ElevenPaths Noticias de Ciberseguridad: Boletín semanal 4-10 de julio Las noticias de ciberseguridad más destacadas de la última semana, recopiladas y analizadas por nuestros expertos del SCC.
Gonzalo Álvarez Marañón Retos y oportunidades de negocio de la criptografía postcuántica Antes o después habrá que dar el salto a la criptografía postcuántica. Descubre este nuevo sistema y prepara a tu organización para el cambio.
ElevenPaths #CyberSecurityPulse: Última actualización sobre Bad Rabbit El pasado 24 de octubre las infecciones sobre un ransomware llamado Bad Rabbit comenzaron a extenderse. En menos de un día, había comprometido organizaciones, principalmente en Rusia, Ucrania, Turquía,...
ElevenPaths New Whitepaper “Scope, scale and risk like never before: Securing the Internet of Things” by Telefónica and ElevenPaths Analyst Team Download here the full Whitepaper This week we are launching both in London and Madrid, in a round table with security analysts and journalists, our new Whitepaper “Scope, scale...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 4-10 de julio Las noticias de ciberseguridad más destacadas de la última semana, recopiladas y analizadas por nuestros expertos del SCC.
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 27 de junio-3 de julio Adobe, Mastercard y Visa advierten de la necesidad de actualizar a Magento 2.x Los proveedores de pagos Visa y Mastercard, junto con Adobe, han intentado por última vez convencer a...
ElevenPaths Eventos en los que participa ElevenPaths en diciembre Un completo resumen de los eventos, charlas y conferencias en los que van a participar los expertos de ElevenPaths durante el mes de diciembre.
ElevenPaths ¿Se desvela una “guerra sucia” en el mundo de los antivirus? (I) En el mundo de los antivirus (y en otros muchos) probablemente existen las “tácticas de guerrilla”, bien sea a través de una publicidad poco honesta, comparativas “compradas”, pequeñas “mentiras”...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 4-10 de julio Las noticias de ciberseguridad más destacadas de la última semana, recopiladas y analizadas por nuestros expertos del SCC.
Carlos Ávila La seguridad y la privacidad en el “Internet de la salud” Lo primero es la salud, pero primero debemos asegurarnos de que nuestros datos médicos cuentan con los mecanismos de seguridad adecuados para ser fiables.
ElevenPaths Celebra con nosotros el #DíaMundialDeLaCiberseguridad Para celebrar con vosotros el Día Internacional de la Ciberseguridad os traemos los cinco post más leídos de nuestro blog.
Gonzalo Álvarez Marañón China encabeza la carrera hacia una Internet cuántica impermeable a los ataques Estamos un paso más cerca de alcanzar el Santo Grial de la criptografía. En este artículo te contamos los detalles.
Analizamos infraestructura del malware Xbash en repositorio público de GitHubDavid García 25 septiembre, 2018 Si mirásemos en una hipotética lista de deseos de un creador de malware, ésta, con bastante seguridad, contendría algo así como: alta capacidad de difusión, bajo nivel de detección y una gran contundencia y eficacia a la hora de ejecutar su payload. A esto, añadiríamos que sea difícil o imposible adjudicar la atribución. Hemos ahondado en la investigación de Xbash, un malware bastante interesante descubierto hace bien poco por Unit42, la unidad de investigación de Palo Alto. El I+D de quienes diseñan estos artefactos no tiene nada que envidiar a los mismos laboratorios que los detectan, estudian y producen una solución (al menos lo intentan) para contrarrestarlos. La eterna carrera del gato y el ratón. De vez en cuando una muestra destaca sobre otra, ya sea por alguna característica diferenciadora o bien por absorber mecánicas novedosas de otras. En la última semana hemos asistido al descubrimiento de Xbash, que aglutina varias fórmulas ya conocidas pero que, unidas, resultan de lo más interesantes: Multiplataforma, ransomware, cryptojacking, capacidad para explotar múltiples servicios y módulo para propagarse por redes locales. La muestra fue detectada por la Unit42 de Palo Alto Networks, que han publicado un detallado estudio disponible aquí. Más allá del estupendo análisis, hemos querido aportar algo de información adicional. El binario es sencillo de conseguir, pero no así tanto acceder al nivel de detalle que proporciona un repositorio con histórico de cambios. Hemos encontrado un interesante repositorio en Github que contiene código e infraestructura del malware y data al menos de principios de mayo de este año. No es la primera vez que Github es usado como repositorio de malware, aunque tampoco es especialmente habitual. En él se encuentra abundante material relacionado con Xbash. En principio, se le atribuye al grupo Iron (llamado así por la operación descubierta precisamente