos. De alguna manera, se ha mantenido bajo el radar para más de cinco años. Ya sea debido a una relativa inactividad o algo más, es otra pregunta interesante. No hay pistas de atribución ni enlaces que podamos encontrar en grupos de amenazas conocidos“.

A pocos días de que se diera a conocer la existencia de Tritón, el malware capaz de destruir al mundo, ahora nos enteramos de la presencia casi invisible de un nuevo paquete malicioso quizá más elaborado.

leer más
Isaul CarballarEl nuevo kit de ciberespionaje ‘TajMahal’ incluye 80 módulos maliciosos
Triton-malware.jpg

Conoce a Tritón, el Malware capaz de destruir el mundo

Entre los tipos de virus más complejos están los malware. Un malware es un software malicioso que busca acceder a un computador o dispositivo móvil sin consentimiento del usuario y que puede plagiar una gran cantidad de datos sin que puedas detectarlo hasta que es demasiado tarde. Pero existen malwares dañinos, y Tritón (también conocido como Trisis), el malware más poderoso del mundo.

Tritón, el Malware más poderoso del mundo, capaz incluso de destruirlo

De todos los malware que han existido, Tritón es por mucho el ciberataque a equipos industriales más despiadado y destructivo del mundo y se está propagando. El código malicioso puede deshabilitar los sistemas industriales de control (SIC) y seguridad diseñados para evitar accidentes industriales catastróficos. El mismo fue descubierto en el Medio Oriente, y los piratas informáticos detrás de él están apuntando a compañías en América del Norte y otras partes del mundo.

Hace poco el consultor de ciberseguridad australiano, Julian Gutmanis, fue llamado con carácter de urgencia para hacer acto de presencia en una plata petroquímica en Arabia Saudita por una razón que le dejó la sangre helada.

Los piratas informáticos habían implementado un software malicioso o malware, que les permitió controlar los sistemas instrumentados de seguridad de la planta. Estos controladores físicos y su software asociado son la última línea de defensa contra desastres que amenazan la vida. Se supone que se activan si detectan condiciones peligrosas, devuelven los procesos a niveles seguros o los apagan por completo activando elementos como válvulas de cierre y mecanismos de liberación de presión.

El malware hizo posible controlar estos sistemas de forma remota. Si los intrusos los hubieran deshabilitaron o manipulado las consecuencias podrían haber sido catastróficas. Afortunadamente, una falla en el código alejó a los hackers antes de que pudieran hacer daño. En junio de 2017, provocó una respuesta de un sistema de seguridad que detuvo la planta. Luego, en agosto, otros sistemas se dispararon, causando otro cierre.

El primer apagón se creyó de forma errada que se trataba de una falla mecánica; Después del segundo, los dueños de la planta llamaron a los investigadores. Los detectives encontraron el malware, que desde entonces se ha denominado “Tritón”, para el modelo de controlador de seguridad Triconex al que se dirigió, fabricado por la compañía francesa Schneider Electric.

Al atacar la planta, los hackers cruzaron una aterradora línea. Esta fue la primera vez que el mundo de la ciberseguridad había visto un código diseñado deliberadamente para poner en riesgo vidas humanas. Los sistemas instrumentados de seguridad no solo se encuentran en plantas petroquímicas; también son la última línea de defensa en todo, desde sistemas de transporte hasta instalaciones de tratamiento de agua y centrales nucleares.

El descubrimiento de Tritón plantea preguntas sobre cómo los hackers pudieron ingresar a estos sistemas críticos. También llega en un momento en que las instalaciones industriales están incorporando conectividad en todo tipo de equipos, un fenómeno conocido como el Internet industrial de las cosas. Esta conectividad permite a los trabajadores monitorear equipos de forma remota y recopilar datos rápidamente para que puedan hacer las operaciones de forma más eficientes, pero también les permiten a los piratas informáticos acceder a más objetivos potenciales.

A pesar de que este hecho ocurrió en el 2017, los culpables no han sido capturados, ni siquiera parecen haber avanzado en la investigación. Recordemos que en los últimos tres años los hackers han evolucionado impresionantemente lo que nos hacen pensar ¿hasta dónde no serán capaces de llegar?

leer más
Diarleth G.Conoce a Tritón, el Malware capaz de destruir el mundo
bigscreen-3.jpg

Man in the Room: ciberataques en mundos de realidad virtual

Las ciber amenazas avanzan al mismo paso de las nuevas tecnologías, y en ese contexto ha surgido un nuevo tipo de amenaza conocido como “man in the room”, es decir, ataques para escenarios de realidad virtual.

Bigscreen, una popular aplicación de VR disponible en Steam (versiones para HTC Vive, Oculus Rift, Windows Mixed Reality), ha sido el foco de estas nuevas amenazas. La app es bastante atractiva para los atacantes porque cuenta con 500.000 usuarios, a quienes ofrece salas de chat virtuales, proyectos para colaborar e incluso proyecciones que anuncian en su cine virtual, a las que los usuarios pueden asistir virtualmente.

Pero la Universidad de New Haven se dio a la tarea de realizar un análisis forense sobre la aplicación, y en ese proceso descubrieron una serie de vulnerabilidades que permiten a cualquier usuario con los conocimientos técnicos necesarios, “colarse” en la habitación que deseen y luego tomar el control del equipo de sus víctimas con la posibilidad de dejar malware instalado.

Las vulnerabilidades del sistema permiten al atacante saber cuando la víctima entra y sale en una sala VR. Puede además activar el micrófono de manera remota para escuchar las conversaciones o hacer mucho daño al instalar un malware que al autoreplicarse infecte otros equipos.

El atacante además puede ver en tiempo real lo que se proyecta en la pantalla del ordenador de la víctima. También puede falsear su identidad en la aplicación VR, tomando su avatar y chateando como si se tratara del usuario.

Luego de esta investigación, Bigscreen asegura haber resuelto (parcheado) las vulnerabilidades y que ahora sus usuarios pueden utilizar la app tranquilamente. Pero lo que nos deja esta artimaña de “man in the room” es la certeza de que los cibertatacantes pueden colarse con facilidad en estos mundos de realidad virtual que están en pleno desarrollo, y que todavía no se han enfocado en crear medidas serias de seguridad.

leer más
Diarleth G.Man in the Room: ciberataques en mundos de realidad virtual