Lo + Nuevo
Adal Paredes
Tag

seguridad virtual

Visitando
ciberseguridad

El aumento de Ransomware se ha multiplicado por 10 en el último año

Escucha la noticia dando click en el audio 🙂

Un completo informe publicado por la firma de seguridad Fortinet, afirma que el ransomware se ha multiplicado por diez en el último año. Hace ya cerca de una década, la llegada del precursor llamado CryptoLocker cifraba los archivos del disco duro y exigía el pago de un rescate para obtener la clave con la que recuperarlos

Search and buy domains from Namecheap. Lowest prices!

Según el estudio de Fortinet, las organizaciones del sector de las telecomunicaciones fueron las más atacadas, seguidas por las administraciones públicas, los proveedores de servicios de seguridad gestionados, el sector de la automoción y el de la fabricación. Además, algunos operadores de ransomware cambiaron su estrategia de ataques iniciados a través del correo electrónico para centrarse en la obtención y venta de acceso inicial a las redes corporativas, lo que demuestra la continua evolución del ransomware como servicio (RaaS), otro factor que ha contribuido de manera decisiva a su popularización.

Modelo de Secuestro + Extorsión

Los ciberdelincuentes, que ya eran conscientes de la importancia de los activos que estaban secuestrando mediante ransomware, llegaron a la conclusión de que robar dichos activos y amenazar con su difusión podía ser todavía más efectivo que el propio secuestro, además de plantear un problema que ya no es resoluble con las copias de seguridad. Ante la exfiltración y amenaza de difusión de los datos, se reduce sustancialmente la lista de soluciones, y el pago del rescate, algo que en realidad nunca es recomendable, se perfila sin embargo en muchos casos como la mejor para las víctimas de la extorsión.

Objetivos Favoritos

 Según un reciente análisis, la víctima ideal de los actores detrás de la mayoría de casos de ransomware sería una empresa ubicada en Estados Unidos, Canadá, Australia o la Unión Europea y con unos ingresos mínimos de 5 millones de dólares (y preferiblemente mayores de 100 millones). Esto es solo una guía, puesto que todos los días vemos casos de ataques protagonizados por ransomware en otras regiones y hacia empresas de todos los tamaños, pero sirve para hacerse una idea de lo que buscan los delincuentes.

 Además, es destacable observar como algunos grupos evitan atacar directamente o a través de sus afiliados a ciertos sectores como la educación, sanidad, gobierno u ONGs. Los motivos son variopintos y van desde la “ética profesional” hasta intentar evitar llamar demasiado la atención de las autoridades.

También es interesante destacar algo que es común con otros tipos de malware y es que muchas de las diferentes familias de ransomware evitan atacar sistemas que estén ubicados en países como Rusia o de la antigua órbita soviética. Además, también hay regiones como África o ciertas partes de Sudamérica en las que no se observa una elevada actividad del ransomware, debido a que los delincuentes no los consideran lo suficientemente rentables.

Horarios y técnicas preferidas

En lo que respecta a las técnicas preferidas por el ransomware actualmente, este es un tema que se ha tratado en varias ocasiones pero que nunca está de más repasar. Podemos ver como los accesos a través de RDP o VPN siguen siendo los favoritos por los delincuentes, habiéndose creado todo un mercado de compra/venta de accesos a redes corporativas donde ciertos delincuentes consiguen comprometer su seguridad para después vender este acceso a los operadores de ransomware o sus afiliados para que accedan, roben información y, seguidamente, la cifren.

También se aprovechan todo tipo de vulnerabilidades para hacerse con el control de sistemas clave como los servidores de correo Microsoft Exchange. Una vez se ha conseguido comprometer un sistema dentro de la red, lo normal es que se empleen varias herramientas como Mimikatz o Cobalt Strike para realizar movimientos laterales y conseguir acceder y comprometer otros sistemas importantes como los controladores de dominio, algo que facilita el robo de información confidencial y el posterior cifrado de todos los equipos de la red.

Otros métodos usados por los criminales son el uso del correo electrónico para adjuntar ficheros maliciosos o enlaces que inician la cadena de ejecución de este malware. También hemos visto como se realizan llamadas desde call centers para engañar a los usuarios y que estos descarguen malware desde ciertas páginas web e incluso se han llegado a realizar ofertas a posibles empleados descontentos para que infecten ellos mismos la red a cambio de un porcentaje de los beneficios obtenidos en el pago del rescate.

