ElevenPaths ElevenPaths amplía su cartera de soluciones de seguridad en la nube con Prisma Cloud de Palo Alto Networks La compañía de ciberseguridad de Telefónica Tech ha alcanzado el estatus de Socio Premier Public Cloud MSSP de Palo Alto Networks ElevenPaths, la compañía de ciberseguridad de Telefónica Tech, ha...
ElevenPaths ElevenPaths Radio #8 – Incidente de seguridad, primeros pasos Los ataques informáticos son cada vez más frecuentes, afectando desde las grandes corporaciones, gobiernos y también a las pequeñas empresas. Lo más importante es saber cómo actuar ente un...
ElevenPaths Resumen del II Encuentro de Privacidad de Telefónica: “GDPR Y LOPDGDD: de la teoría a la práctica” El pasado 9 de mayo, celebramos el II Encuentro de Privacidad organizado por Telefónica en el Auditorio Central del mismo. Durante la jornada tratamos temas de gran relevancia en la actualidad: la...
ElevenPaths ElevenPaths Radio – 2×03 Entrevista a Acacio Martín En este episodio entrevistamos a Acacio Martín, Director Regional para España y Portugal de Fortinet, una de las mayores proveedoras de ciberseguridad.
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 1-7 de agosto Base de datos de más de 900 servidores empresariales Pulse Secure VPN Se ha detectado una publicación en foros underground que muestra la existencia de una base de datos con...
Andrés Naranjo Análisis de APPs relacionadas con COVID19 usando Tacyt (I) Aprovechando toda la atención que acapara este asunto, los markets oficiales de APPs, Google Play y Apple Store, han recibido un aluvión de aplicaciones diariamente. Ambas plataformas, sobre todo...
ElevenPaths El ¿milagroso? machine learning y el malware. Claves para ejercitar el escepticismo (I) En el principio de la detección del malware se usó la firma. Después vino la heurística, la nube, el big data y en los últimos tiempos, machine learning y...
ElevenPaths El “circuito comercial” del adware/malware de Android ¿Cómo funcionan las mafias chinas a tiempo completo, creando malware para Android? ¿Controla una gran banda china, buena parte del adware más peligroso? Dr. Web descubrió hace poco malware/adware...
ElevenPaths ElevenPaths amplía su cartera de soluciones de seguridad en la nube con Prisma Cloud de Palo Alto Networks La compañía de ciberseguridad de Telefónica Tech ha alcanzado el estatus de Socio Premier Public Cloud MSSP de Palo Alto Networks ElevenPaths, la compañía de ciberseguridad de Telefónica Tech, ha...
ElevenPaths ElevenPaths Radio #8 – Incidente de seguridad, primeros pasos Los ataques informáticos son cada vez más frecuentes, afectando desde las grandes corporaciones, gobiernos y también a las pequeñas empresas. Lo más importante es saber cómo actuar ente un...
Diego Samuel Espitia GandCrab: historia del ransomware de principio a fin Fue en enero de 2018 cuando se detectaron las primeras muestras de un Ransomware-as-a-Service (RaaS), que llamaron GrandCrab. No solo fue uno de los primeros en ser ofrecido como...
Gonzalo Álvarez Marañón El gran reto de la computación segura en la nube: usando datos cifrados sin descifrarlos (I) Tomás dirige una asesoría fiscal y lleva la contabilidad de docenas de clientes. Almacena toda la información de sus clientes en la nube, de esta manera, se olvida de...
Conti, el ransomware más rápido del Oeste: 32 hilos de CPU en paralelo pero… ¿para qué?Sergio De Los Santos 13 julio, 2020 Quien piense que el ransomware “de menudeo” que infecta a usuarios y pide un rescate es un peligro, quizás es que no conoce el ransomware utilizado contra las redes de las compañías, porque tras unos años entre nosotros, el ransomware ha madurado. Se ha industrializado, especializado y sofisticado contra unas víctimas mucho más lucrativas, y de qué manera. Conti, el más rápido de los ransomware, es sólo un ejemplo de cómo están evolucionado. Veamos qué trucos utiliza y por qué. Ha sido Carbon Black quien ha analizado una nueva versión de Conti, descubriendo nuevos niveles de sofisticación. Porque donde está la acción y la verdadera innovación en el malware es en los ataques dirigidos a empresas. Estos ataques entran a través de mensajes de correo con adjuntos, habitualmente Excel o Word con macros o que aprovechan vulnerabilidades de Office. Realizan movimientos laterales hasta situarse en un servidor donde se “agazapan” esperando su oportunidad. Desde ahí lanzan ataques de secuestro de datos y piden rescates millonarios para que la compañía continúe con su operativa. En comparación, el ransomware “casero” que afecta a los sistemas de usuario prácticamente es una broma pesada. Veamos en qué han innovado estos atacantes y por qué. El más rápido del Oeste Conti utiliza 32 hilos simultáneos de CPU. Esto permite que cifre muy rápido todo el disco duro o cualquier fichero que se le ponga delante. Sería como lanzar 32 copias de un ransomware “normal” en paralelo. ¿Por qué hacen esto, para qué quieren ir tan rápido? Suelen lanzar este ataque cuando ya están en uno de esos servidores potentes en la red de la compañía con bastantes privilegios (normalmente el controlador de