Sergio De Los Santos Ciberseguros y cibercrimen ante “la devastadora epidemia global de ransomware”. Se eliminan coberturas AXA Francia elimina de su cobertura de ciberseguro el pago de rescate por ransomware. Descubre qué significa para el futuro de este tipo de cibercrimen.
ElevenPaths Boletín semanal de ciberseguridad 1-7 de mayo Apple corrige cuatro vulnerabilidades día cero en WebKit Apple publicó ayer actualizaciones de seguridad para corregir cuatro vulnerabilidades de día cero que podrían estar siendo activamente explotadas, según indica la propia entidad....
ElevenPaths Los 4 mejores lenguajes de programación para principiantes ¿Este año te has propuesto nuevos retos pero no sabes por dónde empezar? ¿Qué te parecería convertirte en todo un experto de la programación? Sabemos que así, en frío,...
ElevenPaths Telefónica y ElevenPaths presentamos la mejor oferta integral de seguridad del mercado gracias a la firma de alianzas con los mejores partners del sector En el marco del III Security Innovation Day de la compañía TELEFÓNICA PRESENTA LA MEJOR OFERTA INTEGRAL DE SEGURIDAD DEL MERCADO Y FIRMA ALIANZAS CON LOS MEJORES PARTNERS DEL SECTOR...
ElevenPaths Boletín semanal de ciberseguridad 1-7 de mayo Apple corrige cuatro vulnerabilidades día cero en WebKit Apple publicó ayer actualizaciones de seguridad para corregir cuatro vulnerabilidades de día cero que podrían estar siendo activamente explotadas, según indica la propia entidad....
Diego Samuel Espitia Fileless malware: ataques en crecimiento pero controlables Los ataques de fileless malware han aumentado un 900% desde 20219, descubre cómo protegerte.
J. Francisco Bolívar Verificación en dos pasos en WhatsApp, ¿seguridad o engaño? Analizamos el preocupante funcionamiento del doble factor de autenticación de la herramienta WhastApp. ¿Es realmente una medida de seguridad?
Sergio De Los Santos ¿Qué recomiendan los criminales de la industria del ransomware para que no te afecte el ransomware? Todos conocemos las recomendaciones de seguridad que ofrecen los profesionales para protegerse del malware. Habitualmente: utilizar el sentido común (personalmente, uno de los consejos menos aplicables y abstractos que...
Sergio De Los Santos Ciberseguros y cibercrimen ante “la devastadora epidemia global de ransomware”. Se eliminan coberturas AXA Francia elimina de su cobertura de ciberseguro el pago de rescate por ransomware. Descubre qué significa para el futuro de este tipo de cibercrimen.
ElevenPaths Boletín semanal de ciberseguridad 1-7 de mayo Apple corrige cuatro vulnerabilidades día cero en WebKit Apple publicó ayer actualizaciones de seguridad para corregir cuatro vulnerabilidades de día cero que podrían estar siendo activamente explotadas, según indica la propia entidad....
Diego Samuel Espitia Las contraseñas están en vía de extinción En todos los sitios donde se brinda algún servicio en Internet nos piden un usuario y una contraseña para acceder a los servicios que ofrecen, sin embargo, la mayoría...
ElevenPaths ¿Qué es el Cryptojacking? Resumen de esta nueva amenaza Seguro que has oído hablar de las criptomonedas y de la tecnología Blockchain aplicada a la seguridad de estas nuevas divisas, pero este nueva manera de realizar transacciones también...