Tampoco podemos olvidar los ataques mediante la cadena de suministro, un tipo de ataques especialmente peligrosos por lo difícil que puede ser llegar a detectarlos y la gran cantidad de empresas que se pueden ver afectadas al comprometer a uno solo de sus proveedores de software y servicio.

Con respecto a los horarios favoritos de los delincuentes detrás de este tipo de campañas, recientemente el FBI confirmó algo que muchos ya habíamos observado desde hace tiempo, y es que los festivos y los fines de semana son los días favoritos por los delincuentes para realizar sus acciones maliciosas. Esto tiene mucha lógica puesto que son los días en los que menos usuarios están pendientes de las posibles alertas, lo que les da a los atacantes bastante ventaja.

No es nada raro que una intrusión en una red corporativa se produzca un viernes por la tarde o la víspera de un festivo y que los delincuentes realicen sus labores de reconocimiento de la red durante varios días, comprometan los sistemas, robando información y cifrando la que se guarda en los sistemas infectados. En no pocas ocasiones esta intrusión puede pasar semanas o incluso meses sin ser descubierta por los administradores de la red, por lo que resulta esencial contar con la suficiente visibilidad de lo que sucede en ella para poder adoptar medidas antes de que sea demasiado tarde.

Search and buy domains from Namecheap. Lowest prices!

Fuente (s) :

Créditos Música :

Never Say Always by Audionautix | http://audionautix.com
Music promoted by https://www.free-stock-music.com
Attribution-NoDerivs 3.0 Unported (CC BY-ND 3.0)
https://creativecommons.org/licenses/by-nd/3.0/

Seguir Leyendo
By
ciberseguridad

Filtran código fuente del Ransomware Babuk

Escucha la noticia dando click en el audio 🙂

Uno de los desarrolladores del grupo de ransomware Babuk, un joven de 17 años de Rusia, ha sido diagnosticado con cáncer de pulmón en etapa 4. Ha decidido filtrar TODO el código fuente de Babuk para Windows, ESXI, NAS. 

  • El ransomware de Babuk atacó a principios de año la tienda de telefonía Phone House y el Departamento de Policía de Washington, así como el equipo de la NBA, los Houston Rockets
  • Código fuente filtrado en sus repositorios. Están disponibles distintas versiones para ESXI, NAS y Windows.

Un presunto miembro del grupo publicó el código fuente completo del ransomware Babuk en un foro de piratería ruso. El autor de la publicación afirmó estar sufriendo una enfermedad terminal. Debido a eso decidió publicar los archivos sin ningún tipo de restricción para su descarga.

El grupo de investigación de seguridad vx-underground, un presunto miembro del grupo Babuk publicó el código fuente completo de su ransomware en un foro de habla rusa.

Este usuario afirmó estar sufriendo de cáncer terminal y decidió publicar todo el código fuente de Babuk mientras cumple su deseo de “vivir como un ser humano”

Las carpetas contienen varios proyectos de ransomware en Visual Studio para VMware ESXi,Windows  (en C++) y NAS (escrito en Golang). Además, como se menciona al principio, los archivos contienen el código fuente completo del cifrador y descifrador para sistemas operativos de Microsoft y, lo que parece ser un “keygen” de claves públicas y privadas.

Investigadores de la compañía de ciberseguridad Emsisoft y McAfee Enterprise han indicado que la filtración del ransomware Babuk parece legítima. Si bien los archivos pueden servir para descifrar los ordenadores de víctimas pasadas, también son un riesgo, ya que contienen todos los elementos necesarios para ejecutar ataques dirigidos.

En el pasado, precisamente, se filtró un generador de ransomware de Babuk en un sitio de descargas. Desafortunadamente este fue tomado por otro grupo de ciberdelincuentes que montó su propia operación de ataques. Estos cosecharon víctimas en distintas partes del mundo y las extorsionaron para no publicar sus archivos. 

De historias de traición y puñaladas por la espalda

Babuk Locker tiene una historia sórdida y pública de traiciones y puñaladas por la espalda que llevaron a la fragmentación del grupo.

Uno de los miembros de la banda de ransomware Babuk que el grupo se disolvió después del ataque al Departamento de Policía Metropolitana (MPD) en Washinton DC.

