A principios de marzo, los profesionales de la ciberseguridad de todo el mundo llenaron los amplios salones de exposiciones del Centro de Convenciones de San Francisco Moscone para discutir y aprender sobre todo lo relacionado con la información, desde el cifrado de claves públicas hasta la respuesta a incidentes, y desde el aprendizaje automático hasta el abuso doméstico .

Fue la Conferencia RSA 2019, y Malwarebytes se presentó para asistir y presentar. Nuestra sesión del miércoles por la tarde: ” Una persona puede cambiar el mundo, la historia detrás de GDPR “, exploró la nueva y amplia ley de privacidad de datos de la Unión Europea que, sobre todo, protege los “datos personales”.

Pero un lenguaje amplio y de la ley, los miembros del público severas penalizaciones izquierda finitos con una persistente pregunta: ¿Qué es exactamente es los datos personales?

La respuesta: depende.

Los datos personales, tal como se definen en el Reglamento general de protección de datos de la UE, no son lo mismo que la “información de identificación personal”, tal como se define en las leyes de protección de datos y de ciberseguridad de los EE. UU. . Además, en los EE. UU., Las leyes de protección de datos y las leyes de ciberseguridad tienen propósitos separados y, de la misma manera, otorgan definiciones ligeramente separadas a los datos personales.

Para complicar el asunto, el enfoque instintivo del público hacia la información personal, los datos personales y la privacidad en línea. Para las personas comunes, la información personal puede significar cualquier cosa, desde números de teléfono hasta información de pasaportes o códigos postales; las definiciones legales pueden estar condenadas.

Hoy, en el último blog de nuestra serie de ciberseguridad y privacidad de datos , analizamos las innumerables condiciones y los regímenes legales que se combinan para formar una amplia comprensión de la información personal.

Las empresas no deberían pensar demasiado en esto. En su lugar, los abogados de privacidad de datos dijeron que las empresas deberían prestar atención a la información que recopilan y dónde operan para comprender mejor la protección y el cumplimiento de los datos personales.

Como Duane Morris LLP, Michelle Donovan, socia de derecho intelectual y cibernética, dijo:

“Lo que se reduce a, es que, no importa cuáles son las reglas en China si no está haciendo negocios en China. Las empresas deben averiguar qué jurisdicciones aplican, qué información están recolectando, dónde residen sus sujetos de datos, y en base a eso, averiguar qué ley aplica ”.

¿Qué ley se aplica?

La información personal que necesitan las empresas para proteger los cambios de ley a ley. Sin embargo, aunque las leyes de protección de datos globales definen la información personal de diversas maneras, las definiciones en sí mismas no son importantes para todas las empresas.

Por ejemplo, una pequeña empresa en California que no tiene presencia física en la Unión Europea y no realiza esfuerzos concertados para promocionar a los residentes de la UE no tiene que preocuparse por GDPR. Del mismo modo, una empresa japonesa que no recopila datos de ningún californiano no necesita preocuparse por la ley de privacidad de datos recientemente firmada en ese estado. Y cualquier empresa fuera de los EE. UU. Que no recopile ningún dato personal de EE. UU. No debería tener que soportar los dolores de cabeza de cumplir con 50 leyes de notificación de violación de datos estatales individuales.

Vincent Schroeder, asesor legal de Baker & McKenzie LLP, quien asesora a las empresas en materia de privacidad, protección de datos, tecnología de la información y comercio electrónico, dijo que las diversas reglas que determinan qué leyes se aplican a las empresas se pueden dividir en tres categorías básicas: territorial Reglas, reglas personales y reglas sustantivas.

Las reglas territoriales son simples: determinan el cumplimiento legal basado en la presencia de una compañía en un país, estado o región. Por ejemplo, GDPR se aplica a compañías que operan físicamente en cualquiera de los 28 estados miembros de la UE, junto con compañías que comercializan directamente y ofrecen sus productos a los ciudadanos de la UE. Esa segunda regla de marketing directo es similar a otra ley de privacidad de datos en Japón, que se aplica a cualquier empresa que ofrece específicamente sus productos a residentes japoneses.

“Esa es la ‘regla del mercado’, lo llaman”, dijo Schroeder. “Si está haciendo negocios en ese mercado, conscientemente, entonces está afectando los derechos de las personas que están allí, por lo que debe cumplir con la ley reglamentaria local”. 

Las reglas sustantivas, por otro lado, determinan el cumplimiento en función de las características de una empresa. Por ejemplo, la recientemente aprobada Ley de Privacidad del Consumidor de California se aplica a las compañías que cumplen con uno solo de los siguientes tres criterios: obtener ingresos anuales de $ 25 millones, obtener el 50 por ciento o más de esos ingresos anuales de la venta de información personal de los consumidores, o compre, reciba, venda o comparta la información personal de 50,000 o más consumidores, hogares o dispositivos.

Las empresas que deseen saber qué información personal proteger legalmente deben ver primero qué leyes se aplican. Solo entonces deberían avanzar, porque la “información personal” nunca es solo una cosa, dijo Schroeder.

“Es una interacción de diferentes definiciones de los ámbitos territorial, personal y sustantivo de la aplicación, y para las definiciones de datos personales”, dijo Schroeder.

Información personal, ¿qué incluye?

El significado de la información personal cambia dependiendo de a quién le pregunte y qué ley lea. A continuación, nos centramos en cinco interpretaciones importantes. ¿Qué significa la información personal para el público? ¿Qué significa según GDPR? Y qué significa de acuerdo con las tres leyes estatales de California: la vanguardia legislativa del país en la protección de la privacidad en línea y los datos personales de sus residentes.

El público

Seamos claros: cualquier negocio relacionado con las obligaciones legales de proteger la información personal no debe iniciar un viaje de cumplimiento, por ejemplo, realizando una encuesta de empleados en Slack y obteniendo opiniones personales. 

Dicho esto, las opiniones públicas sobre los datos personales son importantes, ya que pueden influir en los legisladores para redactar nuevas leyes para proteger mejor la privacidad en línea.

Jovi Umawing, redactor principal de contenido de Malwarebytes Labs que recientemente recopiló las opiniones de casi 4.000 encuestados sobre la privacidad en línea , dijo que la información personal es algo que puede definir a una persona de otra.

“La información personal para mí es información relevante sobre una persona que los hace únicos o sobresalientes”, escribió Umawing. “Es algo intangible que uno posee o posee que (cuando se combina con otra información) apunta a la persona con una precisión muy alta o incuestionable”.

Pieter Arntz, investigador de inteligencia maliciosa para Malwarebytes, proporcionó una visión similar. Dijo que considera “todo lo que se puede usar para identificarme o encontrar información más específica sobre mí como información personal”. Esto incluye direcciones, números de teléfono, números de Seguro Social, información sobre licencias de conducir, información de pasaportes y “también cosas como la Código postal “, que para las personas que viven en ciudades muy pequeñas, puede ser revelador, dijo Arntz.

Curiosamente, algunas de estas definiciones se superponen con algunas de las leyes de privacidad de datos más populares de la actualidad.

GDPR

En 2018, entró en vigor el Reglamento general de protección de datos, que otorga a los ciudadanos de la UE nuevos derechos de acceso, transporte y eliminación de datos personales. En 2019, las empresas aún están descubriendo qué incluyen los datos personales.

El texto de la ley ofrece poca claridad, en lugar de proporcionar esta ideología que abarca todo el océano: “Los datos personales deben interpretarse de la manera más amplia posible”.

Según GDPR, los datos personales que las empresas deben proteger incluyen cualquier información que pueda identificar “directa o indirectamente” a una persona, o sujeto, a quien pertenece o describe la información. Se incluyen nombres, números de identificación, datos de ubicación, identificadores en línea como nombres de pantalla o nombres de cuentas, e incluso características que describen la “identidad física, fisiológica, genética, mental, comercial, cultural o social de una persona”.

La última parte podría incluir cosas como el registro de desempeño de un empleado, el historial de diagnóstico médico de un paciente, las opiniones políticas anarco-libertarias específicas de un usuario e incluso el color y la longitud del cabello de una persona, si es suficiente para determinar la identidad de esa persona.

Donovan, el abogado de Duane Morris, dijo que la definición de GDPR podría incluir casi cualquier información sobre una persona que no está anónima.

“Incluso si esa información no identifica a [una persona] por su nombre, si se identifica por un número, y se sabe que ese número se usa para identificar a esa persona, ya sea solo o en combinación, aún podría asociarse con esa persona”. Dijo Donovan. “Debe asumir que si tiene algún dato sobre una persona que no está anonimizado cuando lo recibe, es probable que se cubra”.

La Ley de Privacidad del Consumidor de California

En junio de 2018, California se convirtió en el primer estado de la nación en responder a las frecuentes crisis de privacidad en línea al aprobar una ley de privacidad de datos en todo el estado . La Ley de privacidad del consumidor de California, o CCPA, establece nuevas reglas para las compañías que recopilan datos personales de los residentes de California.

La ley, que entrará en vigencia en 2020, llama a este tipo de datos “información personal”.

“Información personal”, según la CCPA , es “información que identifica, se relaciona con, describe, es capaz de asociarse o podría estar vinculada, directa o indirectamente, con un consumidor u hogar en particular”.

Sin embargo, lo que incluye en la práctica es una amplia gama de puntos de datos, incluido el nombre real de una persona, la dirección postal y la dirección IP en línea, junto con información biométrica, como el ADN y los datos de huellas dactilares, e incluso su historial de navegación, historial de educación, y lo que la ley describe vagamente como “información de audio, electrónica, visual, térmica, olfativa o similar”.

Además de proteger varios tipos de datos nuevos, la CCPA también hace un cambio importante en la forma en que los californianos pueden hacer valer sus derechos de privacidad de datos en los tribunales. Por primera vez, una ley de privacidad de datos en todo el estado detalla los “daños legales”, que son montos monetarios establecidos por la legislación que una persona puede pedir para recuperar al presentar una demanda privada contra una compañía por presuntamente violar la ley. Según la CCPA, las personas que creen que se violaron sus derechos de privacidad de datos pueden demandar a una empresa y solicitar hasta $ 750.

Este es un gran cambio en la ley de privacidad de datos, dijo Donovan.

“Por primera vez, hay una verdadera ley de privacidad con los dientes”, dijo Donovan.

Anteriormente, si los individuos querían demandar a una empresa por una violación de datos, tenían que probar algún tipo de pérdida económica al solicitar daños monetarios. Si, por ejemplo, se creó una tarjeta de crédito fraudulenta con datos robados, y luego se hicieron cargos fraudulentos en esa tarjeta, los daños monetarios pueden ser fáciles de resolver. Pero rara vez es tan simple.  

“Ahora, independientemente del daño monetario, puede obtener este daño legal de $ 750 por incidente”, dijo Donovan.

Ley de notificación de violación de datos de California y ley de protección de datos

Si nos quedamos en California pero retrocedemos en el tiempo varios años, vemos el comienzo de una tendencia: California ha sido el primer estado, más de una vez, en aprobar una legislación de protección de datos .

En 2002, California aprobó su ley de notificación de violación de datos . El primero de su tipo en los Estados Unidos, la ley obligó a las compañías a notificar a los residentes de California sobre el acceso no autorizado a su “información personal”.

Las definiciones anteriores de información personal y datos que hemos cubierto, el enfoque amplio de GDPR, y la inclusión de CCPA de datos personales “olfativos” basados ​​en el olfato hasta ahora inimaginados, no se aplican aquí.

En cambio, la información personal en la ley de 17 años, que recibió una actualización hace cinco años, se define como una combinación de tipos de información. Los componentes necesarios incluyen el nombre y apellido de un californiano, o la inicial y el apellido, combinados con cosas como su número de Seguro Social, número de licencia de conducir y número de tarjeta de crédito y el código de seguridad correspondiente, junto con la dirección de correo electrónico y la contraseña de una persona.

Entonces, ¿si una compañía sufre una violación de datos del nombre y apellido de un residente de California más su número de Seguro Social? Eso se considera información personal. ¿Si una violación de datos compromete la primera inicial, el apellido y las reclamaciones de seguros médicos anteriores de otro residente de California? Una vez más, esos datos se consideran información personal, de acuerdo con la ley.

En 2014, esta definición se trasladó un poco a la ley de protección de datos de California. Ese año, entonces gobernador de California, Jerry Brown, firmó cambios a del estado co civiles de que crearon los requisitos de protección de datos para cualquier empresa que posee, licencias, o mantiene la “información personal” de los residentes de California.

Según el Proyecto de ley de la Asamblea núm. 1710, “información personal” es, una vez más, la combinación de información que incluye un nombre y apellido (o la primera inicial y apellido), más un número de Seguro Social, número de licencia de conducir, tarjeta de crédito Número y número de seguridad correspondiente, e información médica e información de salud.

Sin embargo, las definiciones no son idénticas. La ley de protección de datos de California, a diferencia de la ley de notificación de violación de datos, no cubre los datos recopilados por lectores de matrículas automáticos o ALPR. Los ALPR pueden capturar de forma indiscriminada, y en ocasiones de manera desproporcionada, los números de matrícula de cualquier vehículo que se cruce en su campo de visión.

Aproximadamente un año después, California aprobó una ley para fortalecer la protección de los datos recopilados por ALPR.

La comida para llevar

A estas alturas, es probable que sea más fácil definir qué información personal no es más que qué es (obviamente, también hay una respuesta legal a eso, pero nos reservamos los detalles). Estas definiciones en evolución apuntan a un panorama legal cambiante, donde los datos no están protegidos únicamente por su tipo, sino por su importancia inherente para la privacidad de las personas.

Al igual que no existe una definición de talla única para la información personal, no existe una conformidad de talla única para el cumplimiento de la protección de datos personales. Si una empresa se encuentra preguntándose qué datos personales debe proteger, podemos sugerir algo que hayamos hecho para cada blog de esta serie: Pregúntele a un abogado.

Únase a nosotros pronto para el próximo blog de nuestra serie, en el que hablaremos sobre las protecciones de los consumidores para las violaciones de datos y las invasiones de privacidad en línea.  

Por  William Tsing , Vasilios Hioureas y Jérôme Segura

En los últimos meses, hemos notado un aumento de la actividad y el desarrollo de nuevos ladrones. Uno de estos nuevos ladrones, llamado Baldr, apareció por primera vez en enero de 2019, y nuestro análisis de este malware encuentra que sus autores tomaron en serio la creación de un producto de larga duración.

A diferencia de muchos troyanos bancarios que esperan a que la víctima inicie sesión en el sitio web de su banco, los ladrones suelen operar en modo de agarrar y usar. Esto significa que, tras la infección, el malware recopilará todos los datos que necesita y los eliminará de inmediato. Debido a que estos ladrones a menudo no son residentes (lo que significa que no tienen un mecanismo de persistencia) a menos que sean detectados en el momento del ataque, las víctimas no sabrán que han sido comprometidos.

Este tipo de malware es popular entre los delincuentes y cubre una mayor superficie que los banqueros más especializados. Además de capturar el historial del navegador, las contraseñas almacenadas y las cookies, los ladrones también buscarán archivos que puedan contener información valiosa.

En esta publicación del blog, revisaremos al ladrón de Baldr analizando su introducción en los foros de delitos informáticos y su distribución en el medio silvestre.

