Los bots son pequeños algoritmos creados para realizar tareas muy precisas, de hecho se usan fuertemente en el mundo del comercio digital. Sin embargo, muchos de estos pequeños robots son usados de forma maliciosa para causar algún tipo de estrago. A pocos meses del hackeo de la nuevo consola de PlayStation, los videojugadores mundiales tienen una nueva amenaza de cuál preocuparse. Recientemente se descubrió que el famoso juego de computadoras Counter-Strike es usado para crear miles de bots maliciosos y en este post te contamos rápidamente el caso.
Counter-Strike es
usado para crear miles de bots maliciosos
Un propietario de un servicio de servidores de juegos Counter-Strike ha usado durante varios días la versión del juego Counter-Strike 1.6 para crear una gran red de bots. La red estaba formada por servidores de juegos falsos para el popular juego multijugador en línea.
El atacante ha tenido bastante éxito. En un análisis
reciente, un 39 % de todos los servidores del juego Counter-Strike 1.6
existentes vistos en línea fueron realmente maliciosos. Según su propietario,
Valve, en todo el mundo hay 300 millones de jugadores de Counter-Strike, un
juego de disparos en primera persona en el que equipos de terroristas buscan
atacar y los antiterroristas buscan evitarlo.
Si bien Counter-Strike 1.6 es una versión algo vieja
que no ha estado en desarrollo activo durante algunos años, según los
investigadores, el número de jugadores que utilizan clientes oficiales de CS
1.6 alcanza un promedio de 20,000 clientes en línea en cualquier momento. Así
que esto todavía representa un campo fértil para que los cibercriminales hagan
crecer sus actividades ilícitas.
En Counter-Strike, los jugadores se emparejan
automáticamente con el mejor servidor público alojado por Valve con la tasa de
ping más baja, o pueden elegir uno manualmente. Afortunadamente, el cliente CS
1.6 muestra a los jugadores una lista de servidores disponibles junto con sus
tasas de ping. El troyano aprovecha esto para atraer a las víctimas.
Una vez configurado en el sistema, este troyano
reemplaza la lista de servidores de juegos disponibles y crea distintos proxys
en la computadora infectada para propagar el troyano.
Los hacker evolucionan tan rápido como lo hacen los
sistemas, un ejemplo de esto lo vemos con el uso de los malware que han
descendido notoriamente en los últimos dos años gracias a la aparición de
PowerShell, una herramienta que te permite invadir un sistema sin que puedas
darte cuenta de nada. Así que ahora no se necesita un malware si puedes usar
PowerShell.
Cómo funciona PowerShell
Si tienes aires de hacker pregúntate para qué
necesitas un malware si puedes usar PowerShell. Según parece, gracias a las
nuevas forma de hackeos la red privada
de cualquier empresa puede ser saqueada por scripts automatizados sin la
necesidad de recurrir a algún malware.
De hecho, investigadores de X-Force de IBM encontraron que menos de un 50% de los ataques analizados en 2018 utilizaban algún tipo de archivo instalado localmente. En su lugar, los hackers utilizaron scripts de PowerShell para ejecutar sus acciones en la memoria sin tocar significativamente los sistemas de archivos.
Este descubrimiento es importante porque les recuerda
a los administradores que ya no pueden confiar únicamente en la detección de malware
y datos similares en los discos duros y otros dispositivos de almacenamiento,
para identificar las intrusiones cibernéticas.
Pero ¿Cómo
hacen esto? Al igual que con las infecciones de malware local, el atacante
primero debe tener la capacidad de ejecutar comandos maliciosos. Lo que difiere
es el siguiente paso, ya que el hacker no dirige a la máquina infectada a
descargar, guardar y ejecutar una carga de troyanos. Más bien, el ataque se
ejecuta completamente en la memoria usando PowerShell, donde se puede usar el
poderoso lenguaje de scripting de Microsoft para hacer cualquier cosa, desde la
recolección y el robo de contraseñas hasta la minería de criptomoneda.
Sin embargo, es posible crear un sistema de protección
envolvente alrededor de PowerShell para evitar que se abuse de ellas, como
requerir que las secuencias de comandos estén firmadas digitalmente. PowerShell
es útil en la recopilación y análisis de datos, pero también favorece a los hackers que lo utilizan para
renunciar al sistema de archivos e inyectar código malicioso directamente en la
memoria, mejorando así la ofuscación y, a menudo, evitando los controles de
seguridad diseñados para detectar implementaciones de malware.