Tras el ataque, el “administrador” quiso divulgar los datos del MPD con fines publicitarios, mientras que los demás miembros de la pandilla se opusieron.

Después de la filtración de datos, el grupo se separó del administrador original formando el foro de ciberdelincuencia de Ramp y el resto mediante el lanzamiento de Babuk V2, donde continúan ejecutando ataques de ransomware.

Fuente (s) :

Créditos Música :

Love by LiQWYD | https://www.liqwydmusic.com
Music promoted by https://www.free-stock-music.com
Creative Commons Attribution 3.0 Unported License https://creativecommons.org/licenses/by/3.0/deed.en_US

Seguir Leyendo
By
ciberseguridad

Qué es el Spyware Pegasus y como funciona

Spyware Pegasus es un software espía de grado militar que fue (y tal vez todavia es ) vendido por una empresa israelí a los gobiernos para ” rastrear a terroristas y delincuentes” *( s aja y yo me chupo el dedo ) * , sin embargo, se convirtió en noticia cuando se empezó a filtrar objetivos que fueron acechados por este software de espionaje.

Pegasus fue utilizado para espiar desde activistas, políticos, periodistas y quien sabe que y cuantos ciudadanos mas en el mundo .

Esta noticia es vieja, fué publicado hace mucho. La primera vez que oímos hablar de Pegasus es en agosto de 2016, cuando los investigadores de Lookout y Citizen Lab descubrieron una “amenaza activa que utiliza tres vulnerabilidades críticas de zero-day para iOS que, cuando son explotadas, forman una cadena de ataques que subvierten incluso el sólido entorno de seguridad de Apple”.

En resumen, el Spyware Pegasus accedía y se podía prácticamente adueñar virtualmente de cualquier Iphone incluso sin tener que hace Jailbraik ( root – sudo access – permisos de administrador )

Este descubrimiento fue posible gracias a Ahmed Mansoor, un activista emiratí que lleva 10 años en la cárcel que empezó a recibir una serie de mensajes con links maliciosos. Y tanto que lo eran. Mansoor mandó los enlaces a Citizen Lab, que detectaron que al pulsar el enlace el iPhone se infectaba con un malware que, importante, no requería que el dispositivo tuviese jailbreak.


 Mito: “Solo Afecta a dispositivos iOS ”

– La realidad es que Afecta tanto a IOS como a Android

“Este es un software perverso, elocuentemente perverso”

Timothy Summers – exingeniero de seguridad cibernética de una agencia de inteligencia de EUA
  • Con Spyware Pegasus “uno podría espiar a casi toda la población mundial… no hay nada de malo en crear tecnologías que te permitan recopilar datos; a veces es necesario. Pero la humanidad no está en un lugar en el que podamos tener tanto poder al alcance de cualquiera”.

¿Por que el Malware Pegasus vuelve a ser noticia ?

Digamos que antes, se sabía de este software y de que algunos gobiernos habían contratado este software con el fin de espiar a sus adversarios .

La noticia es que hace unos días se publicó más de 50,000 números de teléfonos celulares, una lista de teléfonos concentrada en países conocidos por participar en la intrusión y vigilancia de sus ciudadanos y también conocidos por haber sido clientes de NSO Group ( la compañía israelí vendedora del Spyware Pegasus – líder mundial en la industria de la ciber vigilancia) Los números abarcan más de 50 países de todo el mundo.

En México esto volvió a hacer noticia ya que la mayor cantidad estaba en México, donde más de 15,000 números de teléfono, incluyendo algunos pertenecientes a políticos, representantes sindicales, periodistas y otros críticos del gobierno, estaban en la lista.

¿Cómo funciona Pegasus?

Esquema de Vectores de ataque y acceso de Pegasus / Fuente The Guardian
  • El Spyware Pegasus funciona a través de la infiltración en los teléfonos celulares.
  • Se extrae la información personal, así como la ubicación de los usuarios.
  • De manera oculta, se controlan los micrófonos y cámaras de los dispositivos.
  • Esto permite espiar las comunicaciones de los reporteros y periodistas.
  • Su diseño se basa en evitar la detección y ocultar su actividad.
  • Este programa se vende a 60 agencias militares, de inteligencia o de seguridad en 40 países de todo el mundo.

https://twitter.com/amnesty

Referencias:

Seguir Leyendo
By