ElevenPaths Todo lo que necesitas saber sobre los certificados SSL/TSL ¿Qué es un certificado digital? Un Certificado digital SSL/TSL (Secure Sockets Layer/Transport Layer Security) es el protocolo de seguridad más utilizado que permite realizar una transferencia de datos de manera cifrada...
Carlos Ávila Tu sistema macOS también es objetivo del cibercrimen, ¡fortalécelo! Según statcounter, el sistema operativo de Apple, en concreto macOS (OSX anteriormente), tiene una cuota de mercado de alrededor del 17%, siendo el segundo sistema operativo de escritorio más...
ElevenPaths Who is Who at ElevenPaths: conoce a Marina Bezares En el Who is Who de hoy vamos a presentar a Marina Bezares, Product Engineer de Metashield que comenzó a trabajar en ElevenPaths nada más nacer la Unidad de Ciberseguridad....
ElevenPaths ¿Cómo hemos vivido la RSA Conference 2019? Haciendo la seguridad más humana Con motivo de la RSA Conference 2019, del 4 al 8 de marzo estuvimos participando con nuestro estand, en la XXVIII edición de este gran evento de ciberseguridad que...
Carlos Ávila Tu sistema macOS también es objetivo del cibercrimen, ¡fortalécelo! Según statcounter, el sistema operativo de Apple, en concreto macOS (OSX anteriormente), tiene una cuota de mercado de alrededor del 17%, siendo el segundo sistema operativo de escritorio más...
Área de Innovación y Laboratorio de ElevenPaths II edición del programa TUTORÍA: investigaciones de ciberseguridad orientadas a producto El interés de los jóvenes estudiantes lo demuestra: los retos tecnológicos vinculados a las tecnologías de la información son interesantes y despiertan en los alumnos una curiosidad y motivación...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 4-10 de julio Las noticias de ciberseguridad más destacadas de la última semana, recopiladas y analizadas por nuestros expertos del SCC.
ElevenPaths Nueva herramienta: Transformadas de Maltego para Tacyt Si eres un usuario habitual de Maltego, ya sabrás qué intuitiva y útil resulta para investigar y analizar información. También sabrás que Maltego permite la creación de transformadas, que...
ElevenPaths Todo lo que necesitas saber sobre los certificados SSL/TSL ¿Qué es un certificado digital? Un Certificado digital SSL/TSL (Secure Sockets Layer/Transport Layer Security) es el protocolo de seguridad más utilizado que permite realizar una transferencia de datos de manera cifrada...
Carlos Ávila Tu sistema macOS también es objetivo del cibercrimen, ¡fortalécelo! Según statcounter, el sistema operativo de Apple, en concreto macOS (OSX anteriormente), tiene una cuota de mercado de alrededor del 17%, siendo el segundo sistema operativo de escritorio más...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 13-19 de junio Vulnerabilidades Ripple 20 en software TCP/IP Investigadores de JSOF han descubierto 19 vulnerabilidades 0-day, denominadas en su conjunto Ripple 20, en la librería de software TCP/IP desarrollada por Treck que...
Gonzalo Álvarez Marañón Tus sentimientos influyen en tu percepción del riesgo y del beneficio más de lo que crees «La seguridad es tanto un sentimiento como una realidad.» —Bruce Schneier Daniel Gardner abre su libro The Science of Fear con la estremecedora historia de los atentados del 11S en EEUU: «Y así,...
Conti, el ransomware más rápido del Oeste: 32 hilos de CPU en paralelo pero… ¿para qué?Sergio De Los Santos 13 julio, 2020 Quien piense que el ransomware “de menudeo” que infecta a usuarios y pide un rescate es un peligro, quizás es que no conoce el ransomware utilizado contra las redes de las compañías, porque tras unos años entre nosotros, el ransomware ha madurado. Se ha industrializado, especializado y sofisticado contra unas víctimas mucho más lucrativas, y de qué manera. Conti, el más rápido de los ransomware, es sólo un ejemplo de cómo están evolucionado. Veamos qué trucos utiliza y por qué. Ha sido Carbon Black quien ha analizado una nueva versión de Conti, descubriendo nuevos niveles de sofisticación. Porque donde está la acción y la verdadera innovación en el malware es en los ataques dirigidos a empresas. Estos ataques entran a través de mensajes de correo con adjuntos, habitualmente Excel o Word con macros o que aprovechan vulnerabilidades de Office. Realizan movimientos laterales hasta situarse en un servidor donde se “agazapan” esperando su oportunidad. Desde ahí lanzan ataques de secuestro de datos y piden rescates millonarios para que la compañía continúe con su operativa. En comparación, el ransomware “casero” que afecta a los sistemas de usuario prácticamente es una broma pesada. Veamos en qué han innovado estos atacantes y por qué. El más rápido del Oeste Conti utiliza 32 hilos simultáneos de CPU. Esto permite que cifre muy rápido todo el disco duro o cualquier fichero que se le ponga delante. Sería como lanzar 32 copias de un ransomware “normal” en