Archivos de la categoría: Cibercrimen

Ciberataque llega hasta sala de control de la NASA

El laboratorio de propulsión a reacción (Jet Propulsion Lab, o JBL) de la NASA, es capaz de enviar cohetes con robots autómatas que desempeñen misiones de exploración en el planeta Marte, una misión de alta complejidad. Sin embargo al parecer sus medida de ciberseguridad no son tan sofisticadas.

Una revelación reciente indica que en 2018 un incidente de seguridad afectó a los sistemas de control de misión, evitando múltiples controles de seguridad TI y exponiendo sistemas y datos de la NASA.

En esa oportunidad los atacantes apuntaron a un dispositivo Raspberry Pi que estaba conectado a la red del JPL sin autorización, explotarla, y luego tomar ventaja de la falta de segmentación de la red interna para encontrar otro nodo que les permitiese ingresar a niveles más profundos de la red. Uno de los niveles afectados contiene sistemas que son utilizados en el control de misiones de vuelo espacial tripuladas por humanos.


Como resultado de este ciberataque, oficiales de seguridad TI del centro espacial Johnson, el cual maneja programas como el vehículo multipropósito Orion y la Estación Espacial Internacional, decidieron desconectar este centro de la red corporativa temporalmente.

Uno de los administradores de sistemas declaró que no ingresan regularmente los nuevos activos dentro de la base de datos de seguridad TI, debido a que la función de actualización de la base de datos a menudo no funciona y luego olvidan ingresar los datos del nuevo activo manualmente.

El impacto en la apreciación de seguridad del centro espacial Johnson fue tan significativo, que fueron aproximadamente 6 meses en los que estuvieron desconectados del DNS.

También agregaron que las vulnerabilidades, aún cuando son detectadas, demoran más de 180 días en ser resueltas.

En este incidente quedan expuestas diversas fallas de seguridad que combinadas pueden conllevar a un desastre, inclusive con costo de vidas humanas. Lo que refuerza el concepto de mantener la seguridad TI en un nivel actualizado ya sea técnicamente como en procedimientos y políticas.

Fuentes:

https://hothardware.com/news/raspberry-pi-was-in-cyberattack-nasas-jpl-network

https://www.forbes.com/sites/daveywinder/2019/06/20/confirmed-nasa-has-been-hacked/#7d77764cdc62

https://www.theregister.co.uk/2019/06/19/nasa_jpl_oig_report_cybersecurity/

Hackeo de grupo Fxmsp afecta a 3 productores de antivirus

Hace un par de meses, un grupo de hackers denominado FXMSP realizó el anuncio de que invadieron las redes de 3 empresas de antivirus de Estados Unidos, aduciendo además de que tuvieron acceso al código fuente de sus productos. Estos datos se pusieron a la venta por entre USD$ 150.000 y USD$ 250.000, dependiendo de la cantidad de datos requeridos. Una empresa independiente especializada en prevención de fraudes, publicó un informe acerca de este ataque.
En un comienzo, los nombres de las víctimas de este ataque no fueron revelados al público, por la delicadeza de este dato. Pero luego de que esta noticia se esparciera, fueron las mismas empresas víctimas quienes reaccionaron. Independiente del tipo de reacción que tuvieron, las empresas de antivirus hackeadas fueron McAfee, Symantec y Trend Micro. De hecho los atacantes indicaron explícitamente que explotaron una falla en la seguridad de Trend Micro, y que con McAfee actuaron de forma similar, en ambos casos, indetectados.
Symantec ha negado ser víctima, aunque se encuentra trabajando directamente con AdvIntel para mitigar el riesgo, en lo declarado por la empresa para tranquilizar a sus clientes.
El contenido de los nada despreciables 30 Terabytes de datos robados, parecieran contener datos acerca del desarrollo de las empresas, seguridad web, modelo de inteligencia artificial y el código fuente de los antivirus.
El vector de ataque pareciera ser mediante el compromiso de un servidor de Active Directory, pieza clave en redes Windows para definición de políticas de seguridad, autenticación y autorización de usuarios.
FXMSP sería un grupo de hackers de habla rusa y sus principales objetivos siempre han sido redes corporativas y de gobierno.
En abril de 2018, FXMSP anunció que tenía acceso a información de una cadena hotelera que operaba en Europa, África y Sudamérica. Los hackers también atacaron al Ministerio de Finanzas de Ghana, al gobierno colombiano y a varias compañías de inversión en todo el mundo.
Fuentes:

Vulnerabilidad de WinRAR explotada en varias campañas

WinRAR es un gestor de archivos comprimidos lanzado en 1995, utilizado por más de 500 millones de usuarios a nivel global. Recientemente fue hallada una vulnerabilidad en este aplicación que permite especificar el destino de los archivos extraídos al utilizar el formato ACE, independiente de la ubicación que defina el usuario.
Los atacantes pueden obtener fácilmente persistencia y ejecución remota de código al implantar cargas maliciosas y extraerlas en ubicaciones críticas como “Inicio” de Windows.
Esta vulnerabilidad ya se encuentra solucionada en la última actualización de WinRAR (5.70), pero debido a que este aplicación no cuenta con actualizaciones automáticas, aún existe una gran cantidad de usuarios expuestos a esta vulnerabilidad.
Según FireEye, se han detectado una variedad de campañas con malware escondido en archivos RAR que explotan esta vulnerabilidad. También los métodos de engaño al usuario e infección.
Aclaración: Estos casos son los detallados por FireEye, existe evidencia de la utilización de este método en al menos una campaña que apunta a la banca chilena, lo cual se encuentra detallado en este link: https://www.makros.cl/single-post/2018/11/29/Aumento-de-SPAM-relacionado-al-malware-EMOTET
Caso 1: Suplantación de identidad de Consejo de Acreditación Educacional (USA)
El vector consuste en una carta de aprobación que contiene un ACE dentro de un archivo RAR (Scan_Letter_of_Approval.rar), crea un script de VB en la carpeta de inicio de Windows para que se autoejecute la próxima vez que se inicie este sistema operativo.
Para evitar las sospechas del usuario, el archivo ACE contiene un documento que sirve como señuelo, llamado “Letter of Approval.pdf”, el cual aduce provenir de una organización de educación establecida.
Luego el archivo VBS que viene en el .ACE se instala en el inicio de Windows para ser ejecutado por wscript.exe. Este script define un ID para la víctima basándose en las variables de entorno de Windows. Luego este backdoor se comunica con un servidor de comando y control, en el cual ingresa los datos recopilados de la víctima. La comunicación con este C2 se efectúa mediante cabeceras de autorización HTTP. De esta forma los atacantes pueden ejecutar diversas acciones en el activo infectado como eliminarse, descargar archivos, obtener información del hardware y revisar la presencia de antivirus.

Caso 2: Ataque a la industria militar israelí
De acuerdo a un email enviado a proceso en Virus Total, el atacante aparentemente envía un correo simulado a la víctima, el cual contiene adjunto un archivo ACE dentro de un RAR llamado SysAid-Documentation.rar, Según Virus Total y luego de analizar los encabezados del correo esto se trataría de un ataque a una empresa militar israelí.
La supuesta documentación del adjunto es para un sistema de help desk llamado SysAid, de Israel. En la carpeta descomprimida se encuentra un archivo llamado Thumbs.db.lnk, el cual sirve para las vistas previas de los archivos, sin embargo éste apunta a otro archivo con extensión .BAT el cual descarga su carga útil maliciosa, con la cual puede obtener los hashes NTLM.
Después el malware adjunto utiliza diversos métodos para descargar otra carga útil más, la cual se presume que contiene código específico para extracción de datos.

Caso 3: Ataque potencial en Ucrania con backdoor Empire
En este escenario, el archivo ACE dentro del RAR contiene un PDF que simula ser un mensaje del ex presidente ucraniano, el cual contiene supuesta información de alianzas público-privadas.
Cuando el archivo es extraído, un .BAT es ubicado en la carpeta de inicio, esta contiene los comandos que llaman comandos de PowerShell, los cuales a su vez constituyen el backdoor conocido como Empire, el cual es conocido por su baja detección y altos mecanismos de persistencia.

Caso 4: Más señuelos
Estas campañas ocupan distintos señuelos para distribuir varios tipos de RAT y spyware, uno de estos señuelos aduce ser archivos “filtrados” con números de tarjetas de crédito y contraseñas. Una vez abierto efectivamente muestra un listado de documentos de texto supuestamente con estos datos. A la vez que descarga e instala QuasarRAT, utilizado por sus capacidades como keylogger.
Recomendaciones
Debido a la amplia explotación de esta vulnerabilidad, por los factores indicados al comienzo de este artículo, la primera recomendación y más urgente es actualizar WinRAR a la última versión disponible (5.70 o superior). Esta recomendación de mantener nuestras aplicaciones actualizadas es válida para todo programa que utilicemos.
Además es conveniente contar con un antivirus NextGen como Sophos InterceptX, ya que éste analiza el comportamiento de los procesos en curso para detectar patrones inusualmente maliciosos.
IoC:

Fabricante mundial de aluminio afectado por ransomware

Numerosas fuentes de información indican que la mayor productora de aluminio del mundo, Norsk Hydro, fue víctima de un ciberataque a gran escala. La consecuencia de este ataque es que la multinacional tuvo que cambiar a operación manual “en lo posible”. Las operaciones en Noruega, Brasil y Qatar son algunas de las afectadas por este ataque.
Norsk Hydro es una de las mayores productoras de aluminio a nivel mundial, con operaciones en más de 50 países y presencia en los 5 continentes
El área TI de Norsk Hydro indica que este ataque comenzó en Estados Unidos presumiblemente mediante un ataque a los servidores de Active Directory, paralizando las operaciones al dejar los sistemas TI de la compañía inutilizables. Las medidas mitigatorias e investigación para obtener mayores detalles de este ataque siguen en curso, en una videoconferencia de prensa la empresa declaró que “La mayor prioridad es continuar operando asegurando la seguridad y resguardando el impacto financiero” además de que “El problema no ha conllevado ningún incidente de seguridad”. A los usuarios se les indicó que no conectaran ningún dispositivo a la red de Hydro.
También indicaron de que se encuentran afectados por una variante relativamente nueva del ransomware LockerGoga, el cual encripta todos los archivos en el sistema para luego solicitar un rescate, como cualquier ransomware.
Un punto a destacar acerca de Norsk Hydro, es que su DRP (Protocolo de recuperación ante desastres) funcionó muy bien, evitando una mayor catástrofe y mejorando la posibilidad de recuperación de los datos encriptados gracias a sus respaldos.
Se acuerdo a reportes de la prensa local NRK y Reuters, expertos indican que LockerGoga no es un malware muy extendido. Norsk Hydro está recibiendo también ayuda de la Autoridad de Seguridad Nacional Noruega (NNSA), la cual se encuentra en red con potras agencias para profundizar en la investigación de este ataque.
Aún es muy pronto para cuantificar el daño económico que este ataque ha causado a la compañía, sin embargo el valor de sus acciones cayó en 1% inmediatamente después de que este ataque fuera conocido por la prensa. Luego debido al eficiente manejo de la crisis estas acciones no han parado de subir su valor, demostrando que una buena postura de seguridad puede inclusive aumentar el valor de una compañía.
Este malware también se utilizó para un ataque a la consultora francesa de ingeniería Altran Technologies. Este malware no necesitaría conexión de red o un servidor de comando y control, y sólo es detectable por algunos productos anti-malware, por lo que se recomienda agregar manualmente las siguientes firmas:
MD5:
758dc3049ca9c341c467bf7584fea77d
e9cf132ec4ae53fd577acd75d0f2f2fd
7875cbf4a0d2bf8dcfc3e8050d9155d7
989c5454046d063763761caf32d530cc
baeab56fc43111e778df3bb41ed018c4
750f943fd8f57b6ebbbace17cb4ced03
e11502659f6b5c5bd9f78f534bc38fea
SHA1:
b5fd5c913de8cbb8565d3c7c67c0fbaa4090122b
SHA256:
c97d9bbc80b573bdeeda3812f4d00e5183493dd0d5805e2508728f65977dda15
ec52b27743056ef6182bc58d639f477f9aab645722f8707300231fd13a4aa51f
Fuentes:

Bancos bajo ataque: Técnicas y tácticas utilizadas para apuntar a organizaciones financieras