El ataque a SolarWinds finalmente desvela dos pesadillas: qué se ha hecho bien y qué malSergio De Los Santos 22 diciembre, 2020 A estas alturas, todos los profesionales de la ciberseguridad saben al menos una parte de lo que, en principio, se creía “solo” un ataque a SolarWinds, pero que ha desembocado en una de las operaciones más interesantes de los últimos años. Nos detendremos en los detalles más curiosos del incidente pero también vamos a poner en foco en la gestión de esta crisis. Qué se ha hecho bien y qué mal para calibrar la madurez de una industria que sufrirá más y peores golpes que este en el futuro. FireEye levanta la voz de alarma el martes 8 de diciembre. Han sido atacados. Pero la industria no culpa a FireEye por ello, sino que los respalda y apoya en general, su respuesta es ejemplar. A muchos les ha pasado y a todos nos puede pasar, así que lo importante es cómo se responda y ser resiliente. Puesto que los atacantes tienen acceso a herramientas delicadas internas de su compañía, FireEye hace algo que les honra por la industria: publican las reglas Yara necesarias para detectar si alguien está usando esas herramientas robadas del equipo ofensivo de FireEye contra una compañía. Un buen gesto que de nuevo es reconocido públicamente. No se sabe mucho más del incidente y se sigue investigando. Pero luego todo se complica, y de qué manera. Comienzan las noticias: el departamento del Tesoro de EEUU y otros muchos departamentos gubernamentales también reconocen un ataque. El mismo día 13, FireEye ofrece un detalle muy importante: el problema radica en la troyanización del software Orion de SolarWinds. Un paquete de actualización, firmado por la propia SolarWinds, contenía una puerta trasera. Se calcula que unas 18.000 compañías utilizan este sistema. Se destapa la caja de Pandora por las características propias del ataque y porque es un software usado en muchas grandes empresas y gobiernos. Y puesto que a problemas globales hacen falta reacciones globales y coordinadas, aquí es donde parece que algo no funcionó. ¿Falló la coordinación? El día siguiente, 14 de diciembre, con la información necesaria para apuntar a la “zona cero” del ataque, todavía los métodos reactivos no funcionaron. En concreto: El paquete troyanizado seguía disponible en el repositorio de SolarWinds aun cuando el día 14 ya hacía al menos una semana (aunque muy probablemente más) que se conocía que ese paquete estaba troyanizado y tenía que ser retirado. Los motores antivirus seguían sin detectar el malware (que se ha dado a conocer como SUNBURST). El mismo lunes no se encontraba en las firmas estáticas de los motores populares.El certificado con el que los atacantes firmaron el software, seguía sin estar revocado. Independientemente de que consiguieran acceso a la clave privada o no (no se sabe), ese certificado debía ser revocado por si el atacante era capaz de firmar otro software en nombre de SolarWinds. Aquí solo podemos elucubrar por qué falló este elemento “reactivo” en cadena. ¿Llegó tarde SolarWinds al ataque? ¿Publicó FireEye los detalles para ejercer presión sobre SolarWindws cuando ya se comenzaba a vislumbrar que el ataque escondía una ofensiva mucho más compleja? Desde luego, la bolsa ha “castigado” de forma diferente a ambas compañías, si es que se puede usar como un método rápido de valoración del mercado de las reacciones ante un compromiso grave. FireEye ha resultado ser el héroe. SolarWinds, el malo de la película. Sin embargo, ha habido reacciones que sí han funcionado, como Microsoft secuestrando el dominio bajo el que se fundamenta todo el ataque (avsavmcloud.com). Que por cierto, fue enviado desde España a urlscan.io de forma manual el 8 de julio. Alguien quizás se percató de algo extraño. La campaña llevaba activa desde marzo. Fuente: https://twitter.com/sshell_/status/1339745377759576065 El malware en sí y la comunidad Lo “bueno” de SUNBURST es que está creado en lenguaje .NET, con lo que resulta relativamente sencillo decompilar y conocer qué ha programado el atacante. Y así, la comunidad comenzó a analizar el software de arriba a abajo y programar herramientas para entenderlo mejor. El malware es extremadamente discreto. No se ponía en marcha hasta más o menos dos semanas después de encontrarse en la víctima. Modificaba tareas programadas del sistema para lanzarse y luego las devolvía a su estado original. Pero una de las características más interesantes del malware es la capacidad para ocultar los dominios que utiliza y que requerían fuerza bruta para desvelarlos (eran hashes). Además, contenía el hash de otros dominios a los que no quería infectar. ¿Cuáles? Costin Riau de Kasperksy los expone: Todos, muy probablemente, internos de la red de SolarWinds, para pasar desapercibidos en su red interna. Un indicio de que la víctima inicial era SolarWinds y que para conseguirlo, los atacantes tenían que conocer bien a su víctima. Se publicó un código para sacar toda lista de herramientas (cuyos nombres estaban también hasheados) para saber qué es lo que no quería ver el troyano en la máquina. Se consiguió desvelar muchas de las herramientas y dominios hasheados en tiempo