en mayo) y por cierto, también relacionado con el uso de código procedente del hackeo a HackingTeam. De hecho, algunos scripts que se nombran en las respectivas investigaciones poseen idéntico nombre y función en relación con los detectados en el repositorio. El copia y pega o reutilización de código en el mundo del malware, no es extraño. Respecto a las características que ya se han comentado de Xbash, como ya se ha mencionado en otras investigaciones, borra cualquier base de datos alojada en la víctima sin ejecutar acción alguna que permita su recuperación tras el pago de un rescate. Observemos el script “lowerv2.sh”. Aunque emita el mensaje de advertencia, ya se ha borrado el contenido de los directorios root, home, opt, data y var/www. Atentos a los nombres de procesos. Xbash mata los siguientes si se encuentran activos en el sistema. Por los nombres, vemos que son habitualmente atribuidos a malware conocidos en sistemas basados en UNIX. Así, intenta eliminar “competencia”, principalmente mineros conocidos. O dicho del mismo modo, si estos procesos están corriendo en algún sistema es bastante probable que sean maliciosos (carne de IOC): biosetjenkins, Loopback, apaceha, cryptonight, stratum, mixnerdx, performedl, JnKihGjn, irqba2anc1, irqba5xnc1, irqbnc1, ir29xc1, conns, irqbalance, crypto-ool, minexmr, XJnRj, NXLAi, BI5zj, askdljlqw, minerd, minergate, Guard.sh, ysaydh, bonns, donns, kxjd, Duck.sh, bonn.sh, conn.sh, kworker34, kw.sh, pro.sh, polkitd, acpid, icb5o, nopxi, irqbalanc1, minerd, i586, gddr, mstxmr, ddg.2011, wnTKYg, deamon, disk_genius, sourplum Encontramos en el repositorio también dos binarios, “bashf” y “bashg“. Detectados ya por bastantes motores antivirus. Hemos extraído además algunos dominios usados para distribuir los scripts y configuraciones. news.realtimenews.tk down.cacheoffer.tk 3g2upl4pq6kufc4m.tk e3sas6tzvehwgpak.tk xmr.enjoytopic.tk paloaltonetworks.tk Este último registrado por los atacantes con un poco de sorna, evidentemente. Algunos de estos dominios apuntaban directamente al repositorio de Github. De hecho, justo cuando estábamos hilvanando esta investigación el repositorio Github fue cerrado. Sin embargo, pudimos clonarlo para su análisis. Una curiosidad interesante es observar cómo en uno de los commits se muestra el borrado de ciertos archivos, por ejemplo, una imagen: “new.png”. Inspeccionando el elemento borrado (el histórico de git es una maravilla) se ve que contiene un artefacto, en concreto una DLL incrustada en la imagen: Por otro lado, hay una serie de archivos dedicados para Windows. Incrustados en HTML, se encuentran diversas payloads que, a través de VBScript, llaman a Powershell. Una metodología que ya emplearon en otras operaciones y que busca evitar tocar disco. De hecho, hemos encontrado alguna infraestructura reciente (que no se encontraba en el repositorio) de este malware todavía en la caché de Google. El payload, oculto bajo base64, busca elevar privilegios eludiendo UAC. En resumen,una oportunidad de profundizar más en este malware que ha permanecido en Github al menos tres meses, y que aúna buena parte del estado del arte actual del malware más sofisticado, tanto en técnicas como en funcionalidad. La homeostasis del riesgo o cómo agregar medidas de seguridad puede volverte más inseguro“Madrid Digital Revolution” como lema para la mayor feria de comercio electrónico y marketing digital, eShow
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 4-10 de julio Las noticias de ciberseguridad más destacadas de la última semana, recopiladas y analizadas por nuestros expertos del SCC.
Carlos Ávila La seguridad y la privacidad en el “Internet de la salud” Lo primero es la salud, pero primero debemos asegurarnos de que nuestros datos médicos cuentan con los mecanismos de seguridad adecuados para ser fiables.
Gonzalo Álvarez Marañón Retos y oportunidades de negocio de la criptografía postcuántica Antes o después habrá que dar el salto a la criptografía postcuántica. Descubre este nuevo sistema y prepara a tu organización para el cambio.
ElevenPaths Telefónica invierte en Nozomi Networks, compañía líder en seguridad y sistemas de control industrial La inversión refuerza el acuerdo que mantienen ElevenPaths, la compañía de ciberseguridad de Telefónica Tech, y Nozomi Networks.
Área de Innovación y Laboratorio de ElevenPaths Nuevo servidor DoH de ElevenPaths (beta) que filtra dominios maliciosos Descubre el servidor DoH que, gracias a nuestro sistema de inteligencia, filtra dominios maliciosos en tu navegador.
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 27 de junio-3 de julio Adobe, Mastercard y Visa advierten de la necesidad de actualizar a Magento 2.x Los proveedores de pagos Visa y Mastercard, junto con Adobe, han intentado por última vez convencer a...