Baldr en el mercado

Es probable que Baldr sea el trabajo de tres actores de amenazas: Agressor para la distribución, Overdot para ventas y promoción, y LordOdin para el desarrollo. Apareciendo por primera vez en enero, Baldr generó rápidamente muchos comentarios positivos en la mayoría de los populares foros de piratería rusos de clearnet.

Anteriormente asociado con el ladrón de Arkei (que se ve a continuación), Overdot publica la mayoría de las publicidades en múltiples foros de mensajes, proporciona servicio al cliente a través de Jabber y aborda las quejas de los compradores en el sistema de reputación utilizado por varios foros.

De interés es una publicación de foros que hace referencia al trabajo anterior de Overdot con Arkei, donde afirma que los desarrolladores de Baldr y Arkei están en contacto y colaboran en ocasiones.

A diferencia de la mayoría de los productos publicados en los tableros clearnet, Baldr tiene una reputación de confiabilidad y también ofrece una comunicación relativamente buena con el equipo que lo respalda.

LordOdin, también conocido como BaldrOdin, tiene un perfil significativamente más bajo en combinación con Baldr, pero monitoreará y apreciará las publicaciones que lo rodean.

Principalmente publica para diferenciar a Baldr de productos de la competencia como Azorult, y confirma que Baldr no es simplemente un personaje de Arkei:

Agressor / Agri_MAN es el jugador final que aparece en la distribución de Baldr:

Agri_MAN tiene un historial de ventas de tráfico en los foros de piratería rusos que se remontan aproximadamente a 2011. En contraste con LordOdin y Overdot, él tiene una reputación más marcada, apareciendo en una lista negra para las devoluciones de cargo, así como siendo llamado para usar las cuentas de títeres. Para generar buenos comentarios.

Utilizando la cuenta alternativa Agressor, actualmente mantiene una tienda automatizada para generar construcciones de Baldr en  service-shop [.] Ml . Curiosamente, Overdot hace referencia a un robot de instalación automatizado que no está conectado a ellos, y está generando quejas de los clientes:

Esto puede indicar que Agressor es un afiliado y no está directamente asociado con el desarrollo de Baldr. En Presstime, Overdot y LordOdin parecen ser los principales actores de amenazas que manejan Baldr.

Distribución

En nuestro análisis de Baldr, recopilamos algunas versiones diferentes, lo que indica que el malware tiene ciclos de desarrollo cortos. La última versión analizada para esta publicación es la versión 2.2, anunciada el 20 de marzo:

Capturamos a Baldr a través de diferentes cadenas de distribución. Uno de los vectores principales es el uso de aplicaciones troyanas disfrazadas de grietas o herramientas de hackeo. Por ejemplo, vimos un video publicado en YouTube que ofrecía un programa para generar Bitcoins gratuitos, pero en realidad era el ladrón de Baldr disfrazado.

También atrapamos a Baldr a través de una campaña de drive-by con el kit de explotación de Fallout:

Análisis técnico (Baldr 2.2)

La funcionalidad de alto nivel de Baldr es relativamente sencilla, ya que proporciona un pequeño conjunto de habilidades maliciosas en la versión de este análisis. No hay nada innovador en cuanto a lo que está tratando de hacer en la computadora del usuario, sin embargo, donde esta amenaza se diferencia en sí misma es en su implementación extremadamente complicada de esa lógica.

Por lo general, es bastante evidente cuando se lanza un malware para obtener una inversión rápida en comparación con cuando se crea con habilidad para una campaña de larga duración. Baldr se sienta firmemente en la última categoría, no es el trabajo de un script para niños. Ya sea que estemos hablando de su uso del empaquetador, la estructura del código de la carga útil, o incluso de su C2 backend y su distribución, está claro que los autores de Baldr pasaron mucho tiempo desarrollando esta amenaza particular.

Descripción de la funcionalidad

La funcionalidad principal de Baldr se puede dividir en cinco pasos, que se completan en orden cronológico.

Paso 1: Perfil del usuario

Baldr comienza reuniendo una lista de datos de perfiles de usuarios. Todo, desde el nombre de la cuenta de usuario hasta el espacio en disco y el tipo de sistema operativo, se enumera para la exfiltración.

Paso 2: Exfiltración de datos sensibles.

A continuación, Baldr comienza a recorrer todos los archivos y carpetas dentro de las ubicaciones clave de la computadora víctima. Específicamente, busca en la carpeta AppData y temporal del usuario información relacionada con datos confidenciales. A continuación hay una lista de ubicaciones clave y datos de aplicaciones que busca:

AppData \ Local \ Google \ Chrome \ Datos de usuario \ Predeterminado
AppData \ Local \ Google \ Chrome \ Datos de usuario \ Predeterminado \ Datos de inicio de sesión
AppData \ Local \ Google \ Chrome \ Datos de usuario \ Predeterminado \ Cookies
AppData \ Local \ Google \ Chrome \ Datos de usuario \ Predeterminado \ Datos Web
AppData \ Local \ Google \ Chrome \ Datos de usuario \ Predeterminado \ Historial
AppData \ Roaming \ Exodus \ exodus.wallet
AppData \ Roaming \ Ethereum \ keystore 
AppData \ Local \ ProtonVPN 
Carteras \ Jaxx 
Libertad\ 
NordVPN \ 
Telegrama 
Farfullar 
Comandante total 
Ghisler

Muchos de estos archivos de datos van desde bases de datos sqlite simples hasta otros tipos de formatos personalizados. Los autores tienen un conocimiento detallado de estos formatos de destino, ya que solo los datos clave de estos archivos se extraen y se cargan en una serie de matrices. Una vez analizados y preparados todos los datos dirigidos, el malware continúa con su siguiente conjunto de funciones.

Paso 3: captura de archivos ShotGun

Los archivos DOC, DOCX, LOG y TXT son los objetivos en esta etapa. Baldr comienza en los directorios Documentos y Escritorio e itera recursivamente todos los subdirectorios. Cuando se encuentra con un archivo con cualquiera de las extensiones anteriores, simplemente toma todo el contenido del archivo.

Paso 4: ScreenCap

En este último paso de recopilación de datos, Baldr le da al controlador la opción de capturar una captura de pantalla de la computadora del usuario.

Paso 5: Exfiltración de red

Una vez que todos estos datos se han cargado en arreglos / listas organizados y categorizados, Baldr aplana los arreglos y los prepara para enviarlos a través de la red.

Una nota interesante es que no hay ningún intento de hacer que la transferencia de datos sea más discreta. En nuestra máquina de análisis, proporcionamos deliberadamente una cantidad extrema de archivos para que Baldr los tomara, preguntándonos si el malware exfiltraría lentamente esta gran cantidad de datos, o si simplemente los enviaría de vuelta al C2.

El resultado fue una transferencia de red grande y obvia. El malware no tiene funcionalidad incorporada para permanecer residente en la máquina de la víctima. Ya ha recopilado los datos que desea y no le importa re-infectar la misma máquina. Además, no existe un mecanismo de difusión en el código, por lo tanto, en un entorno corporativo, cada empleado tendría que ser dirigido manualmente con un intento único.

Análisis de nivel de código de Packer

Comenzaremos con la ofuscación de la carga útil y el uso del empacador. Esta versión de Baldr comienza como un script AutoIt integrado en un exe. Usando un descompilador AIT disponible gratuitamente, llegamos a la primera etapa del empaquetador a continuación.

Como puede ver, este código está muy confuso. Las dos primeras funciones son el principal caballo de batalla de esa ofuscación. Lo que está sucediendo aquí es simplemente reordenar la cadena provista, de acuerdo con los índices pasados ​​como segundo parámetro. Sin embargo, esto no representa un gran problema, ya que podemos extraer fácilmente las cadenas generadas simplemente modificando este script a ConsoleWrite las cadenas desofuscadas antes de regresar:

Las cadenas resultantes extraídas se encuentran a continuación:

Ejecutar
BinaryToString
@TempDir
@SystemDir
@SW_HIDE
@StartupDir
@ScriptDir
@Versión del sistema operativo
@HomeDrive
@CR
@ComSpec
@AutoItPID
@AutoItExe
@AppDataDir
WinExists
UBound
StringReplace
StringLen
StringInStr
Dormir
ShellExecute
RegWrite
Aleatorio
ProcessExists
ProcesoCerrar
IsAdmin
FileWrite
FileSetAttrib
FileRead
FileOpen
El archivo existe
FileDelete
ArchivoCerrar
DriveGetDrive
DllStructSetData
DllStructGet
DllStructGetData
DllStructCreate
DllCallAddress
DllCall
DirCreate
BinaryLen
BandejaIconcultar
: Zone.Identifier
kernel32.dll
encargarse de
CrearMutexW
estructura *
FindResourceW
kernel32.dll
palabra
SizeofResource
kernel32.dll
LoadResource
kernel32.dll
LockResource
byte[
VirtualAlloc
byte shellcode [

Además de estas llamadas a funciones obvias, también tenemos una cantidad de blobs binarios que se desenfocan. Hemos incluido solo un conjunto limitado de estas cadenas para no sobrecargar este análisis con conjuntos largos de datos.

Podemos ver que está extrayendo y desencriptando una DLL de recursos desde el ejecutable principal, que se cargará en la memoria. Esto tiene sentido después de analizar una versión anterior de Baldr que no usó AIT como su primera etapa. Las versiones anteriores de Baldr requerían un archivo secundario llamado  Dulciana. Entonces, en lugar de usar AIT, las versiones anteriores usaron este archivo que contiene los bytes cifrados de la misma DLL que vemos aquí:

Avanzando a la etapa dos, todas las cosas esencialmente permanecen iguales en todas las versiones del empaquetador Baldr. Tenemos la DLL cargada en la memoria, lo que crea un proceso secundario del ejecutable Baldr principal en un estado suspendido y procede a vaciar este proceso, reemplazándolo finalmente con la carga útil principal de .NET. Esto hace que el desempaquetado manual con ollyDbg sea agradable porque después de interrumpir la carga de Baldr.exe secundario, podemos recorrer el código restante del padre, que escribe para procesar la memoria y finalmente llama a ResumeThread () .

Como puede ver, una vez que se carga el proceso hijo, las funciones que ha configurado para llamar contienen VirtualAlloc, WriteProcessMemory y ResumeThread, que nos da una idea de qué buscar. Si volcamos esta memoria escrita justo antes de llamar al hilo de reanudación, podemos extraer fácilmente la carga útil principal.

Nuestro colega @hasherezade ha hecho este video paso a paso de desempacar Baldr:

Análisis de código de carga

Ahora que hemos desempaquetado la carga útil, podemos ver la funcionalidad maliciosa real. Sin embargo, aquí es donde comenzaron nuestros problemas. En su mayor parte, el malware escrito en cualquier lenguaje interpretado es un alivio para un ingeniero inverso en lo que respecta a la facilidad de análisis. Baldr, por otro lado, logró hacer la depuración y el análisis de su código fuente una tarea difícil, a pesar de estar escrito en C #.

El código base de este malware no es sencillo. Toda la funcionalidad está muy resumida, encapsulada en funciones de envoltura y utiliza una tonelada de clases de utilidad. Al analizar esta base de código de alrededor de 80 clases y módulos separados, no es fácil ver dónde se encuentra la funcionalidad clave. Se requieren múltiples pases estáticos sobre la base del código para comenzar a darle sentido a todo. Agregue el hecho de que los nombres de las funciones han sido modificados y se han insertado instrucciones de correo no deseado en todo el código, y el siguiente paso sería comenzar a depurar el archivo ejecutable con DnSpy.

Ahora llegamos a nuestro siguiente problema: hilos. Cada acción de minuto que realiza este malware se ejecuta a través de un hilo separado. Esto fue obviamente hecho para complicar la vida del analista. Sería exacto decir que hay más de 100 funciones únicas que se llaman dentro de los hilos en todo el código base. Esto no incluye los subprocesos que se llaman recursivamente, que podrían convertirse en miles.

Afortunadamente, podemos ver los datos locales a medida que se escriben, y eventualmente podemos ubicar las secciones clave del código:

La función que se muestra arriba recoge el perfil del usuario, como se mencionó anteriormente. Esto incluye el tipo de CPU, el nombre del equipo, las cuentas de usuario y el sistema operativo.

Una vez que se completa el proceso completo, se aplanan las matrices que almacenan estos datos, lo que resulta en una cadena como esta:

La siguiente sección de código muestra una de las muchas clases de enumeradores que se utilizan para completar un ciclo de directorios, buscando datos de aplicaciones, como las cuentas de usuario almacenadas, que guardamos a propósito para realizar pruebas.

Los datos recuperados se guardaron en listas en el siguiente formato:

En la etapa final de la recopilación de datos, tenemos los subprocesos a continuación, que completan los directorios clave en busca de archivos txt y doc. Guardará el nombre de archivo de cada txt o documento que encuentre, y almacenará el contenido del archivo en varios arreglos.

Finalmente, antes de continuar con el segmento de red del malware, tenemos la sección de código que realiza las capturas de pantalla:

La función Class 2d10104b 1b0b685 () es uno de los módulos principales que se bifurca para realizar la mayoría de las funciones, como recorrer los directorios. Una vez que se han recopilado todos los datos, los hilos convergen y las líneas de código restantes continúan en un solo hilo. Es entonces cuando comienzan las llamadas de la red y todos los datos se envían de vuelta al C2.

Panel

Al igual que otros ladrones, Baldr viene con un panel que permite a los clientes (delincuentes que compran el producto) ver estadísticas de alto nivel, así como recuperar la información robada. A continuación se muestra una página de inicio de sesión del panel:

Y aquí, en una captura de pantalla publicada por el actor de amenazas en un foro, vemos el interior del panel:

Análisis final

Baldr es un ladrón sólido que se distribuye en la naturaleza. Su autor y distribuidor están activos en varios foros para promover y defender su producto contra los críticos. Durante un corto período de tiempo de solo unos pocos meses, Baldr ha pasado por muchas versiones, lo que sugiere que su autor está corrigiendo errores e interesado en desarrollar nuevas características.

Baldr tendrá que competir contra otros ladrones y diferenciarse. Sin embargo, la demanda de tales productos es alta, por lo que podemos esperar que muchos distribuidores lo utilicen como parte de varias campañas.

Los usuarios de Malwarebytes están protegidos contra esta amenaza, detectada como Spyware.Baldr.

Gracias a S! Ri por contribuciones adicionales.

Indicadores de compromiso

Muestras de baldr

5464be2fd1862f850bdb9fc5536eceafb60c49835dd112e0cd91dabef0ffcec5 -> versión 1.2
1cd5f152cde33906c0be3b02a88b1d5133af3c7791bcde8f33eefed3199083a6 -> versión 2.0
7b88d4ce3610e264648741c76101cb80fe1e5e0377ea0ee62d8eb3d0c2decb92> versión 2.2
8756ad881ad157b34bce011cc5d281f85d5195da1ed3443fa0a802b57de9962f (2.2 sin empaquetar)

Hace unos años, los investigadores de ciberseguridad predijeron que la industria de los videojuegos sería el próximo gran objetivo de los ciberdelincuentes. Ya sea que esto se haga realidad en el futuro o no, el jugador promedio puede tener poca o ninguna idea de lo que les espera, y mucho menos estar preparado para ello.