En informe emitido
por IBM se puede leer lo siguiente:
«Los hackers han expandido sus capacidades utilizando PowerShell en los últimos años. IBM X-Force IRIS ha encontrado casos en los que los paquetes de herramientas maliciosos completos estaban contenidos en los scripts de PowerShell».
En algunos casos, los delincuentes ni siquiera necesitarían ejecutar un exploit super-leet para robar datos corporativos. El informe de X-Force señala que los incidentes de mala configuración, en los casos en que las bases de datos y los compartimientos de almacenamiento se dejaron expuestos a la Internet pública, también aumentaron un 20% respecto al año pasado y representaron el 43% de todos los registros expuestos.
Además de los archivos y registros expuestos, los
errores de configuración también pueden provocar indirectamente otros ataques
cuando se trata de contraseñas y direcciones de correo electrónico que se
utilizan para iniciar sesión en otras cuentas y llevar a cabo otras fechorías.
Finalmente, según el informe, los ataques de ingeniería social siguen siendo tan efectivos como siempre.
Un software malicioso se hace pasar por reCAPTCHA de
Google permitiendo que un gran número de usuarios caigan en la trampa y
vulnerando sus computadoras. En el siguiente post te contamos de qué se trata y
quiénes fueron los afectados.
Un software
malicioso se hace pasar por reCAPTCHA de Google
Se trata de una campaña de phishing por correo electrónico que se describió distribuyendo software malicioso con la ayuda de una nueva técnica que disfraza su contenido con un sistema falso de reCAPTCHA supuestamente de Google. Sucuri, la compañía de seguridad cibernética, explica que la campaña se dirigió a cierto banco polaco junto con sus clientes y utilizó tácticas de creación de pánico para que las víctimas pudieran seguir enlaces web falsos implantados en los correos electrónicos fraudulentos.
Estos phishing pedían a los destinatarios de los
correos electrónicos que confirmaran una transacción reciente, mientras hacían
esto debían también hacer clic en cierto enlace que conduce a un archivo PHP
malévolo. De acuerdo con los investigadores de Sucuri, seguir el enlace web y
aterrizar en el archivo PHP falso los llevaría a una página web falsa «error
404». A partir de entonces, un reCAPTCHA falso de Google se cargaría a
través del archivo PHP, y la carga utilizaría elementos de JavaScript y HTML.
El sistema reCAPTCHA es un sistema de validación que
ayuda a identificar los robots de forma distinta a los visitantes reales del
sitio web. Los investigadores declararon que la reCAPTCHA falsa parecía
auténtica. Según los analistas de seguridad de Sucuri la página web falsa copia
efectivamente la reCAPTCHA de Google; sin embargo, como depende de cosas
estáticas, nunca habrá cambios en las imágenes hasta que, por supuesto, se
altere el código malicioso de PHP.
Este software malicioso tiene la capacidad de
interpretar los contactos, el área de existencia y el estado del dispositivo
móvil de destino. Examina y envía mensajes SMS,
graba audio, marca números de teléfono para hablar y filtra ciertos tipos de
información confidencial. Los programas de software antivirus han detectado
el troyano como Artemis, Evo-gen,
BankBot, Banker y más.
Sucuri sugiere que al abordar el tipo de troyano, los administradores deben borrar los archivos dentro de una queja asociada; sin embargo, se recomienda encarecidamente que examinen cualquier base de datos y archivos de sitios web existentes para detectar software malicioso. Además, todas las contraseñas deben actualizarse para evitar el ataque.
Las Pymes, y en especial los contadores, son el nuevo objetivos de los hackers. Así lo han manifestado expertos a Karsperky Daily, quienes además agregaron que los nuevos virus troyanos han sido creados con el propósito de robar dinero a cuentas de empresas.
Los ciberatacantes se están centrando en las pequeñas empresas, porque por lo general invierten mucho menos en sus sistemas de ciberseguridad. En ese sentido, dos tipos de virus, el RTM y el Buhtrap, están siendo especialmente utilizados para robar datos y dinero. ¿Cómo identificar estos ataques?