Las pérdidas por costo de ciberataques se estima entre unos USD$100 a USD$300 millones, con estimación al ascenso. En los últimos años la banca ha perdido USD$87 millones sólo por concepto de ataques a la infraestructura SWIFT (Society for Worldwide Interbank Financial Telecommunication). Sin embargo, esto es sólo la punta del iceberg: un sólo grupo cibercriminal embolsó USD$1.200.000.000 desde más de 100 instituciones financieras de 40 países antes de que su líder fuese arrestado en 2018.
Los ciberataques menoscaban la integridad de la infraestructura tecnológica en una organización financiera, tal como los sistemas que controlan y ejecutan sus operaciones. Esto queda demostrado con los ataques realizados los últimos años, con mayor elaboración, sofisticación y alcances.
Cambios de técnicas y tácticas
Tradicionalmente los atacantes apuntan financieramente a los clientes de bancos, sin embargo, algunos como el grupo cibercriminal “Lurk”, mudaron su foco a los colaboradores de grandes empresas. Estos ataques comúnmente son dirigidos a empleados de los departamentos de contabilidad y finanzas. Los cibercriminales se han percatado de que ellos pueden robar fondos no solo al comprometer cuentas bancarias, sino también al apuntar a la infraestructura del banco o manipulando documentos y sistemas. Las redes de comunicaciones e infraestructura bancaria son vistas como objetivos pues es ahí donde esencialmente se encuentra el dinero. Atacarlos implica apuntar a cajeros automáticos, redes SWIFT y portales de pago, sistemas de procesamiento de pago con tarjetas y similares.
Investigaciones realizadas también descubrieron instancias en las que grupos criminales intentaron sobornar individualmente empleados bancarios en crear un esquema de extracción y lavado de dinero. En una instancia en concreto, se detectó un intento de crear una organización de caridad legítimamente, con sus cuentas bancarias y un muy bien elaborado sitio web. Los atacantes utilizaron las cuentas bancarias de esta organización para guardar el dinero extraído desde cuentas comprometidas; la fachada de la organización de caridad les dio suficiente tiempo para mover y retirar los fondos robados.
Las compañías de telecomunicaciones juegan un papel muy importante en la industria financiera, lo que también los convierte en objetivos apetecibles. Comprometer la infraestructura de telecomunicaciones presenta otra oportunidad de ganar dinero con el secuestro y redirección de SMS en teléfonos VIP. Los bancos frecuentemente ofrecen el uso de dispositivos móviles como un segundo factor de autenticación o para enviar una clave temporal (OTP: One Time Password) a sus clientes.
Ataques de ingeniería social también conocidos como “SIM Jacking” (secuestro de SIM) se han esparcido ampliamente. En estos ataques, el atacante identifica los números de teléfono de los clientes del banco cuyas cuentas han sido comprometidas. Entonces actúan como el suscriptor de la compañía de telecomunicaciones, reportan que extraviaron su tarjeta SIM para el número objetivo, luego engañan al proveedor para que les emitan otra tarjeta SIM. Esta luego será utilizada para transacciones en las cuales le será robado el dinero a la víctima.
Ataques a los clientes de bancos
Apuntar a los usuarios y/o clientes involucra distintas técnicas. Los atacantes combinan distintas técnicas desde la vieja y conocida (aunque aún efectiva) phishing, hasta el troyano bancario para Android “FakeSpy”. Algunas son constantemente actualizadas, agregando características que pueden automatizar la extracción de datos y fondos robados. Un malware bancario puede realizar esto al utilizar un motor de sistema automático de transferencia (ATS: Automatic Transfer System), el cual permite el uso de inyección de un script web para iniciar automáticamente transferencias de fondos y evitar mecanismos de autenticación.
Estas inyecciones de browser son versátiles. Los atacantes los pueden usar para evitar controle de seguridad de un banco, fuerzan a usuarios a instalar componentes maliciosos en sus dispositivos móviles, sortear mecanismos de autenticación, o extraer datos de pago tales como información de tarjeta de crédito. También pueden ejecutar ataques de ingeniería social para robar información personal identificable (fecha de nacimiento, apellido materno, nombre de mascota, entre otros) o auto transferirse fondos a otras cuentas bancarias controladas por los atacantes (también conocidas como cuentas “mula”).
Las inyecciones de código son insertadas en el sitio de un banco o sus componentes (como librerias JavaScript o iframes oculstos). Desafortunadamente, un usuario normal podría confiar abiertamente en la pagina web que ha sido intervenida.
Ataques a la infraestructura
La infraestructura también es objetivo de los atacantes. Muchos componentes de los sistemas bancarios, tales como los sistemas internos o interfaces PoS son usualmente dejadas expuestas a internet, haciéndolas más propicias a un ataque de ciberdelincuentes oportunistas.
Aunque no sean objetivos clave, existen múltiples campañas de distribución de malware con la capacidad de cambiar las capacidades de los DNS y usarlas como trampolín para llegar a sus reales objetivos. El equipo de red del usuario es intervenido a gran escala, lo que redirecciona a los atacantes a servidores DNS controlados por los atacantes. Esto expone a los usuarios a ataques de phishing y man-in-the-middle (MitM).
Ataques a proveedores de bancos
Para apuntar a la organización bancaria, los atacantes necesitan llegar a sus cimientos. A menudo lo realizan al atacar al eslabón más débil. Los ataques de ingeniería social son pan de cada día: Los hackers, por ejemplo, necesitan conocer acerca de los empleados actuales de la organización, posiblemente incluyendo sus cargos e intereses. Aduciendo ser una ayuda legítima o inclusive una urgencia, los documentos que les envían a estos empleados son abiertos sin mayor sospecha.
Una manera de colectar información es comprometer a las compañías que prestan servicios a estas organizaciones, tales como proveedores de terceras partes que realizan manutención a los ATM, o hackear en los foros con temática ad-hoc. El grupo Lurk, por ejemplo, invadió un foro en linea para contadores con tal de hallar a sus objetivos. Los atacantes pudieron a la vez obtener información de blancos potenciales al analizar los datos de las máquinas ya invadidas. Grupos como Cobalt y Silence también son conocidos por emplear esta técnica.