De hecho, aunque en general son más expertos técnicamente que el Joe promedio, la mayoría de los jugadores no están familiarizados con los riesgos que pueden enfrentar al jugar o navegar en la web en busca de contenido relacionado con el juego. Para la mayoría de los hogares de EE. UU., Esto ocurre en dispositivos como la computadora personal, el teléfono inteligente y la consola de juegos dedicada.

Tomando en cuenta el crecimiento constante de la industria del juego desde 2011 (los cambios en la percepción, los hábitos y el apetito de los consumidores por los nuevos contenidos, la tecnología y los accesorios) y la expectativa de que, a pesar de una caída nominal prevista , la industria seguirá marcando altos puntajes en las ventas a finales de año, es más crucial que nunca educar a los jugadores sobre las mejores prácticas de ciberseguridad. Esto incluye las diversas amenazas que los jugadores pueden encontrar en línea, sus consecuencias en el mundo real y lo que pueden hacer para protegerse.

Si bien mucho ha cambiado en la industria del juego en los últimos cinco años, la mayoría de las tácticas probadas de atrapar lo desconocido (y muchas veces, lo experimentado) todavía existen, causando pánico y haciendo titulares.

Así que, sin más preámbulos, aquí están los riesgos que todo jugador, en una PC, dispositivo móvil o consola de juegos, debería estar atento.

Malware y programas potencialmente no deseados (PUP)

Malware y PUP han sido las amenazas más importantes para los jugadores en línea, y por una buena razón. Vienen en muchas, muchas formas: generadores clave; grietas de juego; entrenadores; aplicaciones de juegos móviles falsos [ 1 ] [ 2 ], instaladores de juegos, clientes / lanzadores y  protocolo de audio ; hacks de juego ; archivos de trucos [ 1 ] [ 2 ]; modificaciones infectadas o arriesgadas ; parches de juego no oficiales; Emuladores falsos: lo que sea. En este punto, no será una sorpresa considerar que cada software concebible relacionado con los juegos podría tener un equivalente malicioso en la naturaleza.

El malware no solo aparece como aplicaciones, sino que también se puede incrustar en archivos de imagen. En 2016, se descubrió que los ciberdelincuentes ocultaron un troyano en archivos de imagen en más de 60 aplicaciones de Android utilizando estenografía . Tal vez aún más sorprendente, el código criptómino se incluyó en Abstractism , una plataforma que una vez se vendió en Steam y finalmente se retiró del mercado después de una avalancha de quejas.

Los binarios maliciosos también pueden explotar vulnerabilidades de software, como lo hizo elransomware TeslaCrypt cuando, con la ayuda de varios kits de exploits conocidos, aprovechó los programas Adobe Flash Player sin parches.

Por último, el malware puede afectar a los jugadores cuando se conectan a servidores infectados. En el informe, Estudio del troyano Belonard, que explota las vulnerabilidades de día cero en Counter-Strike 1.6 , los expertos en seguridad de la empresa antivirus rusa Doctor Web investigaron a Belonard, un troyano que aprovecha las debilidades de Steam y versiones piratas de Counter-Strike 1.6. (CS 1.6).

Una vez infectado con Belonard, los jugadores se convierten en parte de una red de bots, que puede propagar aún más la promoción y la comercialización de otros servidores potencialmente maliciosos.

Estafas de encuesta

A veces nos preguntamos cómo una táctica tan antigua puede durar tanto tiempo, y encontramos la respuesta en un truismo de phishing de larga data: funciona.

Los estafadores de la encuesta inmediatamente se lanzaron a la locura de Far Cry 5 al ofrecer copias “gratuitas” del juego después de su lanzamiento en el segundo trimestre de 2018. Sin saberlo, los usuarios que son más guiados por su deseo de obtener un juego de título Triple-A gratuito, que protegen su de datos, se suscriben a un servicio que pretende ofrecer “películas ilimitadas”, pero terminan regalando sus direcciones de correo electrónico, reciben aún más ofertas que no desean y se dan cuenta al final de que no recibieron nada de lo que Se les ofreció.

Una multitud similar ocurrió cuando Grand Theft Auto 5 (GTA V) salió en el tercer trimestre de 2017. Muchos estafadores utilizaron YouTube para comercializar sus llamados generadores de dinero , que son estafas de encuestas, para incitar a los jugadores a revelar su información de identificación personal (PII) o descargar un archivo potencialmente malicioso.

Tampoco olvidemos la cantidad de estafadores que bajaron  cuando Pokemon Go alcanzó su máxima actividad .

Estafas de phishing

Es probable que los usuarios de Steam estén más que familiarizados con los tiempos en que los phishers utilizaron dominios en cuclillas para atraerlos a dar sus credenciales a Steam o a su sitio de comercio de terceros favorito, como CS: GO Lounge .

sleamcummunity.comy steamcornmunity.comfueron solo dos de los varios dominios nuevos que aparecieron, se hicieron para que pareciera una página de Steam Community y se usaron en varias campañas con el objetivo de obtener cuentas de Steam. Creíamos que las cuentas robadas se podrían usar para llevar a más usuarios de Steam a entregar sus credenciales también.

De manera similar, un dominio falso de CS: GO Lounge se registró e imitó al sitio real de negociación y licitación. Los criminales detrás de esto también estaban detrás de las credenciales de Steam. Para frotar sal en la herida, incluso agregaron un troyano que pretendía ser un archivo de activación de Steam.

Toma de control de cuenta (ATO)

La toma de posesión de una cuenta es el resultado del fraude de credenciales causado por el phishing, la piratería o la violación de datos. Cualquier persona que mantenga una cuenta en línea está en riesgo.

Ubisoft, la compañía detrás de Assassin’s Creed y la marca Tom Clancy, se vio comprometida en 2013. Mientras que la compañía no sabía cómo sucedió, uno de nuestros expertos insinuó que un empleado pudo haber sido engañado , lo que permitió a los delincuentes acceder Su red interna. Ubisoft instó a sus usuarios a cambiar rápidamente sus contraseñas.

Los empleados no son los únicos objetivos probables de aquellos con intenciones infames. Los foros de desarrolladores de juegos también están en riesgo. El DayZ de Bohemia Interactive tuvo sus propios compromisos , ya que los piratas informáticos acceden y descargan nombres de usuario, contraseñas y direcciones de correo electrónico.

Inundación y publicidad maliciosa.

Los anuncios, ya sea que se muestren en sitios web o aplicaciones, son percibidos como más una molestia que una amenaza para los usuarios normales. Pero cuando se vuelven demasiado agresivos, Malwarebytes los caracteriza como adware.

Los usuarios de dispositivos móviles que disfrutan jugando juegos gratuitos probablemente pueden dar fe de que pueden tolerar los anuncios; por lo general, no están en el camino del juego al que están jugando. Pero si los anuncios son más frecuentes que el juego real, entonces espere escuchar a los usuarios quejarse. Mucho.

Por supuesto, algunos anuncios también contienen publicidad maliciosa , lo que abre el ángulo de que los anuncios se pueden usar como vectores de infección para llegar a los usuarios a los que normalmente no les molesta.

Acoso cibernético

No todas las amenazas a las que se enfrentan los jugadores de video en línea son su información o su dinero. Algunos los persiguen,  su reputación, su tranquilidad. Imploramos a cada jugador que desconfíe de los elementos a continuación tanto como de los elementos anteriores porque pueden causar daños mentales y emocionales, en lugar de financieros.

Según el Departamento de Salud y Servicios Humanos de los EE. UU., La división que mantiene el sitioweb stopbullying.gov , el acoso en línea incluye llamas, hostigamiento, exclusión, denigración, salida / vergüenza causada por el engaño o la pretensión, y doxing . Compartir fotos desnudas o vengarse del porno también puede considerarse una forma de acoso cibernético.

El acoso cibernético puede ocurrirle a los jugadores mientras interactúan en línea, ya sea mediante el uso de las funciones de voz de los juegos multijugador, o en foros u otras funciones de chat de las plataformas de juegos.

Hemos cubierto el tema del ciberacoso en varias ocasiones, especialmente durante eventos como el Mes Nacional de Concientización sobre la Seguridad Cibernética (NCSAM) . Compartimos tecnología que podría ayudar a frenar el ciberacoso, las  estadísticas sobre las tendencias de acoso en línea y desmitificamos los mitos que rodean esta ley. Vale la pena volver atrás y leer estos mensajes.

Trolling / duelo

Trolling puede ser divertido y divertido. Al menos al principio. Pero después de que la risa estridente se reduce a una carcajada, los jugadores finalmente deciden ponerse serios y llevar.

Excepto que no pueden.

Porque a veces ese troll continúa parado en la puerta abierta haciendo saltos, evitando que los jugadores vayan a la siguiente sala y avanzando en el juego.

Esto fue lo que sucedió después de que Ubisoft lanzara oficialmente The Division de Tom Clancy.

Por otro lado, el duelo, el término usado para llevar el duelo a los jugadores al arruinar su experiencia en general, no se pierde en Elite Dangerous, una simulación de exploración espacial. Para uno de sus jugadores, el comandante DoveEnigma13, el juego final es alcanzar un sistema estelar distante llamado Colonia. Puede ser su última oportunidad para hacer el viaje, ya que había estado luchando contra una enfermedad terminal durante al menos tres años. Así que, con otros jugadores de Elite, su hija y Frontier (los desarrolladores del juego) ayudando a hacer de este viaje un éxito, nació la Expedición Enigma .

Sin embargo, los informes de otros gritos peligrosos de la élite estaban saboteando la expedición al atacar el punto de ruta final, una mega nave llamada Dove Enigma, que Frontier también creó como homenaje al Comandante. Sin esto, sería difícil para la flota Enigma de más de 560 jugadores fuertes llegar a Colonia debido a la escasez de combustible. Sin embargo, en una entrevista con el Polígono , uno de los jugadores que formaba parte de la flota dijo que “la amenaza es menor en el mejor de los casos”.

---

Leer: Cuando los trolls vienen en un traje de tres piezas

---

El acecho

Gracias a Pokemon Go , la realidad aumentada (AR) se ha convertido en parte del vocabulario del jugador moderno. Es el futuro de los juegos interactivos e inmersivos, llevando la experiencia a nuevas alturas. Desafortunadamente para algunos, los juegos AR como Ingress también han abierto un camino para que los jugadores con intenciones cuestionables utilicen herramientas no oficiales para acosar a otros jugadores, visitar sus hogares de la vida real y dejar mensajes espeluznantes en las puertas para que los propietarios puedan verlos.

Intoku, un jugador de Ingress, admitió a Kotaku en una entrevista : “Los jugadores de ambos lados han acechado y han sido acosados”. Con un juego que se basa en lugares del mundo real, los jugadores no deben sorprenderse, ni deben esperar poco o nada. No hay riesgo al jugar tales juegos.

Golpeando

Los aplausos pueden comenzar como una broma a los servicios de emergencia, pero los resultados, un despacho de un gran número de policías armados a una dirección en particular, pueden convertirse rápidamente en mortales, como hemos visto en el caso de Andrew Finch . Y, sin embargo, Peter “Rolly Ranchers” Varady, un joven seguidor de YouTube de 12 años de edad, fue aplastado menos de un mes después de la muerte de Finch. Esto sucedió días después de que Cizzorz, un renombrado transmisor de YouTube con millones de suscriptores, lo ayudara a aumentar dramáticamente su conteo de suscriptores de 400 a casi 100,000.

En otra historia, un jugador con el seudónimo de “Desagradable” usó aplastar para volver a los jugadores en su mayoría jóvenes y mujeres  que ignoraron o rechazaron las solicitudes de sus amigos en League of Legends (LoL).

En respuesta a numerosas historias de aplastamiento, algunas agencias locales de cumplimiento de la ley de los EE. UU. Ofrecen  un servicio anti-aplastamiento a los jugadores de video y usuarios de YouTube.

Aseo

Probablemente el mayor riesgo que pueden encontrar los jugadores jóvenes en línea es el aseo, que es cuando un pedófilo prepara a un niño para una reunión con la intención de cometer un delito sexual. La preparación no solo es un acto específico, sino que también es premeditado. A veces, se puede detener si un padre está en la misma habitación que su hijo, o si la policía ya está persiguiendo a un sospechoso. Otras veces, puede llevar a la tragedia más allá de las palabras .

Breck Bednar tenía 14 años cuando conoció a Lewis Daynes en línea. Daynes era el maestro de ceremonias de la “casa club virtual” donde Bednar y sus amigos en la escuela se juntaban. Afirmó ser un ingeniero informático que dirigía una empresa multimillonaria. Daynes preparó a Bednar para engañar a sus padres con el fin de organizar una reunión. Un domingo de febrero de 2014, invitó a Bednar a su apartamento en Essex. Bednar le envió un mensaje de texto a su padre diciendo que pasaría la noche con un amigo (que no era Daynes). Esa fue la última vez que hablaron.

Hay otro lado de la preparación que se basa en el popular juego Fortnite: el tipo de delito cibernético. Según la BBC , los adolescentes de tan solo 14 años admiten haber robado cuentas privadas de juegos y revenderlas en línea. Los expertos dicen que el crimen organizado está vinculado a estas actividades, y que la preparación de los delitos informáticos se lleva a cabo detrás de la escena por personas o grupos peligrosos.

Juegalo de forma segura. Siempre.

Con una gran cantidad de riesgos en los juegos en línea, desde financieros hasta físicos, es especialmente importante adherirse a las mejores prácticas de ciberseguridad. La comunidad de juegos es activa, comprometida y apasionada, y los criminales se aprovecharán de eso lo mejor que puedan. Aléjalos en el pase siguiendo nuestros consejos:

• Explora tus opciones. Independientemente de su plataforma de juego, siempre vale la pena saber cómo funciona. Dado que muchos juegos para PC utilizan lanzadores, familiarícese con su configuración y personalícelos teniendo en cuenta la seguridad y la privacidad.
• Aproveche las opciones de seguridad y privacidad adicionales cuando estén disponibles. Estos lanzadores pueden tener algún tipo de autenticación de dos factores (2FA) para garantizar que un usuario que afirma poseer la cuenta puede verificar esta reclamación fácilmente.
• Actualice todo el software instalado en su plataforma de juegos o, si es un jugador de consola, el firmware y los juegos instalados en él.
• Siempre trate los enlaces enviados a su manera, ya sea por alguien que conoce desde hace mucho tiempo o por alguien que acaba de conocer, como sospechoso. Debido a la cantidad de formas en que las cuentas de juego pueden ser tomadas por los malhechores, y la mayoría de las veces, los jugadores victimizados no son conscientes de esto, es prudente manejar los enlaces con precaución. Sería más fácil si tuviera otros medios para comunicarse con el remitente del enlace que no sea la plataforma de juegos para verificar que efectivamente fueron ellos los que le enviaron un mensaje. Idealmente, si usted y sus amigos y familiares juegan juegos para establecer vínculos, establezca entre ustedes un proceso de verificación, como una palabra clave / frase que puede mencionar o escribir en el chat. No decir la palabra o frase clave puede indicar que no está hablando con la persona que dice ser.
• Use una forma de administración de contraseñas que funcione para usted. Sabemos que causa fatiga solo por recordar todas esas combinaciones de nombre de usuario y contraseña. Sobre la base de algunos comentarios que hemos recibido en el blog de Malwarebytes Labs, también sabemos que no todos utilizan los administradores de contraseñas, sino que han creado su propia forma de administrar y almacenar contraseñas. Vaya con lo que funciona, siempre que sus contraseñas se mantengan seguras. Sobre todo, evite reutilizar contraseñas.
• Gestiona tus perfiles de juego. En estos días, los perfiles de juego deben tratarse como lo hacen un perfil y un feed de redes sociales regulares. No revele información sobre usted que se considere sensible. Puede elegir y elegir quién ve sus actividades de juego y quién no. Usa tus opciones sabiamente.
• Mantenga sus escudos arriba. Si los archivos sospechosos afirman que pueden ayudarte en tus juegos, pero primero debes desactivar tu antivirus o apagar tu firewall, eso es una gran señal de alerta. Si una pieza de software quiere tener acceso gratuito a su sistema sin sus protecciones de seguridad, es mejor que encuentre alternativas más seguras.
• Practique juegos en presencia o al alcance de sus padres / cuidadores. A los adultos que viven con menores que les gusta jugar siempre se les recomienda participar de esta manera. No tienen que respirar por el cuello de sus hijos, pero al menos deberían aparecer de vez en cuando y asegurarse de que no esté ocurriendo nada nefasto, ya sea el contenido del juego en sí o las conversaciones entre jugadores.