El RTM, por ejemplo, es un virus que infecta las máquinas mediante correos phishing que imitan correspondencia típica empresarial. Hablamos de solicitudes de pago, copias de documentos del último mes, facturaciones, etc. Los correos vienen acompañados de un enlace o archivo adjunto y una vez que haces clic los hackers obtienen el acceso a tus sistemas infectados.
Actualmente, RTM es uno de los troyanos financieros más utilizados. Principalmente, es un virus que afecta a Rusia, pero este año se estima que las fronteras se abrirán y que el número de ataques será mayor y global.
Por otro lado, Buhtrap es un grupo de ciberatacantes establecidos en Rusia desde 2014. Pero desde 2016, se le llama así a un troyano financiero. Particularmente el año pasado este virus protagonizó muchos titulares de la prensa porque implantó scripts maliciosos. Estos scripts ejecutaron un exploit para Internet Explorer en los navegadores de los visitantes. Pero luego de que esta artimaña se hizo popular, decidieron pasar a otro blanco: los contadores.
Además de los crecientes riesgos cibernéticos al sistema financiero, desde mediados del año pasado, los contadores de pequeñas y medianas empresas se han convertido en el blanco de los ataques Buhtrap. Y en esta ocasión igualmente, Buhtrap se está propagando a través de exploits incrustados en plataformas de prensa virtual. Especialmente, los usuarios que utilizan Internet Explorer están en mayor riesgo.
Tanto Buhtrap como RTM proporcionan acceso a los sistemas más comprometidos. Los ciberatacantes pueden modificar archivos, que permiten intercambiar datos entre los sistemas de contabilidad y banca. Karsperky Daily informa que los hackers están desviando fondos en transacciones inferiores a los 15,000 dólares.
Cómo protegerte
Las pequeñas y medianas empresas invierten menos en ciberseguridad, pero hay algunos consejos a considerar:
La ciberseguridad es al ahora el tema del día, no solo
para las organizaciones sino para las personas comunes como nosotros. Los
delincuentes digitales se han hecho expertos en burlar cualquier mecanismo de
seguridad, algo que nos aterra porque no podemos vivir sin nuestros dispositivos
electrónicos, pero al usarlos estamos expuestos a ser atacados por estos
personajes.
Recientemente se descubrió un malware que es capaz de robar información importante de tu navegador. De hecho, este malware podría estar plagiando tus contraseñas ahora mismo mientras lees este post.
El malware que podría estar plagiando tus contraseñas
La compañía de ciberseguridad global Palo Alto Networks descubrió un malware que puede robar nombres de usuario y contraseñas guardados en Google Chrome, credenciales de tarjetas de crédito guardadas en mensajes de texto de Chrome y iPhone si se realiza una copia de seguridad en una MacOS.
El malware es conocido como «CookieMiner» y es capaz de robar las cookies del navegador asociadas con los intercambios de criptomonedas convencionales y los sitios web de servicios de billetera visitados por las víctimas. Por eso es que decimos que este malware podría estar plagiando tus contraseñas, ya que CookieMiner (link en inglés) roba las contraseñas que has guardado en los mensajes de texto de Chrome y las de tu iPhone aunque de este último lo hace de las copias de seguridad de iTunes.
Si el malware tiene éxito, los atacantes tendrían
acceso completo no solo a la cuenta de Google Chrome, sino a cuentas bancarias
o tarjetas de crédito y disponer de sus fondos como si se tratará del mismo
dueño.
Es por esto que la empresa de seguridad recomienda que
los propietarios de criptomonedas deben vigilar sus configuraciones de
seguridad y activos digitales para evitar cualquier clase de riesgo. Sin
embargo, estas recomendaciones pueden tomarse a nivel general ya que cualquier
persona pudiera ser víctima de estos ataques sin tener que ser alguien que
trabaje o use criptomonedas.
Según un investigador, se han secuestrado más de 400,000 enrutadores para extraer criptomoneda en secreto
Investigadores han encontrado más de 415,000 ruteadores (routers) en todo el mundo que han sido secuestrados para minar criptomonedas de forma secreta. Los enrutadores se han infectado con malware para poder robar la capacidad de cómputo y poder generar las criptomonedas.
Un nuevo informe sugiere que más de 415,000 enrutadores a nivel mundial podrían verse afectados por un malware que permite a los hackers robar el poder de cómputo de las PC conectadas para explotar la criptomoneda en un esquema conocido como cryptojacking. El número de enrutadores afectados se ha más que duplicado desde que el malware se descubrió inicialmente en agosto. En ese momento, se informó que alrededor de 200,000 enrutadores fueron afectados.