récord y reconocer qué tenían en mente estos atacantes. Se ha publicado otra una herramienta para descifrar los DGA (Domain Generator Algorithm) donde intentaba contactar el malware. Uno de los puntos fuertes del algoritmo era el DGA precisamente, pero también su punto débil (el dominio de primer nivel era siempre el mismo). Fuente: https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/ Al final, el malware acababa componiendo URLs como esta: hxxps://3mu76044hgf7shjf[.]appsync-api[.]eu-west-1[.]avsvmcloud[.]com /swip/upd/Orion[.]Wireless[.]xml Donde “exfiltraba” la información y se comunicaba con el Command and Control. Bien pensado desde el punto de vista del atacante porque pasa desapercibido a la vista por su “normalidad”, pero mal pensado desde el punto la perspectiva de la persistencia. Otro punto muy interesante que parece que ha pasado desapercibido, es que los atacantes parecieron “inflar” durante 2019 el módulo troyanizado de 500 a 900k, sin inyectar código relevante pero aumentando el tamaño de la DLL. En febrero 2020 introdujeron en esa misma DLL la carga que realizaba el espionaje, con lo que consiguieron un extra de invisibilidad sin levantar sospechas por el aumento de tamaño. No se vayan todavía, aún hay más Más recientemente, parece que Orion de SolarWinds no solo estaba troyanizado con SUNBURST sino también con lo que se ha dado en llamar SUPERNOVA. Quizás otro actor también tuvo la posibilidad de entrar en la red y desplegó un troyano diferente en la herramienta. Aunque todavía no se tienen muchos detalles de su funcionamiento, esta es la segunda pesadilla que todavía puede dar que hablar. Conclusiones Nos encontramos ante uno de los ataques más sofisticados de los últimos tiempos que no solo ha puesto en jaque a una compañía que se dedica a defender a otras compañías, sino a gobiernos, grandes como Microsoft y otros que ni podemos imaginar. Han dado un paso más allá con una campaña casi perfecta por su impacto y ejecución. En otras ocasiones (la RSA, Kaspersky, Bit9, Operación Aurora…), grandes compañías han sido atacadas y también a veces solo como efecto secundario para conseguir llegar hasta a un tercero, pero en esta ocasión se ha dado un paso más allá en la discreción, precisión y “buen hacer” de los atacantes. Y todos gracias a un solo fallo, cómo no: al punto más débil que han sabido detectar en la cadena de suministro de la que dependen grandes actores. Y sí, SolarWinds parecía un eslabón muy débil. En su web recomendaban desactivar el antivirus (aunque esto lamentablemente es habitual para cierto tipo de herramientas) y han demostrado utilizar contraseñas débiles en su operativa, además de que existen indicios de que llevaban más de un año comprometidos… por dos veces. ¿Nos debemos sorprender ante eslabones tan débiles en la cadena de ciberseguridad de la que depende tanto? Dependemos de un panorama ciertamente irregular en cuestión de habilidades en ciberseguridad. Asimétrico en capacidades de respuesta, defensa y prevención, tanto de las víctimas como de atacantes… pero muy democrático en la importancia de cada pieza en la industria. No queda más remedio que responder coordinados y en conjunto para mitigar el riesgo. No es difícil encontrar similitudes fuera del ámbito de la ciberseguridad. En cualquier caso, y afortunadamente, de nuevo, la industria se ha mostrado madura y con capacidad de respuesta conjunta, no solo de la comunidad, sino de los grandes actores. Quizás es el mensaje positivo que podemos llevarnos de una historia que todavía parece no haber acabado del todo. ElevenPaths Radio 3×05 – Entrevista a Gonzalo AsensioTeletrabajo: equilibrio entre control empresarial y privacidad de los trabajadores (II)
Sergio De Los Santos Ciberseguros y cibercrimen ante “la devastadora epidemia global de ransomware”. Se eliminan coberturas AXA Francia elimina de su cobertura de ciberseguro el pago de rescate por ransomware. Descubre qué significa para el futuro de este tipo de cibercrimen.
ElevenPaths Boletín semanal de ciberseguridad 1-7 de mayo Apple corrige cuatro vulnerabilidades día cero en WebKit Apple publicó ayer actualizaciones de seguridad para corregir cuatro vulnerabilidades de día cero que podrían estar siendo activamente explotadas, según indica la propia entidad....
Diego Samuel Espitia Fileless malware: ataques en crecimiento pero controlables Los ataques de fileless malware han aumentado un 900% desde 20219, descubre cómo protegerte.
Gonzalo Álvarez Marañón El futuro de las credenciales universitarias apunta hacia Blockchain y Open Badges Descubre cómo el Blockchain y las OpenBadges van a evolucionar las credenciales tradicionales para eliminar el fraude.
ElevenPaths ElevenPaths Radio 3×13 – Entrevista a Marta García Aller Hablamos sobre algoritmos, privacidad y tecnología con Marta García Aller, periodista de El Confidencial y escritora de "Lo imprevisible".
ElevenPaths Boletín semanal de ciberseguridad 24-30 de abril BadAlloc – Vulnerabilidades críticas en dispositivos IoT y OT de uso industrial Investigadores de seguridad de Microsoft han descubierto 25 vulnerabilidades críticas de ejecución remota de código (RCE), a las...