paralelo. ¿Por qué hacen esto, para qué quieren ir tan rápido? Suelen lanzar este ataque cuando ya están en uno de esos servidores potentes en la red de la compañía con bastantes privilegios (normalmente el controlador de dominio local). El sistema se presupone potente en CPU y capaz de lanzar todas esas hebras. También permite atacar a sistemas con un gran disco duro, con muchos datos (también de backup). Cuanto más rápido es el ransomware, antes puede pasar desapercibido ante cualquier sistema de alerta, desde los reactivos hasta los preventivos. Siempre será demasiado tarde. Tira la piedra y esconde la mano Otra característica interesante de Conti es que, de nuevo “agazapado” en un servidor, puede atacar a la red colindante y cifrar las unidades compartidas de sistemas vecinos. De este modo, los administradores de red no sabrán de dónde les viene el ataque porque lo natural es pensar que la máquina con los ficheros cifrados es la infectada. Nada de eso: el paciente cero puede andar muy lejos, lanzando cifrados muy rápidos a diestro y siniestro. Evita hacer ruido usando ARP Para saber qué máquinas se encuentran a tu alrededor, tienes dos opciones: analizar las IPs de la propia red y recorrer el rango o usar un ARP-a y saber con qué máquinas has contactado recientemente. Esto último es justo lo que hace Conti. Para Conti, un fichero bloqueado no es un problema Si estás en un servidor con una base de datos jugosa, normalmente sus datos estarán siempre “bloqueados” por el sistema operativo o la propia base de datos. Cifrarlos será imposible porque no puedes tocar un fichero que pertenece a un proceso que lo tiene en exclusiva. Desde el punto de vista de los atacantes ¿Cómo cifrarlo entonces? Primero Conti mata cualquier proceso que tenga “sql” en su nombre. Muy pocas familias utilizan además el truco que usa este ransomware para cifrar los archivos, que es valerse del Restart Manager, la fórmula que utiliza el propio Windows para matar limpiamente los procesos antes de apagar el sistema operativo. Es como si matara procesos limpiamente como si fuera Windows antes de reiniciar, pero sin necesidad de reiniciar. Y aquí es donde también hace falta velocidad y la razón de tener 32 hebras. Matar un proceso crítico es muy ruidoso, los administradores se darán cuenta enseguida de que algo va mal. Desde el punto de vista del malware, si tienes un buen montón de ficheros pesados por delante, lo mejor es cifrarlos rápido tras matar al proceso padre si quieres conseguir tu objetivo. Cifra todas las extensiones menos exe, dll, lnk, y sys Conti es muy agresivo. La mayoría del ransomware “casero” busca extensiones potencialmente valiosas para la víctima. Documentos, fotografías, datos, etc. Conti lo cifra todo menos los ejecutables, binarios y drivers. Para agilizar, evita algunos directorios de sistema. Por supuesto, todo esto no impide que el ransowmare cuente con las tecnologías habituales para este tipo de ataques. Desde el borrado de las shadow copies (aunque de forma especial) hasta las claves púbicas que cifran la clave AES de 256 bits incrustada en cada fichero cifrado. Por último, el mérito del análisis de esta muestra es mayor cuando se conoce que ofusca su propio código de una manera especial. Conti intenta ocultar cada string, cada llamada a API de sistema usando un algoritmo diferente para ello con claves diferentes… y así hasta 277 funciones (algoritmos) usados internamente solo para desofuscarse a sí mismo on the fly. ElevenPaths Radio #7 – El camino tras un análisis de seguridadUniversidad y empresa: el talento está ahí fuera (III)
ElevenPaths Todo lo que necesitas saber sobre los certificados SSL/TSL ¿Qué es un certificado digital? Un Certificado digital SSL/TSL (Secure Sockets Layer/Transport Layer Security) es el protocolo de seguridad más utilizado que permite realizar una transferencia de datos de manera cifrada...
Carlos Ávila Tu sistema macOS también es objetivo del cibercrimen, ¡fortalécelo! Según statcounter, el sistema operativo de Apple, en concreto macOS (OSX anteriormente), tiene una cuota de mercado de alrededor del 17%, siendo el segundo sistema operativo de escritorio más...
Área de Innovación y Laboratorio de ElevenPaths II edición del programa TUTORÍA: investigaciones de ciberseguridad orientadas a producto El interés de los jóvenes estudiantes lo demuestra: los retos tecnológicos vinculados a las tecnologías de la información son interesantes y despiertan en los alumnos una curiosidad y motivación...
Área de Innovación y Laboratorio de ElevenPaths ElevenPaths pasa a formar parte del Atlas de Ciberseguridad de la Comisión Europea El Área de Innovación y Laboratorio de ElevenPaths ha sido incluida como como parte del Atlas de Ciberseguridad de la Comisión Europea, una plataforma de gestión del conocimiento que...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....