dominio local). El sistema se presupone potente en CPU y capaz de lanzar todas esas hebras. También permite atacar a sistemas con un gran disco duro, con muchos datos (también de backup). Cuanto más rápido es el ransomware, antes puede pasar desapercibido ante cualquier sistema de alerta, desde los reactivos hasta los preventivos. Siempre será demasiado tarde. Tira la piedra y esconde la mano Otra característica interesante de Conti es que, de nuevo “agazapado” en un servidor, puede atacar a la red colindante y cifrar las unidades compartidas de sistemas vecinos. De este modo, los administradores de red no sabrán de dónde les viene el ataque porque lo natural es pensar que la máquina con los ficheros cifrados es la infectada. Nada de eso: el paciente cero puede andar muy lejos, lanzando cifrados muy rápidos a diestro y siniestro. Evita hacer ruido usando ARP Para saber qué máquinas se encuentran a tu alrededor, tienes dos opciones: analizar las IPs de la propia red y recorrer el rango o usar un ARP-a y saber con qué máquinas has contactado recientemente. Esto último es justo lo que hace Conti. Para Conti, un fichero bloqueado no es un problema Si estás en un servidor con una base de datos jugosa, normalmente sus datos estarán siempre “bloqueados” por el sistema operativo o la propia base de datos. Cifrarlos será imposible porque no puedes tocar un fichero que pertenece a un proceso que lo tiene en exclusiva. Desde el punto de vista de los atacantes ¿Cómo cifrarlo entonces? Primero Conti mata cualquier proceso que tenga “sql” en su nombre. Muy pocas familias utilizan además el truco que usa este ransomware para cifrar los archivos, que es valerse del Restart Manager, la fórmula que utiliza el propio Windows para matar limpiamente los procesos antes de apagar el sistema operativo. Es como si matara procesos limpiamente como si fuera Windows antes de reiniciar, pero sin necesidad de reiniciar. Y aquí es donde también hace falta velocidad y la razón de tener 32 hebras. Matar un proceso crítico es muy ruidoso, los administradores se darán cuenta enseguida de que algo va mal. Desde el punto de vista del malware, si tienes un buen montón de ficheros pesados por delante, lo mejor es cifrarlos rápido tras matar al proceso padre si quieres conseguir tu objetivo. Cifra todas las extensiones menos exe, dll, lnk, y sys Conti es muy agresivo. La mayoría del ransomware “casero” busca extensiones potencialmente valiosas para la víctima. Documentos, fotografías, datos, etc. Conti lo cifra todo menos los ejecutables, binarios y drivers. Para agilizar, evita algunos directorios de sistema. Por supuesto, todo esto no impide que el ransowmare cuente con las tecnologías habituales para este tipo de ataques. Desde el borrado de las shadow copies (aunque de forma especial) hasta las claves púbicas que cifran la clave AES de 256 bits incrustada en cada fichero cifrado. Por último, el mérito del análisis de esta muestra es mayor cuando se conoce que ofusca su propio código de una manera especial. Conti intenta ocultar cada string, cada llamada a API de sistema usando un algoritmo diferente para ello con claves diferentes… y así hasta 277 funciones (algoritmos) usados internamente solo para desofuscarse a sí mismo on the fly. ElevenPaths Radio #7 – El camino tras un análisis de seguridadUniversidad y empresa: el talento está ahí fuera (III)
ElevenPaths ElevenPaths amplía su cartera de soluciones de seguridad en la nube con Prisma Cloud de Palo Alto Networks La compañía de ciberseguridad de Telefónica Tech ha alcanzado el estatus de Socio Premier Public Cloud MSSP de Palo Alto Networks ElevenPaths, la compañía de ciberseguridad de Telefónica Tech, ha...
ElevenPaths ElevenPaths Radio #8 – Incidente de seguridad, primeros pasos Los ataques informáticos son cada vez más frecuentes, afectando desde las grandes corporaciones, gobiernos y también a las pequeñas empresas. Lo más importante es saber cómo actuar ente un...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 1-7 de agosto Base de datos de más de 900 servidores empresariales Pulse Secure VPN Se ha detectado una publicación en foros underground que muestra la existencia de una base de datos con...
Andrés Naranjo Análisis de APPs relacionadas con COVID19 usando Tacyt (I) Aprovechando toda la atención que acapara este asunto, los markets oficiales de APPs, Google Play y Apple Store, han recibido un aluvión de aplicaciones diariamente. Ambas plataformas, sobre todo...
ElevenPaths ElevenPaths se une a la OpenSSF para mejorar la seguridad del software open source Esta nueva Fundación para la Seguridad del Código Abierto (OpenSSF) reúne a las empresas líderes en tecnología como Microsoft, Google, Red Hat e IBM, entre otrosCombina los esfuerzos de...
Sergio De Los Santos ¿Qué recomiendan los criminales de la industria del ransomware para que no te afecte el ransomware? Todos conocemos las recomendaciones de seguridad que ofrecen los profesionales para protegerse del malware. Habitualmente: utilizar el sentido común (personalmente, uno de los consejos menos aplicables y abstractos que...