«No me sorprendería si la cantidad real de enrutadores infectados en total fuera aproximadamente de 350,000 a 400,000»
Dijo el investigador de seguridad VriesHD a The Next Web.
Aunque la amenaza de malware se está expandiendo, solo afecta a los usuarios que usan enrutadores MikroTik. «Vale la pena señalar que el número de dispositivos violados podría estar ligeramente fuera, ya que los datos reflejan las direcciones IP que se sabe que se han infectado con scripts de cryptojacking», informó The Next Web. «Aún así, la cantidad total de enrutadores comprometidos sigue siendo bastante alta».
The crypto-jacking epidemic continues: Over 415,000 routers have been infected with malware designed to secretly mine cryptocurrency
Los atacantes supuestamente favorecían a CoinHive, un software de minería para Monero (XMR), una criptomoneda orientada inicialmente a la privacidad. Sin embargo, el investigador reveló que también se han cambiado a otro software de minería. «CoinHive, Omine y CoinImp son los servicios más grandes utilizados», reveló VriesHD. «Solía ser como un 80-90 por ciento de CoinHive, pero un gran actor ha cambiado a usar Omine en los últimos meses».
Además, VriesHD señaló que los proveedores de servicios de Internet (ISP) pueden ayudar a combatir la propagación del malware. Se puede hacer simplemente forzando actualizaciones a los enrutadores. Según el investigador, los usuarios deben actualizar sus enrutadores, pero el problema es que la mayoría de ellos están distribuidos por los ISP a los usuarios.
Y, a menudo, no saben cómo actualizar el enrutador y, a menudo, los enrutadores distribuidos tienen derechos limitados donde los usuarios no pueden actualizar los enrutadores por sí mismos.
«El parche para este problema específico se ha publicado hace meses y he visto ISPs con miles de infecciones desaparecer de la lista «
Sin embargo, la buena noticia es que un parche se preparó un día después del descubrimiento para eliminar a los enrutadores afectados del malwarecryptojacking. Los expertos en seguridad recomiendan que los usuarios de los enrutadores MikroTik descarguen el último firmware del sitio web de la compañía para mantenerse a la vanguardia del malware.
Aunque la burbuja de la criptomoneda ha explotado, lo que ha provocado un exceso de tarjetas gráficas que se almacenaron durante el apogeo del auge de las criptografías, el cryptojacking sigue siendo una seria amenaza para la seguridad.
En un incidente separado el mes pasado, la Universidad St. Francis Xavier de Canadá en Nueva Escocia se vio obligada a cerrar toda su red luego de consultar con expertos en seguridad cibernética al descubrir que un hacker había pirateado el sistema de la universidad para robar recursos informáticos para Bitcoin.
Afortunadamente para los ataques de cryptojacking, la información personal en o transmitida a través de la red generalmente no se ve comprometida, a diferencia de la historia del malware Wi-Fi vinculado a Rusia de principios de este año. Con el cryptojacking, los atacantes están interesados principalmente en la potencia de cómputo que está conectada a la red Wi-Fi con el fin de aprovechar la criptomoneda.
Conoce 5 formas para detectar si tu teléfono está siendo utilizado ilegalmente por hackers para el minado de criptomonedas
¿Sabías que los malware que infectan smartphones están en aumento tanto como el auge del Bitcoin? Tu celular podría estar minando criptomonedas en el bolsillo de otra persona y tu no lo sabes. Sin embargo, hoy te acercaremos un poco más al tema y te mostraremos 5 maneras de detectar a los ciberdelincuentes husmeando en tu smartphone.
Para empezar, ¿qué son las criptomonedas? Son sencillamente divisas o monedas virtuales, con las que se pueden hacer transacciones o comercializaciones, la más popular es el Bitcoin y se tiene noticia de ellas desde finales de los noventa (1998, con Wei Dai), aunque su auge y grandes promesas ha llegado en esta última década.
Ahora bien, para obtener las criptomonedas es necesario minar. Cualquier sistema monetario suele imprimir los billetes para “crear” el dinero. En el caso del Bitcoin, lo que haces es acuñarte a un sistema y en el proceso competir con cientos de millones de ordenadores remotos en la resolución de un problema matemático en segundos, de esa manera, cada vez que ganas automáticamente generas criptomonedas (lo hace tu ordenador, no tú).