Juego terminado

Podemos decir con confianza que muchos de los riesgos para los jugadores en línea de hace algunos años siguen siendo los riesgos a los que se enfrentan en la actualidad. Aunque hoy en día, las noticias sobre jugadores que se comportan mal con otros jugadores están en pie de igualdad con las noticias sobre malware y delincuentes en línea que se dirigen a los jugadores. Debido al impacto en el mundo real y al cambio de vida que presentan a las personas que están detrás de los avatares, y a sus familias y seres queridos, ahora hay más en juego que simplemente jugar en un mundo generado por computadora. Los jugadores no solo son llamados a tomar en serio la ciberseguridad, sino también a ser  ciudadanos digitales responsables .

Jugar videojuegos es para ser divertido; una forma de relajarnos, desahogarnos y eliminar el estrés. Sin embargo, reconozcamos también que los juegos ya forman parte del panorama general de amenazas. Asegúrese de que su información, y su persona, estén a salvo del mundo digital y más allá.

¡Juego encendido!

La semana pasada, examinamos las vulnerabilidades de los complementos , los problemas de laaplicación de seguimiento de ubicación y hablamos sobre problemas con las contraseñas de texto sin formato . También examinamos la regulación federal de privacidad de datos y nos sumergimos profundamente en el software publicitario de BatMobi . 

Otras noticias de ciberseguridad.

• Dolor de cabeza de la actualización del software envenenado para ASUS (Fuente: The Register)
• La junta de supervisión de Huawei del Reino Unido publica sus conclusiones (Fuente: UK.GOV)
• Manifiesto de sospecha de terrorismo troyano en circulación (Fuente: Blue Hexagon)
• Lecciones aprendidas de hacks criptográficos (Fuente: Help Net Security)
• Office Depot y Support.com pagarán $ 35 millones para resolver los cargos de estafa de soporte técnico(Fuente: Washington Post)
• Hypnospace Outlaw se remonta a la época del salvaje oeste de internet (Fuente: Variety)
• El ataque de phish reclama más de $ 100 millones de Google y Facebook (Fuente: CNBC)
• YouTube ejecuta anuncios criptográficos que conducen a malware (Fuente: ETHNews)
• Las aplicaciones de la tienda Google Play contienen malware del gobierno (Fuente: placa base)
• Phisher obtiene acceso a las cuentas de Apple de atletas profesionales (Fuente: The Verge)

En su  Informe de tendencias de hackeo de sitios web, la compañía de seguridad web Sucuri observó que las infecciones de WordPress aumentaron a 90 por ciento en 2018. Un aspecto de las infecciones del Sistema de gestión de contenido (CMS) que a veces se pasa por alto es que los atacantes no solo persiguen a los propios CMS: WordPress, Drupal , etc., pero también complementos y temas de terceros.

Si bien los complementos son útiles para proporcionar funciones adicionales para sitios web administrados por CMS, también aumentan la superficie de ataque. No todos los complementos se mantienen o protegen regularmente, y algunos incluso son abandonados por sus desarrolladores, dejando atrás errores que nunca se solucionarán.

En los últimos meses, hemos notado que los actores de amenazas aprovechan varias vulnerabilidades de complementos de alto perfil para redirigir el tráfico hacia varios esquemas de monetización, dependiendo de la geolocalización de un visitante y otras propiedades. La vulnerabilidad del complemento de cumplimiento GDPR de WordPress y las vulnerabilidades más recientes de Easy WP STMP y Social Warfare son algunos ejemplos de ataques oportunistas rápidamente adoptados en la naturaleza.

Infraestructura de redireccionamiento

Los sitios web pirateados se pueden monetizar de diferentes maneras, pero uno de los más populares es secuestrar el tráfico y redirigir a los visitantes hacia estafas y ataques.

Comenzamos a ver la última campaña de inyección siguiendo las notas del blog de Sucuri sobre el XSS almacenado de día cero de Social Warfare . De acuerdo con los datos de registro, la explotación automatizada intenta cargar contenido de una pasta de Pastebin , que se puede ver a continuación. El código ofuscado revela uno de los dominios utilizados por los actores de amenazas:

Nuestros rastreadores identificaron un esquema de redireccionamiento a través de la misma infraestructura relacionada con estos hacks de complementos recientes. A los sitios web comprometidos se les inyecta un código muy ofuscado que decodifica  setforconfigplease [.] Com (el mismo dominio que se encuentra en el código de Pastebin).

La primera capa de redireccionamiento va a los dominios alojados en  176.123.9 [.] 52 y 176.123.9 [.] 53 que realizarán la segunda redirección a través de un dominio .tk. Denis de Sucuri ha rastreado la evolución y rotación de estos dominios durante los últimos días.

Basados ​​en nuestra telemetría, la mayoría de los usuarios redirigidos en esta campaña son de Brasil, seguidos por los Estados Unidos y Francia:

Estafas, publicidad maliciosa, y más.

El objetivo de esta campaña (y otros similares) es la monetización del tráfico. A los actores de amenazas se les paga para redirigir el tráfico de sitios comprometidos a una variedad de estafas y otros esquemas de generación de ganancias. En los últimos meses, hemos estado siguiendo esta campaña de redirección activa que involucra la misma infraestructura descrita anteriormente.

Hacer un seguimiento de cualquier amenaza en curso da una idea del libro de jugadas del actor de la amenaza, ya sea que los cambios sean grandes o pequeños. El código puede ir a través de iteraciones, desde texto claro a ofuscado, o tal vez puede contener nuevas características.

Si bien hay literalmente docenas de cargas útiles finales basadas en la geolocalización y el tipo de navegador entregados en esta campaña, nos centramos en algunas de las más populares que las personas pueden encontrar. Al secuestrar el tráfico de miles de sitios web pirateados, los ladrones toman las huellas dactilares y redirigen a sus víctimas mientras intentan evitar ser bloqueados.

 

Armarios de navegador y estafas de soporte técnico

Históricamente, hemos visto esta sub campaña como uno de los principales proveedores de armarios de navegador, utilizados por estafadores de soporte técnico. Los nuevos dominios con el .tk TLD se generan cada pocos minutos para que actúen como redirectores a los candados. En octubre de 2018, Sucuri mencionó esta campaña activa que abusaba de los viejos temas tagDiv y las versiones sin parches del complemento Smart Google Code Inserter.

Los armarios de los navegadores siguen siendo una herramienta popular de ingeniería social para asustar a las personas y hacerles pensar que sus computadoras están infectadas y cerradas. Si bien no hay malware real involucrado, hay partes inteligentes de JavaScript que han provocado dolores de cabeza a los proveedores de navegadores. El “cursor malvado” es uno de esos trucos que impide que los usuarios cierren una pestaña o ventana del navegador, y recientemente se ha corregido .

Fraude publicitario y clickjacking

Un caso particular que documentamos se refiere a fraude de anuncios a través de sitios de señuelos que parecen blogs para mostrar anuncios de Google. Este esquema fraudulento se  expuso  en agosto y muestra cómo el tráfico de sitios pirateados puede generar $ 20,000 en ingresos publicitarios por mes.

Sin embargo, en un giro implementado poco después, los estafadores engañaron a los usuarios que intentaron cerrar el anuncio y secuestraron su mouse para hacer clic en el anuncio. De hecho, a medida que mueve el cursor del mouse hacia la X, el banner del anuncio se desplaza hacia arriba y en lugar de cerrar el anuncio, su clic lo abre.

Los delincuentes utilizan el código CSS que se adjunta dinámicamente a la página que monitorea el cursor del mouse y reacciona cuando aparece sobre la X. El tiempo es importante para capturar el clic unos pocos milisegundos más tarde cuando el banner del anuncio está enfocado. Estos trucos del lado del cliente se implementan para maximizar las ganancias de los anuncios, ya que los ingresos generados por los clics de anuncios son mucho más altos.

Malvertising y pop-ups

No hay un límite para la cantidad de esquemas de publicidad maliciosa que los delincuentes pueden implementar. Uno especialmente astuto es abusar de las notificaciones push de Chrome, una característica que es el sueño de un publicista deshonesto . Esto permite que los sitios web muestren notificaciones en la esquina inferior derecha de su pantalla, incluso cuando no esté navegando por el sitio en cuestión. Esos pop-ups tienden a ser optimizadores de PC de aceite de serpiente y webcams o solicitudes para adultos.

Formadores de raspadores y skimmers.

Durante un breve período de tiempo, vimos la adición de un raspador de JavaScript y lo que parecía ser un skimmer rudimentario en algunas cadenas de tráfico. No está claro cuál era el propósito, a menos que fuera algún tipo de experimento junto con los redireccionamientos .tk regulares.

Los skimmers se encuentran más comúnmente en los sitios de comercio electrónico, en particular aquellos que ejecutan el CMS de Magento. Probablemente sean la forma más lucrativa de monetizar un sitio pirateado, a menos que, por supuesto, no haya datos de usuario para robar, en cuyo caso las redirecciones maliciosas son las segundas mejores.

Tráfico del sitio web como una mercancía

La seguridad del sitio web es similar a la seguridad informática, ya que los propietarios del sitio también están expuestos a ataques de día cero y siempre deben realizar parches. Sin embargo, sin la protección proactiva (es decir, el firewall de la aplicación web) y los propietarios de sitios que no implementan sus actualizaciones de seguridad de manera oportuna, los días cero pueden ser increíblemente efectivos.

Cuando se descubren vulnerabilidades críticas, puede ser una cuestión de horas antes de que se observe la explotación en la naturaleza. Los sitios web comprometidos se convierten en un producto básico para diversos esquemas de monetización, que a su vez alimenta la compra y venta de tráfico malicioso.

Los usuarios de Malwarebytes están protegidos contra estas estafas, gracias a nuestras capacidades de bloqueo web. Para una protección adicional con los armarios del navegador, las extensiones forzadas y otras estafas, recomendamos nuestra extensión del navegador.

Indicadores de compromiso (COI)

176.123.9 [.] 52

redrentalservice [.] com 
setforconfigplease [.] com 
somelandingpage [.] com 
setforspecialdomain [.] com 
getmyconfigplease [.] com 
getmyfreetraffic [.] com

176.123.9 [.] 53

verybeatifulpear [.] com 
thebiggestfavoritemake [.] com 
stopenumarationsz [.] com 
strangefullthiggngs [.] com

simpleoneline [.] en línea 
lastdaysonlines [.] com 
cdnwebsiteforyou [.] biz

El director general de Facebook, Mark Zuckerberg, propuso un giro radical para su compañía este mes : comenzaría a preocuparse por la privacidad, construyendo una nueva versión de la plataforma que convierte a Facebook menos en una “plaza de la ciudad” pública, abierta y más en una privada. , íntima “sala de estar”.

Zuckerberg prometió encriptación de extremo a extremo en las plataformas de mensajería de la compañía, interoperabilidad , mensajes de desaparición, publicaciones y fotos para los usuarios, y un compromiso para almacenar menos datos de los usuarios, al tiempo que se niega a colocar esa información en países con registros de derechos humanos deficientes.

Si se llevan a cabo, estas promesas podrían llevar la privacidad del usuario al centro.

Pero las promesas de Zuckerberg han agotado a los usuarios, los defensores de la privacidad, los tecnólogos y los expertos de la industria, incluidos los de Malwarebytes. Respetar la privacidad del usuario hace que para una mejor Internet, punto. Y las propuestas de Zuckerberg son absolutamente un paso en la dirección correcta. Desafortunadamente, hay un abismo entre la propuesta de privacidad de Zuckerberg y el éxito de la privacidad de Facebook. Dado el desempeño anterior de Zuckerberg, dudamos de que realmente lo haga, y no culpamos a ningún usuario que se sienta de la misma manera.

La respuesta externa al anuncio de Zuckerberg fue rápida y crítica.

Uno de los primeros inversionistas de Facebook llamó a la acción un truco de relaciones públicas . La veterana periodista tecnológica Kara Swisher recomendó a Facebook un “robo” de la mejor idea de un competidor. El grupo de derechos digitales Electronic Frontier Foundation dijo que creería en un Facebook verdaderamente privado cuando lo viera , y el activista austriaco de derechos de privacidad en línea ( y algo espinoso en el lado de Facebook ) Max Schrems se rió de lo que veía como hipocresía : fusionar los metadatos de los usuarios en WhatsApp Facebook, e Instagram, y les dicen a los usuarios que fue por su propio bien privado.

¿El mayor obstáculo para creer las palabras de Zuckerberg? Para muchos, es la historia de Facebook.

La idea misma de un Facebook que proteja la privacidad va en contra de la comprensión del público sobre la compañía que los comentarios de Zuckerberg tienen un sabor desagradable. Estas promesas provienen de un hombre cuyas declaraciones de gestión de crisis a menudo carecen de las palabras “lo siento” o “disculpa”. Un hombre que, cuando su compañía estaba tratando de contener su propia comprensión de una campaña de desinformación de inteligencia extranjera, jugó como posible presidente , recorriendo América para una llamada ” gira de escucha “.

Los usuarios, comprensiblemente, esperan mejor. Esperan que las empresas protejan su privacidad. Pero, ¿puede Facebook realmente estar a la altura de eso?

“El futuro de internet”

Zuckerberg abre su llamamiento con un reclamo tembloroso: que en los últimos años ha centrado su atención en “comprender y abordar los mayores desafíos a los que se enfrenta Facebook”. Según Zuckerberg, “esto significa tomar posiciones sobre cuestiones importantes relacionadas con el futuro de Internet”.

La visión de Facebook del futuro de Internet ha sido, en ocasiones, muy positiva. Facebook rutinariamente respalda la neutralidad de la red, y el año pasado, la compañía se opuso a una ley anti-encriptación y anti-seguridad peligrosa en Australia que podría obligar a las empresas de todo el mundo a cumplir con las órdenes secretas del gobierno para espiar a los usuarios.