De hecho, según datos recopilados por SPN de Trend Micro, Silence apuntó a organizaciones financieras en Rusia, Bielorusia y Vietnam. Cobalt, por su parte, sigue activo, especialmente en la ex Unión Soviética y en el Este Europeo.
Cobalt también es conocido por comprometer las cadenas de suministro de organizaciones financieras para acceder al perímetro TI. Fueron identificados ataques de Cobalt a integradores de software, firmas de servicios financieros, y otros bancos para obtener acceso al banco de su interés. En 2018 se observó una campaña de spearphishing (phishing objetivizado a un objetivo de alto nivel) en contra de un integrador de sistemas de alto perfil en Rusia, lo cual fue utilizado como trampolín para ataques a organizaciones bancarias rusas.
Ataques a la infraestructura bancaria
Los ataques directos al perímetro de un banco es poco común, ya que los atacantes usualmente utilizan el phishing como primer movimiento para ganar un punto de entrada a su objetivo. Un ataque de phishing conlleva una larga preparación. Por ejemplo, en cada campaña, deben registrar un nombre de dominio que se asemeje al objetivo a suplantar (uno que tenga algún tipo de relación con la organización objetivo, y por ende, sea de frecuente acceso). El asunto y contenido del correo phishing también debe ser relacionado. Una de las técnicas utilizadas por los investigadores de seguridad para detectar estas estafas es validar la fecha de creación del dominio desde el cual se envían estos correos (si es demasiado reciente es posible que sea una suplantación de identidad).
Watering hole es una técnica también muy utilizada. El código de exploit es plantado en sitios comprometidos que los empleados de la organización objetivo visitan frecuentemente. Interesantemente estas actividades incrementan en ciertos horarios, como a la hora de almuerzo, cuando los usuarios generalmente tienen tiempo de navegar en internet, o al final de la tarde, cuando los usuarios tienden a estar menos atentos a correos sospechosos.
Mientras el objetivo principal es robar dinero (ya sea en forma electrónica o en papel moneda), también se han observado ataques motivados por el robo de datos sensibles o confidenciales, soborno, y manipulación de transacciones en línea, entre otros. Los atacantes también explotan otras vulnerabilidades en la infraestructura ATM y PoS para lavar dinero, tales como recoger pagos ilegales desde tarjetas de crédito robadas al cargar montos en terminales PoS.
Diferentes grupos utilizan distintas técnicas. El grupo Lazarus, por ejemplo, es conocido por intervenir switches ATM para robar fondos desde bancos, mientras otros prefieren métodos más tradicionales. Recientemente Lazarus robó USD$13.5 millones al hackear la infraestructura ATM y SWIFT de un banco.
Este ataque demostró un buen entendimiento de la plataforma SWIFT al intentar una transferencia fraudulenta. También mostró el conocimiento de los atacantes en sistemas bancarios al intervenir el protocolo de comunicación ISO 8583, el cual es un estándar internacional para la definición de transacciones financieras. Los atacantes hackeron en los procesadores de la interfaz ATM, el cual maneja el procesamiento inicial y las comunicaciones entre las entradas del dispositivos y el computador del host, también intervinieron el software ISO 8583 al inyectar código que produce respuestas fraudulentas a los requerimientos de las máquinas de ATM. Este ataque fue nombrado por el US-CERT como FASTCash.
Movimiento lateral y monetización
Una vez que los atacantes establecen un punto de entrada, a menudo intentan robar credenciales desde las maquinas comprometidas y empezar a expandirse lateralmente, como acceder a los controladores de dominio y segmentos de procesamiento de tarjetas.
Como ellos monetizan el ataque está influenciado en cuanto lograron comprometer los recursos de su objetivo. Un ejemplo es manipular balances de cuentas y límites de giro por ATM cuando envían sus “mulas” a tomar el dinero robado. Esta táctica es tan común que los actores de esta amenaza buscan sus cómplices en los foros del cibercrimen.
La monetización mediante giros de ATM es muy común una vez que el objetivo es comprometido. De hecho, existen foros en el cibercrimen y avisos buscando “operadores” de NCR 6625 (un modelo específico de ATM). También se ha observado una instancia en la cual una cuenta de una organización de caridad falsa se creó en un banco. Las transacciones no autorizadas fueron realizadas desde cuentas bancarias con balances que excedían el límite, lo cual les otorgó a los atacantes un botín de USD$50.000.
Estos ataques no están limitados a Rusia o países eslavo-parlantes. Por ejemplo, hay muchos foros ocultos en los cuales se buscan mulas para dinero que sería comisionado desde transacciones SWIFT en China.
Mantenerse adelante de las amenazas
Las organizaciones financieras no solo contienen el impacto de los ataques hasta su fin. También tienen que lidiar con su manchada reputación, reducción en la confianza del cliente, e indemnizaciones que les sigue el evento. Con la abundancia de técnicas que son observadas en distintos niveles, las cuales apuntan a organizaciones financieras, ya no son solo objetivos de amenazas complejas. Con un modo de operación tan directo como lo es el envío de un correo phishing, también son víctimas de cibercriminales oportunistas.
La diversidad de estos ataques significa que la organización debe ser multifacética, ver, monitorear, y filtrar que está sucediendo (y transitando) en los sistemas conectados a su red. Esto aplica especialmente para la industria financiera, que tiene unos requerimientos estrictos en protección de datos y parchado, además de las altas multas que pueden incurrir por infringirlas.
Los controles de seguridad de cada capa de la organización mitigan el riesgo en los servidores físicos y virtuales, segmentos de red, puertos, y protocolos para los endpoints que procesan transacciones. Defensa profunda (Defense in-depth) también provee visibilidad de cuál infraestructura necesita responder proactivamente a los ataques. Un ambiente donde las amenazas son aisladas ayuda a monitorear y filtrar el tráfico de correos y extirpar los correos anómalos. La segmentación de red y clasificación de datos mitigan el riesgo de movimiento lateral y penetración más profunda. Mecanismos de seguridad como el parchado virtual y los IPS unen las brechas de seguridad proactivamente sin causar disrupciones ni sobrecarga a las operaciones ni procesos de negocio. Los usuarios, particularmente clientes y empleados, también deben ser igualmente proactivos.
Fuentes:

Anonymous prepara ataque bancario a escala global

Hace algunas horas fue dado a conocer mediante el Twitter de Bank Security un aviso del grupo hacktivista Anonymous, el cual indica que serán atacados bancos a nivel mundial.
Mediante los hastags #Anonymous #‎OpIcarus #ShutDownTheBanks ya se están informando las primeras víctimas de este ataque, que corresponderían a bancos en Australia e Italia.
La lista de principales objetivos se encuentra publicada en https://ghostbin.com/paste/m2uoo e incluye a prácticamente todos los bancos centrales del mundo, incluyendo al Banco Central de Chile

No se descarta que bancos privados (no centrales ni estatales) también sean víctimas de estos ataques por lo que se recomienda preparar defensas por posibles ataques de tipo DDoS y SQLi
Noticia en desarrollo

Banco Consorcio afectado por un evento de ciberseguridad

Fuentes: https://www.biobiochile.cl/noticias/economia/negocios-y-empresas/2018/11/08/banco-consorcio-es-victima-de-hackeo-informatico.shtml
https://nakedsecurity.sophos.com/tag/emotet/
Nuevamente la ciberseguridad bancaria en Chile se ve afectada. En esta oportunidad los ciberdelincuentes pudieron exfiltrar información confidencial y sensible de Banco Consorcio.
Según el mismo Banco, el daño está valorizado en un monto inferior a los US$2 millones y ya está en proceso de ser recuperado, puesto que además existen seguros comprometidos.
El modo de penetración utilizado (según Biobiochile) fue mediante un correo malicioso que incluía el malware Emotet. Este correo simulaba ser un aviso de actualización de Word, por lo que bastaría con que un sólo colaborador cayera en esta estafa para que este malware se distribuyera por la entidad.
El Banco indicó que no habría perjuicio para sus clientes debido a este incidente y se encuentra permanentemente monitoreando la situación con la ayuda de expertos internacionales en el tema.

Si fuera el caso de este malware, la información es que Emotet es un troyano aunque también contiene la funcionalidad necesaria para ser clasificado como un gusano. La principal diferencia es que un troyano requiere cierto grado de ingeniería social para engañar a un ser humano para que permita la propagación de la infección, mientras que un gusano puede extenderse a otros sistemas sin la ayuda de un usuario. Emotet descarga entonces ejecuta otras cargas útiles, así que aunque su componente central no sea directamente un gusano, tiene el potencial de descargar y ejecutar otro componente para extenderse a otros sistemas.
Cómo funciona
La infección inicial se distribuye a través de spam de correo electrónico. Los investigadores de Sophos en Agosto de este año, recopilaron la siguiente secuencia de eventos:
Un correo electrónico no deseado que contiene un enlace de descarga llega a la bandeja de entrada de la víctima. El enlace de descarga señala un documento de Microsoft Word. El documento descargado contiene código VBA que decodifica y inicia un script Powershell. El script Powershell luego intenta descargar y ejecutar Emotet desde múltiples fuentes de URL.
Los componentes de Emotet están contenidos en un archivo WinRAR autoextraíble con un gran diccionario de contraseñas débiles y comúnmente usadas.
También descarga un componente de auto-actualización capaz de descargar la última copia de sí mismo y otros módulos. Este componente se guarda como% windows% <filename> .exe, donde el nombre de archivo está compuesto de 8 dígitos hexadecimales.
Algunos de los otros módulos de este componente descargas se utilizan para recolectar credenciales de otras aplicaciones conocidas o para recolectar direcciones de correo electrónico de Outlook archivos PST para su uso con spam dirigido.
Cuando el componente actualizador actualiza el componente principal de Emotet, reemplaza el archivo principal utilizando el mismo nombre de archivo compuesto por las mismas cadenas elegidas anteriormente. A continuación, instala y ejecuta el exe actualizado como un servicio de Windows.
Sin embargo, Sophos está protegiendo a los clientes de la amenaza y ha creado un artículo de Knowledge Base con un desglose completo de las variantes detectadas.
Esta noticia se encuentra en desarrollo, por lo que estamos constantemente verificando los detalles de esta con las fuentes de información

ALERTA PHISHING: Chilexpress

Una vez mas somos testigos de como los ciberdelincuentes nos atacan, intentando apropiarse de nuestras claves de acceso o instalar algun malware que sirva para extorsionarnos de alguna forma como es el ransomware.
En esta oportunidad nos encontramos con un correo que aparenta venir de la empresa de courier Chilexpress, en el cual aparece un número de seguimiento y un link que nos invita a revisar el estado de la encomienda que supuestamente recibiremos.