Dicho esto, los smartphones, desde su sistema operativo, se han unido a esta revolución del Bitcoin. Muchas personas usan sus celulares para minar desde distintos programas. Pero ¿Sabías que tu smartphone puede infectarse con un malware y estar minando sin que siquiera lo sepas? Es un hecho, te ayudamos a descubrirlo con estas cinco alertas para saber si tu smartphone está siendo utilizado por hackers para minado de criptomonedas.
1. Tu dispositivo se calienta y pierde carga rápidamente
Es un síntoma de una infección en el sistema, aunque no necesariamente indica que están minando dentro tu equipo. Sin embargo, si el celular se recalienta en períodos específicos debes chequearlo.
2. ¡Cuidado con las aplicaciones falsas!
¡No te confíes! Antes de descargar aplicaciones de Google Play o iTunes iOS, verifica que sean las originales. Según la empresa especializada en ciberseguridad Kaspersky, los principales malware mineros se instalan con falsas versiones de Instagram, Netflix, Bitmoji, y otras.
3. Atención con los llamados “marcos web”
Generalmente estos son técnicas de diseño que facilitan la creación de aplicaciones móviles, y algunos están disponibles en Google Play. Pero Kaspersky informa que pueden ocultar sistemas mineros. Es decir, mientras realizan la función que promocionan, al mismo tiempo minan criptomonedas.
4. Aplicaciones relacionadas con el fútbol y la televisión
Fanáticos del fútbol, lo sentimos, pero están en riesgo. La empresa de seguridad alertó que aplicaciones relacionadas con el fútbol y la televisión venían infectadas con el malware minero. Con nombres como PlacarTV se instalaron en miles de smartphones.
“Este tipo de herramientas se distribuyeron a través de la tienda Google Play y la más popular se instaló más de 100.000 veces”, declaró Kaspersky.
Quienes instalaron PlacarTV saben de hecho que la aplicación no ofrecía ninguna de las funciones que promocionaba, solo era un espejismo para incitar a los usuarios a descargar el malware. En algunos casos incluso se descarga como una aplicación porno o se encripta como parte del sistema Android Service para evitar ser desintalada.
5. Tu desconocimiento es poder para los mineros
La capacidad de minar de un smartphone no es igual que la de un computador, a decir verdad es muy limitada. Sin embargo, los ciberdelincuentes se han valido de la desinformación para propagar el malware y que lo anides en tu celular por largo tiempo a partir de las descargas consensuadas.
En ese sentido, no debes ignorar que tu teléfono es un equipo potencial para minar a través del malware ¿y por qué? Posiblemente ni siquiera tengas un antivirus en tu Smartphone y de hecho los que existen no son lo suficientemente sofisticados. Así que, en efecto, el ignorar todo lo antes dicho es la mejor manera de exponer tu móvil a una infección.
La solución permite que las víctimas del GandCrab pueden descifrar los archivos de forma gratuita y segura
Las empresas y los usuarios domésticos afectados por las últimas versiones del ransomware GandCrab ahora pueden recuperar sus archivos bloqueados de forma gratuita, gracias a una nueva herramienta de descifrado.
Es la herramienta de descifrado más completa disponible hasta la fecha para esta familia de ransomware en particular: funciona para todas las versiones de malware excepto las dos existentes (v.1,4 y 5), independientemente de la ubicación geográfica de la víctima. Esta herramienta se lanzó una semana después de que el grupo criminal detrás de GandCrab hiciera claves de descifrado públicas que permitieran que solo un grupo limitado de víctimas ubicadas en Siria recuperaran sus archivos.
El GandCrab 5.0.5 Ransomware continúa siendo distribuido a través de archivos corruptos de Microsoft Word, archivos PDF, páginas de phishing y actualizaciones falsas de las fuentes utilizadas en Mozilla Firefox y Google Chrome. Como se mencionó anteriormente, el GandCrab Ransomware se opera como una plataforma de Ransomware-as-a-Service, y la amenaza se propaga de varias formas. Se recomienda a los usuarios de PC que eviten archivos de ubicaciones no verificadas y remitentes de correo electrónico y se abstengan de usar software pirateado.
¿Qué es GandCrab?