Pero el registro de cabildeo de Facebook también revela un futuro de Internet que, para algunos, es menos seguro.

El año pasado, Facebook apoyó la mitad de un par de facturas de hermanos que finalmente se fusionaron en una sola ley. La ley siguió una ruta tortuosa y tortuosa, pero su impacto hoy está claro: las trabajadoras sexuales consensuales han descubierto que sus comunidades en línea son eliminadas y una vez más son empujadas a las calles , lejos de la orientación y el apoyo, y potencialmente de regreso a las manos de los depredadores. .

“El proyecto de ley nos está matando”, dijo una trabajadora sexual a The Huffington Post .

Si bien la ley tenía la intención aparente de proteger a las víctimas de la trata sexual, solo ha empeorado sus vidas , según algunos defensores de las trabajadoras sexuales.

El 21 de marzo de 2018, el Senado de los EE. UU. Aprobó el proyecto de ley Permitir a los estados y las víctimas combatir el tráfico sexual en línea (FOSTA). El proyecto de ley fue el producto de una versión anterior de su propio homónimo, y un proyecto de ley relacionado relacionado, denominado Ley de detención de habilitación de traficantes sexuales (SESTA). A pesar de las claras advertencias de los grupos de derechos digitales y los defensores del sexo positivo , Facebook apoyó a SESTA en noviembre de 2017. Según el New York Times , Facebook hizo este movimiento calculado para ganarse el favor de algunos de sus críticos más feroces en la política estadounidense.

“[El] proyecto de ley de tráfico sexual fue defendido por el senador John Thune, un republicano de Dakota del Sur que había criticado a Facebook por acusaciones de censurar el contenido conservador, y el senador Richard Blumenthal, un demócrata de Connecticut y miembro del comité de comercio que fue crítico frecuente de Facebook ”, decía el artículo. “Facebook rompió filas con otras compañías de tecnología, esperando que la medida ayude a reparar las relaciones en ambos lados del pasillo, dijeron dos miembros del Congreso y tres funcionarios de la industria tecnológica”.

En octubre pasado, el proyecto de ley volvió a perseguir al gigante de los medios sociales: una demandante Jane Doe en Texas demandó a Facebook por no protegerla de los traficantes sexuales .

Además, en el ensayo de Zuckerberg, promete que Facebook continuará negándose a construir centros de datos en países con registros de derechos humanos deficientes.

La preocupación de Zuckerberg es bienvenida y sus advertencias están bien ubicadas. A medida que Internet ha evolucionado, también lo ha hecho el almacenamiento de datos. Los perfiles, fotos, videos y mensajes en línea de los usuarios pueden viajar a través de varios servidores ubicados en países de todo el mundo, lejos de la sede de la empresa. Pero este desarrollo plantea un reto. Colocar los datos de las personas en países con menos protecciones de privacidad, y regímenes gubernamentales potencialmente opresivos, pone en riesgo la vida privada y en línea de todos. Como dijo Zuckerberg:

“[La] información sobre datos en más países también establece un precedente que anima a otros gobiernos a buscar un mayor acceso a los datos de sus ciudadanos y, por lo tanto, debilita la protección de la privacidad y la seguridad de las personas en todo el mundo”, dijo Zuckerberg.

Pero lo que dice Zuckerberg y lo que Facebook soporta están en desacuerdo.

El año pasado, Facebook apoyó la Ley CLOUD, una ley que redujo las protecciones de privacidad en todo el mundo al permitir que los gobiernos extranjeros soliciten directamente a las empresas los datos en línea de sus ciudadanos. Es una ley que, según la Electronic Frontier Foundation , podría dar lugar a que la policía del Reino Unido se hiciera con los mensajes de Slack escritos por un estadounidense, y luego los enviara a la policía de EE. UU., Quien podría acusar a ese estadounidense de un delito, todo sin una orden judicial.

El mismo día en que se introdujo por primera vez la Ley CLOUD como un proyecto de ley, recibió apoyo inmediato de Facebook, Google, Microsoft, Apple y Oath (anteriormente Yahoo). Grupos de derechos digitales , defensores de las libertades civiles y organizaciones de derechos humanos se opusieron directamente al proyecto de ley poco después. Ninguno de sus esfuerzos sacudió a los gigantes de la tecnología. La Ley CLOUD se convirtió en ley solo unos meses después de su introducción.

Si bien el impulso de Zuckerberg para mantener la información fuera de los países que abusan de los derechos humanos es un paso en la dirección correcta para proteger la privacidad global, su compañía apoyó una ley que podría resultar en lo contrario. La Ley CLOUD no depende significativamente del historial de derechos humanos de un país. En cambio, se basa en negociaciones internas entre gobiernos, lejos de la vista del público.

El futuro de Internet ya está aquí, y Facebook es parcialmente responsable de su aspecto.

Escepticismo sobre la historia de origen 2.0 de Facebook.

Durante años, Zuckerberg le dijo a cualquiera que escuchara, incluidos los senadores estadounidenses ansiosos de respuestas , que comenzó a Facebook en su dormitorio de Harvard. Este inocente recuento involucra a un joven Zuckerberg de ojos caídos que no se preocupa por comenzar un negocio, sino más bien por conectar a las personas.

La conexión, ha repetido Zuckerberg, fue la última misión. Esta visión singular una vez fue empleada por un ejecutivo de la empresa para desestimar la muerte humana por el “* de facto * bien” de conectar a las personas .

Pero la última declaración de Zuckerberg agrega un nuevo propósito, o arruga, a la misión de Facebook: la privacidad.

“La privacidad le da a la gente la libertad de ser ellos mismos y conectarse más naturalmente, por eso construimos redes sociales”, dijo Zuckerberg.

Varios expertos ven motivos ulteriores.

Kara Swisher, la editora ejecutiva de Recode, dijo que la reorientación de Facebook es probablemente un intento de seguir siendo relevante para los usuarios más jóvenes. La privacidad en línea, según muestran los datos, es una de las principales preocupaciones de ese grupo demográfico . Pero preocuparse por la privacidad, dijo Swisher, “nunca formó parte del ADN [de Facebook], excepto tal vez como una línea de descarte en un comunicado de prensa”.

Ashkan Soltani, ex director de tecnología de la Comisión Federal de Comercio, dijo que las ideas de Zuckerberg eran intentos obvios de aprovechar la privacidad como una ventaja competitiva.

“Apoyo firmemente la privacidad de los consumidores cuando me comunico en línea, pero este movimiento es completamente un juego estratégico para usar la privacidad como una ventaja competitiva y un mayor bloqueo de Facebook como la plataforma de mensajería dominante”, dijo Soltani en Twitter .

En cuanto al compromiso de permanecer fuera de los países que violan los derechos humanos, Riana Pfefferkorn, directora asociada de vigilancia y ciberseguridad en el Centro de Internet y Sociedad de la Escuela de Derecho de Stanford, presionó más.

“No sé qué estándares están usando para determinar quiénes son los abusadores de derechos humanos”, dijo Pfefferkorn en una entrevista telefónica. “Si es la lista de países que Estados Unidos ha sancionado, donde no permiten las exportaciones, es una lista corta. Pero si tienes todos los países que alguna vez ponen a los disidentes en prisión, entonces eso comienza con algunas preguntas mucho más difíciles “.

Por ejemplo, ¿qué hará Facebook si quiere ingresar a un país que, en el papel, protege los derechos humanos, pero en la práctica, utiliza leyes opresivas contra sus ciudadanos? ¿Conservará Facebook su nuevo modelo de privacidad y renunciará por completo al mercado? ¿O se doblará?

“Ya lo veremos”, dijo Pfefferkorn en un correo electrónico anterior. “[Zuckerberg] es responsable ante los accionistas y ante la tiranía de la regla n. ° 1: crecimiento, crecimiento, crecimiento”.

Al preguntarle si el pivote de Facebook tendrá éxito, Pfefferkorn dijo que la compañía definitivamente ha hecho algunas contrataciones importantes para ayudar. En el último año, Facebook incorporó a tres críticos y expertos en derechos digitales, uno de EFF, otro del Open Technology Institute de New American y otro de AccessNow, para que asumieran las funciones de liderazgo. Además, Pfefferkorn dijo, Facebook ha impulsado exitosamente proyectos enormes y de privacidad hacia adelante antes.

“Ellos implementaron el cifrado de extremo a extremo y lo hicieron realidad para mil millones de personas en WhatsApp”, dijo Pfefferkorn. “No es necesariamente imposible”.

El pasado de WhatsApp es ahora el futuro de Facebook.

Al mirar hacia el futuro, Zuckerberg primero mira hacia atrás.

Para otorgar cierta autenticidad a este nuevo y mejorado Facebook privado, Zuckerberg invoca repetidamente la reputación de una empresa adquirida previamente para reforzar la cuenta de Facebook.

WhatsApp, dijo Zuckerberg, debería ser el modelo para el nuevo Facebook.

“Planeamos construir esta [plataforma enfocada en la privacidad] de la manera en que hemos desarrollado WhatsApp: enfocándonos en el caso de uso más fundamental y privado, la mensajería, hacerlo lo más seguro posible y luego construir más formas para que las personas interactúen en la parte superior De eso “, dijo Zuckerberg.

El mensajero seguro, que Facebook compró en 2014 por $ 19 mil millones, es un ejemplo de privacidad. Desarrolló el cifrado de extremo a extremo predeterminado para los usuarios en 2016 (en lugar de Facebook), se niega a almacenar claves para otorgar acceso a los mensajes de los usuarios e intenta limitar la recopilación de datos del usuario tanto como sea posible.

Aún así, varios usuarios creían que WhatsApp que se unía a Facebook representaba una sentencia de muerte para la privacidad del usuario. Un mes después de la venta, el cofundador de WhatsApp, Jan Kaum, trató de disipar cualquier información errónea sobre la visión comprometida de WhatsApp.

“Si asociarse con Facebook significaba que teníamos que cambiar nuestros valores, no lo habríamos hecho”, escribió Kaum.

Cuatro años después de la venta, algo cambió.

Kaum dejó Facebook en marzo de 2018, según se informa , preocupado por el enfoque de la privacidad y la recopilación de datos de Facebook. La partida de Kaum siguió a la de su co-fundador Brian Acton el año anterior .

En una entrevista exclusiva con Forbes , Acton explicó su decisión de abandonar Facebook. Era, dijo, mucho sobre la privacidad.

“Vendí la privacidad de mis usuarios a un mayor beneficio”, dijo Acton. “Hice una elección y un compromiso. Y vivo con eso todos los días “.

Extrañamente, al defender el registro de privacidad de Facebook, Zuckerberg evita un episodio reciente de cifrado profesional. El año pasado, Facebook luchó, y prevaleció, contra una solicitud del gobierno de EE. UU. Para, según se informa, “romper el cifrado” en su aplicación Facebook Messenger . Zuckerberg también se olvida de mencionar el exitoso despliegue de encriptación de extremo a extremo de Facebook en su aplicación Messenger.

Además, confiar tanto en WhatsApp como símbolo de privacidad es complicado. Después de todo, Facebook no compró la compañía debido a su filosofía. Facebook compró WhatsApp porque era una amenaza . 

Historia de Facebook de promesas incumplidas

La declaración de Zuckerberg promete a los usuarios un Facebook completamente nuevo, completo con encriptación de extremo a extremo, mensajes y mensajes efímeros, recolección de datos permanente, menos intrusiva y sin almacenamiento de datos en países que han abusado de los derechos humanos.

Estas son ideas fuertes. El cifrado de extremo a extremo es una medida de seguridad crucial para proteger la vida privada de las personas, y la promesa de Facebook de negarse a almacenar las claves de cifrado solo refuerza esa seguridad. Los mensajes, fotos, fotos y videos efímeros brindan a los usuarios la oportunidad de compartir sus vidas en sus propios términos. Rehusarse a incluir datos en regímenes conocidos de abuso de derechos humanos podría representar un sacrificio de participación de mercado potencialmente significativo, dando a Facebook la oportunidad de demostrar su compromiso con la privacidad del usuario.

Pero el registro de promesas de Facebook es mucho más ligero que el de hacer promesas. En el pasado, ya sea que Facebook prometiera una nueva característica del producto o una mejor responsabilidad para sus usuarios, la compañía repetidamente perdió su propia marca.

En abril de 2018, TechCrunch reveló que, ya en 2010, Facebook eliminó algunas de las conversaciones privadas de Zuckerberg y cualquier registro de su participación, retrayendo los mensajes enviados desde su bandeja de entrada y desde la bandeja de entrada de sus amigos. La compañía también realizó esta eliminación, que no está disponible para los usuarios, para otros ejecutivos.

Tras las noticias, Facebook anunció un plan para dar a sus usuarios una función de “no envío”.

Pero casi seis meses después, la compañía no había cumplido su promesa . No fue hasta febrero de este año que Facebook produjo una medida a medias: en lugar de darles a los usuarios la capacidad de eliminar realmente los mensajes enviados, como lo hizo Facebook para Zuckerberg, los usuarios podían “anular” un mensaje accidental en la aplicación Messenger en 10 minutos. del tiempo de envío inicial.

Gizmodo lo etiquetó como “cebo y cambio”.

En octubre de 2016, ProPublica compró un anuncio en las “categorías de vivienda” de Facebook que excluía a grupos de usuarios que eran potencialmente afroamericanos, asiáticos o hispanos. Un abogado de derechos civiles calificó esta función de exclusión como “espantosa”.

Facebook rápidamente prometió mejorar su plataforma de publicidad al eliminar las opciones de exclusión para anuncios de vivienda, crédito y empleo, y al implementar una mejor tecnología de detección automática para detener los anuncios potencialmente discriminatorios antes de que se publiquen.

Un año después, en noviembre de 2017, ProPublica ejecutó nuevamente su experimento. La discriminación, una vez más, resultó posible . Las herramientas contra la discriminación que Facebook anunció el año anterior no captaron nada.

“Cada anuncio individual fue aprobado en minutos”, decía el artículo.

Esta vez, Facebook cerró toda la funcionalidad, según una carta de la Directora de Operaciones Sheryl Sandberg al Congreso Negro del Congreso. (Facebook también anunció los cambios en su sitio web ).

Más recientemente, Facebook no cumplió con la promesa de que los números de teléfono de los usuarios estarían protegidos de la búsqueda . Hoy en día, a través de una extraña solución, los usuarios aún pueden ser “encontrados” a través del número de teléfono que Facebook les pidió que proporcionen específicamente para la autenticación de dos factores.

Lejos de los cambios en el producto, Facebook ha dicho repetidamente a los usuarios que se comprometería con la seguridad, la seguridad y la privacidad del usuario. Sin embargo, el historial real después de esas declaraciones cuenta una historia diferente.

En 2013, un cineasta documental australiano se reunió con el líder de políticas públicas y comunicaciones de Facebook y le advirtió sobre el creciente problema del discurso de odio en la plataforma de Facebook en Myanmar. Los budistas ultranacionalistas del país estaban haciendo publicaciones falsas e inflamatorias sobre la población musulmana rohingya local, a veces exigiendo violencia contra ellos. Los disturbios se habían cobrado la vida de 80 personas el año anterior, y miles de rohingya fueron obligados a internarse en campos de internamiento.