Los links que figuran en el correo de phishing en realidad llevan a otra dirección la cual al ingresar nos muestra un mensaje de “sin permiso”:

El ataque contiene mecanismos de detección de análisis, aunque se detectó que descarga archivos con extensión .cab y que instala “parches” en procesos en ejecución.
El resultado de Hybrid-Analysis se puede encontrar en http://tinyurl.com/yb8cez8c
Recomendaciones
La principal herramienta ante un ataque por phishing es la observación, el ataque de phishing intenta engañar a la víctima para que ingrese a links enmascarados o entregue información sensible a los atacantes, esto lo intenta hacer al enviarnos correos o mostrando mensajes en páginas intervenidas con el siguiente tipo de mensajes:
“Ingrese para ver el detalle de su transferencia/encomienda/multa””Confirme sus datos de acceso””Ha ganado! ingrese para reclamar su premio”
y muchos mas.
Por tanto, atención al recibir correos inesperados con mensajes que nos invitan a ingresar a sitios o entregar datos de forma “urgente”.

Foro Económico Mundial: Ciber ataques se encuentran entre los 3 mayores riesgos para la sociedad moderna

Junto con los desastres naturales y el clima extremo; de esta forma el Foro Económico Mundial calificó a los ciber ataques, esto le otorga un nivel de riesgo incluso mayor que el terrorismo.
Un reporte advierte que el ransomware, el hacking al Internet de las Cosas (IoT) y los ataques industriales pueden ocasionar los mismos problemas que las otras causas descritas.
Uno de los mayores riesgos para las Naciones y su relación con Internet y los servicios conectados es el daño potencial a raíz de los ciber ataques, según un reporte desde el Foro Económico Mundial (WEF).
La amenaza de ciber ataques se encuentra sólo detrás de eventos de clima extremos y desastres naturales en términos de eventualmente causar un trastorno en los próximos 5 años, de acuerdo al Global Risks Report 2018 del Foro Económico Mundial. El WEF es un organismo internacional que reúne lideres políticos, económicos, académicos entre otros para ayudar a formar una agenda global.
El reporte destaca al ransomware en particular como ciber amenaza, indicando que el 64% de todos los correos de phishing enviados durante el 2017 contenían malware encriptador.
El Global Risks Report 2018 cita 2 grandes eventos como ejemplos del daño y alteración que pueden causar: el ataque de WannaCry, el cual afectó a más de 300.000 computadores en 150 países e impactó infraestructura a escala global (NHS de Reino Unido, Telefónica, LATAM, Dirección de transito en Australia, entre varios) y Petya, el cual causó pérdidas sobre los 300 millones de dólares a un gran número de organizaciones.
Sin embargo, esto es relativamente un bajo nivel comparado con lo que los ciber delincuentes podrían realizar a un nivel industrial o de infraestructura crítica.
“En el peor escenario, los atacantes pueden gatillar un quiebre en los sistemas que mantienen a la sociedad funcionando”, advierte el reporte.
El reporte del año anterior advirtió acerca del riesgo potencial de los dispositivos del Internet de las Cosas (IoT). Un año mas tarde y luego de varios incidentes de seguridad relacionados con IoT nada se ha hecho para minimizar esta amenaza, así los hackers cada vez mas ponen su atención en estos dispositivos como una puerta de acceso a las redes.
Los ciber criminales han aumentado exponencialmente la cantidad de objetivos posibles, debido al uso de que los servicios en la nube continuan creciendo y se espera que el IoT se expanda desde un estimado de 8 mil millones de dispositivos en 2017 a 20 mil millones en 2020, lo que implicaría que un ataque que hoy se denominaría a gran escala sea posteriormente considerado normal.
La mayoría de los ataques en sistemas críticos y estratégicos aún tendrían que ser más efectivos, pero el WEF indica que el creciente numero de intentos de ataque sugiere que el riesgo esta aumentando, especialmente cuando la arquitectura interconectada de los sistemas actualmente en el mundo indica que los ataques pueden causar golpes irreversibles a nuestro sistema social.
Mientras el reporte indica que el ciber riesgo está en aumento, indica cuánto hay que implementar para proteger a las organizaciones, y a la sociedad como un todo, de un ataque.
Las fricciones geopolíticas contribuyen a un aumento en la escala y la sofisticación de os ciber ataques. Al mismo tiempo la exposición a estos ataques aumentan a medida que las empresas dependen mas y mas de la tecnología. Se debiese asegurar la continuidad y resiliencia al cubrir la brecha económica y posibles pérdidas de igual forma que con una catástrofe natural.
Hacia el futuro, el reporte advierte sobre la posibilidad de guerra sin reglas si un conflicto entre estados llegase a escalar impredeciblemente debido a la falta de reglas de ciber guerra, lo que puede llevar a malos cálculos y un manto de incertidumbre lo que llevaría a daños hacia objetivos no intencionales.

