Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....
ElevenPaths ElevenPaths Radio – 1×13 Entrevista a Pilar Vila Todo lo que rodea a la figura del perito informático forense en esta entrevista en formato podcast con Pilar Vila, CEO de Forensics&Security.
ElevenPaths ElevenPaths Talks: La Red Bajo Ataque ¡Regístrate aquí! El próximo jueves 9 de marzo únete a un nuevo webcast de ElevenPaths Talks, nuestra serie de webinars sobre ciberseguridad. En esta ocasión aprende con los expertos Arsene...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....
ElevenPaths Mobile connect, el sistema de autenticación basado en el móvil, se implementa en el sector público catalán El sector público catalán incorporará Mobile Connect en el acceso a los servicios del sector público, un innovador sistema de autenticación basado en el móvil que facilita la gestión de...
ElevenPaths Nuevo informe: Detección de botnets en Twitter durante eventos deportivos Una botnet es un número de dispositivos conectados a Internet, cada uno de los cuales está ejecutando uno o más bots. Las botnets pueden utilizarse para realizar ataques DDoS,...
Área de Innovación y Laboratorio de ElevenPaths ElevenPaths pasa a formar parte del Atlas de Ciberseguridad de la Comisión Europea El Área de Innovación y Laboratorio de ElevenPaths ha sido incluida como como parte del Atlas de Ciberseguridad de la Comisión Europea, una plataforma de gestión del conocimiento que...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Eventos en los que participa ElevenPaths en noviembre Presentamos las principales conferencias y charlas en las que participan los expertos y embajadores de ElevenPaths durante el mes de noviembre.
ElevenPaths ElevenPaths Talks: Conceptos Generales de TOTP ¡Regístrate aquí! El próximo jueves 24 de noviembre nuestro compañero Claudio Caracciolo impartirá la charla Conceptos Generales de TOTP, en la que repasará todos los sistemas relacionados con un segundo factor de...
Conti, el ransomware más rápido del Oeste: 32 hilos de CPU en paralelo pero… ¿para qué?Sergio De Los Santos 13 julio, 2020 Quien piense que el ransomware “de menudeo” que infecta a usuarios y pide un rescate es un peligro, quizás es que no conoce el ransomware utilizado contra las redes de las compañías, porque tras unos años entre nosotros, el ransomware ha madurado. Se ha industrializado, especializado y sofisticado contra unas víctimas mucho más lucrativas, y de qué manera. Conti, el más rápido de los ransomware, es sólo un ejemplo de cómo están evolucionado. Veamos qué trucos utiliza y por qué. Ha sido Carbon Black quien ha analizado una nueva versión de Conti, descubriendo nuevos niveles de sofisticación. Porque donde está la acción y la verdadera innovación en el malware es en los ataques dirigidos a empresas. Estos ataques entran a través de mensajes de correo con adjuntos, habitualmente Excel o Word con macros o que aprovechan vulnerabilidades de Office. Realizan movimientos laterales hasta situarse en un servidor donde se “agazapan” esperando su oportunidad. Desde ahí lanzan ataques de secuestro de datos y piden rescates millonarios para que la compañía continúe con su operativa. En comparación, el ransomware “casero” que afecta a los sistemas de usuario prácticamente es una broma pesada. Veamos en qué han innovado estos atacantes y por qué. El más rápido del Oeste Conti utiliza 32 hilos simultáneos de CPU. Esto permite que cifre muy rápido todo el disco duro o cualquier fichero que se le ponga delante. Sería como lanzar 32 copias de un ransomware “normal” en paralelo. ¿Por qué hacen esto, para qué quieren ir tan rápido? Suelen lanzar este ataque cuando ya están en uno de esos servidores potentes en la red de la compañía con bastantes privilegios (normalmente el controlador de dominio local). El sistema se presupone potente en CPU y capaz de lanzar todas esas hebras. También permite atacar a sistemas con un gran disco duro, con muchos datos (también de backup). Cuanto más rápido es el ransomware, antes puede pasar desapercibido ante cualquier sistema de alerta, desde los reactivos hasta los preventivos. Siempre será demasiado tarde. Tira la piedra