El líder de políticas públicas y comunicaciones de Facebook, Elliot Schrage, envió a la cineasta australiana, Aela Callan, a un callejón sin salida.

“No me conectó con nadie dentro de Facebook que pudiera lidiar con el problema real”, dijo Callan a Reuters .

Para noviembre de 2017, el problema había estallado, con Myanmar desgarrado y su gobierno involucrado en lo que Estados Unidos llamó “limpieza étnica” contra los rohingya . En 2018, los investigadores de las Naciones Unidas culparon a Facebook.

“Me temo que Facebook ahora se ha convertido en una bestia”, dijo un investigador.

Durante los años anteriores, Facebook no hizo ningún esfuerzo visible para solucionar el problema. Para 2015, la compañía empleó solo a dos moderadores de contenido que hablaban birmano, el idioma principal en Myanmar. A mediados de 2018, las herramientas de informes de contenido de la compañía aún no se habían traducido al birmano, lo que dificultaba la capacidad de la población para protegerse en línea. Facebook tampoco había contratado a un solo empleado en Myanmar en ese momento.

En abril de 2018, Zuckerberg prometió hacerlo mejor. Cuatro meses más tarde, Reuters descubrió que el discurso de odio todavía corría desenfrenado en la plataforma y que los mensajes odiosos desde hacía seis años no habían sido eliminados.

Las crisis internacionales continuaron.

En marzo de 2018, The Guardian reveló que una empresa europea de análisis de datos había recopilado los perfiles de Facebook de decenas de millones de usuarios . Este fue el escándalo de Cambridge Analytica y, por primera vez, implicó directamente a Facebook en una campaña internacional para influir en las elecciones presidenciales de Estados Unidos.

Buffeted en todos los lados, Facebook lanzó … una campaña publicitaria . Empapado en sentimentalismo y desprovisto de culpabilidad, un anuncio de campaña dijo vagamente que “algo sucedió” en Facebook: “spam, clickbait, noticias falsas y uso indebido de datos”.

“Eso va a cambiar”, prometió el comercial. “De ahora en adelante, Facebook hará más para mantenerte seguro y proteger tu privacidad”.

Esto es lo que sucedió desde que se emitió ese anuncio en abril de 2018.

El New York Times reveló que, durante los últimos 10 años, Facebook compartió datos con al menos 60 fabricantes de dispositivos , incluidos Apple, Samsung, Amazon, Microsoft y Blackberry. El New York Times también publicó una bomba de investigación en la cultura corporativa de Facebook, mostrando que, una y otra vez, Zuckerberg y Sandberg respondieron a las crisis corporativas con ofuscación, desviación y, en el caso de un proyecto centrado en la transparencia, la ira absoluta.

Un  comité parlamentario británico publicó documentos  que mostraban cómo Facebook le dio a algunas compañías, incluyendo Airbnb y Netflix, acceso a su plataforma a cambio de favores. (Más documentos publicados este año mostraron intentos anteriores de Facebook para vender datos de usuarios ). La aplicación Onava de Facebook se inició en la tienda de aplicaciones de Apple para recopilar datos de usuarios. Se informó que Facebook también pagó a usuarios de tan solo 13 años de edad para instalar la aplicación “Facebook Research” en sus propios dispositivos, una aplicación destinada exclusivamente para el uso de los empleados de Facebook.

Ah, y Facebook sufrió una violación de datos que potencialmente afectó a hasta 50 millones de usuarios.

Si bien la esencia de las promesas de Zuckerberg podría proteger la privacidad del usuario, la ejecución de esas promesas aún está en el aire. No es que los usuarios no quieran lo que Zuckerberg está describiendo, es que están agotados con él. ¿Cuántas veces se verán obligados a escuchar acerca de otro cambio de corazón antes de que Facebook cambie para siempre?

Facebook de mañana

Cambiar la dirección de una empresa internacional multimillonaria es un trabajo duro, aunque varios expertos se muestran optimistas sobre la hoja de ruta de la privacidad de Zuckerberg. Pero al igual que muchos expertos han agotado su fe en la empresa. En todo caso, las presiones públicas de Facebook podrían estar en su punto más bajo: los detractores se han retirado de la plataforma por completo y los partidarios continuarán profundizando en su propia buena voluntad.

Lo que Facebook hace con esta oportunidad está totalmente bajo su propio control. Los usuarios de todo el mundo estarán mejor si la empresa decide que, esta vez, se trata de un cambio serio. La privacidad del usuario vale la pena el esfuerzo.

Los ávidos lectores del blog Malwarebytes Labs sabrían que nos esforzamos por preparar empresas de todos los tamaños para la inevitabilidad de los ataques cibernéticos. Desde la capacitación efectiva de empleados sobre higiene básica en seguridad cibernética hasta orientar a las organizaciones en la formulación de un programa de respuesta a incidentes (IR) , una política de seguridad cibernética e introducir una cultura de seguridad intencional , nuestro objetivo es promover la prevención proactiva.

Sin embargo, hay ocasiones en que las organizaciones necesitan ser reactivas. Y uno de ellos es la gestión de la reputación empresarial (BRM, por sus siglas en inglés), una palabra de moda que se refiere a la práctica de garantizar que las organizaciones siempre estén dando lo mejor de sí, en línea y fuera de línea, mediante el monitoreo constante y el tratamiento de la información y las comunicaciones que dan forma a la percepción pública. Este es un proceso que los ejecutivos no deben perderse, especialmente cuando la compañía se encuentra en el centro de una tormenta mediática después de revelar un incidente de ciberseguridad que potencialmente ha afectado a millones de sus clientes.

En esta publicación, analizamos por qué las empresas de todos los tamaños deberían tener un sistema de este tipo al tener un repaso sobre qué forma una reputación y cuánto ha evolucionado la confianza y lealtad del consumidor. También le mostraremos cómo se vería el BRM proactivo y reactivo antes, durante y después de una lluvia cibernética.

La reputación, como la belleza, está en el ojo del espectador.

La reputación de una empresa (cómo los clientes, los inversores, los empleados, los proveedores y los socios la perciben) es su activo más valioso e intangible. Gideon Spanier, Director Global de Medios de Campaign, ha dicho en su artículo de Raconteur que se basa en tres cosas: lo que dices, lo que haces y lo que otros dicen de ti cuando no estás en la sala. Debido al mundo altamente digitalizado y en red en el que vivimos, las paredes de esta sala se han vuelto imaginarias, y ahora todos escuchan lo que tienes que decir.

Buscar organizaciones y marcas en línea se ha convertido en parte del proceso de toma de decisiones de un consumidor, por lo que tener una presencia en línea fuerte y positiva es más importante que nunca. Pero para ver que solo el 15 por ciento de los ejecutivos están abordando la necesidad de administrar la reputación de su empresa, claramente hay trabajo por hacer.

La confianza y lealtad del consumidor evolucionaron.

La confianza de la marca ha crecido. Antes, nos basábamos en el boca a boca, tanto las recomendaciones como las condenas, de amigos y familiares, la positividad o la negatividad de nuestras propias experiencias y las de otros sobre un producto o servicio, y el respaldo de alguien a quien admiramos (como las celebridades y los atletas ). Hoy en día, muchos de nosotros tendemos a creer lo que dicen los extrañossobre una marca, un producto o un servicio; lea las noticias sobre lo que está pasando con las instituciones; y siga la charla de las redes sociales sobre ellos.

La relación entre la confianza del consumidor y la reputación de la marca también ha cambiado. Si bien los nombres generales siguen siendo preferidos sobre marcas nuevas o desconocidas (incluso si ofrecen un producto o servicio similar a un costo más barato), los consumidores conectados han aprendido el valor de sus datos. No solo quieren que se satisfagan sus necesidades, sino que también esperan que las empresas se ocupen de ellas y, por extensión, de la información que escogen, para que puedan sentirse seguros y felices.

Por supuesto, con la confianza viene la lealtad. Weber Shandwick, una firma de relaciones públicas global, ha recordado a los líderes de negocios en su informe, La compañía detrás de la marca: Reputación en la que confiamos [PDF], encontró que los consumidores en el Reino Unido tienden a asociarse con un producto, y si la compañía que produce ese producto no cumple con lo que se espera de ellos, se retiran en busca de uno mejor, que generalmente ofrece una marca de la competencia. No es difícil imaginar esta misma reacción de los consumidores en los Estados Unidos en el contexto de datos de clientes robados debido a una violación de datos en toda la empresa.

Gestión de la reputación empresarial en acción.

La posibilidad de encontrar su negocio en la mira de los actores de amenazas ya no es solo una posibilidad, sino algo para lo que los ejecutivos siempre deben estar preparados. La buena noticia es que no es imposible proteger su reputación comercial de los riesgos.

En esta sección, describimos lo que las empresas pueden hacer en tres fases: antes, durante y después de un ataque, mediante una ilustración basada en un escenario del mundo real para dar a las organizaciones una idea de cómo pueden formular un plan de juego para administrar su reputación ahora. o en el futuro. Tenga en cuenta que hemos alineado nuestros indicadores en el contexto de los incidentes de ciberseguridad y privacidad.

Antes de un ataque: prepárate para una brecha

• Identifique y asegure los datos más confidenciales de su empresa. Esto incluye la propiedad intelectual (IP) y la información de identificación personal (PII) de sus clientes .
• Copia de seguridad de sus datos. Tenemos una guía práctica para eso.
• Parche todo. Puede tomar un tiempo y puede causar alguna interrupción, pero valdrá la pena.
• Educar a los empleados sobre medidas básicas de seguridad de datos, tácticas de ingeniería social y cómo identificar las señales de alerta de una posible violación.
• Armar un equipo de socorristas. Es decir, si la empresa ha decidido manejar los incidentes de forma interna. Si este es el caso:
  • Proporcionarles las herramientas que necesitarán para el trabajo.
  • Capacítelos sobre cómo usar estas herramientas y sobre los procesos establecidos para la recolección y el almacenamiento adecuados de la evidencia.
• Crear un plan de respuesta de violación de datos. Este es un conjunto de acciones que realiza una organización para abordar de manera rápida y efectiva un incidente de seguridad o privacidad. Lamentablemente, de acuerdo con la Encuesta Mundial de Delitos Económicos y Fraude de 2018 de PwC , solo el 30 por ciento de las empresas tienen este plan en marcha.
  • Una vez creados, asegúrese de que todas las partes interesadas internas (sus empleados, ejecutivos, unidades de negocios, inversores y contactos B2B) estén informadas sobre este plan, para que sepan qué hacer y qué esperar.
• Conozca las leyes de notificación de violaciones de seguridad en el estado en el que se basa su empresa. Asegúrese de que su empresa cumpla con la legislación.
• Establecer un proceso de alerta y seguimiento. Esto incluye mantener un canal de comunicación que sea accesible 24/7. En caso de un ataque, las partes interesadas internas deben ser informadas primero.
• En una nota similar, crear un proceso de notificación. Involucre a los departamentos clave relevantes, como marketing y asuntos legales, para que sepan qué decirles a los clientes (si la violación implica un robo de PII), a los reguladores y a las fuerzas del orden público, y cómo notificarlos mejor.
• Dependiendo de la naturaleza de su empresa y de los activos potenciales que puedan verse afectados por un incumplimiento, prepare una lista de los posibles servicios especiales que su empresa puede ofrecer a los clientes que puedan verse afectados. Por ejemplo, si su empresa almacena información de tarjetas de crédito, puede proporcionar protección de identidad a los clientes con un número de contacto al que pueden llamar para hacer uso del servicio. Esto fue lo que hizo Home Depot cuando se rompió en 2014.

---

Leer: Cómo navegar por Internet de forma segura en el trabajo.

---

Durante un ataque: sé estratégico.

• Mantenga a las partes interesadas internas actualizadas sobre los desarrollos y los pasos que su empresa ha tomado para mitigar y remediar la gravedad de la situación. Mantenga las líneas telefónicas abiertas, pero sería más eficiente enviar actualizaciones periódicas por correo electrónico. Cree una línea de tiempo de eventos a medida que avanza.
• Identifique y documente la siguiente información y evidencia lo más que pueda, ya que éstas son necesarias cuando llegue el momento de notificar a los clientes y al público sobre la violación:
  • Sistemas comprometidos, activos y redes
  • Paciente cero, o como ocurrió la brecha.
  • Información en las máquinas afectadas que ha sido divulgada, tomada, eliminada o dañada.
• Si su compañía tiene un blog o una página donde puede publicar noticias de la compañía, redacte una cuenta de los eventos de principio a fin y lo que continuará planeando hacer en las próximas semanas después de la violación. Se transparente y eficaz. Esta es una buena oportunidad para mostrar a los clientes que la compañía no solo está hablando, sino que también está caminando. El Director de Marketing (CMO) debe tomar la iniciativa en esto.

Después de un ataque: ser excelente para sus partes interesadas

• Notifique a sus clientes y otras entidades que puedan haber sido afectadas por el incumplimiento.
  • Publique las noticias de la compañía o la publicación en el blog que la compañía ha redactado sobre el incidente de ciberseguridad.
  • Envíe notificaciones de incumplimiento por correo electrónico, enlace al blog y redes sociales.
• Prepárese para recibir preguntas de los clientes y de cualquier persona que esté interesada en aprender más sobre lo que sucedió. Espera tener conversaciones incómodas.
• Ofrezca servicios adicionales a sus clientes, que ya ha pensado y preparado en la primera fase de este ejercicio BRM.
• Continúe aceptando y abordando las inquietudes y preguntas de los clientes durante períodos prolongados durante un cierto período de tiempo.
• Implemente nuevos procesos y utilice nuevos productos basados ​​en discusiones posteriores al incidente para minimizar aún más las futuras violaciones de los sucesos.
• Rejuvenezca la confianza de las partes interesadas y céntrese en las estrategias de preparación, contención y mitigación de violaciones, como prueba del compromiso de la empresa con sus clientes. Esto puede convertir el estigma de las violaciones de datos en su cabeza. Recuerde que una infracción puede suceder a cualquier empresa de cualquier industria. Lo que se recordará es cómo actuó la compañía antes, durante y después del incidente. Así que usa eso para tu ventaja.
• Audite la información que su empresa recopila y almacena para ver si tiene datos que no son necesariamente necesarios para cumplir con sus obligaciones de productos y servicios para con los clientes. La lógica detrás de esto es que se guardan menos datos sobre los clientes; Los menos datos están en riesgo. Asegúrese de que todas sus partes interesadas, especialmente sus clientes, conozcan qué datos no recopilarán ni almacenarán más.
  • Tras una violación en diciembre de 2015, Wetherspoon eliminó toda su base de datos de direcciones de correo electrónico de los clientes , que era su forma de minimizar la cantidad de datos que almacenaban sobre sus clientes.
• Reconoce el arduo trabajo de tus empleados y recompénsalos por ello. Sí, también son sus partes interesadas, y no deben ser olvidadas, especialmente después de un incidente de ciberseguridad.

La gestión de la reputación empresarial es el nuevo negro.

De hecho, las empresas siguen siendo el blanco favorito de los actores de amenazas y los estados nacionales de hoy. Es la nueva normalidad en este punto, algo que muchas organizaciones todavía están optando por negar.