Phishing Netflix… ¡cuidado! (curso de como reconocer phishing y no caer en el intento)

Piense en las últimas historias de brechas de seguridad: F**KWIT, KRACK, ransomware, malware sin archivo, Intel… existen muchos candidatos a la historia con mayor atención.
Sin embargo, los ataques de phishing rara vez tienen una atención tan intensa, posiblemente sea por su gran variedad y cantidad.
De alguna manera el phishing se ha transformado en un problema asumido en el cual mucha gente espera que esto exista, sea víctima, aprenda y lo supere.
Aún así, el phishing es un gran negocio para los ciber delincuentes, tan solo la semana pasada SophosLabs interceptó ataques de phishing que abusaban de la imagen de varias instituciones financieras: eBay, PayPal, VISA, AMEX, Bank of America, Chase, HSBC, y otros, muchos otros.
Proteger su marca contra el abuso de los impostores suena, tristemente, tan bueno como imposible, especialmente si su marca es bien conocida y ampliamente publicitada.
Cada vez que envía un correo, publica un articulo en un blog o escribe un comunicado de relaciones públicas, o sube una imagen a su sitio, está entregando material para que estos ciber criminales copien y peguen en sus propias creaciones.
Los ataques de phishing buscan principalmente “pescar” información que sólo los usuarios debiesen saber, como por ejemplo:
Nombres de usuario y contraseñas para cuentas válidas.
Números de tarjetas de credito, fechas de expiración y códigos CVV.
Información personal que normalmente usted no entregaría.
Robo de la marca Netflix
La semana pasada, una campaña de phishing que afectó la marca Netflix sobresalió en las noticias.
Aún cuando podamos detectar los “phishes” a lo lejos, siempre es válido recordarnos cada cierto tiempo lo que podría salir mal una vez que uno comete un error y le entrega el click a estos ataques.
Así es como podríamos hacer un tour guiado tomando como referencia este caso, ya que nos engaña para obtener nuestros datos de inicio de sesión, datos de tarjeta de crédito, foto de perfil e identificación.

Aqui hay un truco simple, en la linea del asunto aparenta ser de Netflix pero los criminales escribieron la “x” como la letra griega “chi”, entonces “Netflix” se transforma en “Netfli𝛘”.
Recuerde: nunca de click en links de “actualice su cuenta” que vienen en correos, ya que no se puede saber a simple vista a donde realmente llevan.
Mantenga un registro de sus sitios favoritos en los cuales inicia sesión e ingrese directamente en ellos, de este modo evita trucos como este:

Note que este sitio (falso) tiene el candado que indica una conexión segura HTTPS, lo que podría convencer bastante… PERO un candado no significa que uno automáticamente debe confiar en el sitio.
En este caso hackearon un sitio que efectivamente tiene un certificado HTTPS válido, luego subieron sus paginas de phishing para que parezcan con mayor credibilidad.
Por una parte, el sitio es “seguro”, pues efectivamente pertenece a la compañía a la que el certificado menciona; por otra parte, no es seguro en absoluto debido a que está mostrando contenido malicioso.

Una vez de que ya tienen el nombre de usuario y contraseña, solicitan los detalles de la tarjeta de crédito.

Este phishing contiene una falta de gramática (en inglés) que debería ser una luz de alerta, luego de esto nos solicitan verificar los datos en un sitio de verificación de VISA, el cual también es falso.

Después los criminales quieren reasegurar su botín y solicitan una foto de la identificación y cara:

Luego de todo este proceso lo redireccionan a la pagina REAL de Netflix para continuar con un la sesión normal.
Repasando:
Nunca haga click en un link de inicio de sesión incluido en un correo no esperado.
Revise el candado HTTPS, el nombre del sitio al que apunta, si no hay candado HTTPS, olvídese de seguir en ese sitio.
Jamas ignore detalles como faltas de ortografía y gramática, sirven para delatar delincuentes que muchas veces ni siquiera hablan el idioma con el que pretenden estafar.
Guarde su identificación de forma segura, si se le solicita una selfie con algún carnet, sospeche y salga de ese sitio.
Como regla general: ante la duda… abstente!