y esconde la mano Otra característica interesante de Conti es que, de nuevo “agazapado” en un servidor, puede atacar a la red colindante y cifrar las unidades compartidas de sistemas vecinos. De este modo, los administradores de red no sabrán de dónde les viene el ataque porque lo natural es pensar que la máquina con los ficheros cifrados es la infectada. Nada de eso: el paciente cero puede andar muy lejos, lanzando cifrados muy rápidos a diestro y siniestro. Evita hacer ruido usando ARP Para saber qué máquinas se encuentran a tu alrededor, tienes dos opciones: analizar las IPs de la propia red y recorrer el rango o usar un ARP-a y saber con qué máquinas has contactado recientemente. Esto último es justo lo que hace Conti. Para Conti, un fichero bloqueado no es un problema Si estás en un servidor con una base de datos jugosa, normalmente sus datos estarán siempre “bloqueados” por el sistema operativo o la propia base de datos. Cifrarlos será imposible porque no puedes tocar un fichero que pertenece a un proceso que lo tiene en exclusiva. Desde el punto de vista de los atacantes ¿Cómo cifrarlo entonces? Primero Conti mata cualquier proceso que tenga “sql” en su nombre. Muy pocas familias utilizan además el truco que usa este ransomware para cifrar los archivos, que es valerse del Restart Manager, la fórmula que utiliza el propio Windows para matar limpiamente los procesos antes de apagar el sistema operativo. Es como si matara procesos limpiamente como si fuera Windows antes de reiniciar, pero sin necesidad de reiniciar. Y aquí es donde también hace falta velocidad y la razón de tener 32 hebras. Matar un proceso crítico es muy ruidoso, los administradores se darán cuenta enseguida de que algo va mal. Desde el punto de vista del malware, si tienes un buen montón de ficheros pesados por delante, lo mejor es cifrarlos rápido tras matar al proceso padre si quieres conseguir tu objetivo. Cifra todas las extensiones menos exe, dll, lnk, y sys Conti es muy agresivo. La mayoría del ransomware “casero” busca extensiones potencialmente valiosas para la víctima. Documentos, fotografías, datos, etc. Conti lo cifra todo menos los ejecutables, binarios y drivers. Para agilizar, evita algunos directorios de sistema. Por supuesto, todo esto no impide que el ransowmare cuente con las tecnologías habituales para este tipo de ataques. Desde el borrado de las shadow copies (aunque de forma especial) hasta las claves púbicas que cifran la clave AES de 256 bits incrustada en cada fichero cifrado. Por último, el mérito del análisis de esta muestra es mayor cuando se conoce que ofusca su propio código de una manera especial. Conti intenta ocultar cada string, cada llamada a API de sistema usando un algoritmo diferente para ello con claves diferentes… y así hasta 277 funciones (algoritmos) usados internamente solo para desofuscarse a sí mismo on the fly. ElevenPaths Radio #7 – El camino tras un análisis de seguridadUniversidad y empresa: el talento está ahí fuera (III)
Área de Innovación y Laboratorio de ElevenPaths ElevenPaths pasa a formar parte del Atlas de Ciberseguridad de la Comisión Europea El Área de Innovación y Laboratorio de ElevenPaths ha sido incluida como como parte del Atlas de Ciberseguridad de la Comisión Europea, una plataforma de gestión del conocimiento que...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....
Martiniano Mallavibarrena La nueva fuerza de trabajo digital y los riesgos alrededor de la robótica de procesos (RPA) En estos últimos años, son muchas las empresas de distintos sectores que han optado por basar su transformación digital en la automatización de procesos (RPA – Robot Process Automation),...
ElevenPaths ¿Qué es la VPN y para qué sirve? Las conexiones VPN no son nada nuevo, llevan con nosotros mucho tiempo, siempre unidas al ámbito empresarial. La gran versatilidad y sus diferentes usos ha hecho que cada vez...
Juan Elosua Tomé Nueva versión de FARO: crea tu propio plugin y contribuye a su evolución Hoy venimos a presentaros una nueva versión de FARO, nuestra herramienta open source de detección de información sensible de la que ya os hemos hablado en este mismo blog...