Saber cómo administrar la reputación de su empresa se considera una ventaja competitiva. Claro, una cosa es saber cómo recuperarse de un incidente de ciberseguridad . Pero otra cosa es saber qué hacer para mantener la imagen de la marca intacta en medio de la atención negativa y qué decir a los afectados por el ataque, a sus partes interesadas, y al público en general.

Hemos escuchado mucho sobre las Amenazas Persistentes Avanzadas (APT) en los últimos años. Como actualización, las APT son ataques prolongados y dirigidos contra objetivos específicos con la intención de comprometer sus sistemas y obtener información de o sobre ese objetivo.

Si bien los objetivos pueden ser cualquiera o cualquier cosa, una persona, empresa u otra organización, las APT a menudo se asocian con operaciones gubernamentales o militares, ya que tienden a ser las organizaciones con los recursos necesarios para llevar a cabo tal ataque. Comenzando con el informe APT1 de Mandiant en 2013, ha habido un flujo continuo de exposición a la piratería a nivel nacional.

Las compañías de seguridad cibernética se han vuelto relativamente buenas en la observación y el análisis de las herramientas y tácticas de los actores de amenazas de los estados nacionales; no son tan buenos para ubicar estas acciones en contexto lo suficiente como para que los defensores realicen evaluaciones de riesgo sólidas. Así que vamos a echar un vistazo a algunos grupos APT desde una perspectiva más amplia y ver cómo encajan en el panorama de amenazas más amplio.

Hoy, vamos a revisar las actividades del grupo de Lázaro, alternativamente llamado Cobra Oculta y Guardianes de la Paz.

¿Quién es el Grupo Lázaro?

Se cree que el Grupo Lazarus está dirigido por el gobierno de Corea del Norte, motivado principalmente por la ganancia financiera como un método para eludir las sanciones de larga duración contra el régimen. La primera vez que llegaron a un importante aviso en los medios fue en 2013 con una serie de ataques coordinados contra una variedad de organismos de radiodifusión e instituciones financieras de Corea del Sur que utilizan DarkSeoul, un programa de limpiaparabrisas que sobrescribe secciones del registro maestro de arranque de las víctimas.

En noviembre de 2014, se atribuyó a Lazarus una violación a gran escala de Sony Pictures . El ataque fue notable debido a su penetración sustancial en las redes de Sony, la gran cantidad de datos exfiltrados y filtrados, así como el uso de un limpiaparabrisas en un posible intento de borrar evidencia forense. La atribución de los ataques fue en gran medida confusa, pero el FBI publicó una declaración que vinculaba la brecha de Sony con el ataque DarkSeoul anterior, y atribuyó oficialmente ambos incidentes a Corea del Norte.

Avance a mayo de 2017 con el brote generalizado de WannaCry , una pieza de ransomware que utilizó un exploit SMB como un vector de ataque. La atribución a Corea del Norte se basó en gran medida en la reutilización del código entre WannaCry y los ataques anteriores de Corea del Norte, pero se consideró que esto se debía a razones limitadas dada la práctica común de compartir herramientas entre grupos de amenazas regionales. Las agencias de inteligencia occidentales emitieron declaraciones oficiales al público reafirmando la atribución, y el 6 de septiembre de 2018, el Departamento de Justicia de los Estados Unidos acusó a un ciudadano norcoreano de participar en WannaCry y Sony.

Más recientemente, el brazo motivado financieramente de Lazarus Group ha estado captando la atención por los ataques contra las instituciones financieras, así como los intercambios de criptomonedas. Este último es notable por involucrar aplicaciones de comercio troyano para Windows y MacOS.

Malware implementado comúnmente

• DarkSeoul
• Fallchill
• Trojan.Fastcash
• Bitsran
• Puertas traseras surtidas para la persistencia.

¿Debería estar preocupado?

Sí, pero no en la medida en que puedas pensar. Las actividades del Grupo Lazarus se centran en la ganancia financiera, así como en el logro de los objetivos políticos del régimen de Corea del Norte. Dado que los objetivos políticos declarados de Corea del Norte tienden a centrarse en los conflictos regionales con Corea del Sur y Japón, es probable que las empresas fuera de esa esfera corran un bajo riesgo de ataques por motivos políticos.

Sin embargo, las motivaciones financieras representan un riesgo significativo para casi todas las organizaciones. Afortunadamente, la defensa contra estos tipos de ataques es en gran medida la misma, ya sea que estén o no patrocinados por el estado. Los defensores deben tener una sólida capacidad de monitoreo de registros, un programa de administración de parches, protección anti-phishing y marcas para distinguir las comunicaciones legítimas del liderazgo de los impostores.

¿Qué podrían hacer después?

La atribución de los ataques de Lázaro es más suave que con muchos otros grupos de amenazas, y las motivaciones políticas de Corea del Norte han resultado difíciles durante décadas. Como resultado, es difícil proyectar cuáles podrían ser sus próximos objetivos. Sin embargo, es razonable suponer que mientras se mantengan las sanciones para el liderazgo de Corea del Norte, las motivaciones financieras de Lázaro también se mantendrán. Las organizaciones con un riesgo particular de ataques motivados financieramente deben incluir a Lázaro mientras consideran las medidas de seguridad.

Las leyes de ciberseguridad y privacidad de los datos de EE. UU. Son, por decirlo así, un desastre.

Los años de legislación poco sistemática, las decisiones de la Corte Suprema y las crisis de vigilancia del gobierno, junto con las reiteradas fallas corporativas para proteger los datos de los usuarios, han creado un panorama legal que, para el público estadounidense y las empresas estadounidenses, es confuso, complicado y francamente molesto.

Se espera que las empresas cumplan con las leyes de privacidad de datos basadas en el tipo de datos. Por ejemplo, hay una ley que protege la información médica y de salud, otra ley que protege la información que pertenece a los niños y otra ley que protege los registros de alquiler de videos. (En serio, hay.) Sin embargo, confusamente, algunas de esas leyes solo se aplican a ciertos tipos de negocios , en lugar de a ciertos tipos de datos .

Por otro lado, se espera que los organismos encargados de hacer cumplir la ley y la comunidad de inteligencia cumplan con un marco diferente que a veces separa los datos según el “contenido” y el “no contenido”. Por ejemplo, hay una ley que protege las conversaciones telefónicas, pero otra La ley protege los números reales marcados en el teclado.

E incluso cuando los datos parecen similares, sus protecciones pueden diferir. Los datos de ubicación GPS pueden, por ejemplo, recibir una protección diferente si se mantiene con un proveedor de telefonía celular en comparación con si se cargó voluntariamente a través de un servicio de “registro” de ubicación en línea o mediante una aplicación de aptitud que permite a los usuarios compartir rutas de jogging.

El Congreso podría racionalizar esta red inconexa al aprobar una legislación federal exhaustiva sobre privacidad de datos; sin embargo, sigue habiendo dudas sobre la aplicación de la normativa y si las leyes de privacidad de datos individuales de los estados se respetarán o se verán afectadas en el proceso.

Para comprender mejor el campo actual, Malwarebytes está lanzando una serie limitada de blogs sobre privacidad de datos y leyes de ciberseguridad en los Estados Unidos. Cubriremos el cumplimiento comercial, la legislación sectorial, la vigilancia gubernamental y la próxima legislación federal.

A continuación se muestra nuestro primer blog de la serie. Explora el cumplimiento de la privacidad de los datos en los Estados Unidos hoy en día desde la perspectiva de una startup.

Un cuento de startups: abundan las leyes de privacidad de datos

Cada año, un sinnúmero de personas viajan a Silicon Valley para unirse a la 21 ^st fiebre del oro del siglo, rompiendo lanzas no a lo largo de la costa, pero arriba y abajo Sand Hill Road, donde golpeándolo medios ricos que traen algún tipo de financiación de capital de riesgo grave.

Pero antes de que cualquier inicio incipiente pueda convertirse en el próximo Facebook, Uber, Google o Airbnb, debe cumplir con una gran variedad de leyes de privacidad de datos, a veces vertiginosas.

Por suerte, hay abogados de privacidad de datos para ayudar.

Hablamos con D. Reed Freeman Jr., copresidente de la práctica de ciberseguridad y privacidad en el bufete de abogados Wilmer Cutler Pickering Hale y Dorr, con sede en Washington, DC, sobre lo que una startup hipotética de recopilación de datos debería cumplir con los requisitos actuales de EE. UU. Leyes de privacidad de datos. ¿Cómo es su mapa de ruta?

Nuestra hipotética puesta en marcha, llamémosla Spuri.us, se basa en San Francisco y se centra por completo en un mercado estadounidense. La compañía desarrolló una aplicación que recopila datos de los usuarios para mejorar el rendimiento de la aplicación y, potencialmente, ofrecer anuncios dirigidos en el futuro.

Esta no es una lista exhaustiva de todas las leyes de privacidad de datos que una empresa debe tener en cuenta para el cumplimiento de la privacidad de datos en los Estados Unidos. En cambio, es una instantánea, que brinda información y respuestas a algunas de las preguntas más comunes en la actualidad.

Política de privacidad en línea de Spuri.us

Para dar inicio al cumplimiento de la privacidad de los datos con el pie derecho, Freeman dijo que la empresa de inicio debe escribir y publicar una política de privacidad clara y veraz en línea, tal como se define en la Ley de Protección de la Privacidad en Línea de California de 2004 .

La ley exige que las empresas y los operadores de sitios web comerciales que recopilan información de identificación personal publiquen en línea una política de privacidad clara y de fácil acceso. Estas políticas de privacidad deben detallar los tipos de información recopilada de los usuarios, los tipos de información que pueden compartirse con terceros, la fecha de vigencia de la política de privacidad y el proceso, si lo hubiera, para que un usuario revise y solicite cambios en sus información recopilada.

Las políticas de privacidad también deben incluir información sobre cómo responde una empresa a las solicitudes de “No rastrear”, que son configuraciones del navegador web destinadas a evitar que un usuario sea rastreado en línea. La eficacia de estas configuraciones se debate, y Apple retiró recientemente la función en su navegador Safari .

Freeman dijo que las empresas no tienen que preocuparse por cumplir con las solicitudes de “No rastrear” tanto como deberían preocuparse por cumplir con la ley.

“Está bien decir ‘No lo hacemos'”, dijo Freeman, “pero tienes que decir algo”.

La ley cubre más de lo que se dice en una política de privacidad. También cubre qué tan prominente debe mostrar una empresa. De acuerdo con la ley, las políticas de privacidad deben estar “visibles” en un sitio web.

Hace más de 10 años, Google intentó probar esa interpretación y luego retrocedió. Tras un informe del New York Times de 2007 que reveló que la política de privacidad de la compañía estaba al menos a dos clics de la página de inicio, varias organizaciones de derechos de privacidad enviaron una carta al entonces CEO Eric Schmidt, instando a la compañía a cumplir de manera más proactiva.

“La renuencia de Google a publicar un enlace a su política de privacidad en su página de inicio es alarmante”, decía la carta , que fue firmada por la American Civil Liberties Union, el Center for Digital Democracy y Electronic Frontier Foundation. “Le instamos a cumplir con la Ley de Protección de Privacidad en Línea de California y la práctica generalizada de sitios web comerciales tan pronto como sea posible”.

La carta funcionó. Hoy, los usuarios pueden hacer clic en el enlace “Privacidad” en la página de inicio del gigante de búsqueda.

¿Qué pasa con COPPA y HIPAA?

Spuri.us, como cualquier nueva empresa ágil de Silicon Valley, está lista para girar. En un momento dado de su crecimiento, consideró convertirse en una aplicación de seguimiento de salud y estado físico, lo que significa que recopilaría la frecuencia cardíaca, los regímenes de sueño, la ingesta de agua, las rutinas de ejercicio e incluso su ubicación GPS de los usuarios para las rutas seleccionadas de jogging y ciclismo. Spuri.us también alguna vez consideró la posibilidad de integrarse a los juegos móviles, desarrollando una aplicación que no está diseñada para niños, pero que aún se puede descargar en dispositivos infantiles y jugar con niños.

El fundador de Spuri.us está familiarizado con al menos dos leyes federales de privacidad de datos: la Ley de Portabilidad y Responsabilidad de los Seguros de Salud ( HIPAA ), que regula la información médica, y la Ley de Protección de la Privacidad en Línea de los Niños ( COPPA ), que regula la información que pertenece a los niños.

El fundador de Spuri.us quiere saber: si su compañía comienza a recopilar información relacionada con la salud, ¿tendrá que cumplir con HIPAA?

No es así, dijo Freeman.

“HIPAA, la forma en que se presenta, no cubre toda la información médica”, dijo Freeman. “Eso es un malentendido común”.

En su lugar, dijo Freeman, HIPAA solo se aplica a tres tipos de empresas: proveedores de atención médica (como médicos, clínicas, dentistas y farmacias), planes de salud (como compañías de seguros de salud y HMO) y centros de intercambio de información de atención médica (como servicios de facturación que se procesan). información de salud no estándar).

Sin ajustar ninguna de esas descripciones, Spuri.us no tiene que preocuparse por el cumplimiento de HIPAA.

En cuanto al cumplimiento de la COPPA, Freeman calificó la ley de “complicada” y “muy difícil de cumplir”. Junto con un proyecto de ley general masivo al cierre de la sesión legislativa de 1998, la COPPA es una ley que “nadie sabía que estaba allí hasta que se aprobó”. “, Dijo Freeman.

Dicho esto, el alcance de la COPPA es fácil de entender.

“Algunas cosas son simples”, dijo Freeman. “Usted está regulado por el Congreso y obligado a cumplir con sus requisitos bizantinos si su sitio web está dirigido a niños menores de 13 años, o si tiene conocimiento real de que está recopilando información de niños menores de 13 años”.

Eso plantea la pregunta: ¿Qué es un sitio web dirigido a niños? Según Freeman, la Comisión Federal de Comercio creó una regla que ayuda a responder esa pregunta .

“Cosas como las animaciones en el sitio, el lenguaje que parece estar orientado a los niños, una variedad de factores que son intuitivos se tienen en cuenta”, dijo Freeman.

Otros factores incluyen el tema de un sitio web, su música, la edad de sus modelos, la exhibición de “actividades orientadas a los niños” y la presencia de cualquier celebridad infantil.

Debido a que Spuri.us no está creando una aplicación dirigida a niños, y no recopila información a sabiendas de niños menores de 13 años, no tiene que cumplir con COPPA.

Una nota rápida sobre GDPR

Ninguna preocupación sobre el cumplimiento de la privacidad de los datos está completa sin que aparezca el Reglamento general de protección de datos (GDPR) de la Unión Europea . Aprobado en 2016 y que entró en vigencia el año pasado, GDPR regula la forma en que las empresas recopilan, almacenan, usan y comparten la información personal de los ciudadanos de la UE en línea. El día que GDPR entró en vigencia, innumerables estadounidenses recibieron correos electrónicos después de un correo electrónico sobre políticas de privacidad actualizadas, a menudo de compañías que se fundaron en los Estados Unidos.

El fundador de Spuri.us está preocupado. Ella podría tener usuarios de la UE pero no está segura. ¿Los usuarios la obligan a cumplir con GDPR?