El ransomware GandCrab se descubrió a fines de enero de 2018 cuando se ofrecía com Ransomware como servicio (RaaS por sus siglas en Inglés Ransomware-as-a-Service) y pronto se convirtió en el ransomware más popular y extendido del año.
El ransomware es un tipo de malware que encripta todos los datos en una máquina, red y nube, y exige un rescate en criptomoneda para regresar la clave de descifrado. Las víctimas generalmente solo tienen unos pocos días para pagar o nunca volverán a ver su información.
¿Cómo funciona GandCrab?
GandCrab se distribuye a través de múltiples vectores de difusión, que incluyen correos electrónicos no deseados (también conocidos como spam), kits de explotación y otras campañas de programas maliciosos afiliados. Estos correos electrónicos no deseados engañan a los usuarios para que abran el archivo contenido en el archivo ZIP adjunto, que generalmente es un script que descarga el ransomware de GandCrab y lo ejecuta.
El archivo JavaScript está muy oculto. Tras la ejecución, decodifica una URL donde se aloja GandCrab. El script luego descarga el malware a un archivo en el disco y lo ejecuta.
Una vez que GandCrab se apodera de la computadora de la víctima y encripta sus archivos, exige un rescate que oscila entre los US$300 y los US$6000. El rescate se debe pagar a través de monedas virtuales DASH que hacen que las transacciones en línea sean menos rastreables.
¿Porqué es tan peligroso GandCrab?
GandCrab está disponible para todos los cibercriminales basados en un modelo de malware como servicio, lo que lo convierte en una de las amenazas de ransomware más agresivas que existen actualmente. Los ciberdelincuentes sin experiencia pueden usar el kit de herramientas de GandCrab para lanzar sus propios ataques si aceptan pagar un recorte del 30 por ciento a los creadores del ransomware.
En febrero, la policía rumana puso a disposición una primera herramienta de descifrado en No More Ransom, con el apoyo de la compañía de seguridad de Internet Bitdefender y Europol. Una segunda versión del ransomware GandCrab fue posteriormente lanzada por los delincuentes, esta vez con una codificación mejorada que incluía comentarios para provocar la aplicación de la ley, compañías de seguridad y No More Ransom. Una tercera versión siguió un día después.
Ahora en su quinta versión, este malware de bloqueo de archivos continúa actualizándose a un ritmo agresivo. Sus desarrolladores están lanzando constantemente nuevas versiones, con nuevas y más sofisticadas muestras disponibles para evitar las contramedidas de los proveedores de ciberseguridad.
Incluso con la nueva herramienta de descifrado disponible, es probable que GandCrab evolucione y continúe atacando a los usuarios, al menos hasta que sus autores sean identificados y arrestados.
¿Cómo descifrar archivos infectados por GandCrab?
Las víctimas del ransomware GandCrab pueden recuperar sus archivos sin ceder a las demandas de los delincuentes gracias a una nueva herramienta de descifrado publicada gratuitamente en https://www.nomoreransom.org/es/decryption-tools.html
La herramienta de descifrado, dice Bitdefender, se ha desarrollado en estrecha colaboración con Europol y la policía rumana, con el apoyo del FBI y «otras agencias de aplicación de la ley».
«El lanzamiento de esta herramienta de descifrado es un avance espectacular que destaca la efectividad de la colaboración entre los proveedores de seguridad y las agencias de aplicación de la ley», dijo un portavoz de Bitdefender.
«Hemos pasado meses investigando criptografía y desplegando una infraestructura considerable para hacer esto posible y ayudar a las víctimas a recuperar el control de sus vidas digitales sin costo alguno».
Los expertos en seguridad cibernética están advirtiendo a todos, empresas y personas, que se mantengan seguros, tengan cuidado al abrir enlaces y archivos adjuntos en los correos electrónicos, que guarden una copia de seguridad de los archivos importantes en un disco fuera de línea y que instalen una solución antivirus.
Spammers, y no hackers contratados por gobiernos, pudieron haber estado detrás del hackeo a Facebook del mes pasado que robó 30 millones de cuentas
Agencia de marketing detrás del hackeo de Facebook
Robaron los datos personales de 30 millones de cuentas
Intención del ataque era generar publicidad engañosa para descargas ilegales, entre otros
Según un reporte reciente del Wall Street Journal (WSJ), investigadores internos de Facebook sospechan que los atacantes son un grupo de spammers de Facebook e Instagram que anteriormente se hicieron pasar por una empresa de marketing digital. Su objetivo era ganar dinero a través de anuncios engañosos, y no precisamente desatar una guerra cibernética.