“Esa es una percepción errónea común”, dijo Freeman. Dijo que una sección de GDPR explica este tema, al que llamó “aplicación extraterritorial”. O, para ponerlo un poco más claro, Freeman dijo: “Si eres una empresa estadounidense, ¿cuándo llega GDPR y te atrapa?”

GDPR afecta a las empresas de todo el mundo en función de tres factores. Primero, si la empresa está establecida dentro de la UE, ya sea a través de empleados, oficinas o equipos. En segundo lugar, si la empresa comercializa directamente o se comunica con los residentes de la UE. En tercer lugar, si la empresa supervisa el comportamiento de los residentes de la UE.

“El número tres es lo que hace tropezar a la gente”, dijo Freeman. Dijo que los sitios web y las aplicaciones de EE. UU., Incluidas las operadas por compañías sin una presencia física en la UE, aún deben cumplir con GDPR si hacen un seguimiento específico del comportamiento de los usuarios que tiene lugar en la UE.

“Si tiene un servicio o red de análisis, o píxeles en su sitio web, o si coloca cookies en las máquinas de los residentes de la UE que rastrean su comportamiento”, todo eso podría contar como un seguimiento del comportamiento de los residentes de la UE, dijo Freeman.

Debido a que esos servicios son bastante comunes, Freeman dijo que muchas compañías ya han encontrado una solución. En lugar de desmantelar una operación analítica completa, las empresas pueden capturar las direcciones IP de los usuarios que visitan sus sitios web. Las empresas luego realizan una búsqueda de geolocalización inversa. Si las compañías encuentran alguna dirección IP asociada con una ubicación en la UE, eliminan a los usuarios detrás de esas direcciones para evitar el seguimiento en línea.

Cuando se le preguntó si esta configuración ha demostrado proteger contra los reguladores de GDPR, Freeman dijo que estos pasos muestran un entendimiento y una preocupación por la ley. Esa preocupación, dijo, debería resistir el escrutinio.

“Si es una empresa nueva y un regulador de la UE inicia una investigación y demuestra que ha hecho todo lo posible para evitar el seguimiento (que lo obtiene), conoce la ley. Mi esperanza sería que los reguladores más razonables no aceptaran Una acción draconiana contra ti “, dijo Freeman. “Has hecho lo mejor que puedes para evitar lo que está regulado, que es la pista”.

Una ley de violación de datos para cada estado

Spuri.us tiene una política de privacidad claramente publicada. Sabe sobre HIPAA y COPPA y tiene un plan para GDPR. Todo va bien … hasta que no lo es.

Spuri.us sufre una violación de datos.

Dependiendo de qué datos se tomaron de Spuri.us y a quién se refería, la empresa de inicio deberá cumplir con los muchos requisitos establecidos en la ley de notificación de violación de datos de California . Existen reglas sobre cuándo se activa la ley, qué se considera una infracción, a quién notificar y qué decirles.

La ley protege la “información personal” de los californianos, que define como una combinación de información. Por ejemplo, un nombre y apellido más un número de Seguro Social cuentan como información personal. También haga una primera inicial y un apellido más un número de licencia de conducir, o un nombre y apellido más cualquier reclamación de seguro médico anterior o diagnóstico médico. El nombre de usuario y la contraseña asociada de un californiano también califican como “información personal”, según la ley.

La ley también define una violación como cualquier “adquisición no autorizada” de datos de información personal. Entonces, ¿un actor de amenaza deshonesto que accede a una base de datos? No es una brecha. ¿Ese mismo actor de amenazas descargando la información de la base de datos? Incumplimiento.

En California, una vez que una empresa descubre una violación de datos, debe notificar a las personas afectadas. Estas notificaciones deben incluir detalles sobre el tipo de información personal que se tomó, una descripción de la violación, información de contacto de la empresa y, si la empresa fue realmente la fuente de la violación, una oferta de servicios gratuitos de prevención de robo de identidad por al menos un año.

La ley es particularmente estricta en estas notificaciones a clientes e individuos afectados. Hay reglas sobre el tamaño de la fuente y los requisitos para los subtítulos que se deben incluir en cada aviso: “Qué sucedió”, “Qué información se involucró”, “Qué estamos haciendo”, “Qué puede hacer” y “Más información”.

Después de que Spuri.us envíe su gran cantidad de avisos, todavía podría tener mucho más que hacer.

A partir de abril de 2018, cada estado de EE. UU. Tiene su propia ley de notificación de violación de datos . Estas leyes, que a veces se pueden superponer, aún incluyen importantes diferencias, dijo Freeman.

“Algunos estados requieren que notifiques a los consumidores afectados. Algunos requieren que notifique al Fiscal General del estado ”, dijo Freeman. “Algunos requieren que notifiques a las agencias de crédito”.

Por ejemplo, la ley de Florida requiere que, si más de 1,000 residentes se ven afectados, la compañía debe notificar a todas las agencias de informes de consumidores de todo el país. La ley de Utah, por otro lado, solo requiere notificaciones si, después de una investigación, la compañía encuentra que ocurrió un robo de identidad o fraude, o que probablemente ocurrió. Y Iowa tiene una de las pocas leyes estatales que protege tanto los registros electrónicos como los impresos.

De todos los dolores de cabeza relacionados con el cumplimiento de los datos, este podría ser el más lento para Spuri.us.

Mientras tanto, dijo Freeman, adoptar un enfoque proactivo, como publicar la política de privacidad precisa y veraz y ser sincero y honesto con los usuarios acerca de las prácticas comerciales, dará al inicio una ventaja clara.

“Si comienzan a saber esas cosas desde el punto de vista de la privacidad y solo en los Estados Unidos”, dijo Freeman, “ese es un gran comienzo que los pone por delante de muchas otras empresas emergentes”.

Manténgase atento a nuestro segundo blog de la serie, que cubrirá la lucha actual por la legislación integral de privacidad de datos en los Estados Unidos.

A pesar de la disminución en el número de infecciones por ransomware en el último año, hay varias familias de ransomware que aún están activas. Ransom.Troldesh , aka Shade, es uno de ellos. Según la telemetría de nuestro producto, Shade ha experimentado un fuerte aumento en las detecciones desde el cuarto trimestre de 2018 hasta el primer trimestre de 2019.

Cuando vemos un rápido aumento en las detecciones de una familia de malware, eso nos dice que estamos en medio de una campaña activa y exitosa. Así que echemos un vistazo a este ransomware “sombrío” para saber cómo se propaga, cuáles son sus síntomas, por qué es peligroso para su negocio y cómo puede protegerse contra él.

Vector de infeccion

Troldesh, que ha existido desde 2014, generalmente se propaga por malspam, específicamente archivos adjuntos de correo electrónico maliciosos. Los archivos adjuntos suelen ser archivos zip presentados al receptor como algo que “tiene que” abrir rápidamente. El zip extraído es un Javascript que descarga la carga útil maliciosa (también conocido como el propio ransomware). La carga útil a menudo se aloja en sitios con un Sistema de gestión de contenido (CMS) comprometido .

Como el remitente en los correos electrónicos de Troldesh generalmente es falsificado , podemos suponer que los actores de la amenaza detrás de esta campaña son phishing , con la esperanza de atraer la atención de los usuarios para que abran el archivo adjunto.

Se cree que el origen de Troldesh es ruso porque sus notas de rescate están escritas tanto en ruso como en inglés.

Los sistemas de destino están ejecutando el sistema operativo Windows. Las víctimas deberán descomprimir el archivo adjunto y hacer doble clic en el archivo Javascript para que comience la infección.

Comportamiento ransomware

Una vez implementado, el ransomware deja caer una gran cantidad de archivos readme # .txt numerados en la computadora infectada una vez que se completa la rutina de cifrado, lo más probable es que se asegure de que la víctima lea al menos uno de ellos. Estos archivos de texto contienen el mismo mensaje que la nota de rescate.

Extensiones de archivo de destino

Troldesh busca archivos con estas extensiones en unidades fijas, extraíbles y remotas:

.1cd, .3ds, .3fr, .3g2, .3gp, .7z, .accda, .accdb, .accdc, .accde, .accdt, .accdw, .adb, .adp, .ai3, .ai4 , .ai5, .ai6, .ai7, .ai8, .anim, .arw, .as, .asa, .asc, .ascx, .asm, .asmx, .asp, .aspx, .asr, .asx,. avi, .avs, .backup, .bak, .bay, .bd, .bin, .bmp, .bz2, .c, .cdr, .cer, .cf, .cfc, .cfm, .cfml, .cfu, .chm, .cin, .class, .clx, .config, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .cub, .dae, .dat, .db, .dbf .dbx, .dc3, .dcm, .dcr, .der, .dib, .dic, .dif, .divx, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm,. dotx, .dpx, .dqy, .dsn, .dt, .dtd, .dwg, .dwt, .dx, .dxf, .edml, .efd, .elf, .emf, .emz, .epf, .eps, .epsf, .epsp, .erf, .exr, .f4v, .fido, .flm, .flv, .frm, .fxg, .geo, .gif, .grs, .gz, .h, .hdr, .hpp .hta, .htc, .htm, .html, .icb, .ics, .iff, .inc, .indd, .ini, .iqy, .j2c, .j2k, .java, .jp2, .jpc,. jpe, .jpeg,, .jpf, .jpg, .jpx, .js,.jsf, .json, .jsp, .kdc, .kmz, .kwm, .lasso, .lbi, .lgf, .lgp, .log, .m1v, .m4a, .m4v, .max, .md, .mda .mdb, .mde, .mdf, .mdw, .mef, .mft, .mfw, .mht, .mhtml, .mka, .mkidx, .mkv, .mos, .mov, .mp3, .mp4. mpeg, .mpg, .mpv, .mrw, .msg, .mxl, .myd, .myi, .nef, .nrw, .obj, .odb, .odc, .odm, .odp, .ods, .oft, .one, .onepkg, .onetoc2, .opt, .oqy, .orf, .p12, .p7b, .p7c, .pam, .pbm, .pct, .pcx, .pdd, .pdf, .pdp, .pef .pem, .pff, .pfm, .pfx, .pgm, .php, .php3, .php4, .php5, .phtml, .pict, .pl, .pls, .pm, .png, .pnm,. pot, .potm, .potx, .ppa, .ppam, .ppm, .pps, .ppsm, .ppt, .pptm, .pptx, .prn, .ps, .psb, .psd, .pst, .ptx, .pub, .pwm, .pxr, .py, .qt, .r3d, .raf, .rar, .raw, .rdf, .rgbe, .rle, .rqy, .rss, .rtf, .rw2, .rwl , .safe, .sct, .sdpx, .shtm, .shtml, .slk, .sln, .sql, .sr2, .srf, .rw, .ssi, .st, .stm, .svg, .svgz. swf, .tab, .tar, .tbb, .tbi,.tbk, .tdi, .tga, .thmx, .tif, .tiff, .tld, .torrent, .tpl, .txt, .u3d, .udl, .uxdc, .vb, .vbs, .vcs, .vda, .vdr, .vdw, .vdx, .vrp, .vsd, .vss, .vst, .vsw, .vsx, .vtm, .vtml, .vtx, .wb2, .wav, .wbm, .wbm, .wbm .wmf, .wml, .wmv, .wpd, .wps, .x3f, .xl, .xla, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt,. xltm, .xltx, .xlw, .xml, .xps, .xsd, .xsf, .xsl, .xslt, .xsn, .xtp, .xtp2, .xyze, .xz, y .zip

Cifrado

Los archivos se cifran utilizando AES 256 en modo CBC . Para cada archivo cifrado, se generan dos claves AES de 256 bits aleatorias: una se utiliza para cifrar el contenido del archivo, mientras que la otra se utiliza para cifrar el nombre del archivo. Las extensiones mencionadas anteriormente se agregan después del cifrado del nombre de archivo.

Proteger contra Troldesh

Los usuarios de Malwarebytes pueden bloquear Ransom.Troldesh a través de varios módulos de protección diferentes, que pueden impedir que el ransomware cifre archivos en tiempo real.

La protección en tiempo real contra los archivos en nuestras definiciones detiene el propio ransomware:

Nuestros módulos anti-exploit y anti-ransomware bloquean el comportamiento sospechoso:

Mientras tanto, la protección de sitios web maliciosos de Malwarebytes bloquea los sitios comprometidos:

Otros métodos de protección.

Hay algunas medidas de seguridad que puede tomar para evitar llegar a la fase en la que la protección debe activarse o los archivos deben recuperarse.

• Escanear correos electrónicos con archivos adjuntos. Estos correos sospechosos no deben llegar al usuario final.
• Educación del usuario. Si llegan al usuario final, se les debe informar que no abran archivos adjuntos de esta naturaleza o que ejecuten archivos ejecutables en archivos adjuntos. Además, si su empresa tiene un plan contra el phishing , deben saber a quién reenviar el correo electrónico en la organización para su investigación.
• Lista negra La mayoría de los usuarios finales no necesitan poder ejecutar scripts. En esos casos, puede hacer una lista negra de  wscript.exe.
• Actualización de software y sistemas. La actualización del software puede tapar vulnerabilidades y mantener a raya las vulnerabilidades conocidas.
• Archivos de respaldo. Las copias de seguridad confiables y fáciles de implementar pueden acortar el tiempo de recuperación.

Remediación

Si debe llegar al punto donde es necesaria la reparación, estos son los pasos a seguir:

• Realizar un escaneo completo del sistema. Malwarebytes puede detectar y eliminar Ransom.Troldesh sin más interacción del usuario.
• Recuperar archivos. La eliminación de Troldesh no descifra sus archivos. Solo puede recuperar sus archivos de las copias de seguridad que realizó antes de que ocurriera la infección o realizando una operación de reversión.
• Deshazte del culpable. Eliminar el correo electrónico que fue la causa raíz.

Descifrado

A pesar de que AES 256 es un algoritmo de cifrado sólido, existen herramientas gratuitas de descifrado disponibles para algunas de las variantes de Troldesh. Puede encontrar más información sobre estas herramientas de descifrado en NoMoreRansom.org (busque bajo “Sombra” en la lista alfabética).

Las víctimas de Troldesh reciben un código único, una dirección de correo electrónico y una URL a una dirección de cebolla. Se les pide que se pongan en contacto con la dirección de correo electrónico mencionando su código o que vayan al sitio de cebolla para obtener más instrucciones. No se recomienda pagar a los autores del rescate, ya que financiará su próxima ola de ataques.

Lo que diferencia a Troldesh de otras variantes de ransomware es la gran cantidad de archivos readme # .txt con la nota de rescate colocada en el sistema afectado y el contacto por correo electrónico con el actor de amenazas. De lo contrario, emplea un vector de ataque clásico que se basa principalmente en engañar a las víctimas no informadas. Sin embargo, ha tenido bastante éxito en el pasado y en su actual ola de ataques. Los descifradores gratuitos disponibles solo funcionan en algunas de las variantes más antiguas, por lo que las víctimas probablemente tendrán que confiar en las copias de seguridad o en las funciones de retroceso.

IOCs

Ransom.Troldesh ha usado las siguientes extensiones para archivos encriptados:

.xtbl 
.ytbl 
.cbtl 
.no_more_ransom 
.better_call_saul 
.breaking_bad 
.heisenberg 
.da_vinci_code 
.magic_software_syndicate 
.windows10 
.crypted000007 
.crypted000078