Aunque Facebook no ha confirmado el reporte del WSJ, siguen callados respecto a quién es el autor del ataque más grande de su historia, limitándose a citar la participación de FBI en el caso. «El FBI está investigando activamente y nos ha pedido que no discutamos quién podría estar detrás de este ataque», dijo el vicepresidente Guy Rosen la semana pasada.
Si los spammers estaban realmente detrás del hackeo, su objetivo probable era recopilar datos de contacto para enviar anuncios. La semana pasada, Facebook reveló que los misteriosos atacantes estaban enfocados en acceder a la información de cerca de 30 millones de usuarios afectados en este ataque.
Para hackear a Facebook, los atacantes explotaron tres vulnerabilidades para robar los tokens de acceso digital de los usuarios, lo que les permitiría hacerse cargo de la cuenta de alguien.
Intención de hackers era publicidad engañosa
Desde el 14 de septiembre hasta aproximadamente el 27 de septiembre, los piratas informáticos utilizaron un proceso automatizado para esencialmente copiar los datos de cuenta en cuenta. Entre los detalles a los que se accedió se encontraban el nombre, números de teléfono y direcciones de correo electrónico. Además, los hackers tendrían acceso a 14 millones de cuentas con detalles relacionados con su ubicación, educación, trabajo y búsquedas más recientes en Facebook.
Recibir anuncios engañosos puede parecer inofensivo, pero los actores criminales pueden optar por explotar los datos robados con fines de robo de identidad, robo de cuentas de correo electrónico o esquemas de phishing. Imagina que tu bandeja de entrada de correo electrónico o tu celular son bombardeados con mensajes que te podrían redirigir a descargar malware. A su vez, quien haya robado los datos también podría decidir compartirlos con otras personas.
Ya te he explicado como saber si tu Facebook fue hackeado. Adicionalmente, la compañía está aconsejando a los usuarios que tengan cuidado con las llamadas no deseadas, los mensajes de texto y los correos electrónicos de personas que no conocen. «Si recibes un mensaje o correo electrónico que dice ser de Facebook, siempre puedes revisar correos electrónicos de seguridad recientes para confirmar si son legítimos», indica Facebook en su blog.
Hackers Rusos están de regreso y con nuevas prioridades
APT28, uno de los grupos de hackers y cibercriminales más activos en la historia reciente, está de regreso y con nuevas prioridades. El grupo está vinculado directamente con el gobierno Ruso según el Departamento de Seguridad Nacional (DHS). Al grupo APT28 (también conocido como Fancy Bear, Pawn Storm, Grizzly Steppe, Sofacy Group, Sednit y STRONTIUM) se le atribuye el hackeo de las elecciones de 2016 en los Estados Unidos, en particular de las oficinas del Comité Nacional Demócrata (DNC por sus siglas en inglés Democratic National Commitee).
El foco de APT28 o Fancy Bear está ahora en la obtención de datos de inteligencia geopolítica y espionaje cibernético. Sus nuevos objetivos incluyen operaciones en Europa y Sudamérica. Según un informe recientemente publicado por la firma de ciberseguridad Symantec.
Breve Historia de APT28
APT28 ha estado activo por lo menos desde enero del 2007, pero recibió una gran atención pública durante 2016, cuando estuvo implicado en una serie de ataques cibernéticos en el período previo a la elección presidencial de EEUU.
Uno de los mayores ataques del grupo fue en la primavera de 2016, cuando el grupo APT28 envió correos electrónicos de phishing a objetivos políticos, incluidos miembros del Comité Nacional Demócrata (DNC). Estos correos electrónicos fueron diseñados para engañar a los destinatarios para que supuestamente cambien sus contraseñas de correo electrónico en un dominio de correo electrónico falso. El grupo de ataque luego usó estas credenciales robadas para obtener acceso a la red DNC, instalar malware, moverse a través de la red y robar datos, incluido un montón de correos electrónicos. La información comprometida se filtró más tarde en línea.
Estos ataques electorales señalaron un cambio de tácticas por parte de APT28, alejándose de su anterior recopilación de inteligencia de bajo perfil hacia una actividad más abierta, que aparentemente pretendía desestabilizar e interrumpir a las organizaciones y países víctimas. A partir de este momento, desviando el curso de las elecciones en los EEUU y posiblemente cambiando el curso de la historia.
El grupo también fue responsable del ataque de 2016 a la Agencia Mundial Antidopaje (WADA) y de la filtración de información confidencial sobre pruebas de drogas o antidoping. En consonancia con su cambio a tácticas más abiertas, el grupo pareció tomar el crédito público por el ataque, filtrando la información en un sitio web con el nombre de ‘Fancy Bears’, un nombre en clave de la industria que ya era ampliamente utilizado por el grupo.
Fancy Bear contraataca
Fancy Bear, o APT28, ha estado activo al menos desde 2007 y se ha enfocado en gobiernos, militares y organizaciones de seguridad en todo el mundo. Según los expertos de Symantec, desde el 2017 y continuando durante el 2018, el grupo APT28 está de regresó con objetivos de inteligencia secreta en Europa y América del Sur.
Algunos de los objetivos del grupo APT28 incluyen:
Una organización internacional muy conocida,
Objetivos militares en Europa,
Gobiernos en Europa,
Un gobierno de un país sudamericano,
Una embajada perteneciente a un país de Europa del Este.
¿Cuáles son las herramientas de ataque de Fancy Bear/APT28?
APT28 utiliza una serie de herramientas para comprometer a sus objetivos. El malware principal del grupo es Sofacy, que tiene dos componentes principales. Trojan.Sofacy (también conocido como Seduploader) realiza un reconocimiento básico en una computadora infectada y puede descargar más malware. Backdoor.SofacyX (también conocido como X-Agent) es un malware de segunda etapa, capaz de robar información de la computadora infectada. También existe una versión para Mac del troyano (OSX.Sofacy).
APT28 ha continuado desarrollando sus herramientas en los últimos dos años. Por ejemplo, Trojan.Shunnael (también conocido como X-Tunnel), el malware utilizado para mantener el acceso a las redes infectadas utilizando un túnel cifrado, se sometió a una reescritura en .NET.
Además de esto, el grupo también comenzó a usar un rootkit UEFI (Interfaz de firmware extensible unificada) conocido como Lojax. Debido a que el rootkit reside dentro de la memoria flash de una computadora, permite a los atacantes mantener una presencia persistente en una máquina comprometida incluso si se reemplaza el disco duro o se reinstala el sistema operativo. Los productos de Symantec bloquean los intentos de instalar Lojax con el nombre de detección Trojan.Lojax.
Vínculos con otros grupos
Los investigadores de Symantec también destacaron los posibles enlaces a otras operaciones de espionaje, incluido el Earworm que ha estado activo desde al menos mayo de 2016 y está involucrado en operaciones de recopilación de inteligencia contra objetivos militares en Europa, Asia Central y Asia Oriental.
El grupo Earworm llevó a cabo campañas de phishing dirigidas a entregar el descargador Trojan.Zekapab y el Backdoor.Zekapab.
Los expertos notaron cierta superposición con las infraestructuras de comando y control utilizadas por Earworm y APT28.
«Durante 2016, Symantec observó cierta superposición entre la infraestructura de comando y control (C&C) utilizada por Earworm y la infraestructura C&C utilizada por Grizzly Steppe (el nombre de código del gobierno de EEUU para denominar a APT28 y actores relacionados), lo que implica una posible conexión entre Earworm y APT28. Sin embargo, Earworm también parece realizar operaciones separadas de APT28 y, por lo tanto, Symantec las rastrea como un grupo distinto.» Indica el reporte
Sin Motivos Para Detenerse
Aunque las campañas recientes ven al grupo APT28 regresar a las operaciones de recopilación de inteligencia secreta en Europa y América del Sur, no son evidentes sus objetivos a largo plazo.
«Ahora está claro que luego de haber estado implicado en los ataques a las elecciones presidenciales de EEUU a fines de 2016, la publicidad resultante no logró intimidar al grupo APT28 y continúan organizando nuevos ataques con sus herramientas existentes«, afirmó Symantec en su sitio.
La implicación es sorprendente: el mundo sabe quiénes son estos intrusos y cómo operan, pero seguirán enfocándose (y probablemente infiltrándose) en los sistemas de todo el mundo. Todavía no hay motivos evidentes que logren detener a estos grupos.